AI en privacy: als je nu geen early adopter bent, dan ben je straks een dinosaurus
Cassandra Moons | TomTom
De inzet van Artificial Intelligence (AI) is onlosmakelijk verbonden met de verwerking van persoonsgegevens. Hoe zorg je dat je voldoet aan de wet- en regelgeving voor privacy én AI? Cassandra Moons, Head of Compliance en Data Protection Officer bij TomTom, deelt haar inzichten en ervaringen.
Er zijn zó veel wederzijdse afhankelijkheden tussen de verwerking van persoonsgegevens en de inzet van Artificial Intelligence (AI). De grootste uitdaging is nu om een goede verbinding te leggen tussen privacy governance en de vereisten van de AI-verordening”, zegt Cassandra Moons, Head of Compliance en Data Protection Officer (DPO) bij TomTom en een van de docenten van de training Certified AI Governance & Compliance Officer.
“Je wilt de regels en richtlijnen voor AI naadloos integreren in de bestaande governance”, licht Moons toe. “Zo voorkom je dat er een afzonderlijk programma voor AI wordt ontwikkeld, waardoor je dingen dubbel doet. Of waardoor je collega’s onnodig belast met assessments, rapportages en andere verplichtingen.”
Moons geeft het voorbeeld van leveranciersmanagement. “Vanuit het perspectief van privacy en security is er al een verplichting om te toetsen of suppliers voldoen aan de vereisten van de wet- en regelgeving, zoals de Algemene verordening persoonsgegevens (AVG). Ook in de AI-verordening is value chain compliance een belangrijk uitgangspunt. Als gebruiker van AI-systemen check je dan de werkwijze van ontwikkelaars en aanbieders. Zo’n controle verdient een vaste plek in het proces voor vendor risk assessment van je organisatie.”
Ook bij impact assessments liggen er mogelijkheden voor integratie. “Vanuit de AVG ben je verplicht om data protection impact assessments (DPIA’s) uit te voeren voor verwerkingen met een hoog privacyrisico. De AI-verordening introduceert AI Impact Assessments. Met een doordachte aanpak zorg je voor een helder en efficiënt proces. Wanneer ga je wat toetsen, zonder dat je collega’s overvraagt?”
Van dataprotectie naar data compliance
Moons houdt zich al jarenlang bezig met privacy en compliance, en ze werkte bij onder meer ING en Coolblue. Ze startte bij TomTom in 2018 als privacy jurist en DPO. Sinds 2022 combineert ze de DPO-rol met de functie van Head of Compliance. Het complianceteam houdt zich bezig met privacy, AI, product compliance en corporate compliance.
“De AVG is een van de eerste belangrijke wetten op het gebied van digitale ontwikkelingen. Maar de laatste jaren is er steeds meer regulering ontstaan rond data en technologie. Denk aan de Data Act en de AI-verordening. Het is het meest logisch dat de implementatie daarvan nu op het bord van privacy professionals terecht komt”, zegt Moons over de nauwe verbanden tussen dataprotectie en compliance.
Als DPO werk je het meest effectief als je je scope verbreedt naar data compliance, aldus Moons. “Je bent al gewend om voor de privacy governance verschillende stakeholders te betrekken. Met AI komen er nóg meer stakeholders bij, en gaat het om veel meer dan een juridisch perspectief. Je hebt een actieve rol nodig van een scala aan collega’s, zoals specialisten in productontwikkeling, engineering en risicomanagement. De AI-verordening gaat ervan uit dat er al een basis ligt. Bijvoorbeeld wat betreft dataprotectie, data management, quality control en risk management. De wet voegt er enkele AI-specifieke elementen aan toe. De blik en het kader van compliance helpen om alles te stroomlijnen en efficiënt te maken.”
Voorbereiden op onzekere scenario’s
De vele onzekerheden rond de regulering van AI stellen professionals die zich bezighouden met de implementatie van de AI-verordening voor een grote opgave. De AI-verordening treedt gefaseerd in werking. Bijvoorbeeld: vanaf augustus 2025 gelden de vereisten voor de aanbieders van AI-modellen voor algemene doeleinden, zoals de bedrijven achter CoPilot, Llama en ChatGPT. In augustus 2026 volgen er onder andere verplichtingen voor AI met een hoog risico.
