Ten eerste heeft deze betrekking op privacy en gegevensbescherming.

AI-systemen hebben doorgaans een grote honger naar informatie en data. Daarbij moet tijdens de gehele levenscyclus van het AI-systeem vermeden worden dat onwettige/ongegronde informatie verzameld, verwerkt of gegenereerd wordt die tot de privésfeer van de betrokkenen hoort of die daar een ongewenste inkijk in verschaft. Bij het verwerken en het genereren van persoonsgegevens moet rekening gehouden worden met het recht van de betrokkenen om deze gegevens niet te laten verwerken.

Daarbij moet bijzonder gewaakt worden over het feit dat uit rechtmatig verwerkte informatie geen conclusies getrokken worden die aspecten van iemand leven blootleggen die deze persoon niet wenst te delen of schade kunnen berokkenen. Persoonsgegevensverwerking kan immers een grote impact hebben op iemands rechten en vrijheden en resulteren in ernstige lichamelijke, materiële of immateriële schade (bv. discriminatie, reputatieschade, identiteitsdiefstal of -fraude, financiële verliezen of verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegeven). De naleving van de relevante regels is daarom vereist om aan burgers het nodige vertrouwen in AI-systemen te geven, zodat zij in volle vertrouwen hun gegevens met deze systemen kunnen delen, wetende dat zij hier niet onterecht door benadeeld zullen worden.

Ten tweede heeft deze ethische vereiste betrekking op de kwaliteit en integriteit van gegevens.

De kwaliteit van de gegevens die gebruikt worden om AI-systemen te trainen is essentieel om een kwalitatieve uitkomst te verzekeren. Daarbij is van groot belang dat de gegevens accuraat, voldoende breed en representatief zijn, maar ook dat ze geen sociaal geconstrueerde vertekeningen of onnauwkeurigheden (bias) bevatten. Ook in de ontwikkelingsfases en de gebruiksfase moet gewaakt worden over de kwaliteit van de gegevens door systematische tests en controles uit te voeren op zowel de gegevenssets als de processen en deze controles te documenteren.

Tot slot heeft deze ethische vereiste betrekking op toegang tot gegevens.

De bescherming van persoonsgegevens begint bij een degelijk toegangsbeleid tot persoonsgegevens. Door de toegang tot de eigenlijke persoonsgegevens te beperken tot die personen en die situaties waarin die toegang werkelijk nodig is, wordt de blootstelling hiervan beperkt en de risico’s op zowel een goedwillige als kwaadwillige datalekken aanzienlijk verminderd.

De ALTAI lijst voorziet vragen op basis van de indeling privacy – databeheer. Hierna geven we op basis van dezelfde indeling per vraag weer hoe deze (al dan niet) opgevangen worden door bestaande regelgeving.

• privacy
  
• databeheer

Privacy

Werd nagedacht over de gevolgen van het AI-systeem voor het recht op privacy, het recht op fysieke, mentale en/of morele integriteit en het recht op gegevensbescherming?

Gelet op het onderdeel waaronder deze vraag valt, wordt het recht op fysieke, morele en mentale integriteit geïnterpreteerd als samenhangend of voortkomend uit (een schending van) de rechten op privacy en gegevensbescherming. Gegevensbescherming is verregaand gereguleerd en de verplichting om persoonsgegevens doordacht te verwerken volgt dan ook reeds uit een groot aantal nationale en internationale bepalingen.

• Grondrechten

Art. 8 van het Handvest van de grondrechten van de Europese Unie (Handvest) en art. 16 van het Verdrag betreffende de werking van de Europese Unie (VWEU) bevestigen dat eenieder recht heeft op bescherming van zijn persoonsgegevens.

Art. 7 van het Handvest, art. 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (BUPO) en art. 22 van de Belgische Grondwet bevestigen het recht op de bescherming van het privéleven.

De erkenning van de bescherming van het privéleven en persoonsgegevens als fundamentele rechten impliceert reeds dat het verwerken van informatie die daar afbreuk aan kan doen, een doordachte en door de wet ondersteunde aanpak vereist.

