Het gebruik van kunstmatige intelligentie (“AI”) binnen organisaties is bijna niet meer weg te denken. Vooral machine learning is een veelgebruikte vorm van AI-technologie. Omdat machine learning AI-systemen in de regel persoonsgegevens gebruiken, is het naleven van privacy- en gegevensbeschermingswetgeving, zoals de Algemene verordening gegevensbescherming (“AVG”) van cruciaal belang. Hieronder volgt een beknopt overzicht van de 8 belangrijkste AVG-aandachtspunten voor elke organisatie die van plan is om AI-technologie in te zetten in haar bedrijfsvoering met gebruik van persoonsgegevens.
Organisaties kunnen verschillende rollen vervullen in relatie tot AI-systemen. Vanuit elke rol kunnen persoonsgegevens worden verwerkt. Uit de AVG volgen twee privacyrollen: de verwerkingsverantwoordelijke en de verwerker. De aandachtspunten genoemd in het whitepaper moeten door de verwerkingsverantwoordelijke worden nageleefd. Verwerkers moeten hierbij de instructies van de verwerkingsverantwoordelijke naleven. Om dit te borgen moet een verwerkersovereenkomst worden gesloten.
Om te voldoen aan de AVG moet elk AI-systeem waarbij persoonsgegevens worden verwerkt een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel hebben voor deze verwerking. Het ontwikkelen van een (machine learning) AI-systeem verloopt in twee fases: de leerfase en de operationele fase. Omdat beide stappen elk een eigen doel hebben, moet voor elk van deze doelen apart getoetst worden of deze voldoen aan de hiervoor genoemde vereisten. De doelen moeten al tijdens de ontwerpfase van het systeem worden vastgesteld, zodat kan worden beoordeeld of het systeem geschikt is voor de beoogde doeleinden én passend kan worden ingericht.
Net als elke andere gegevensverwerking, moet het gebruik van persoonsgegevens in AI-systemen gebaseerd zijn op een van de zes limitatieve, wettelijke grondslagen die de AVG biedt. Op basis hiervan kan bepaald worden óf persoonsgegevens mogen worden verwerkt en welke rechten betrokkenen hebben ten aanzien van de verwerking. Persoonsgegevens die onrechtmatig zijn verkregen mogen nooit worden gebruikt in AI-systemen. Bijzondere persoonsgegevens mogen alleen worden verwerkt als de verwerkingsverantwoordelijke zich hierbij op een wettelijke uitzonderingsgrond kan beroepen.
Organisaties dienen helderheid te verschaffen over het gebruik van persoonsgegevens in AI-systemen en ervoor te zorgen dat betrokkenen de verstrekte informatie begrijpen. Bij het gebruik van via derden verkregen datasets met persoonsgegevens is het (tijdig en individueel) informeren van de betrokkenen vaak een uitdaging.
Het verwerken (zoals verzamelen en gebruiken) van persoonsgegevens moet beperkt blijven tot wat nodig is voor het specifieke doel, ook in AI-systemen. Dit kan worden bereikt door het zorgvuldig selecteren en beheren van datasets en het minimaliseren van de hoeveelheid gegevens die worden gebruikt. Bekijk ook de 7 tips voor het naleven beginsel van minimale gegevensverwerking in de bijgevoegde whitepaper.
Persoonsgegevens mogen niet onbeperkt worden bewaard. De AVG vereist dat er een specifieke termijn wordt vastgesteld waarna gegevens moeten worden verwijderd of geanonimiseerd. Bij AI-systemen gebeurt het vaker dat gegevens langer moeten worden bewaard voor het trainen van datasets en het analyseren van de werking van het AI-systeem over een langere periode. Dit hoeft in principe geen belemmering te zijn, zolang beargumenteerd kan worden waarom deze langere bewaartermijn nodig is én enkel die gegevens uit de datasets worden bewaard die hiervoor nodig zijn.
Betrokkenen hebben verschillende rechten onder de AVG om controle te houden over hun persoonsgegevens. Als verwerkingsverantwoordelijke heb je de plicht te informeren over hoe deze rechten uit te oefenen. De rechten gelden ten opzichte van de persoonsgegevens die gebruikt worden gedurende de hele levenscyclus van het AI-systeem. De verwerkingsverantwoordelijke doet er dus goed aan om vanaf de ontwerpfase al passende mechanismen en regelingen te ontwikkelen om tijdig en adequaat te kunnen reageren op verzoeken van betrokkenen.
Betrokkenen hebben het recht om niet te worden onderworpen aan volledig geautomatiseerde besluiten, inclusief profilering, die juridische gevolgen hebben of hen anderszins aanmerkelijk treffen. Dit is anders, als de betrokkene hiervoor toestemming heeft gegeven of deze verwerking voortvloeit uit wet- en regelgeving of een overeenkomst met de betrokkene. Er gelden dan wel specifieke voorwaarden, bijvoorbeeld het recht van de betrokkene op menselijke tussenkomst en bezwaar te maken tegen het besluit.
De AI Act beschouwt AI-systemen als producten, waarbij vooraf productveiligheid wordt gecontroleerd. Hoewel dit indirect bescherming biedt tegen gebrekkige AI-systemen, hebben betrokkenen geen directe rol in de AI Act en kunnen zij hun rechten (zie aandachtspunt 7 in de whitepaper) niet rechtstreeks uitoefenen. In tegenstelling hiermee tot de AI Act, waarborgt de AVG het recht op gegevensbescherming voor betrokkenen, bij gebruik van hun gegevens in AI-systemen wél. Dit doordat zij verschillende rechten hebben om controle te houden over hun persoonsgegevens die in dit verband worden verwerkt. Reden te meer voor organisaties die AI-systemen inzetten met gebruik van persoonsgegevens om hierbij de regels uit de AVG na te leven.
Download het whitepaper hier: https://kvdl.com/uploads/documents/De-8-AVG-aandachtspunten-bij-gebruik-van-AI.pdf