Er is veel discussie over de fasering van de AI-verordening, ziet Moons. “De Europese Commissie heeft toegezegd dat er goede guidance komt. Bijvoorbeeld een code of practice voor ontwikkelaars zoals OpenAI en Microsoft. Maar de standaards zijn vlak voor de implementatiedeadline gepubliceerd. Je weet daardoor onvoldoende waar je aan toe bent. Terwijl de toezichthouders wel kunnen controleren of je voldoet aan de regels.”
De onzekere situatie roept de vraag op: wat kan je nu doen om je voor te bereiden op de toekomstige verplichtingen? Wat is zinvol en wat niet? Moons: “Zorg in ieder geval dat je weet op welke manier AI wordt gebruikt in je organisatie. Bepaal of er sprake is van systemen met een hoog risico. Let ook op de toepassing en inkoop van AI-modellen. Dan kan je vervolgens mogelijke scenario’s doordenken. Wat gebeurt er in je organisatie als de aanbieder van een AI-oplossing niet voldoet aan de vereisten en de toezichthouder een sanctie oplegt? Op welke manier kan je AI-vragen toevoegen aan risicobeoordelingen van je leveranciers?”
Innovatie versus checks & controls
De driedaagse training Certified AI Governance & Compliance Officer is speciaal ontwikkeld voor privacy officers, Functionarissen voor de Gegevensbescherming (FG’s), compliance officers, juristen, IT-auditors en security managers die het verschil willen maken voor de verantwoorde en veilige inzet van AI in de organisatie. Naast Cassandra Moons delen ook experts van onder andere Randstad, Morrison Foerster en DLA Piper de actuele inzichten en de best practices. Daarbij is aandacht voor de juridische, ethische én technische aspecten van het risicomanagement rond AI.
“AI is als een sneeuwbal die van een helling afrolt. De ontwikkelingen gaan razendsnel en zijn niet te stoppen. Innovatie en checks & controls gaan dan hand in hand”, aldus Moons. “Je kunt innovatie niet een half jaar on hold zetten om na te denken over governance en compliance. Het is ook niet werkbaar om het gebruik van AI-tools te verbieden. Je kunt beter meedenken met collega’s over de risico’s en de mogelijke oplossingen. En zorgen dat er betrouwbare tools beschikbaar zijn, waaruit mensen zelf een keuze maken.”
Early adopter of dinosaurus
Omarm het nieuwe, adviseert Moont. “Als privacy professional moet je openstaan voor AI-ontwikkelingen. Dat betekent bijvoorbeeld: geef je organisatie de ruimte om met AI te experimenteren. Natuurlijk mét duidelijke controls. De komst van de AI-verordening is ook een kans om dataprotectie verder te brengen. De implementatie is een goed moment om het privacyteam stevig op de kaart te zetten en extra resources aan te vragen.”
De vele open normen maken de implementatie van de AI-verordening een complexe opgave, benadrukt Moons. “Het kost tijd om de nuances van de wetgeving in de vingers te krijgen en om de uitgangspunten te laten landen in de organisatie. Het helpt dan om de implementatie te zien als onderdeel van een complianceprogramma, dat je moet kunnen monitoren, controleren en vernieuwen. Er komt veel trial & error bij kijken. Het hoeft ook niet vanaf het eerste begin al helemaal perfect te zijn. Het belangrijkste is dat je tijdig aan de slag gaat. Want AI is er nu al en gaat niet meer weg. Binnenkort is het gebruik van AI-tools net zo normaal als internet. Als je nu geen early adopter bent, dan ben je straks een dinosaurus.”
Wilt u zich ontwikkelen tot expert op het gebied van AI governance en compliance? De Outvie-training Certified AI Governance & Compliance Officer geeft u alle relevante inzichten en skills. De certificering zorgt voor een extra erkenning van uw expertise en positie.
Certified AI Governance & Compliance Officer® opleiding
Positioneer u als expert in praktische AI governance, monitoring en compliance. Volg de 3-daagse...
Dataprotectie & Privacy
Tijdens de 14e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Share
