Kunstmatige intelligentie in goede banen met de AVG én de Europese AI-verordening
Bart Schermer, Hoogleraar Privacy & Cybercrime, Partner, Considerati
De Europese verordening voor artificiële intelligentie (AI) stelt straks strikte eisen aan de ontwikkeling en toepassing van systemen die gebruik maken van kunstmatige intelligentie. Bart Schermer van Considerati vertelt wat privacy professionals zeker moeten weten over de regulering.
Luchtvaartapparatuur, speelgoed, biometrische identificatiesystemen en deep fakes. Het zijn slechts enkele voorbeelden van de toepassing van artificiële intelligentie (AI). Ook werkgevers, onderwijsinstellingen en publieke organisaties maken steeds meer gebruik van systemen met kunstmatige intelligentie. Bijvoorbeeld om risico’s te beoordelen en om selecties te maken. De Europese Commissie heeft een voorstel gemaakt om de inzet van AI te reguleren, zodat vernieuwende toepassingen mogelijk worden én de grondrechten van burgers worden gewaarborgd.
“De AI-verordening gaat impact hebben op vrijwel elke organisatie: alle overheden en ondernemingen doen tegenwoordig wel iets met kunstmatige intelligentie, van simpele modellen tot complexe systemen met machine learning. Privacy professionals krijgen er dan ook onvermijdelijk mee te maken”, vertelt Bart Schermer, hoogleraar aan de Universiteit Leiden, partner van Considerati en een van de sprekers tijdens het Dataprotectie & Privacy Congres van Outvie. “Bij de ontwikkeling van modellen voor risicobeoordelingen worden zogenoemde trainingsdata gebruikt, en dat zijn vaak persoonsgegevens. Daarnaast zijn bij de toepassing van algoritmen, bijvoorbeeld om risico-inschattingen van klanten te maken, meestal ook persoonsgegevens gemoeid. Bovendien speekt in het geval van geautomatiseerde besluitvorming artikel 22 van de Algemene verordening persoonsgegevens (AVG) mee.”
De toekomstige AI Act stelt eisen aan het bouwen én gebruiken van AI-systemen. De concept-verordening onderscheidt verboden toepassingen, en systemen met een hoog en een laag risico voor mens en maatschappij. Schermer: “Vooral de hoogrisicosystemen worden ingezet in domeinen waar veel privacy professionals zich mee bezighouden, zoals HR, strafrechtspleging en sociale zekerheid. De AI-verordening stelt dan strenge eisen, bijvoorbeeld als het gaat om het voorkomen van discriminatie en om de documentatie over het technische design. Het gaat daarbij om vereisten die gelden in aanvulling op verplichtingen uit de AVG.”
Voorbij de AVG
Schermer is een toonaangevende expert op het gebied van privacyrecht, dataprotectie en opsporing. Hij promoveerde op onderzoek naar de privacyaspecten van het gebruik van kunstmatige intelligentie door politie en justitie. Hij werkte onder meer als docent internetrecht aan de Universiteit Leiden en als consultant bij ECP Platform voor de InformatieSamenleving. Sinds 2008 is hij werkzaam bij adviesbureau Considerati, en sinds 2021 is hij daarnaast hoogleraar privacy en cybercrime aan de Faculteit der Rechtsgeleerdheid van de Universiteit Leiden. In zijn keynote tijdens het Dataprotectie & Privacy Congres staan de stand van zaken en de mogelijke gevolgen van de Europese AI-verordening centraal.
Privacy professionals moeten de belangrijkste concepten en wettelijke vereisten van AI kennen, benadrukt Schermer. “Je hoeft niet zelf algoritmes te kunnen beschrijven of bouwen. Maar je moet wel de belangrijkste concepten uit data science, machine learning en de AI-verordening snappen. Hoe leren AI-systemen? Op welke manieren kunnen algoritmen leiden tot discriminatie? Waar moet je rekening mee houden bij de ontwikkeling van geautomatiseerde systemen voor risico-inschattingen? Daarvoor moet je veel meer weten dan de beginselen en eisen van de AVG.”
Samenhang tussen AI-verordening en AVG
Schermer vergelijkt de wet- en regelgeving over AI met de Europese productvoorschriften. “AI-systemen worden straks eigenlijk net zo gereguleerd als consumentenproducten die in de Europese Unie worden verkocht. Voor broodroosters, liften en kinderspeelgoed geldt al dat als je voldoet aan de wettelijke vereisten, je een CE-keurmerk mag voeren en je toegang krijgt tot de Europese markt. De AI-verordening beschrijft de regels voor producten met kunstmatige intelligentie.”
Een van de grote opgaven voor privacy professionals heeft te maken met de samenhang tussen de AI-verordening en de AVG. “Op één systeem kunnen straks de twee wettelijke kaders van toepassing zijn. Bij AI-systemen zal namelijk al snel sprake zijn van de verwerking van persoonsgegevens. Voor een verantwoorde toepassing zijn dan niet alleen de voorschriften van de AVG relevant, maar ook verplichtingen zoals het uitvoeren van risico-analyses en het waarborgen van de representativiteit van data.”
Ethisch geweten en sparring partner
Van privacy professionals wordt steeds meer verwacht dat zij het ethisch geweten van de organisatie zijn, signaleert Schermer. “Bij de ethische afwegingen over de verwerkingen van persoonsgegevens spelen nu ook vraagstukken rond AI. Als privacy professional ben je niet direct verantwoordelijk voor de verantwoorde ontwikkeling, productie en toepassing van AI-systemen. Maar je bent wel de sparring partner voor de collega’s die daarvoor de verantwoordelijkheid dragen, zoals de Chief Information Officer, Chief Data Officer en Chief Data Scientist. Daarvoor moet je in ieder geval op hoofdlijnen begrijpen hoe het ontwikkelproces van AI-systemen verloopt: van het definiëren van data tot het trainen van modellen en het bouwen van producten.”
“Het is lastig te voorspellen wanneer de verordening van kracht wordt: het Europese wetgevingsproces kan nog vier jaar duren, maar ook over een jaar zijn afgerond. Maar de aanpak en inhoud zijn op hoofdlijnen al duidelijk”, zegt Schermer. “De eventuele wijzigingen in de definitieve tekst zullen eerder accentverschuivingen zijn dan radicale veranderingen.” Het staat bijvoorbeeld vast dat het toezicht op nationaal niveau wordt geregeld. Er komt een European Artificial Intelligence Board, maar het toezicht wordt nationaal belegd. In Nederland wordt de Autoriteit Persoonsgegevens (AP) de toezichthouder.
Bereid je nu al voor op de toekomstige wet- en regelgeving, adviseert Schermer. “Net als bij de introductie van de AVG geldt ook bij de komst van de AI-verordening: als je te laat begint dan start je met een achterstand. Zoek als privacy professional daarvoor de samenwerking met verschillende deskundigen op. Om AI in goede banen te leiden, zijn alle disciplines nodig.”
Tijdens het Dataprotectie & Privacy Congres op 6 en 7 oktober in Amsterdam geven diverse experts van Considerati en vele andere specialisten antwoorden op al uw vragen over de verantwoorde inzet van nieuwe technologie, waaronder AI-systemen. Kijk voor meer informatie, het volledige programma en tickets op de website van Outvie.
Dataprotectie & Privacy
Tijdens de 12e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Certified Data Protection Officer®
Deze opleiding is speciaal voor de gevorderde Data Protection Officer ontwikkeld. Met de titel...
Download de brochure Dataprotectie & Privacy Congres
Share
