Kunstmatige intelligentie en privacy

Geschreven door: mr. Arjo Buurma

Het gebruik van kunstmatige intelligentie (AI, artificial intelligence) kan grote gevolgen hebben voor de verwerking van persoonsgegevens. AI en algoritmes zijn inmiddels in vrijwel alle domeinen van de overheid terug te vinden. 

AI verwijst naar systemen die mensachtige intelligentie simuleren, zoals leren van data, patronen herkennen en beslissingen ondersteunen of nemen. Algoritmes zijn de onderliggende instructies die zo’n taak laten uitvoeren. Met AI-systemen en algoritmes kunnen enorme hoeveelheden (persoons)gegevens worden verwerkt. Dat brengt risico’s met zich mee, zoals datalekken, het onbedoeld volgen en profileren van personen en het opnieuw herleidbaar maken van gegevens die als anoniem werden beschouwd. Het gebruik van AI en algoritmes kan daardoor gemakkelijk leiden tot schending van de privacywetgeving, zoals de Algemene verordening gegevensbescherming (AVG).

Kernproblemen van AI met privacy

AI-modellen worden gevoed met grote hoeveelheden data. Daarbij kan het gaan om persoonsgegevens. Ook is het goed denkbaar dat met AI zelfs gevoelige persoonsgegevens, zoals gezondheidsgegevens worden verwerkt. Via AI kunnen persoonsgegevens zichtbaar worden die eerder niet of nauwelijks toegankelijk waren. Ook kan sprake zijn van re-identificatie: ogenschijnlijk geanonimiseerde data kunnen door het combineren van datasets en het toepassen van slimme analysetechnieken toch weer tot individuele personen te herleiden zijn. 

De AVG eist dat het verwerken van persoonsgegevens open en transparant plaatsvindt. In de praktijk is echter vaak ondoorzichtig hoe een AI-systeem tot een bepaalde uitkomst of beslissing is gekomen. Dat beperkt de mogelijkheid van betrokkenen om hun rechten uit te oefenen, zoals om persoonsgegevens achteraf uit getrainde AI-modellen te laten verwijderen. Juist daarom is samenwerking tussen verschillende disciplines essentieel: juristen, privacy officers, ethici, IT-specialisten en beleidsmakers/bestuurders moeten samen de risico’s van het AI-gebruik in kaart brengen en passende maatregelen vaststellen.

De AI Act

Op 1 augustus 2024 is de Europese AI-verordening (de AI Act) in werking getreden. Deze verordening regelt het gebruik van AI binnen de Europese Unie en heeft tot doel de veiligheid te waarborgen en de (grond)rechten van individuen te beschermen. AI-systemen worden in vier risiconiveaus ingedeeld: 

• Onaanvaardbaar risico: systemen die een onaanvaardbare inbreuk maken op grondrechten en daarom verboden zijn.
• Hoog risico: systemen die een grote impact kunnen hebben op mensen, bijvoorbeeld bij toegang tot publieke diensten, sociale voorzieningen, onderwijs of werk.
• Beperkt risico: systemen waarvoor vooral transparantieverplichtingen gelden.
• Minimaal risico: systemen met weinig tot geen invloed op rechten en vrijheden.

Voor met name hoog-risico AI-systemen gelden strenge verplichtingen op het gebied van transparantie, verantwoording en menselijk toezicht. Dit raakt veel overheidsprocessen waarin AI wordt ingezet of overwogen, bijvoorbeeld bij fraudeaanpak, toekenning van voorzieningen of geautomatiseerde risicoselectie.

De AVG handhaaft door hoge boetes in het vooruitzicht te stellen bij niet-naleving, terwijl de AI Act de nadruk legt op naleving via een kader van standaarden en certificeringen. Beide verordeningen hebben dus een eigen focus. De AVG is gericht op het beschermen van persoonsgegevens, de AI Act op het waarborgen van veilige en ethische AI-implementatie. Beide stellen eisen aan transparantie en verantwoording. Organisaties moeten kunnen aantonen dat zij voldoen aan de regels, onder meer via documentatie, risicobeoordelingen en (interne en externe) audits.

Wat staat u te doen?

