AI en algoritmes: Privacyrechtelijke ontwikkelingen
Vonne Laan, Advocaat en partner | Data Laywers
De groeiende inzet van kunstmatige intelligentie creëert nieuwe risico’s voor privacy en dataprotectie. Vonne Laan, advocaat bij The Data Lawyers, vertelt wat professionals zeker moeten weten over de actuele ontwikkelingen.
Data en AI
In steeds meer organisaties zijn data en persoonsgegevens een integraal onderdeel van de dagelijkse werkprocessen. De inzet van connected devices, online platforms en artificial intelligence (AI) creëert nieuwe mogelijkheden voor efficiency en innovatie. Maar met de verwerking van data ontstaan ook risico’s voor privacy. Hoe zorgen we voor dataprotectie en compliance bij de ontwikkeling en toepassing van AI?
“Door de toenemende toepassing van algoritmes en machine learning komen allerlei privacyrechtelijke vraagstukken in beeld. Daarmee wordt het thema AI steeds belangrijker voor privacy professionals”, zegt Vonne Laan, advocaat en partner bij The Data Lawyers, een advocatenkantoor dat is gespecialiseerd in privacy- en IT-recht. Laan is auteur van de Boom Basics Privacyrecht, geeft les aan Nyenrode Business Universiteit en Hogeschool Windesheim. en is een van de docenten van de actualiteitenreeks Next step privacy compliance van Outvie. “Er is ook veel wet- en regelgeving in de maak, zoals de AI Act van de Europese Commissie. Het is daarom belangrijk voor professionals om te weten wat AI precies inhoudt, welke issues erbij spelen en welke aandachtspunten er zijn.”
Drie grote issues van AI
Laan onderscheidt drie grote vraagstukken die van invloed zijn op de werkpraktijk van professionals die zich bezighouden met dataprotectie en privacy. Het meest besproken issue heeft te maken met bias. “De toepassing van algoritmes om de selectie van sollicitanten (deels) te automatiseren, kan discriminerende effecten hebben. Ook al lijkt er aan de voorkant – bij de ontwikkeling van het algoritme – geen sprake te zijn van vooroordelen,” geeft Laan als voorbeeld.
Een bekende case is het algoritme dat Amazon gebruikte om nieuwe technische medewerkers te selecteren. De recruitment tool bleek mannen te bevoordelen. Hhet algoritme werd namelijk getraind op basis van CV’s die in het verleden waren ingestuurd – en dat waren vooral mannen. “Het is daarom altijd belangrijk om achter de schermen van de ontwikkeling van algoritmes te kijken, en te toetsen wat de mogelijke – ongewenste – effecten zijn van de uitgangspunten en afwegingen van het systeem. Voor privacy professionals betekent dat bijvoorbeeld dat er vanuit de beginselen voor de rechtmatige verwerking van persoonsgegevens een basistoets plaatsvindt.”
Transparantie en AVG
Een tweede belangrijk aandachtspunt bij AI is volgens Laan transparantie. “Transparantie heeft enerzijds een privacyrechtelijke component. Een zelflerend systeem is soms een black box, waardoor het ingewikkeld is om te achterhalen hoe het werkt. Maar als je de werking niet kunt uitleggen, dan wordt het ook lastig om na te gaan of er aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG) wordt voldaan. Hoe kan je dan in control zijn?” Anderzijds vereist transparantie vanuit de concept AI Act dat de gebruikers op de hoogte zijn van de werking van een AI-toepassing. Wat kan je ervan verwachten, wat kan je ermee, wat zijn de mogelijkheden en beperkingen, en wat is er nodig voor een verantwoorde inzet?
Tot slot wijst Laan op vraagstukken rond dataminimalisatie. “De AVG gaat ervan uit dat er niet meer persoonsgegevens mogen worden verwerkt dan noodzakelijk is voor de doeleinden van de verwerking. Data redundancy is echter juist vaak inherent aan AI. Dan moet steeds worden beoordeeld hoe het gebruik van grote hoeveelheden data zich verhoudt tot de principes voor dataminimalisatie en bewaartermijnen van de AVG.”
AI, algoritmes en wet- en regelgeving
Laan verzorgt in de actualiteitenreeks Next step privacy compliance de module over privacyrechtelijke aspecten van AI en algoritmes. Aan bod komen onder meer de actuele ontwikkelingen in de wet- en regelgeving rond AI. “Vanuit de Europese Commissie ligt er een omvattend plan om een pionier en rolmodel te worden op het gebied van data. Vanuit de Europese datastrategie zijn verschillende voorstellen voor nieuwe wetgeving ontstaan: van de Data Act, Data Governance Act, de Digital Markets Act en Digital Services Act tot de AI Act. Het is belangrijk om te weten welke verordeningen en richtlijnen er op stapel staan, en welke richting de voorstellen opgaan.”
