De AI-verordening (AI Act) en de AVG: wat staat privacy professionals te doen?
Dennis van der Staak, Legal Manager | Considerati
Rond de inzet van algoritmes en Artificial Intelligence (AI) spelen complexe juridische vraagstukken. Bijvoorbeeld over de vereisten van de AI-verordening en de Algemene verordening gegevensbescherming (AVG). Dennis van der Staak, legal manager bij Considerati en docent van de Actualiteitenreeks Next Step Privacy Compliance, deelt zijn inzichten over de belangrijkste uitdagingen voor privacy professionals.
De komst van de AI-verordening betekent dat organisaties te maken krijgen met nieuwe regels en verplichtingen rond het gebruik van algoritmes en systemen met Artificial Intelligence. Het doel van de wet is dat AI-systemen die organisaties in de Europese Unie (EU) gebruiken, veilig zijn en fundamentele rechten respecteren. De regels gelden ook voor AI-systemen die buiten de EU zijn ontwikkeld.
Een belangrijk actueel aandachtspunt voor privacy professionals is de overlap tussen de AI-verordening en de Algemene verordening gegevensbescherming (AVG). “De AVG is techniekneutraal, dus als een organisatie via AI-systemen persoonsgegevens verwerkt dan zijn de AVG en de AI-verordening allebei van toepassing. We kunnen daarbij veel leren van de ervaringen met de implementatie van de AVG, bijvoorbeeld als het gaat om transparantie en risico-assessments”, vertelt Dennis van der Staak, legal manager privacy & responsible AI bij Considerati en een van de docenten van de Actualiteitenreeks Next Step Privacy Compliance.
Van der Staak studeerde rechten en economie aan de Erasmus Universiteit Rotterdam, en werkte daarna onder meer als privacy officer en juridisch adviseur. Bij adviesbureau Considerati richt hij zich onder andere op de implementatie van de AI-verordening in organisaties. De integratie van de vereisten van de AI-verordening in de (privacy)governance van de organisatie is daarbij een belangrijke pijler. “De AI-verordening is sinds augustus 2024 van kracht, maar de verplichtingen worden vanaf 1 februari 2025 gelaagd van toepassing. Het is fijn dat er een implementatieperiode is. Dat betekent dat een organisatie nu kan focussen op de eerste verplichtingen, en van daaruit de volgende stappen zet.”
De uitdagingen van de AI-verordening
De eerste verplichtingen die van kracht worden onder de AI-verordening over zogenoemde verboden AI-systemen (toepassingen waarvan de Europese Unie heeft vastgesteld dat ze niet passen bij de Europese normen en waarden, zoals predictive policing en social scoring) en AI literacy. “Organisaties staan nu voor de opgave om te inventariseren welke AI-toepassingen er allemaal worden gebruikt, en of daar systemen bij zijn die straks onder het regime van de AI-verordening verboden worden. Daarnaast moeten organisaties ervoor zorgen dat medewerkers voldoende kennis hebben over het gebruik van AI en de mogelijke impact ervan op (groepen) mensen.”
“De AI-verordening kent veel meer technische bepalingen dan de AVG”, zegt Van der Staak over een van de uitdagingen waarmee privacy professionals te maken krijgen. “De AI-verordening stelt in essentie de productveiligheid centraal, terwijl de AVG zich richt op de bescherming van fundamentele rechten van burgers. Ook het toezicht is anders geregeld. Het toezicht op de naleving van de AVG is primair nationaal belegd, namelijk bij de Autoriteit Persoonsgegevens (AP). Bij de AI-verordening zijn verschillende sectorale markttoezichthouders betrokken.”
Stroomlijning van AI-verordening en AVG
Van der Staak ziet mogelijkheden om de processen van de AI-verordening en de AVG op elkaar af te stemmen. “De AI-verordening is vrij technisch, dus er zijn aspecten die niet direct raken aan het primaire expertisegebied van privacy professionals. Denk aan de conformity assessments die een ontwikkelaar van een AI-systeem moet uitvoeren. Maar als het gaat om thema’s zoals de rechtmatigheid van een gegevensverwerking, risico-assessments en verwerkingsregisters dan is er veel te leren van de processen die organisaties sinds de komst van de AVG hebben ingericht. Je kunt bijvoorbeeld het verwerkingsregister zodanig door ontwikkelen dat je beter zicht hebt op het gebruik van algoritmes en AI. Hierdoor voldoe je gemakkelijker aan de registerplichten uit de AI-verordening.”
De AI-verordening verplicht organisaties in de publieke sector om een Fundamental Rights Impact Assessment (FRIA) uit te voeren als zij een AI-systeem met een hoog risico gaan gebruiken. “Daarbij kan je voortbouwen op de ervaringen met de Data Protection Impact Assessments (DPIA’s) die de AVG voorschrijft. De instrumenten brengen de mogelijke impact van een voorgenomen verwerking in kaart, elk vanuit een eigen insteek. Een doordachte inzet voorkomt dubbel werk.”
