De Algemene verordening gegevensbescherming (AVG) #
Sinds 25 mei 2018 is de AVG van toepassing in de hele Europese Unie. De wet schrijft richtlijnen voor omtrent het gebruik van persoonsgegevens, en geldt voor iedereen die dit soort gegevens verwerkt. Dit zijn niet alleen grote bedrijven, maar ook kleine ondernemers, organisaties, individuele personen, en natuurlijk ook de overheid. De enige uitzonderingen hierop zijn de politie en justitie, waarvoor een apart wettelijk kader geldt.
Persoonsgegevens #
Soms is het moeilijk in te schatten of data wel of geen persoonsgegevens bevat. De AVG definieert persoonsgegevens als volgt: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.’ (AVG, artikel 4.1) Simpel gezegd vallen de volgende gegevens hieronder:
- naam
- adres
- nummer identiteitskaart/paspoort
- inkomen
- cultureel profiel
- IP-adres
- medische gegevens (over individuele personen en gekoppeld aan de identiteit)
Hoe is de AVG toepasbaar op LearningLion? #
Het antwoord op deze vraag begint met het identificeren welk type gegevens verwerkt zijn in onze database. In het geval van kamervragen bijvoorbeeld, bestaat de dataset uit eerder gestelde kamervragen en de antwoorden hierop, specifiek degene die al publiekelijk openbaar gemaakt zijn op de website van de Tweede Kamer der Staten-Generaal. Wel wordt er in deze vragen vaak verwezen naar namen van personen, welke in dit geval identificeerbaar zijn aangezien het publieke personen (bewindslieden en kamerleden) betreft. Om deze reden houden wij ons aan de richtlijnen zoals omschreven in de AVG. Naast namen worden er geen andere vormen van persoonsgegevens verwerkt.
Doelbinding #
Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven. Organisaties mogen dus niet alvast persoonsgegevens gaan verzamelen omdat die misschien ooit van pas gaan komen. Vervolgens moet het doel waarvoor de persoonsgegevens verwerkt worden verenigbaar zijn met het doel waarvoor deze gegevens oorspronkelijk verzameld zijn, wat betekent dat dezelfde gegevens niet hergebruikt mogen worden voor een ander doel. Voor de use case kamervragen is de data verzameld om beleidsmedewerkers te kunnen ondersteunen door het model relevante eerdere vragen te laten oproepen, en concept antwoorden te kunnen genereren voor toekomstige kamervragen. De data zal enkel voor dit doel gebruikt worden.
Dataminimalisatie #
Als organisaties persoonsgegevens verwerken, moeten ze daarbij uitgaan van het principe ‘zo min mogelijk’, wat inhoudt dat er niet meer gegevens verwerkt mogen worden dan noodzakelijk is om het doel te bereiken. Onze data bevat enkel de namen van degene die de vraag stelt, en eventueel namen waarnaar verwezen wordt in de vraag of het antwoord. Deze zijn beide nodig om de context van de vraag en het antwoord te begrijpen. Naast deze namen wordt geen enkele andere vorm van persoonsgegevens verwerkt.
Referenties: #
Algemene verordening gegevensbescherming (AVG)
Kamervragen | Tweede Kamer der Staten-Generaal
AVG | Algemene Verordening Gegevensbescherming - Your Europe