De Informatiebeveiligingsdienst (IBD) heeft een Handreiking AI en Algoritmen voor gemeenten gepubliceerd (1). Deze handleiding biedt de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO) in gemeenten een overzicht van kunstmatige intelligentie (AI) en algoritmes. Hierin worden de toepassingen, potentiële risico’s, te nemen maatregelen en overwegingen voor gemeenten ten aanzien van het verantwoord gebruik van deze technologieën uiteengezet.
Gemeenten maken in toenemende mate gebruik van AI en algoritmen om hun dienstverlening te verbeteren, besluitvormingsprocessen te optimaliseren en maatschappelijke uitdagingen aan te pakken. Binnen gemeenten kunnen AI en algoritmen worden toegepast om efficiënter en effectiever te werken, en tegelijkertijd betere diensten te leveren aan inwoners. Toepassing van AI en algoritmen kan bijvoorbeeld bijdragen aan de interactie met inwoners, helpen met het analyseren van gegevens, voorspellingen doen over toekomstige gebeurtenissen en hierdoor preventieve maatregelen te treffen. Daarnaast kunnen ze bijdragen aan duurzaamheid en energiebeheer, ingezet worden om verdachte patronen te identificeren en om verkeerstromen beter te beheren.
Het gebruik van AI en algoritmen brengt risico’s met zich mee. Om deze risico’s te beheersen is het belangrijk dat gemeenten proactief handelen en passende maatregelen nemen. Denk hierbij aan de volgende risico’s en bijbehorende maatregelen:
Schending van privacy en gegevensbescherming door onjuiste verzameling, opslag, of gebruik van persoonlijke informatie kan leiden tot reputatieschade en mogelijke juridische consequenties. Bijbehorende maatregel is het zorgvuldig omgaan met persoonlijke gegevens, ervoor zorgen dat AI-systemen voldoen aan de geldende privacywetgeving, anonimiseren en het beveiligen van gegevens.
Het overmatig vertrouwen op AI kan leiden tot verminderde menselijke betrokkenheid en verantwoordelijkheid. Dit kan leiden tot minder toezicht op de ethische en morele aspecten. Een passende maatregel is het betrekken van burgers, experts en belanghebbenden bij het ontwerpen en implementeren van AI-systemen om betrokkenheid te waarborgen.
Onbedoelde discriminatie door vooringenomenheid in de gegevensset kan leiden tot ongelijke behandeling van burgers. Duidelijk praktijkvoorbeeld is de Belastingdienst, waar wij eerder een artikel (2) over schreven. Om dit tegen te gaan, is het nodig om te testen en monitoren of de gebruikte gegevens representatief en onbevooroordeeld zijn.
Moeilijk te begrijpen resultaten en gebrek aan transparantie kunnen het vertrouwen in AI-systemen verminderen. Het nemen van verantwoordelijkheid voor transparantie door de werking van AI-systemen te begrijpen en uit te leggen is een passende maatregel.
Kwetsbaarheid voor cyberaanvallen en misbruik kan leiden tot ongeautoriseerde toegang tot gevoelige informatie. Een passende maatregel is ervoor zorgen dat AI-systemen voldoen aan hoge beveiligingsnormen.
Het gebruik van AI mag niet ten koste gaan van menselijk contact en de relatie tussen de gemeente en haar inwoners. AI kan het werk makkelijker en sneller maken, maar het is ook belangrijk om maatregelen te nemen zodat het menselijk contact behouden blijft.
Belangrijke functies
De FG en de PO vervullen een belangrijke rol bij het waarborgen van privacy en gegevensbescherming binnen gemeenten bij het gebruik van AI. De FG houdt toezicht op de verwerking van persoonsgegevens. De PO waarborgt de bescherming van persoonsgegevens en privacy van individuen door gemeenten te ondersteunen bij het gebruik van AI-toepassingen in overeenstemming met de geldende privacywetgeving. De handreiking geeft meer uitleg over de specifieke invulling van deze functies. Naast de FG en PO is het belangrijk om een multidisciplinair team samen te stellen met vertegenwoordigers uit verschillende afdelingen en expertisegebieden. De handreiking benoemd verschillende rollen en functies binnen dit team.
Online druktemeter
In de handreiking worden twee voorbeelden besproken van AI-toepassingen binnen gemeenten. Eén van deze voorbeelden betreft het gebruik van een online druktemeter, waarmee bewoners en bezoekers real-time kunnen zien hoe druk het is in winkelcentra, parkeerplaatsen of stations. Dit onderwerp is bijzonder actueel, nu de rechtbank Overijssel recent de privacyboete heeft vernietigd in een vergelijkbare zaak bij de gemeente Enschede. Lees over deze uitspraak meer in dit artikel (3).
Bij een online druktemeter zijn er diverse privacyrisico’s:
Het verzamelen van locatiegegevens kan de privacy van individuen schaden door hun bewegingen te volgen, waardoor hun gedrag en gewoonten kunnen worden afgeleid.
Locatiegegevens kunnen gecombineerd worden met andere informatie om profielen van individuen op te bouwen, wat kan leiden tot ongewenste tracking en profilering.
Door het volgen van locatiegegevens kunnen gedragspatronen en voorkeuren van individuen worden geanalyseerd, wat hun privacy kan schenden.
Gemeenten kunnen deze risico’s beheersen door onderstaande maatregelen te nemen. Lees meer over punt 3 t/m 5 in dit artikel (4).
Overweeg eerst of het beoogde doel op een minder ingrijpende manier kan worden bereikt, mogelijk zonder het gebruik van persoonsgegevens.
Anonimiseer locatiegegevens en voeg ze samen voordat ze worden weergegeven, om individuele identificatie te bemoeilijken.
Verkrijg expliciete toestemming van betrokkenen voor de verzameling en verwerking van hun locatiegegevens, en zorg voor begrip over het gebruik van hun gegevens.
Vergroot het gevoel van controle door betrokkenen te allen tijde de mogelijkheid te bieden hun locatiegegevens te beheren of in te trekken.
Vermijd het verzamelen van extra persoonlijke informatie.
Implementeer robuuste beveiligingsmaatregelen om locatiegegevens te beschermen tegen ongeautoriseerde toegang.
Beperk de bewaarperiode van locatiegegevens en verwijder deze na verloop van tijd om onnodige blootstelling te minimaliseren. De gemeente Eindhoven werd ook met deze kwestie geconfronteerd, lees hier meer over in dit artikel (5).
(1) https://www.informatiebeveiligingsdienst.nl/product/handreiking-ai-en-algoritmen/
(2) https://www.nysingh.nl/blog/belastingdienst-krijgt-recordboete-ap-opgelegd/
(3) https://www.nysingh.nl/blog/rechtbank-vernietigt-privacyboete-e600-000-aan-gemeente-enschede/
(4) https://www.nysingh.nl/blog/gemeenten-onderzoeken-smart-city-toepassingen/
(5) https://www.nysingh.nl/blog/eindhoven-onder-extra-toezicht-om-privacyrisicos/