Kruisbestuivingen tussen AI-verordening en AVG
Voor privacy professionals is het belangrijk om tijdig te zijn aangehaakt op de implementatie van de AI-verordening in de organisatie, benadrukt Van der Staak. “Het uitgangspunt van privacy by design betekent dat je zicht houdt op de gehele levenscyclus van persoonsgegevens. Daarom moet je vroegtijdig op de hoogte zijn van initiatieven rond AI-systemen die persoonsgegevens verwerken. Je wilt niet pas worden betrokken als een systeem al volledig is getraind en ingericht.”
Daarnaast zijn privacy professionals volgens Van der Staak in staat om verbindingen te leggen tussen de voorschriften van AVG en de vereisten van de AI-verordening. “Er zijn bijvoorbeeld kruisbestuivingen mogelijk door verschillende werkwijzen op elkaar af te stemmen. De kernvraag is steeds: hoe kunnen we processen en procedures rond dataprotectie aanscherpen of optimaliseren, zodat daarmee ook de verantwoorde inzet van algoritmen en AI is gewaarborgd?”
Voor een succesvolle FRIA is de nauwe samenwerking tussen een grote en diverse groep professionals nodig, vertelt Van der Staak. “Soms zijn er zelfs expertises nodig die de organisatie – nog – niet in huis heeft, zoals ethici. De ervaringen met onder meer het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) laten zien dat een multidisciplinaire aanpak echt van toegevoegde waarde is. Dat geeft inspiratie om ook bij een DPIA experts met verschillende achtergronden te betrekken.”
Drie tips voor de praktijk
“Het is belangrijk om goed te doorgronden waar de AI-verordening over gaat, zodat je je eigen positie kunt bepalen,” geeft Van der Staak als advies aan privacy professionals. “Ga je compliance actief op de agenda zetten? Hoe werk je mee aan praktische zaken die moeten worden geregeld, zoals de aanpassing van aanbestedingsdocumenten en contracten met leveranciers? Als privacy officer of functionaris gegevensbescherming (FG) wil je ook expliciet maken welke aspecten van de AI-verordening onder jouw expertise en takenpakket vallen – en welke niet. Zo maak je helder welke rol je vervult bij de implementatie van de nieuwe regelgeving.”
“Privacy wordt vaak gezien als een obstakel. AI-systemen hebben doorgaans veel data nodig, terwijl de AVG uitgaat van dataminimalisatie”, vult Van der Staak aan. “De uitdaging is om privacy steeds positief te positioneren in de organisatie. Bijvoorbeeld door te laten zien dat privacy-experts kunnen helpen om AI-systemen effectief en verantwoord te gebruiken, onder andere vanuit de governance die al voor dataprotectie is opgebouwd.”
Van de Staak adviseert privacy professionals ook om zo veel mogelijk interdisciplinair te werken. “Door vanuit verschillende invalshoeken naar gegevensverwerkingen te kijken, krijg je een completer beeld van risico’s. Samenwerken met experts op juridisch, ethisch, technisch en organisatorisch gebied creëert waardevolle inzichten in risico’s én mogelijke oplossingen.”
AI, privacy en mensenrechten
In de Actualiteitenreeks Next Step Privacy Compliance delen vijf experts de praktische inzichten over de verantwoorde omgang met data, AI en persoonsgegevens. De zes modules zijn speciaal ontwikkeld voor professionals die te maken hebben met de verwerking of analyse van (persoons)gegevens in een organisatie, zoals privacy officers, FG’s, compliance officers, bedrijfsjuristen, beleidsmedewerkers en advocaten. In de module over AI en de AVG biedt Van der Staak onder andere praktische handvatten om vanuit de invalshoek van privacy een waardevolle bijdrage te leveren aan de ontwikkeling en het gebruik van AI.
“De AI-verordening bevat verschillende bepalingen en richt zich met name op AI-systemen met een hoog risico voor publieke waarden en fundamentele rechten. Er zijn natuurlijk ook AI-toepassingen die buiten de reikwijdte van de verordening vallen, maar die toch een impact hebben op de mensen die ermee te maken krijgen. Privacy is daarbij een van de rechten die op het spel staan. Vanuit het perspectief van privacy is dan ook veel te leren over de verantwoorde inzet van AI.”
In de Actualiteitenreeks Next Step Privacy Compliance staan de actuele vraagstukken centraal die essentieel zijn voor het verantwoorde gebruik van persoonsgegevens. Bekijk het volledige programma van de zes modules op de website van Outvie.
Nationaal Congres AI Governance & Compliance
Het Nationaal Congres AI Governance & Compliance op 8 april 2025. Veilig innoveren met...
Editie 2025: Next Step Privacy Compliance
Ken de actuele issues en laatste wetgeving rond recht op inzage, cookies, werken met...
Download de brochure
Share
