Van AI governance tot privacy compliance

Het gebruik van systemen met algoritmes en Artificial Intelligence (AI) creëert mogelijkheden én risico’s. Kimberly Friesen, advocaat bij The Data Lawyers en docent van de Actualiteitenreeks Next Step Privacy Compliance, vertelt over de opgaven, taken en verantwoordelijkheden van privacy professionals voor AI governance, beleid en compliance.

“Organisaties willen gebruik maken van de mogelijkheden van Artificial Intelligence (AI), en daarbij de risico’s beperken. Er wordt dan al snel gekeken naar de privacy officer en de Functionaris Gegevensbescherming (FG) om de risico’s te verkennen en te adresseren. Dat is logisch, omdat privacy professionals veel expertise en ervaring hebben op het vlak van risico-assessments. Maar de opgave bij AI is om een compleet beeld te krijgen van alle risico’s, waaronder de privacyrisico’s”, zegt Kimberly Friesen, advocaat bij adviesbureau The Data Lawyers. Friesen is gespecialiseerd in privacy-, IT- en AI-recht, en doceert de module over AI in de Actualiteitenreeks Next Step Privacy Compliance van Outvie.

“Dataprotectie is een belangrijk thema in de verantwoorde toepassing van AI. Maar er is ook aandacht nodig voor andere rechten, zoals het discriminatieverbod en intellectueel eigendom”, licht Friesen toe. In de rapportage over de risico’s van AI en algoritmes noemt de Autoriteit Persoonsgegevens (AP) ook risico’s rond desinformatie, manipulatie en beveiliging. “Privacy professionals staan voor de uitdaging om zicht te krijgen op de verschillende risico’s: van alle aspecten van de gegevensverwerkingen tot aan juridische en ethische risico’s. Pas als de risico’s goed in beeld zijn, kan je bepalen welke maatregelen passend zijn om de specifieke risico’s van de organisatie te mitigeren.”

AI-team als eerste stap naar compliance

Voor privacy compliance in de context van AI is veel expertise vereist, benadrukt Friesen. “Naast juridische, organisatorische en technische kennis over AI, is ook sectorspecifieke informatie nodig. Dat betekent niet dat de privacy professional een alomvattende AI-expert moet worden. De eerste stap richting governance, beleid en compliance is om een AI-team samen te stellen dat de risico’s analyseert en een visie ontwikkelt op de verantwoorde toepassing van AI en algoritmes. Het AI-team adviseert vervolgens ook over het governancemodel en het beleid.”

De ervaringen leren dat succesvolle AI-teams multidisciplinair én compact zijn. “Er zijn verschillende expertises in geborgd, zoals juridische zaken, IT en compliance. Daarnaast is het belangrijk om vertegenwoordigers te vinden van de teams in de organisatie die veel met AI werken. Maar maak het team niet al te groot, want het moet wendbaar genoeg zijn om beslissingen te nemen, of besluiten af te dwingen.”

Privacy assessments

Bij AI-systemen is in veel gevallen sprake van een risicovolle verwerking van persoonsgegevens, waarvoor een Data Protection Impact Assessment (DPIA) verplicht is. De bestaande methodieken daarvoor zijn volgens Friesen goed bruikbaar in de context van AI en algoritmes. “De privacyrisico’s van AI-systemen zijn ingewikkeld als het gaat om bijvoorbeeld transparantie en uitlegbaarheid. Denk aan generatieve AI: welke data worden er precies verwerkt en wat is de impact van de verwerking op de betrokken partijen en individuen? Transparantie en uitlegbaarheid zijn essentieel om als organisatie de goede keuzes te maken over risicobeheersing.”

Friesen adviseert privacy professionals om een DPIA te combineren met andere risico-assessments. Bijvoorbeeld de methodieken die worden gebruikt door de ethische commissie en IT-afdeling. De AP verwijst ook naar de Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA), een DPIA-format voor algoritmes die speciaal is ontwikkeld voor overheden en publieke organisaties.

De komst van algoritmeregisters roept de vraag op of organisaties er goed aan doen om naast de FG ook een Functionaris Algoritmes aan te stellen. De verplichting daartoe is er nog niet, maar de functie kan van toegevoegde waarde zijn voor compliance. “Een Functionaris Algoritmes zou het overzicht kunnen maken van AI-systemen die in de organisatie worden gebruikt, en het initiatief nemen tot de inrichting van een AI-team. Net als het geval is bij de FG, heeft zo’n interne toezichthouder wel een stevig mandaat van de top van de organisatie nodig om effectief te opereren.”

Actualiteiten in AI

De ontwikkelingen rond data, technologie en privacy gaan razendsnel. In de Actualiteitenreeks Next Step Privacy Compliance delen zes experts de actuele inzichten om als privacy professional klaar te zijn voor de toekomst. In de module over AI governance, compliance en beleid geeft Friesen onder andere een overzicht van de relevante governancemodellen en de kernelementen van AI-beleid.

Zorg dat je als privacy professional beschikt over de juiste basiskennis over AI, benadrukt Friesen. “Je hoeft echt niet alles zelf te weten. Maar je moet de juiste vragen kunnen stellen aan alle collega’s die zijn betrokken bij AI-toepassingen, en de antwoorden kunnen beoordelen.” Het AI Risk Management Framework van het National Institute of Standards and Technology (NIST) geeft veel handvatten om intern de juiste vraagstukken te agenderen.

“Het is essentieel dat privacy professionals weten welke stappen er nodig zijn om de visie op de inzet van AI in de organisatie om te zetten in een praktisch AI-beleid”, voegt Friesen toe. “Dat proces start met een volledig beeld van de risico’s van AI, en de samenstelling van een AI-team. Ga dan vooral niet het wiel opnieuw uitvinden; gebruik de frameworks die er al zijn. En zorg dat je als privacyteam een actieve rol speelt in de ontwikkeling, implementatie en uitvoering van het beleid. Je bent er niet per definitie voor verantwoordelijk, maar je wilt er – als expert in dataprotectie, risico-assessments en compliance – natuurlijk zeker bij worden betrokken.”

In de Actualiteitenreeks Next Step Privacy Compliance staan de actuele vraagstukken centraal die direct van invloed zijn op de privacy compliance van uw organisatie. Bijvoorbeeld als het gaat om AI, algoritmes, datagedreven werken, anonimiseren en privacy metrics. Bekijk het volledige programma op de website van Outvie.