Menu

Filter op
content
PONT Data&Privacy

0

Franse privacy toezichthouder publiceert nuttige AI-richtsnoeren

De Franse privacy-toezichthouder, de “CNIL”, heeft AI-richtsnoeren gepubliceerd met praktische handvatten voor ontwikkelaars van AI-systemen die gebruik maken van persoonsgegevens. De richtsnoeren worden gepubliceerd terwijl in het Europees Parlement intensief gewerkt wordt om de neuzen voor de definitieve AI-Act nog in 2023 dezelfde kant op te krijgen.

27 oktober 2023

De CNIL heeft de wens uitgesproken om innovatieve partijen op het gebied van AI te ondersteunen en tegelijkertijd de bescherming van rechten van individuen te garanderen. Het is niet bij een wens gebleven. Het afgelopen jaar heeft het CNIL zich behoorlijk actief getoond. In januari 2023 werd een AI-afdeling binnen de CNIL opgezet. In mei 2023 publiceerde het CNIL een actie-plan met de volgende 4 speerpunten:

  1. Het begrijpen van de wijze waarop AI-systemen functioneren en hun impact op mensen;

  2. Het toestaan en begeleiden (bijv. dmv richtsnoeren) van de ontwikkeling van AI-systemen die privacy respecteren;

  3. Het verenigen van en samenwerken met de innovatieve actoren in het AI-ecosystem in Frankrijk en daarbuiten;

  4. Het controleren en auditen van AI-systemen en het beschermen van betrokkenen (1)

In het kader van het actieplan heeft de CNIL 3 bedrijven geselecteerd die intensief begeleid gaan worden op juridisch en technisch gebied teneinde volledig compliant te worden op het gebied van AI en privacy (2). Daarnaast is een uitnodiging uitgegaan voor een AI-sandbox (3). Met deze actieve en open houding steekt het CNIL haar nek uit maar geeft ze ook invulling aan de doelstelling die ze in haar logo voert: “Protéger les données personnelles, Accompagner l’innovation en Préserver les libertés individuelles”. Organisaties actief op het gebied van AI die met veel lastig te beantwoorden juridische vragen zitten zullen dit naar verwachting kunnen waarderen.

De richtsnoeren / ‘how-to sheets’

De CNIL komt met zeven “how-to-sheets” die worden voorgelegd ter openbare consultatie. Tot en met 16 november 2023 kan eenieder input leveren (4). De 7 how-to sheets hebben specifiek betrekking op de ontwikkeling van AI-systemen en zijn als volgt onderverdeeld:

Sheet 1: het vaststellen van de toepasselijke wetgeving

Benadrukt wordt dat de afweging ten behoeve van de ontwikkelings- en gebruiksfase anders kan zijn.

Sheet 2: Het definiëren van het doel of de doelen

Het creëren of gebruiken van een dataset met persoonsgegevens impliceert verwerking en vereist dus een doel.

Sheet 3: Het vaststellen van de privacy-rechtelijke rollen van de ontwikkelaars van AI-systemen

Is sprake van een verwerker, een verantwoordelijke of mogelijk gezamenlijke verantwoordelijkheid?

Sheet 4: verzekeren dat de verwerking rechtmatig is

Sheet 5: Het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien nodig

De CNIL legt uit waar een DPIA op het gebied van AI specifiek aandacht aan moet besteden.

Sheet 6 Het meewegen van gegevensbescherming bij het maken van systeemkeuzes (privacy by design)

Het CNIL stelt een aanpak voor op 5 niveaus:

Foto CNIL 1

Sheet 7 Aandacht voor gegevensbescherming bij dataverzameling en management

Het CNIL benadrukt het belang van het managen en monitoren van trainingsdata bij de ontwikkeling van een AI-systeem. Daarbij wordt onder andere specifiek ingegaan op het (in het geval van AI uitdagende) invulling geven aan dataminimalisatie als gebruik gemaakt wordt van de verzameling van publieke data door web-scraping. Genoemd wordt dat de verzameling beperkt moet worden tot vrij toegankelijke data, dat voorafgaand aan de verzameling duidelijke verzamelingscriteria dienen te worden vastgesteld en dat ervoor gezorgd moet worden dat irrelevante data onmiddellijk worden verwijderd.

Foto CNIL 2

In dit onderdeel wordt ook het belang van het documenteren van de data die gebruikt zijn voor de ontwikkeling van het AI-systeem benadrukt met het oog op traceerbaarheid. Deze documentatie moet het gebruik van de dataset kunnen faciliteren, inzicht bieden in de rechtmatige verzameling, het monitoren van de data mogelijk maken (totdat deze zijn gedeletet of geanonimiseerd), het risico op onverwacht gebruik verminderen, het uitoefenen van rechten door betrokkenen mogelijk maken en mogelijke verbeteringen identificeren. Voor dit doel heeft het CNIL een template gecreëerd (5).

Conclusie

De Franse toezichthouder biedt met deze richtsnoeren, hoewel ze zich nog in de consultatiefase bevinden, nuttige praktische handvatten voor ontwikkelaars van AI-tools waarmee (tijdens de ontwikkeling) persoonsgegevens verwerkt worden.

Bronnen

1. https://cnil.fr/en/artificial-intelligence-action-plan-cnil;

2. https://cnil.fr/en/enhanced-support-cnil-selects-3-digital-companies-strong-potential;

3. https://cnil.fr/en/sandbox-cnil-launches-call-projects-artificial-intelligence-public-services;

4. https://www.cnil.fr/en/artificial-intelligence-cnil-opens-consultation-creation-datasets-ai;

5.https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.cnil.fr%2Fsites%2Fcnil%2Ffiles%2F2023-10%2Fai_documentation_template.odt&wdOrigin=BROWSELINK

AKD

Artikel delen

Reacties

Laat een reactie achter

U moet ingelogd zijn om een reactie te plaatsen.