logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Digitale technologieën > IS Beheer > Gegevensbescherming: DPO's worden geconfronteerd met de uitdagingen van AI

Gegevensbescherming: DPO's worden geconfronteerd met de uitdagingen van AI

Gepubliceerd op 30 april 2024
Deel deze pagina :

De opkomst van AI in het bedrijfsleven zorgt voor een revolutie in de bescherming van persoonlijke gegevens: chatbots, productaanbevelingen, automatische selectie van kandidaten voor rekrutering... deze op AI gebaseerde tools roepen vragen op over vertrouwelijkheid en gegevensbeveiliging, maar ook verwerkingsvooroordelen. En naast de AVG legt de inwerkingtreding van de recente Europese verordening inzake kunstmatige intelligentie (AI-wet) nieuwe wettelijke verplichtingen op. Hoe kan de functionaris voor gegevensbescherming (DPO) deze uitdagingen aanpakken?

Illustratie artikel Persoonsgegevens: DPO's staan voor de uitdaging van AI

Kunstmatige intelligentie (AI) maakt een ongekende groei door. Het biedt revolutionaire mogelijkheden voor organisaties, maar roept veel zorgen op rond gegevensbescherming.

In feite bevindt de functionaris voor de bescherming van persoonsgegevens (DPD of DPO in de Engelse naam) zich in het hart van deze uitdaging. Verantwoordelijk voor de uitvoering van compliance met Europese Verordening Gegevensbescherming (AVG) binnen de organisatie die hij hem heeft aangewezen, moet hij rekening houden met het nieuwe AI-wet (AI-wet, in het Engels) gestemd op 13 maart 2024 door het Europees Parlement.

De eerste uitdaging van DPO: het beoordelen van datarisico’s

AI en meer in het bijzonder Generatieve AI (IAG), vertrouwen op de massale exploitatie van gegevens om algoritmische modellen te trainen, de beroemde grote taalmodellen (LLM). Deze verzameling en verwerking brengt extra kosten met zich mee zorgen over privacy, geïnformeerde toestemming en gegevensbeveiliging.

Persoonlijke gegevens moeten ook de principe van minimalisering. De CNIL definieert dit als volgt: de gegevens moeten adequaat, ter zake dienend zijn en beperkt blijven tot wat noodzakelijk is in verband met de doeleinden waarvoor ze worden verwerkt.

Bovendien kunnen AI-systemen de vooroordelen in trainingsgegevens uitbreiden of versterken, waardoor de beginselen van eerlijkheid en non-discriminatie in gevaar komen.

Bijvoorbeeld de datasets voor trainingen die worden gebruikt om gezichtsherkenningssystemen te voeden, bestaan voornamelijk uit portretten van blanke mensen. Deze systemen zullen gekleurde mensen dus minder goed herkennen.

DPO's moeten waakzaam zijn risico’s die inherent zijn aan AI, als :

  • Heridentificatie van individuen op basis van zogenaamd geanonimiseerde gegevens 
  • Het gebruik van gevoelige gegevens (geslacht, etniciteit, politieke opvattingen, etc.) voor trainingsmodellen
  • Het volgen en targeten van individuen voor gedragsmatige reclamedoeleinden
  • Geautomatiseerde beslissingen met een aanzienlijke impact op mensen (werving, krediet, enz.)

De tweede uitdaging van DPO: zorgen voor naleving van de AVG voor AI

Naast risico's worden DPO's ook geconfronteerd met operationele uitdagingen om ervoor te zorgen dat AI-systemen voldoen aan de AVG. Tot de belangrijkste moeilijkheden behoren:

Beoordeling van de noodzaak en evenredigheid van gegevensverwerking voor AI-systemen

Het uitvoeren van databeschermingsimpactanalyses (AIPD) voor behandelingen met een hoog risico

Implementatie van passende technische en organisatorische maatregelen (gegevensbescherming door ontwerp, enz.)

Het beheren van de rechten van betrokkenen (toegang, rectificatie, verzet, enz.) in de context van AI

Toezicht en controle op onderaannemers betrokken zijn bij de ontwikkeling of het gebruik van AI

De AI-wet: een nieuw regelgevingskader

Geconfronteerd met de uitdagingen die AI met zich meebrengt, heeft de Europese Unie de AI-wet voorgesteld, een verordening gericht op het vaststellen van geharmoniseerde regels voor de ontwikkeling, marketing en gebruik van ‘betrouwbare’ AI-systemen. Dit wetgevingsvoorstel introduceert verschillende sleutelconcepten die een aanzienlijke impact zullen hebben op de rol van DPO’s.

