De opkomst van AI in het bedrijfsleven heeft een grote impact op de bescherming van persoonsgegevens: chatbots, productaanbevelingen, automatische selectie van kandidaten voor aanwerving... deze op AI gebaseerde tools roepen vragen op over de vertrouwelijkheid en beveiliging van gegevens en over vooringenomenheid bij de verwerking. En naast de RGPD brengt de inwerkingtreding van de recente Europese verordening over kunstmatige intelligentie (AI Act) nieuwe wettelijke verplichtingen met zich mee. Hoe kan de functionaris voor gegevensbescherming (Data Protection Officer, DPO) deze uitdagingen aangaan?
Kunstmatige intelligentie (AI) maakt een ongekende groei door. Het biedt revolutionaire mogelijkheden voor organisaties, maar roept een aantal zorgen op over gegevensbescherming.
De functionaris voor gegevensbescherming (Data Protection Officer, DPO) staat centraal in deze uitdaging. Verantwoordelijk voor de implementatie van Europese Verordening Gegevensbescherming (RGPD) binnen de organisatie waarin hij is aangesteld, moet hij rekening houden met de nieuwe AI-wet (AI-wet, in het Engels) gestemd door het Europees Parlement op 13 maart 2024.
De eerste uitdaging van de DPO: gegevensgerelateerde risico's beoordelen
AI, en meer specifiek Generatieve AI (IAG), zijn gebaseerd op de massale exploitatie van gegevens om algoritmische modellen te trainen, de beroemde grote taalmodellen (LLM). Deze gegevensverzameling en -verwerking brengt een aantal problemen met zich mee zorgen over privacy, geïnformeerde toestemming en gegevensbeveiliging.
Persoonlijke gegevens moeten ook voldoen aan de principe van minimalisering. De CNIL definieert het als volgt: gegevens moeten toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt.
Daarnaast kunnen AI-systemen de vooroordelen in trainingsgegevens uitbreiden of versterken, waardoor de principes van eerlijkheid en non-discriminatie in gevaar komen.
Bijvoorbeeld de trainingsdatasets die worden gebruikt om gezichtsherkenningssystemen te voeden, bestaan voornamelijk uit portretten van blanke mensen. Deze systemen herkennen daarom minder snel gekleurde mensen.
DPO's moeten waakzaam zijn voor risico's die inherent zijn aan AI, als :
- Heridentificatie van individuen uit zogenaamd anoniem gemaakte gegevens
- Het gebruik van gevoelige gegevens (geslacht, etnische afkomst, politieke opvattingen, etc.) om modellen te trainen
- Het traceren en targeten van individuen voor reclamedoeleinden op basis van gedrag
- Geautomatiseerde beslissingen met een aanzienlijke impact op personen (werving, krediet, enz.)
Tweede uitdaging voor de DPO: zorgen dat de RGPD wordt nageleefd voor AI
Naast de risico's worden DPO's geconfronteerd met operationele uitdagingen om ervoor te zorgen dat AI-systemen voldoen aan de GDPR. De belangrijkste uitdagingen zijn onder meer:
- De noodzaak en evenredigheid van gegevensverwerking voor AI-systemen beoordelen
- Uitvoeren van effectbeoordelingen voor gegevensbescherming (AIPD) voor behandelingen met een hoog risico
- De implementatie van passende technische en organisatorische maatregelen (gegevensbescherming in de ontwerpfase, enz.).
- De rechten van betrokkenen beheren (toegang, rectificatie, verzet, enz.) in de context van AI
- Toezicht op en controle van onderaannemers betrokken bij de ontwikkeling of het gebruik van AI
De AI-wet: een nieuw regelgevingskader
Als reactie op de uitdagingen die AI stelt, heeft de Europese Unie de AI Act voorgesteld, een verordening die is gericht op het vaststellen van geharmoniseerde regels voor de ontwikkeling, het op de markt brengen en het gebruik van 'vertrouwde' AI-systemen. Dit wetsvoorstel introduceert een aantal belangrijke concepten die van grote invloed zullen zijn op de rol van de functionaris voor gegevensbescherming.
AI-risico-indeling
De AI-wet deelt AI-systemen in vier risiconiveaus in: onaanvaardbaar, hoog, beperkt en minimaal. DPO's zullen in staat moeten zijn om het risiconiveau van AI-systemen die door hun organisatie worden gebruikt te identificeren en de bijbehorende vereisten op te stellen.
©Alexandre Salque/ORSYS
Vereisten voor AI-systemen met hoog risico
Voor AI-systemen die als "hoog risico" worden beschouwd, zoals gezichtsherkenningssystemen en kredietbeoordelingssystemen, legt de AI-wet strenge eisen op tijdens de gehele levenscyclus van het systeem, zoals:
- Risicobeoordelingen en conformiteitstests uitvoeren
- De implementatie van risicobeheersystemen en menselijke controles
- Opstellen van gedetailleerde activiteitenregisters
- Aanwijzing van een persoon die verantwoordelijk is voor het toezicht op de naleving van het systeem
Deze vereisten vereisen een nauwe samenwerking tussen DPO's, ontwikkelingsteams en AI-experts.
Rechten van de betrokken personen
De AI-wet versterkt de rechten van individuen door hen met name het recht toe te kennen om geïnformeerd te worden wanneer zij met een AI-systeem interageren en het recht om beslissingen van deze systemen aan te vechten. DPO's zullen ervoor moeten zorgen dat deze rechten worden gerespecteerd en zullen passende procedures moeten invoeren.
Een sterkere rol voor de toezichthoudende autoriteiten
De AI-wet geeft toezichthoudende autoriteiten (zoals gegevensbeschermingsautoriteiten) nieuwe bevoegdheden om AI-systemen die niet aan de wet voldoen te inspecteren, te controleren en te bestraffen. DPO's zullen nauw moeten samenwerken met deze autoriteiten, waaronder de CNIL, en hun AI-gerelateerde activiteiten nauwgezet moeten documenteren.
Toekomstperspectieven voor functionarissen voor gegevensbescherming
Met de opkomst van AI en de opkomst van regelgeving zoals de AI-wet, verandert de rol van de functionaris voor gegevensbescherming en wordt deze strategischer dan ooit. Ze zullen nauw moeten samenwerken met technische, juridische en operationele teams om gegevensbescherming en wettelijke vereisten te integreren vanaf het ontwerp en de inzet van AI-systemen.
DPO's moeten diepgaande expertise ontwikkelen op het gebied van AI, zowel wat betreft technische als juridische en ethische aspecten. Ze zullen een sleutelrol spelen bij het vergroten van het bewustzijn en het trainen van teams, evenals het bevorderen van een cultuur van gegevensbescherming en verantwoorde AI binnen hun organisatie.
Kortom, functionarissen voor gegevensbescherming staan centraal in de uitdagingen op het gebied van gegevensbescherming in verband met AI. Hun vermogen om te anticiperen op risico's, samen te werken met verschillende belanghebbenden en zich aan te passen aan veranderingen in de regelgeving zal van cruciaal belang zijn om hun organisatie in staat te stellen optimaal te profiteren van de voordelen van AI en tegelijkertijd de fundamentele rechten en vrijheden van individuen te waarborgen.