• Europese regelgeving

Het gegevensbeschermingsrecht is op Europees niveau in grote mate geharmoniseerd door de AVG. De AVG regelt de verwerking van persoonsgegevens op uitgebreide en gedetailleerde wijze en geldt als de ‘basiswetgeving’ voor elke verwerking van persoonsgegevens. De AVG heeft een risico-gebaseerde benadering. Dit uit zich onder meer in verplichtingen om vooraf aan een verwerking de risico’s te evalueren, maar heeft ook algemeen als gevolg dat bij elke verwerking geëvalueerd moet worden of die verwerking een mogelijke impact heeft op de rechten en vrijheden van de betrokkenen. Het voornaamste doel van deze bepalingen is om de betrokkenen, wiens gegevens verwerkt worden, te beschermen tegen inbreuk op hun rechten en tegen schade.

De AVG moet samen gelezen worden met de richtlijnen en standpunten van het Europees Comité voor gegevensbescherming (European Data Protection Board of EDPB) en deze van de toezichthoudende autoriteiten die als soft law beschouwd kunnen worden. Ook de beslissingen van de toezichthoudende autoriteiten en de nationale en Europese rechtspraak dienen in aanmerking genomen te worden bij de interpretatie en toepassing.

Verschillende bepalingen uit de AVG verplichten naar gelang het geval ontwikkelaars, gebruikers en aanbieders van AI-systemen om vooraf na te denken over de impact van hun verwerking op de rechten van een betrokkene. We verwijzen in dit verband naar de eerder gepubliceerde gids over gegevensbescherming en AI waar reeds veel informatie kan worden gevonden. Daarin worden een aantal zaken uitvoerig behandeld. We bespreken hier kort een aantal belangrijke aspecten.

Persoonsgegevens mogen enkel worden verwerkt wanneer de verwerkingsbeginselen zoals bv. ‘rechtmatigheid’, ‘transparantie’, ‘doelbinding’ en ‘minimale gegevensbescherming’ worden nageleefd (art. 5). Deze beginselen verplichten om vooraf te zorgen dat zowel het verzamelen als het (verder) verwerken van persoonsgegevens conform deze beginselen (zullen) gebeuren. De verwerkings-verantwoordelijke en de verwerker moeten steeds in staat zijn om aan te tonen dat zij hun verplichtingen onder de AVG nakomen (‘verantwoordelijkheidsplicht’).

De AVG legt als kernbeginsel dus o.a. een algemene transparantieverplichting op bij elke verwerking van persoonsgegevens (art. 5.1 (a), (b) en 12 en overweging 58). Hieruit volgen onder meer een brede voorafgaandelijke informatieverplichting ten aanzien van personen bij wie persoonsgegevens verzameld worden en een gelijkaardige informatieverplichting op zeer korte termijn ten aanzien van betrokkenen wiens gegevens via derden verzameld werden (art. 12, 13 en 14 AVG). Voor meer informatie verwijzen we ook naar Ethisch Vereiste 4: Transparantie.

Betrokkenen wiens gegevens verwerkt worden, beschikken onder bepaalde voorwaarden over een aantal specifieke rechten ten aanzien van degene die hun gegevens verzamelen en verwerken, ook als die verwerking kadert binnen de ontwikkeling, het gebruik of het aanbieden van een AI-systeem. Denk aan het recht van inzage, rectificatie, bezwaar of om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit (art. 15-22). Deze rechten verplichten de verwerkingsverantwoordelijke tot het op voorhand te zorgen dat de persoonsgegevens verwerkt worden op een manier die toelaat om aan deze rechten te voldoen. Ook zullen op voorhand de nodige processen opgezet moeten worden om adequaat op dergelijke uitoefening te kunnen reageren.

