Steeds meer organisaties en bedrijven zetten kunstmatige intelligentie (AI) in. Dat is logisch, want AI maakt processen efficiënter, analyseert data en kan zelf zelfstandig beslissingen nemen. Maar waar AI-systemen ons veel gemak bieden, brengt het ook uitdagingen mee. Vooral op het gebied van gegevensbescherming en privacy.
In de Europese Unie beschermt de Algemene Verordening Gegevensbescherming (AVG) de rechten van betrokken met hun persoonsgegevens. Dit betekent dat bedrijven die AI-systemen inzetten, dit op een privacyvriendelijke en wettelijk verantwoorde manier moeten doen. Maar hoe pas je AI toe zonder in conflict te komen met de AVG? Dat leggen we uit in deze gids.
Wat is de AVG en hoe beïnvloedt deze AI?
Laten we bij het begin beginnen: wat is de AVG precies? De algemene verordening gegevensbescherming (AVG) is sinds 2018 van kracht en heeft als doel de privacyrechten van individuen binnen de EU te beschermen. Denk hierbij aan gegevens zoals naam, adres, maar ook zoekgedrag en gezondheidsinformatie. Omdat AI-systemen draaien op veel van deze data, raken ze direct aan de regelgeving.
Een voorbeeld: een bedrijf gebruikt een AI-systeem waarbij persoonsgegevens worden geanalyseerd om sollicitaties te beoordelen. Het systeem verwerkt persoonsgegevens, zoals de werkervaring en opleidingshistorie, en maakt vervolgens voorspellingen over de geschiktheid van sollicitanten.
Volgens de AVG moeten bedrijven in deze kwestie zeer zorgvuldig omgaan met de verwerking van de data. Het kan namelijk serieuze gevolgen hebben voor de betrokkenen. Daarnaast moet het proces transparant zijn: sollicitanten hebben recht om te weten dat een AI-systeem over hen beslist en op welke gegevens die beslissing is gebaseerd.
De uitdagingen van AI en gegevensbescherming
De grootste uitdaging bij het toepassen van AI binnen de AVG-wetgeving is dat AI-projecten vaak méér data nodig hebben dan traditionele systemen. Machine learning AI-systemen – een veelgebruikte vorm van AI – leren immers door grote hoeveelheden data te analyseren en te verwerken. Volgens de AVG is er een specifieke doel nodig, mag er niet meer data dan nodig verzameld worden en moet de hoeveelheid gegevens beperkt blijven.
Stel dat je een AI-model bouwt om koopgedrag te voorspellen op basis van klantdata. Om de modellen accuraat te maken, wil je misschien zoveel mogelijk gegevens verzamelen, ook via derden verkregen datasets en data die indirecte verbanden legt. De AVG vereist echter dat gegevensverzameling beperkt blijft tot het beoogde doeleinden én passend gebruik. Dit heet ook wel het beginsel van minimale gegevensverwerking.
Geen geheimen in AI: toestemming en transparantie
Een belangrijk aspect van de AVG is transparantie. Organisaties dienen helderheid te geven over hun doeleinden. Bedrijven mogen niet zomaar persoonsgegevens verwerken zonder dat de betrokkene hiervoor toestemming heeft gegeven. Transparantie betekent ook dat betrokkenen moeten begrijpen welke gevolgen het gebruik van hun gegevens heeft. Het moet voor hen duidelijk zijn of de verwerking voortvloeit uit een wettelijke uitzonderingsgrond of op andere wijze gerechtvaardigd is.
Neem bijvoorbeeld een AI-systeem dat medische gegevens verwerkt om patiënten te helpen bij het kiezen van de juiste behandeling. Hier gelden extra strenge regels, want dit zijn bijzondere persoonsgegevens. De verstrekte informatie begrijpen is hierbij essentieel. Er dient uitdrukkelijk omschreven te zijn wat er met de data gebeurt en welke bescherming wordt geboden.
Bovendien is er in de meeste gevallen expliciete toestemming nodig. Alleen als de betrokkene hiervoor toestemming heeft gegeven, mogen de bijzondere persoonsgegevens gebruikt worden. Als het bij AI-systemen gebeurt dat dit niet is ingebouwd, vormt dat een hoog risico AI-systeem dat anderszins aanmerkelijk treft.
