Artificial Intelligence (AI) is tegenwoordig overal. Het lijkt wel alsof je geen nieuwsbericht kunt openen zonder dat AI op de een of andere manier genoemd wordt (of gebruikt is voor het schrijven, tegenlezen, redigeren van het nieuwsbericht). Van slimme huishoudelijke apparaten en geavanceerde gezondheidszorgtoepassingen tot geautomatiseerde beslissingssystemen in de publieke sector, AI lijkt onmiskenbaar geïntegreerd in ons dagelijks leven. Deze alomtegenwoordigheid brengt echter niet alleen innovatie en gemak met zich mee, maar ook steeds complexere vraagstukken op het gebied van privacy, ethiek en transparantie.
Omdat dergelijke vraagstukken vaak op het bordje komen van de privacy professional (wat je best mag zien als een mooi compliment…) werd het tijd voor een kennismiddag AI voor privacy professionals. Daarom doken we op 18 juni, op kantoor van ICTRecht in Eindhoven, gezamenlijk in o.a. de verantwoordelijkheden van de privacy professional ten aanzien van dit soort vraagstukken, maar ook in de vraag of die AI niet gewoon ‘oude wijn in nieuwe (AVG-)zakken’ is? Hieronder vind je de 5 belangrijkste takeaways van die dag!
1. Eén voor allen, allen voor één!
Hoewel we als privacy professionals ongetwijfeld allemaal enorm veel kennis hebben over privacywetgeving en gegevensbescherming, kan AI-technologie zo geavanceerd en veelzijdig zijn dat je niet alle ins en outs kent. Daarom is het soms nodig om hulp te vragen van experts op andere gebieden, zoals datawetenschappers, ethici of IT-specialisten. Zij kunnen je inzicht geven in hoe de technologie precies werkt, wat de technische beperkingen zijn en hoe bepaalde algoritmes beslissingen nemen. Dit helpt je om beter geïnformeerde keuzes te maken en om privacyrisico’s op een effectieve manier aan te pakken.
Het vormen van een multidisciplinair team of het inschakelen van externe experts kan een verstandige strategie zijn om AI-vraagstukken op te lossen. Een team met diverse achtergronden kan problemen vanuit verschillende perspectieven bekijken en zo tot creatievere en meer doordachte oplossingen komen.
2. Schoenmaker blijf bij je leest?
Beloofd: dit was het laatste spreekwoord. En toch zit er een kern van waarheid in. AI kan aardig ingewikkeld zijn, waardoor het soms best lastig is om goed inzicht te krijgen in de werking van de achterliggende technologie. Hoewel het vanuit je rol noodzakelijk is dat je gegevensstromen binnen de gebruikte technologie kan volgen en je afwegingen kan maken over de juiste toepassing van de privacywetgeving, is het niet altijd mogelijk om exact te weten hoe de achterliggende technologie werkt. En dat is oké!
Het multidisciplinaire team dat we eerder noemden kan je helpen om weloverwogen keuzes te maken. Werk je samen met leveranciers die AI toepassen, maar kunnen zij jou niet duidelijk maken hoe de persoonsgegevens verwerkt worden bij die geleverde toepassing? Misschien ligt het dan helemaal niet aan jouw beperkte kennis, maar zegt dit vooral wat over de niet-transparante verwerking van persoonsgegevens bij het gebruik van deze AI.
3. AI is breder dan privacy: het gaat om alle mogelijke risico’s rondom de inzet van AI!
AI is niet zomaar een soort opgepompte versie van artikel 22 AVG (het artikel over geautomatiseerde besluitvorming). Een zelfrijdende auto die niet getraind is om fietsers te herkennen? Best wel een risico! Maar de AVG toetst dit risico niet… We moeten daarom niet vergeten om verder te kijken dan enkel de AVG. Onderwerpen als ethiek en transparantie (buiten de verplichtingen hierover uit de AVG) zullen ook getoetst moeten worden. Ook zal er praktisch gekeken moeten worden naar AI. Welke gevaren spelen er wanneer we de AI ‘loslaten’?
4. Dataminimalisatie onder de AVG ligt complex.
Een van de belangrijkste beginselen uit de AVG houdt in dat je niet meer persoonsgegevens mag verzamelen dan noodzakelijk voor het bijbehorende doel van de verwerking. Die kennen we nou wel, hè? Maar hoe verhoudt zich dat dan tot het voorkomen van een bias in je dataset? Als we willen voorkomen dat AI foute beslissingen neemt op basis van een verkeerde representatie in je dataset zal je de AI toch echt moeten voeden. En wel met een brede dataset aan relevante informatie. En hoewel dat misschien aanvoelt als een dikke streep door het begrip ‘dataminimalisatie’ vind je mogelijk juist daar je rechtvaardiging voor het verwerken van nét wat meer persoonsgegevens. Want als je kunt aantonen dat je de gegevens nodig hebt om AI te trainen, of om bias te voorkomen, dan heb je een duidelijk doel voor de verwerking van de persoonsgegevens. Ik voel de interessante discussies alweer aankomen!
5. Was de inwerkingtreding van de AVG een generale repetitie?
Als er teruggedacht wordt aan de paniek rondom de inwerkingtreding van de AVG in 2018, krijgen sommige privacy professionals nog steeds vlekken in hun nek. Zoveel nieuwe regels en verplichtingen? ‘Hoe gaan we daar in hemelsnaam aan voldoen?’, zo vroegen velen zich toentertijd af. Nou willen we niemand bang maken, maar de algehele tendens tijdens het evenement was toch wel dat we die AVG vooral als een generale repetitie moeten zien voor de AI-act én voor het inbedden van AI procedures binnen de organisatie. AI gaat nog voor enorm veel opschudding zorgen, het is belangrijk om aan de slag te gaan met de lessons learned uit 2018. Dit houdt in dat je je zaakjes op orde zal moeten hebben en tijdig zal moeten gaan inventariseren wat de impact van AI is op jouw organisatie.
Conclusie
De impact van AI op privacy en gegevensbescherming is een complex en breed onderwerp dat vraagt om een multidisciplinaire aanpak. Privacy professionals moeten samenwerken met experts uit verschillende vakgebieden om de risico’s en kansen van AI effectief te kunnen beheersen. Door de lessen van de inwerkingtreding van de AVG in gedachten te houden, kunnen we beter voorbereid zijn op de uitdagingen die AI met zich meebrengt.
Heb je behoefte aan advies bij het oplossen van AI-vraagstukken? Of wil je misschien meer leren over AI-compliance en governance? Neem dan contact met ons op, of schrijf je in voor onze Opleiding tot AI Compliance Officer (CAICO®).