De verwerkingsverantwoordelijke moet passende technische en organisatorische maatregelen treffen teneinde een rechtsgeldige verwerking te waarborgen én te tonen (art. 24.1 AVG). Daarbij moet hij een passend gegevensbeschermingsbeleid opmaken, indien de omvang van de activiteiten dat vereist (art. 24.2 AVG). Dit lijkt ons in ieder geval van toepassing voor ontwikkelaars, aanbieders en gebruikers die handelen als verwerkingsverantwoordelijke. Een verwerkingsverantwoordelijke moet ook bij zowel de bepaling van de verwerkingsmiddelen als bij de verwerking zelf passende technische en organisatorische maatregelen treffen (art. 25). Ook hieruit volgt dat verwerkings-verantwoordelijken in een AI-context op voorhand moeten nadenken hoe AI-systemen impact kunnen hebben op de verschillende rechten van de betrokkenen en hoe ze deze adequaat kunnen vrijwaren.

De GEB omvat de meest concrete verplichting om vooraf na te denken over de risico’s die het verwerken van persoonsgegevens kan hebben voor de rechten en vrijheden van natuurlijke personen. Een GEB moet op voorhand uitgevoerd worden bij elke verwerking waarbij vermoedelijk een hoog risico bestaat voor de betrokkenen (art. 35.1 AVG). Dit zal in regel steeds het geval zijn wanneer persoonsgegevens gebruikt worden in AI-systemen, in welke fase dan ook. Indien twijfel bestaat over de nood om een GEB uit te voeren, kan voorafgaand een pre-GEB (pre-DPIA) uitgevoerd worden. Daarvoor kan bijv. de ‘handleiding GEB’ van de Belgische Gegevensbeschermingsautoriteit gebruikt worden.

Een GEB beschrijft de verwerking van persoonsgegevens, beoordeelt de noodzaak en evenredigheid ervan en helpt om de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken. Hierdoor kunnen organisaties in het beginstadium van de ontwikkeling van een AI-systeem nagaan of er discriminerende elementen zijn of dat bepaalde personen uitgesloten zouden kunnen worden. Hoewel een GEB enkel verplicht is bij verwerkingen met een waarschijnlijk hoog risico, wordt het toch aangeraden deze ook in andere situaties uit te voeren. Het is immers een nuttig instrument dat organisaties helpt om de wetgeving inzake gegevensbescherming na te leven.

Daarbij kan bovendien vereist zijn dat de verwerkingsverantwoordelijke de toezichthoudende autoriteit raadpleegt voorafgaand aan de verwerking indien deze verwerking een hoog risico met zich meebrengt.

Binnen elke lidstaat is verplicht een toezichthoudende autoriteit actief, voor België is dat de Gegevensbeschermingsautoriteit of GBA (art. 51 AVG, zie ook de Belgische Wet tot oprichting van de Gegevensbeschermingsautoriteit). De toezichthoudende autoriteit kan de niet-naleving van de AVG sanctioneren, onder andere door een stakingsbevel en administratieve geldboeten op te leggen. Deze laatste kunnen oplopen tot 20 miljoen euro of, indien hoger, een bedrag tot 4% van de totale wereldwijze omzet in het vorig boekjaar van de overtreder (art. 84 AVG).

Deze controle- en sanctiemogelijkheid, waarbij onder meer aangetoond moet kunnen worden dat vooraf over de risico’s voor de betrokkenen nagedacht werd, verplicht degenen die persoonsgegevens verwerken bij gebruik, aanbieding of ontwikkeling van een AI-systeem om dat ook effectief te doen en dit onderbouwd te documenteren, zodat deze documentatie aan de toezichthoudende autoriteit kan voorgelegd worden.