AI-risicoclassificatie

De AI-wet classificeert AI-systemen in vier risiconiveaus: onaanvaardbaar, hoog, beperkt en minimaal. DPO’s zullen het risiconiveau van de AI-systemen die door hun organisatie worden gebruikt, moeten kunnen identificeren en overeenkomstige eisen moeten stellen.

Vereisten voor AI-systemen met een hoog risico

Voor AI-systemen die als ‘hoog risico’ worden beschouwd, bijvoorbeeld gezichtsherkenningssystemen, kredietscoresystemen, enz., legt de AI-wet strenge eisen op gedurende de levenscyclus van het systeem, zoals:

  • Het uitvoeren van risicobeoordelingen en compliancetests
  • Implementatie van risicobeheersystemen en menselijke controles
  • Het opstellen van gedetailleerde activiteitenregistraties
  • De aanwijzing van een persoon die verantwoordelijk is voor het toezicht op de conformiteit van het systeem

Deze vereisten vereisen een nauwe samenwerking tussen DPO’s, ontwikkelingsteams en AI-experts.

Rechten van betrokkenen

De AI-wet versterkt de rechten van individuen door hen in het bijzonder het recht te geven om geïnformeerd te worden wanneer zij interageren met een AI-systeem en het recht om de beslissingen van deze systemen aan te vechten. DPO's moeten ervoor zorgen dat deze rechten worden nageleefd en passende procedures invoeren.

Versterkte rol van toezichthoudende autoriteiten

De AI-wet geeft toezichthoudende autoriteiten (zoals gegevensbeschermingsautoriteiten) nieuwe bevoegdheden om niet-conforme AI-systemen te inspecteren, monitoren en sanctioneren. DPO’s zullen nauw moeten samenwerken met deze autoriteiten, in het bijzonder de CNIL, en moeten zorgen voor een strikte documentatie van hun AI-gerelateerde activiteiten.

Toekomstperspectieven voor DPO’s

Geconfronteerd met de opkomst van AI en de opkomst van regelgeving zoals de AI Act, evolueert de rol van DPO’s en wordt deze strategischer dan ooit. Ze zullen nauw samenwerken met technische, juridische en operationele teams om gegevensbescherming en wettelijke vereisten te integreren in het ontwerp en de inzet van AI-systemen.

DPO’s zullen diepgaande expertise moeten ontwikkelen op het gebied van AI, op het gebied van technische, juridische en ethische aspecten. Zij zullen een sleutelrol spelen bij het vergroten van het bewustzijn en het trainen van teams, en bij het bevorderen van een cultuur van gegevensbescherming en verantwoordelijke AI binnen hun organisatie.

Kortom, DPO’s vormen de kern van de uitdagingen op het gebied van gegevensbescherming op het gebied van AI. Hun vermogen om te anticiperen op risico’s, samen te werken met verschillende belanghebbenden en zich aan te passen aan ontwikkelingen op regelgevingsgebied zal van cruciaal belang zijn om hun organisatie in staat te stellen volledig de vruchten van AI te plukken en tegelijkertijd de fundamentele rechten en vrijheden van individuen te behouden.

Misschien ben je ook geïnteresseerd in deze artikelen

web scraping Web scraping: hoe je automatisch gegevens van het web haalt Google Tag Manager Google Tag Manager: optimaliseer het verzamelen van uw digitale gegevens Databeroepen in 2022 De 5 belangrijkste gegevensberoepen in 2022

VORIG ARTIKEL

Management: kan het de aantrekkelijkheid van het ambtenarenapparaat herstellen?

VOLGENDE ARTIKEL

De analyse van klantstemmen optimaliseren met AI

Onze expert

ORSYS Redactie

De redactie van ORSYS Le mag bestaat uit journalisten die gespecialiseerd zijn in IT, management en persoonlijke ontwikkeling [...]

geassocieerd domein

Aansturing van de IT-afdeling

bijbehorende opleiding

AVG, het beheersen van de algemene regelgeving inzake gegevensbescherming

RGPD, DPO, rol, taken en verplichtingen van de functionaris voor gegevensbescherming

Data Protection Officer (DPO), GDPR-CDPO-certificering