Wettelijke grondslagen voor AI-toepassingen
De AVG geeft bedrijven diverse wettelijke grondslagen om persoonsgegevens te verwerken. Zo kan een AI-systeem gebaseerd zijn op de toestemming van de betrokkene of op een gerechtvaardigd doel van de organisatie, zoals klantonderzoek. Maar deze grondslagen vragen wel dat het gebruik van data zorgvuldig onderbouwd is met inachtneming van de hiervoor genoemde vereisten.
Een verwerkingsverantwoordelijke moet dus altijd kunnen uitleggen waarom een dataset verzameld is en of deze nog noodzakelijk is voor de huidige analyses. Het naleven beginsel van verwerking voortvloeit uit de eis dat sommige gegevens wellicht niet meer passen bij het beoogde doeleinden én passend gebruik. Ook moeten organisaties duidelijk maken of gegevens worden verwerkt voor het oorspronkelijke doel of voor een ander doel, waarbij doelen apart getoetst moeten worden.
Geautomatiseerde besluitvorming en menselijke tussenkomst
Een ander aspect van AI gaat over geautomatiseerde besluitvorming. Volledig geautomatiseerde besluiten mogen alleen genomen worden als daar een juridische basis voor is, en menselijke tussenkomst moet altijd mogelijk zijn. Menselijk toezicht is nodig om fouten of bias in AI-systemen te kunnen corrigeren.
Denk bijvoorbeeld aan een AI-systeem dat automatisch een kredietscore toekent op basis van financiële gegevens van een klant die aan specifieke voorwaarden voldoen. Het systeem maakt een profiel van de klant en neemt op basis daarvan een besluit. De rechten gelden dat iemand bezwaar kan maken en dat er sprake is van passende mechanismen voor bezwaar en correctie.
Veilige data en bewaartermijn persoonsgegevens
Een ander cruciaal aspect van de AVG is de gegevensbescherming. Persoonsgegevens mogen niet zomaar door iedereen bekeken worden en moeten beschermd worden tegen misbruik of verlies. Dit betekent dat bedrijven die AI inzetten, zorg moeten dragen voor goede databeveiliging. Denk aan maatregelen zoals versleuteling, veilige opslag en periodieke controles.
Daarnaast geldt een bewaartermijn persoonsgegevens: gegevens langer bewaren dan noodzakelijk is niet toegestaan. Bij AI-systemen gebeurt het soms dat data voor toekomstige analyse wordt bewaard. Toch geldt dat alleen als dit goed onderbouwd en zolang beargumenteerd is binnen de grenzen van de wet en de ai verordening.
Rollen en verantwoordelijkheden binnen AI en gegevensbescherming
Als een bedrijf AI-technologie inzet en persoonsgegevens verwerkt, zijn er verschillende privacyrollen die in acht moeten worden genomen. Denk hierbij aan de verwerkingsverantwoordelijke en de verwerker.
De eerste is degene die beslist over de verwerking van data, en de tweede voert dit namens de ander uit. Beide hebben verantwoordelijkheden en moeten voldoen aan de gegevensbeschermingswetgeving. Sommige organisaties moeten zelfs verschillende rollen vervullen afhankelijk van hun positie in de operationele fase.
Het zorgvuldig vastleggen van deze rollen is van cruciaal belang om duidelijkheid te creëren en de juiste privacyrollen organisaties te hanteren. Dit helpt ook bij het opstellen van een correcte verwerkersovereenkomst.
Hulp bij het toepassen van slimme AI binnen de AVG
AI-technologie biedt bedrijven veel mogelijkheden, maar de inzet ervan vraagt om een zorgvuldige aanpak als het gaat om persoonsgegevens en privacy. De AVG kent hiervoor duidelijke richtlijnen die bedrijven helpen om data ethisch en verantwoord te gebruiken.
Gebrekkige AI-systemen zijn een risico voor elke organisatie. Overtredingen van de AVG lopen namelijk vaak behoorlijk in de papieren. Daarom is het verstandig om de inzet van AI-toepassingen af te stemmen met een deskundige digitale partner. Denk aan het uitvoeren van een gegevensbeschermingseffectbeoordeling, een impact assessment, of een toetsing aan de ai act. Bij Brthrs zijn we voorloper in het toepassen van AI en houden we altijd rekening met de AVG. We helpen bij het zorgvuldig selecteren van datasets, het naleven van vereisten en het correct verwerken van persoonsgegevens gedurende de hele levenscyclus van een AI-systeem.
Zit je met vragen? Neem gerust contact met ons op. We helpen je graag om AI in te zetten binnen de kaders van de AVG. Zo pluk je de vruchten van artificiële intelligentie zonder regels te overtreden.