Verder bevat de AVG nog een aantal andere relevante bepalingen die ex ante in overweging moeten worden genomen om mogelijke risico’s op rechten van betrokkenen (bv. door de verwerking van persoonsgegevens door AI-systemen) in kaart te brengen. Denk bv. aan de verplichting om een register van werkingsactiviteiten bij te houden (art. 30), de verwerking te beveiligen door passende technische en organisatorische veiligheidsmaatregelen (art. 32), gegevenslekken te melden aan de toezichthoudende autoriteit en mogelijk ook aan de getroffen betrokkenen (art. 32 en 33), een functionaris voor gegevensbescherming of DPO aan te stellen (art. 35) en waarborgen te voorzien bij doorgeven van persoonsgegevens aan derde landen (art. 44-47)

• Belgische regelgeving

Aanvullend op en naast de AVG zijn er heel wat nationale bepalingen die minstens onrechtstreeks verplichten om na te denken over de gevolgen die een AI-systeem kan hebben op de betreffende rechten en vrijheden van de betrokkenen. De belangrijkste ervan worden hierna kort toegelicht.

De Belgische Gegevensbeschermingswet ‘implementeert’ (onder meer) de AVG en legt onder meer een aantal regels vast die conform de AVG bij nationale wet aangepast of ingevuld konden worden. De Gegevensbeschermingswet voorziet in het bijzonder in een afwijkende regeling voor overheden evenals voor verwerkingen buiten het toepassingsgebied van de EU.

Daarnaast bestaan er nog een aantal specifieke wetten, die telkens bepaalde aspecten reguleren die betrekking hebben op bepaalde verwerkingen van persoonsgegevens. Deze hebben steeds mede tot doel om de rechten van betrokkenen wiens gegevens verwerkt worden te beschermen. Afhankelijk van onder meer de context waarbinnen een AI-systeem gebruikt zal worden of van de herkomst van de gebruikte persoonsgegevens (bijv. voor training), zullen deze wetten als gevolg hebben dat nagedacht moet worden over de rechten die ze beschermen, minstens dat hiertoe bepaalde maatregelen moeten worden genomen.

Het betreft onder meer de volgende wetten:

• de Belgische Camerawet op het gebruik van bewakingscamera’s;
• CAO nr. 68 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de camerabewaking op de arbeidsplaats;
• de Wet Patiëntenrechten, die onder meer specifieke verplichtingen omvat voor elektronische communicatiedienstverleners, maar ook algemene verplichtingen van toepassing indien gebruik gemaakt wordt van cookies (bijv. in combinatie een AI-systeem gericht op direct marketing;
• de Wet Elektronische Communicatie;
• de Belgische NIS-wet, die een kader vaststelt voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid;
• bepalingen uit het Wetboek Economisch Recht zoals deze van toepassing op het consumentenrecht (Boek VI) of het recht van de elektronische economie (Boek XII);
• de wet op het rijksregister, die op straffe van strafrechtelijke vervolging verbiedt om het rijksregisternummer te verwerken zonder machtiging. Dit kan dus ook niet in het kader van AI-systemen;
• CAO nr. 81 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische online communicatiegegevens.

• Andere normen

Naast de internationale en nationale regels, kunnen ook andere normen aanzetten of nopen tot het op voorhand nadenken over de risico’s die een verwerking kan betekenen voor de rechten van betrokkenen.

De (niet-bindende) ISO-normen onder de ISO 27000-serie omvatten informatieveiligheidsnormen. Aanvullend daaraan kan ook gekeken worden naar de norm ISO 27701 die een uitbreiding vormt op ISO27001 en ISO 27002. De toepassing ervan vereist eveneens dat op voorhand nagedacht wordt over hoe bepaalde verwerkingen de rechten van betrokkenen kunnen schaden en de toepassing beschermt tot op zekere hoogte tegen de schending van deze rechten.

De PCI-DSS-normen of voluit de Payment Card Industry Data Security Standard zijn zelfregulerende informatieveiligheidsnormen opgelegd door de krediet- en betaalkaartenindustrie, waaraan voldaan moet zijn door betaaldienstaanbieders (payment service providers) om betalingen te kunnen uitvoeren, bijv. in een online omgeving of in een toepassing op een smartphone. Ze vereisen eveneens een vergaande voorafgaande risicoanalyse. Elk AI-systeem dat gebruik zou maken van dergelijk betaalsysteem, bv. in een gebruikersinterface, of dat de daarbij gebruikte data zou willen gebruiken, moet er rekening mee houden.