Wat zegt de bestaande wet- en regelgeving over AI en algoritmes? Als er persoonsgegevens worden verwerkt bij de ontwikkeling of toepassing van AI, dan zijn de AVG en UAVG van toepassing. Een belangrijk beginsel daarbij is het verbod op geautomatiseerde besluitvorming uit de AVG. Laan: “Als een organisatie met behulp van AI geautomatiseerde besluiten wil nemen, bijvoorbeeld voor het screenen van kredietaanvragen of sollicitanten, dan is dat in veel gevallen niet toegestaan. De AVG noemt drie uitzonderingen, waaronder uitdrukkelijke toestemming van de betrokkene. Maar dan gelden er nog altijd aanvullende vereisten, zoals transparantie over de onderliggende logica van het systeem en over de noodzaak en gevolgen van de verwerking van de persoonsgegevens.” De algemene regels van de AVG, zoals over bewaartermijnen en beveiliging, blijven daarbij ook van toepassing.
Actuele stand van zaken van de AI Act
Over de regels van de Europese AI Act, waarvan het eerste voorstel in april 2021 is gepubliceerd, is nog veel onduidelijk. Zo is de definitie van AI in de verordening nog in ontwikkeling. “Het staat vast dat de verordening gaat over AI in brede zin, en dus niet alleen over de verantwoorde verwerking van persoonsgegevens”, zegt Laan over de actuele stand van zaken. “Ook is al duidelijk dat de aanpak uitgaat van een risk based approach. De AI Act onderscheidt vier categorieën van risicovolle toepassingen.
Bij een onacceptabel groot risico, zoals realtime biometrische identificatie op afstand, is AI in principe niet toegestaan. Als er grote risico’s zijn, dan is AI onder omstandigheden toelaatbaar en gelden er speciale vereisten. Als uit de risico-analyse beperkte risico’s naar voren komen dan bevat de AI Act een aantal aanvullende regels.” Alleen bij systemen met minimal risk zijn er geen extra verplichtingen ten opzichte van de geldende wet- en regelgeving.
De Europese Commissie heeft de ambitie om met de AI Act wereldwijd toonaangevend te worden in de manier waarop AI-systemen worden getoetst, net zoals de EU met de AVG trendsettend in dataprotectie is geweest. “Het is de vraag of de EU nu snel genoeg acteert om een koploperpositie in AI-regulering te veroveren. Er zijn inmiddels al een aantal landen met wetgeving, en er zijn er nog meer met vergevorderde plannen. En het Europese wetgevingsproces verloopt niet zo vlot. Het Europees Parlement moet het wetsvoorstel nog goedkeuren, en omdat er veel raakvlakken zijn met andere wet- en regelgeving is er een groot aantal commissies bij betrokken.” Als het wetsvoorstel eenmaal is goedgekeurd, volgt er eerst nog een transitieperiode van twee jaar.
Waarborgen voor een verantwoorde toepassing van AI
De komst van de AI Act laat nog wel even op zich wachten, maar toch is er al werk aan de winkel voor privacy professionals, benadrukt Laan. Zo heeft de Britse Information Commissioner’s Office al een toolbox ontwikkeld die organisaties ondersteunt om de privacyrisico’s van AI-systemen te adresseren. “Het is voor je adviesrol essentieel om basiskennis op te doen over de ontwikkelingen rond AI en algoritmes, zodat je tijdig kunt meedenken met de business. Welke diensten – zoals chatbots, recruitmentsystemen en andere slimme tools – maken er gebruik van AI? Welke blinde vlekken zijn er? Als je de juiste vragen stelt, dan kan je echt bijdragen aan waarborgen voor een verantwoorde toepassing van AI.”
De actualiteitenreeks Next step privacy compliance van Outvie is speciaal ontwikkeld voor professionals die te maken hebben met de verwerking en/of analyse van gegevens in een organisatie, zoals privacy officers, Functionarissen Gegevensbescherming, compliance officers, informatiemanagers en bedrijfsjuristen. In zes keuzemodules leert u alles over de actuele vraagstukken en oplossingen die onvermijdelijk impact hebben op organisaties van vandaag en morgen. Kijk voor alle details over het programma en de startdata op de website van Outvie.
Bedrijfskunde voor privacy professionals
Versterk uw rol als privacy leider, een goede basis aan organisatiekennis gaat u hierbij...
Auditing Privacy
De training Auditing Privacy leert u hoe u de accountability van een organisatie onder...
Download de brochure
Share