Organisaties dienen het risiconiveau van hun AI-systemen te beoordelen en op basis van de risico-inventarisatie waarborgen te implementeren om mogelijke schade te beperken. Daarvoor kan het volgende stappenplan worden aangehouden:

1. Breng in kaart welke AI-systemen en algoritmes worden gebruikt.
2. Beoordeel het risiconiveau van deze systemen aan de hand van de hierboven genoemde risiconiveaus.
3. Toets de gegevensverwerkingen aan de AVG.
   In beeld dient te worden gebracht of er persoonsgegevens worden verwerkt met AI en/of een algoritme en of dat berust op één van de wettelijke grondslagen die daarvoor zijn opgenomen in de AVG, zoals expliciete toestemming, een taak van algemeen belang of een gerechtvaardigd belang.
4. Borg de rechten van betrokkenen.
   In het privacybeleid moet geborgd worden dat de individuele rechten van betrokkenen, zoals het recht op inzage in de verwerkte persoonsgegevens en het recht op gegevenswissing, niet in het gedrang komen als hun persoonsgegevens met AI worden verwerkt.
5. Voorkom vooringenomenheid en onrechtmatige profilering.
   Dat risico is vooral aanwezig als wordt gewerkt met modellen die bijvoorbeeld fraude detecteren, kredietscores bepalen of sollicitatiebrieven beoordelen. Het risico op vooringenomenheid als gevolg van het gebruik van algoritmes (denk aan de toeslagenaffaire) vanwege geautomatiseerde besluitvormingsprocessen moet uitgesloten worden.
6. Houd een algoritmeregister bij.
7. Blijf proactief en goed geïnformeerd.
   De technologische ontwikkelingen gaan snel en daarom is het voor overheden en bedrijven essentieel om goed geïnformeerd en proactief te blijven.

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de rechtmatige verwerking van persoonsgegevens. De AP houdt dus ook toezicht op AI en algoritmes waarbij persoonsgegevens worden verwerkt. De AP publiceert elk half jaar een Rapportage AI- & algoritmerisico’s Nederland (RAN) om recente ontwikkelingen, actuele risico’s en bijbehorende uitdagingen te belichten.

Tips voor omgang met AI bij de verwerking van persoonsgegevens

• Zorg voor een minimale gegevensverwerking. Hierbij is van belang dat de zogenoemde ‘prompt engineer’, dat is degene die de input bepaalt voor het AI-model, alleen persoonsgegevens gebruikt als dit strikt noodzakelijk is voor het beoogde doel. Overweeg of AI echt noodzakelijk is voor de doeleinden waarvoor het wordt gebruikt.
• Hanteer een risicogebaseerde aanpak. Voer een Data Protection Impact Assessment (DPIA) en een AI Compliance Assessment uit voor iedere AI-implementatie om de hoogte van de risico’s te bepalen. Hierdoor kunt u passende maatregelen treffen.
• Wees transparant richting burgers en medewerkers over het gebruik van AI, de rol van AI in besluitvorming en de reden dat AI hiervoor wordt ingezet. Zorg dat u in staat bent om de beslissingen van uw AI-systeem begrijpelijk uit te leggen aan betrokkenen. Zij dienen op de hoogte te worden gesteld hoe data worden gebruikt om de systemen te trainen, ontwikkelen of te implementeren.
• Werk zoveel mogelijk met gepseudonimiseerde gegevens en gebruik encryptie (versleuteling van data tijdens opslag en transport).
• Blijf waakzaam op mogelijke vooroordelen en discriminerende patronen in de datasets of AI-modellen. Neem maatregelen om oneerlijke of ongelijke behandeling van personen of groepen te voorkomen en monitor dit doorlopend.
• Zorg voor afdoende technische en organisatorische beveiligingsmaatregelen.
• Zorg dat beslissingen met belangrijke gevolgen voor burgers niet volledig geautomatiseerd worden genomen. Zorg voor controle door een menselijk oog en train de medewerkers om AI-output kritisch te kunnen beoordelen en, waar nodig, te corrigeren.

Conclusie

Het gebruik van AI biedt overheden kansen om efficiënter en datagedreven te werken, maar brengt ook aanzienlijke risico’s met zich mee voor de bescherming van persoonsgegevens en naleving van de privacywetgeving, zoals de AVG. Door bewust om te gaan met dataverwerking, risico’s systematisch in kaart te brengen en transparant te zijn over AI-toepassingen, kunnen deze risico’s in belangrijke mate worden beperkt.

Met onze tips bieden wij u een kader om de voordelen van het werken met AI te kunnen benutten en tegelijkertijd de privacy van burgers voldoende te beschermen. 

Neem contact met ons op als u advies wenst over het (verder) inzetten van AI binnen uw organisatie, waarbij mogelijk persoonsgegevens worden verwerkt.