Werden afhankelijk van het toepassingsgeval mechanismen ingesteld die het mogelijk maken om bij het AI-systeem privacy-kwesties te identificeren?

De vereiste om privacy-kwesties tijdens de verwerking te identificeren hangt vanuit regelgevend oogpunt nauw samen met de hierboven besproken vereiste om op voorhand na te denken over de risico’s die een AI-systeem kan betekenen voor de rechten van de betrokkenen. Dit niettegenstaande de vaststelling dat het in de praktijk wel nuttig is om beide vragen te stellen. Voor de hierop toepasselijke regels wordt dan ook verwezen naar degene die hierboven werden besproken. Deze vereisen eveneens dat privacy-kwesties tijdens de verwerking geïdentificeerd en adequaat opgevolgd kunnen worden.

Databeheer

Wordt het AI-systeem getraind of is het ontwikkeld door het gebruik of de verwerking van persoonsgegevens (inclusief speciale categorieën van persoonsgegevens)?

Deze vraag wordt gedekt door de verplichtingen volgend uit onder meer de AVG, de Belgische Gegevensbeschermingswet en verschillende andere wetten om voorafgaand aan iedere verwerking van persoonsgegevens en tijdens die verwerking aan de daarin opgenomen verplichtingen te voldoen. Voor een meer uitgebreid overzicht van de toepasselijke normen wordt verwezen naar hetgeen hierboven besproken werd.

Werd een van de volgende maatregelen genomen, waarvan sommige verplicht zijn op grond van de AVG of een niet-Europees equivalent? Gegevensbeschermingseffectbeoordeling; Aanwijzing van een functionaris voor gegevensbescherming en het betrekken hiervan in een vroeg stadium in de ontwikkelings-, inkoop- of gebruiksfase van het AI-systeem; Toezichtmechanismen voor gegevensverwerking (met inbegrip van het beperken van de toegang tot gekwalificeerd personeel, mechanismen voor het registreren van de toegang tot gegevens en het aanbrengen van wijzigingen); Maatregelen om gegevensbescherming door ontwerp en door standaardinstellingen te bekomen (bv. versleuteling, pseudonimisering, aggregatie, anonimisering); Minimalisering van gegevens, met name persoonsgegevens (met inbegrip van bijzondere gegevenscategorieën).

Zowel de vraag of deze maatregelen genomen moeten worden als de eventuele uitvoering ervan volgen uit de toepasselijke gegevensbeschermingswetgeving zoals de AVG, de Belgische Gegevensbeschermingswet en verschillende andere wetten om een risico-evaluatie te doen bij het verwerken van persoonsgegevens en desgevallende verplicht de met dat risiconiveau overeenstemmende maatregelen te nemen. Voor een meer uitgebreid overzicht van de toepasselijke normen wordt verwezen naar hetgeen reeds besproken werd.

Werden het recht om toestemming in te trekken, het recht om bezwaar te maken en het recht om te worden vergeten in de ontwikkeling van het AI-systeem geïmplementeerd?

De verplichting om deze rechten te implementeren volgt rechtstreeks uit de AVG en wordt voor specifieke aspecten hernomen in specifieke wetgeving, zoals bv. in het WER en de Camerawet. Voor een meer uitgebreid overzicht van de toepasselijke normen wordt verwezen naar hetgeen hierboven reeds werd besproken.

Werd rekening gehouden met de gevolgen voor de privacy en de gegevensbescherming van gegevens die in de loop van de levenscyclus van het AI-systeem worden verzameld, gegenereerd of verwerkt?

Deze vraag wordt gedekt door de verplichtingen volgend uit onder meer de AVG, de Belgische Gegevensbeschermingswet en verschillende andere wetten om voorafgaand aan iedere verwerking van persoonsgegevens en tijdens die verwerking aan de daarin opgenomen verplichtingen te voldoen, die oefening geldt eveneens voor de persoonsgegevens verzameld tijdens de levenscyclus van het AI-systeem. Voor een meer uitgebreid overzicht van de toepasselijke normen wordt verwezen naar wat reeds werd besproken.

