Artificiële intelligentie. Maar wat met privacy?

19 november 2020 | AI, dJ Talks, IT-recht, Privacy

Er is een lange lijst van bezorgdheden als het gaat om kunstmatige intelligentie. Veel mensen maken zich onder meer zorgen over de vraag “of de robots zullen opstaan en ons allemaal zullen doden”. Maar wat met privacy?

Verwerking persoonsgegevens in AI systemen

AI systemen kunnen in meerdere opzichten een verwerking van persoonsgegevens inhouden in de zin van de Algemene Verordening Gegevensbescherming (AVG):

  • Ten eerste, kan de verzameling van gegevens die als input gebruikt worden voor de werking en training van het algoritme een verwerking van persoonsgegevens inhouden.
  • Ten tweede, kan het proces waarbij een AI algoritme initieel wordt getraind een verwerking van persoonsgegevens inhouden.
  • Tot slot, kan de toepassing van AI algoritmes om handelingen te stellen of beslissingen te nemen betreffende individuen een verwerking van persoonsgegevens inhouden.

Dit betekent dat de verwerkingsverantwoordelijke en de verwerker in deze gevallen de AVG dienen na te leven. Dit kan soms een grote uitdaging zijn, maar is heel belangrijk. De schadeclaims en boetes bij een incident kunnen namelijk gigantisch zijn.

Spanningen AI en AVG

Zo moet transparantie (artikel 5.1 a) AVG) worden nageleefd. AI systemen hebben echter inherent een gebrek aan transparantie. Het gaat namelijk over zelflerende algoritmes waarvan we op een bepaald ogenblik niet meer met zekerheid weten hoe ze nu eigenlijk precies tot een beslissing komen. Ook is het geven van uitleg over de werkwijze van het AI moeilijk, zelfs voor degenen die de algoritmen in eerste instantie ontwikkelen. Dit doet, a fortiori, sterk twijfelen aan het vermogen van de gebruiker van dit algoritme om te begrijpen hoe het werkt. Er wordt echter al veel werk verricht om algoritmen te bouwen die kunnen verklaren hoe en waarom ze tot een bepaalde output kwamen.

Ten tweede zouden er spanningen bestaan tussen AI en het doelbindingsbeginsel (artikel 5.1 b) AVG). Aangezien de ontwikkeling en het gebruik van AI systemen gebaseerd is op massale gegevensverzameling, vaak met middelen die voor individuen niet voor de hand liggen, kan het in de praktijk vaak voorkomen dat deze gegevens oorspronkelijk verzameld werden voor andere doeleinden dan deze waarvoor AI systemen zullen worden ontwikkeld en toegepast. Zo zou het kunnen zijn dat foto’s die geplaatst worden op sociale media gebruikt worden om gezichtsherkenningssystemen voor criminaliteitsbestrijding te trainen.

Ten derde kan AI een uitdaging vormen voor het beginsel van minimale gegevensverwerking (artikel 5.1. c) AVG). De aard van veel AI-technieken, met name machinaal leren, is afhankelijk van het opnemen van enorme hoeveelheden gegevens om algoritmen te trainen en te testen. Dit geldt al te meer aangezien de grootte van de hoeveelheid gegevens invloed heeft op de prestatie van het algoritme.

Daarnaast zouden AI systemen ook kunnen indruisen tegen het beginsel van opslagbeperking (artikel 5.1 e) AVG). Een mogelijk voorbeeld van opslagbeperking heeft betrekking op rankings van kandidaturen die werden opgesteld door een AI-systeem. Dergelijke rankings verliezen (in principe) hun relevantie eenmaal de aanwervingsprocedure is afgelopen en dienen dan dus te worden verwijderd. Indien men echter gegevens dan verwijdert, loopt men het risico om over minder data te beschikken. Dit zou dan kunnen leiden tot minder performante AI systemen.

Tot slot kan de ontwikkeling en het gebruik van AI op gespannen voet staan met het principe van juistheid van persoonsgegevens (artikel 5.1 d) AVG). Toepassingen van artificiële intelligentie hebben de neiging om gegevens uit verschillende bronnen te verzamelen, zonder de mogelijkheid te hebben om de nauwkeurigheid van de verzamelde gegevens te controleren en/of te handhaven. Zo wordt het beginsel van nauwkeurigheid van gegevens in twijfel getrokken. Indien de gegevens waarmee AI systemen gevoed worden inaccuraat zijn, zal de output van een AI systeem eveneens inaccuraat zijn.

Oplossingen?

Technologie- en  sectorspecifieke richtlijnen die sleutelbegrippen van de AVG verhelderen aan de hand van concrete toepassingsgevallen kunnen hier (minstens deels) aan verhelpen. Ook is gegevensbescherming door ontwerp (privacy by design) heel belangrijk. De ontwikkeling en het gebruik van AI-systemen en de daarop betrekking hebbende processen moeten zo van meet af aan ontworpen zijn dat ze van nature uit zoveel mogelijk bescherming bieden aan persoonsgegevens. Gegevensbescherming mag namelijk geen laag vernis zijn die bovenop een AI-systeem gelegd wordt, maar moet er inherent aan zijn.

Bij deJuristen volgen we de laatste ontwikkelingen op gebied van AI op de voet. Bij vragen hierover kan u ons steeds contacteren via hallo@dejuristen.be.

Geschreven door Paulien Vandenborre, Trainee deJuristen, en Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance