search

MinBZK / Algoritmeregister

Samen werken aan verantwoorde en transparante inzet van algoritmische toepassingen door overheden.
European Union Public License 1.2
18 stars 5 forks source link

Specificeer duidelijker wat je uit de DPIA terug wil zien. #10

Closed floort closed 1 year ago

jaspervanderheide commented 1 year ago

Ha Floor. Ik ga komende week aan de slag om de wijzigingen als pull requests beschikbaar te maken. Dan is daar over te discussiëren op Github. Neemt niet weg dat voorlopig er ook discussie mogelijkheid zal zijn op pleio.

Inhoudelijk op dit punt. Ik denk dat je inderdaad terecht aangeeft dat gespecificeerd moet worden wat we verwachten uit de DPIA. Wat wij in ons voorstel betogen is echter dat de omschrijving van de DPIA teveel de methode centraal staat, in plaats van wat die methode in kaart moet brengen: namelijk die risico's. Ons voorstel is dus om dit veld te schrappen, maar nadrukkelijk op te nemen in de handleiding dat de resultaten van een DPIA verwerkt moeten worden in bepaalde velden. Die handleiding komt hopelijk binnenkort op Github, dus dan kunnen daar ook nog specifiekere pull requests op gedaan worden. Ik hoor graag wat je daar van vindt.

floort commented 1 year ago

Ook voor mij is het wat zoeken naar de juiste plek en vorm voor de discussie. Ik denk dat de plek minder belangrijk is dan de structuur.

De meest gestructureerde vorm zou er ongeveer zo uit kunnen zien per risico:

  1. Naam (korte omschrijving van het risico)
  2. Kans (lastig te kwantificeren, meer dan hoog/midden/laag is waarschijnlijk niet redelijk)
  3. Onderbouwing van de kans-inschatting
  4. Impact (lastig te kwantificeren, meer dan hoog/midden/laag is waarschijnlijk niet redelijk)
  5. Onderbouwing van de impact-inschatting

Voor DPIA's gebruiken wij meestal de risicomatrix van de ICO (Britse AP equivalent). Die matrix kan je vervolgens gebruiken om er een netto risico (ook weer hoog/midden/laag) uit te destilleren.

Belangrijker dan de risico-matrix is de schaalverdeling voor kans en impact. Ik stel voor om daar ook voort te bouwen op de uitleg van privacy-toezichthouders.

Wat ik het belangrijkste vind is dat je ook kan controleren of er geen risico's zijn die over het hoofd gezien zijn, dus alle overwogen risico's moeten worden genoemd.

In het voorstel in mijn pull request heb ik dat platgeslagen in een enkel tekstveld, maar wat volgens mij de kern is benoemd in de omschrijving. En uiteindelijk gaat het om de risico's die zijn beoordeeld en de onderbouwing ervan. Dus bovenstaande is ook prima mogelijk zonder DPIA. Als er uiteindelijk een lijst komt met alle geëvalueerde risico's voor de rechten en vrijheden van personen gaat het volgen mij de goede kant op.

Wat ik vooral wilde voorkomen dat er alleen een veldje komt met slechts een deel van de risico's waardoor de beoordeling oncontroleerbaar wordt.

jaspervanderheide commented 1 year ago

Dank voor deze informatie! Even voor mijn beeld, "beoordeling" refereert dan naar punt 2-5 in het lijstje dat je hierboven aandraagt?

Dit lijkt mij prima te doen in het veld "risico's", waarin misschien explicieter sprake moet zijn van een lijst risico's ipv één tekstblok. In de handleiding kan dan expliciet gevraagd worden welke informatie we per risico verwachten. Ik ga het binnen het projectteam opgooien, maar hoor ook graag wat anderen er van denken.

floort commented 1 year ago

Inderdaad. Maar het belangrijkste punt wat mij betreft is het schrappen van de drempel "belangrijkste". Zowel "belangrijkste" als de inschatting van het risico zelf zijn subjectief. Subjectieve inschattingen die gebruikt kunnen worden om minder transparant te zijn zullen worden gebruikt om minder transparant te zijn. Stel ik wordt geraakt door een lage kans, hoge impact risico en degene die het register heeft ingevuld heeft de impact wat lager ingevuld; dan kan ik niet meer controleren of er überhaupt is nagedacht over het risico.

jaspervanderheide commented 1 year ago

Ah, check! Het veld risico's heeft die eis niet, dus dat past eveneens goed volgens mij.

-------- Oorspronkelijk bericht -------- Op 3 feb. 2023 09:22, schreef Floor Terra :

Inderdaad. Maar het belangrijkste punt wat mij betreft is het schrappen van de drempel "belangrijkste". Zowel "belangrijkste" als de inschatting van het risico zelf zijn subjectief. Subjectieve inschattingen die gebruikt kunnen worden om minder transparant te zijn zullen worden gebruikt om minder transparant te zijn. Stel ik wordt geraakt door een lage kans, hoge impact risico en degene die het register heeft ingevuld heeft de impact wat lager ingevuld; dan kan ik niet meer controleren of er überhaupt is nagedacht over het risico.

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>

floort commented 1 year ago

Een belangrijk aandachtspunt daarbij is dat risico's uit DPIA's specifiek gaan over risico's voor de rechten en vrijheden van betrokkenen. Ik zie bijvoorbeeld een algoritme staan waarbij de logica als bedrijfsvertrouwelijk staat aangegeven, maar het gebrek aan transparantie daarover niet als risico staat aangegeven: https://www.algoritmeoverheid.nl/algoritme/beeldherkenning-reclamebelasting-gemeente-amsterdam

Dat kan je als een controleerbare tekortkoming zien (dus goed van het register) of als indicatie dat er misschien wat meer kaders voor het invullen nodig zijn.

jaspervanderheide commented 1 year ago

Ik stel voor om deze pull request te sluiten. We verwijderen namelijk het veld in ons voorstel, maar nemen tegelijkertijd het voorstel van beoordeling over in de handleiding (zsm), zodat we volgens mij hetzelfde bereiken.

floort commented 1 year ago

Kan de commit met de betreffende wijziging hier worden genoemd? Zolang het voorstel uit het pull request niet is opgelost of afgewezen zou ik aanraden om het open te laten staan.