Werd rekening gehouden met de implicaties voor de privacy en gegevensbescherming van de trainingsgegevens die geen persoonsgegevens zijn of van andere verwerkte niet-persoonsgegevens?

Deze vraag wordt gedekt door de verplichtingen volgend uit onder meer de AVG, de Belgische Gegevensbeschermingswet en verschillende andere wetten om voorafgaand aan iedere verwerking van persoonsgegevens en tijdens die verwerking aan de daarin opgenomen verplichtingen te voldoen, die verplichting geldt eveneens voor de persoonsgegevens die gecreëerd kunnen worden tijdens de levenscyclus van het AI-systeem, alhoewel dit een vraag is die in de praktijk gemakkelijk over het hoofd gezien zal worden. Voor een meer uitgebreid overzicht van de toepasselijke normen wordt verwezen naar wat reeds werd besproken.

Werd het AI-systeem afgestemd op relevante normen (bijv. ISO, IEEE) of algemeen aanvaarde protocollen voor (dagelijks) gegevensbeheer en -governance?

De vraag heeft betrekking op de vrijwillige toepassing van normen of protocollen.

Er zijn geen algemeen verplichte normen of protocollen van toepassing bij ontwikkeling, aanbieding of gebruik van AI-systemen.

Voor nuttige normen kan gekeken worden naar de (niet-bindende) ISO-normen onder de ISO 27000-serie, die betrekking hebben op informatieveiligheid. Aanvullend daaraan kan ook gekeken worden naar de norm ISO 27701 die een uitbreiding vormt op ISO27001 en ISO 27002. Ook de PCI-DSS-normen zijn relevant.

Check-the-box attitude

Een algemeen probleem bij de toepassing van het gegevensbeschermingsrecht is de zgn. check-the-box attitude. Verplichtingen worden dan op een formalistisch-administratieve wijze ingevoerd, zonder dat ze effectief leiden tot een afdoende gegevensbescherming, noch tot een privacy-vriendelijke (bedrijfs-)cultuur. Het breder gegevensbeschermingsbeleid wordt dan (deels) gereduceerd tot een papieren tijger, waarbij op papier alle(rlei) maatregelen en processen aanwezig zijn, die in de praktijk niet worden toegepast.

Vanuit het beleid moet worden nagedacht hoe organisaties kunnen worden aangezet tot het effectief bevorderen van een privacy-vriendelijke cultuur. Dit kan bijvoorbeeld worden gedaan door het organiseren van workshops en verdere informatieverspreiding.

Gebrek aan duidelijkheid

Ondanks de vergaande harmonisering van het gegevensbeschermingsrecht via de AVG bestaan tot op heden nog heel wat vragen bij hoe bepaalde principes toegepast moeten worden. Mede ingevolge de jonge leeftijd van de AVG en de continue technologische evolutie is het gegevensbeschermingsrecht nog in volle ontwikkeling. In de maand september 2020 werd bv. nog een ontwerp-richtlijn bekend gemaakt, open voor consultatie, over de concepten verwerkingsverantwoordelijke en verwerker en een andere over gerichte reclame via sociale media.

Tegelijkertijd krijgt de invulling van de AVG ook vorm door de verschillende nationale bepalingen dienaangaande, door de sancties, beslissingen en adviezen van de nationale toezichthoudende autoriteiten en door de zich daarover ontwikkelende rechtspraak en rechtsleer.

Dit alles terwijl organisaties de AVG in de praktijk moeten toepassen en nieuwe standpunten en richtlijnen soms ingaan tegen of voorwaarden toevoegen aan bestaande goede praktijken. Dit wordt des te complexer in een AI-context, aangezien veel van deze regels moeilijk toepasbaar zijn in verschillende AI-contexten. Er blijft dus ook nood aan verduidelijking van hoe de AVG toe te passen en dit in het bijzonder in een AI-context. Als stap bij het lenigen van deze nood verwijzen wij graag naar onze verkennende gids ‘Artificiële intelligentie en gegevensbescherming’.

