Compliance en Artificial Intelligence (AI)
Inleiding
In deze editie gaan we dieper in op het onderwerp “Wanneer is de AVG van toepassing?” en bekijken we specifiek hoe de Algemene verordening gegevensbescherming (AVG) van invloed is op de ontwikkeling en inzet van AI-systemen.
De Toepassing van de AVG
De AVG, die betrekking heeft op de bescherming van persoonsgegevens, is van toepassing op vrijwel elke verwerking van persoonsgegevens. Persoonsgegevens omvatten alle informatie die kan worden gekoppeld aan een natuurlijke persoon, zoals namen, identificatienummers, adressen, nationaliteiten en geboortedata. Dit omvat het verzamelen, verwerken, verzenden en gebruiken van dergelijke gegevens.
Het is belangrijk op te merken dat de AVG niet van toepassing is op anonieme gegevens, omdat deze niet kunnen worden herleid naar een specifieke persoon. Echter, het volledig anonimiseren van gegevens kan soms lastig zijn, waardoor de AVG toch vaak van kracht is.
AVG en AI
Bij de ontwikkeling en inzet van AI kan de AVG snel van toepassing zijn. Denk hierbij aan verschillende situaties:
1. Gebruik van persoonsgegevens voor training: AI-systemen worden vaak getraind met grote datasets, die veel persoonsgegevens kunnen bevatten. Anonieme gegevens zijn vaak niet voldoende om het systeem goed te trainen, aangezien bepaalde resultaten moeten worden geverifieerd met persoonsgegevens.
2. Registratie van persoonsgegevens door AI: AI-systemen kunnen gegevens vastleggen van gebruikers, bestuurders of zelfs voorbijgangers. Dit kan variëren van locatiegegevens tot biometrische gegevens.
3. Automatische besluitvorming: AI-systemen kunnen beslissingen nemen over individuen, zoals het selecteren van sollicitanten of bepalen van kredietwaardigheid.
Rollen en Verantwoordelijkheden onder de AVG
Organisaties hebben verschillende rollen bij verwerkingen via AI-systemen, en daaruit voortvloeiende verantwoordelijkheden:
– Verwerkingsverantwoordelijke: Deze partij bepaalt het doel en de middelen van de verwerking. Zij heeft de meeste verplichtingen onder de AVG, zoals het vaststellen van doelen, uitvoeren van impactbeoordelingen en waarborgen van rechten van betrokkenen.
– Verwerker: Een verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke en volgens haar instructies. Een softwareleverancier kan bijvoorbeeld een verwerker zijn.
AVG en AI-leveranciers
Bij AI-systemen kunnen leveranciers verschillende rollen hebben, van puur verwerker tot mede-verwerkingsverantwoordelijke. Dit hangt af van hun betrokkenheid bij de gegevensverwerking.
Algemene Beginselen en Verplichtingen
De AVG en aankomende AI-verordening leggen algemene beginselen op, zoals transparantie, rechtmatigheid en veiligheid. Bij het ontwikkelen en inzetten van AI-systemen is het belangrijk om rekening te houden met:
– Rechtmatigheid en noodzakelijkheid van verwerking;
– Juistheid van gegevens en voorkomen van discriminatie;
– Beveiligingsmaatregelen en dataminimalisatie;
– Transparantie naar betrokkenen;
– Beoordeling van privacyrisico’s (DPIA en andere beoordelingen).
Nieuwe AI-verordening en Risicobeoordelingen
Naast de AVG brengt de aankomende AI-verordening nieuwe aspecten met zich mee, waaronder risicobeoordelingen. Deze verordening introduceert de Fundamental Rights Impact Assessment (FRIA) en bouwt voort op het reeds bestaande Impact Assessment Mensenrechten en Algoritmes (IAMA). Het onderscheid tussen deze beoordelingen en de eerder genoemde Data Protection Impact Assessment (DPIA) ligt in het bredere toetsingskader. Bij de FRIA en IAMA worden niet alleen gegevensbescherming, maar ook andere mensenrechten meegenomen. Hoewel de DPIA als basis kan dienen, bieden de FRIA en IAMA een uitgebreidere evaluatie.
Uitsluitend Geautomatiseerde Besluitvorming
Betrokkenen hebben rechten onder de AVG, inclusief het recht op een menselijke blik bij uitsluitend geautomatiseerde besluitvorming. Er zijn echter uitzonderingen, waarbij passende maatregelen moeten worden genomen om hun rechten te beschermen.
Effectief Omgaan met Uitbesteding
Bij uitbestede gegevensverwerking en AI-activiteiten is duidelijkheid essentieel. Zorg voor goede verwerkersovereenkomsten, definieer taken en verantwoordelijkheden, en waarborg naleving van gegevensbescherming.
Controleer beveiligingsmaatregelen van externe partijen, minimaliseer gegevensverzameling en zorg voor een soepele exit mogelijkheid. Monitoring en transparante communicatie zijn eveneens van groot belang om vertrouwen te behouden en compliance te waarborgen.
Conclusie
In de wereld van AI en gegevensverwerking is compliance met de AVG van niet te onderschatten belang. De regels en verplichtingen gelden voor zowel ontwikkelaars als gebruikers van AI-systemen. Het is cruciaal om transparant te zijn, privacy risico’s te beoordelen en te zorgen voor een rechtmatige en noodzakelijke verwerking van persoonsgegevens