Onvoldoende kennis in startup omgeving

In de praktijk blijkt vaak dat startups zich vaak onvoldoende bewust zijn of onvoldoende bezighouden met gegevensbescherming. Ook hier kunnen workshops en gerichte informatiecampagnes worden georganiseerd.

Gebrek aan voorlichting en handhaving

De Gegevensbeschermingsautoriteit voert sinds meer dan een jaar actief inspecties uit. Er werden bijna 100 beslissingen uitgesproken in geschillendossiers (oktober 2020) en er wordt ook actief aan voorlichting gedaan. Er moet echter vastgesteld worden dat de kans op effectieve sanctionering bij overtreding van het gegevensbeschermingsrecht erg laag blijft. Ook het privacy-bewustzijn in de markt ligt laag, alhoewel dit klaarblijkelijk stijgend is. De lage kans op sanctionering en het lage privacy-bewustzijn dragen ongetwijfeld bij aan de hierboven besproken problemen, waardoor gegevensbescherming al te vaak niet, laag of niet effectief op de agenda staat.

Geen verplichting voor ontwikkelaars of verkopers om privacy-by-design toe te passen op AI-systemen

Een essentieel probleem bij de toepassing van gegevensbeschermingsrecht in de technologiesector en dus ook in een AI-context, is dat dit in principe niet van toepassing is op de ontwikkelaars en verkopers van systemen, tenzij en in die mate waarin ze zelf als verwerkingsverantwoordelijke of verwerker optreden. Het zijn immers enkel deze laatsten die de gegevensbeschermingsregels moeten naleven en bv. zorgen dat gegevensbescherming door ontwerp en standaardinstellingen toegepast worden.

Ongetwijfeld zal het vanuit commercieel oogpunt nuttig zijn als ontwikkelaar of aanbieder om systemen aan te bieden die wel voldoen aan de gegevensbeschermingsvereisten, maar feit blijft dat de eindverantwoordelijkheid bij de gebruiker ligt, terwijl deze daar niet altijd vat op heeft. Idealiter zou op Europees niveau de verplichting om gegevensbescherming door ontwerp en standaardinstellingen opgelegd worden aan alle ontwikkelaars van AI-systemen ontwikkeld voor of gebruikt binnen de Europese Unie.

Remmend effect op de ontwikkeling en het gebruik van AI-systemen?

De vergaande verplichtingen die vanuit gegevensbeschermingsrecht van toepassing zijn bij het verwerken van persoonsgegevens in een AI-context, remmen volgens sommige marktspelers de ontwikkeling en de efficiëntie van AI-systemen, waardoor de maatschappij het potentieel daarvan niet ten volle kan benutten.

Het is daarom belangrijk om specifiek voor AI-systemen voldoende duidelijkheid te krijgen over hoe zij moeten voldoen aan de gegevensbeschermingsverplichtingen, hoe deze verplichtingen een (ongewenste) remming met zich kunnen meebrengen en hoe zij bv. te verenigen zijn met het ‘black box’ principe dat van toepassing is bij sommige AI-systemen. Als stap bij het lenigen van deze nood verwijzen wij graag naar onze verkennende gids ‘Artificiële intelligentie en gegevensbescherming’.

‘Ken je data’

Een vraag die zeker nog ontbreekt in voormelde vragenlijst maar die wel gedekt wordt door het gegevensbeschermingsrecht, is een vraag die ertoe strekt om de verwerker of verwerkingsverantwoordelijke het belang te doen inzien van de gebruikte (persoons-)gegevens en de erop van toepassing zijnde eigenschappen en attributen door en door te kennen. Deze kennis is vereist om een goede en aangepaste kwaliteit van de persoonsgegevens te garanderen. Dit vormt op zich de basisvereiste om persoonsgegevens gegevensbeschermingsconform te verwerken.

Ga naar onze tools pagina