De opkomst van artificiële intelligentie (AI) roept interessante vragen op over het gebruik van persoonsgegevens door AI- of machine learningtechnologieën. AI brengt onmiskenbaar nieuwe en aanzienlijke risico’s met zich mee voor de privacyrechten van betrokkenen.
GDPR vs AI Act
De GDPR en de AI Act lijken sterk op elkaar, aangezien beide EU-wetgevingen voorzien in verantwoordingsplicht, governance en een risicogebaseerde aanpak. Er zijn echter enkele belangrijke verschillen: de GDPR is technologieneutraal en voornamelijk gericht op de bescherming van persoonsgegevens, terwijl de AI Act een risicogebaseerd en technologisch specifiek kader invoert voor de verantwoorde ontwikkeling en het gebruik van AI- en machine learning-systemen binnen de EU.
De GDPR is enkel van toepassing wanneer een AI- of machine learning-systeem persoonsgegevens verwerkt. Wanneer persoonsgegevens via AI worden verwerkt, kan er een sterke overlap ontstaan tussen gegevensbescherming en AI-governance, in het bijzonder wat betreft de transparantieverplichting: door de complexiteit van de gebruikte technologie is het voor betrokkenen vaak niet duidelijk of hun persoonsgegevens worden verwerkt.
GDPR en AI stellen zowel AI-ontwikkelaars als privacyprofessionals (waaronder Data Protection Officers) voor aanzienlijke uitdagingen.
Toepassing van gegevensbeschermingsbeginselen op AI
Het toepassen van de algemene gegevensbeschermingsbeginselen van de GDPR op AI is een complexe oefening en houdt minstens het volgende in:
- Het bepalen van de rollen en verantwoordelijkheden en van de doeleinden van de verwerking.
- De fundamentele gegevensbeschermingsbeginselen in acht nemen en toepassen op elke verwerking: rechtmatigheid, behoorlijkheid en transparantie, doelbinding, dataminimalisatie, juistheid, integriteit en vertrouwelijkheid, privacy by design en verantwoordingsplicht.
- Het vaststellen van een passende rechtsgrond voor elke verwerking.
- De gegevensverwerking beperken tot het noodzakelijke en bewaartermijnen vaststellen.
- Een Data Protection Impact Assessment (DPIA) uitvoeren om alle passende maatregelen te nemen en te implementeren ter beheersing van de risico’s verbonden aan AI-modellen.
- Zorg voor informatie en begrijpelijkheid.
- Zorgen voor een passende gegevensbeveiliging om datalekken of cyberincidenten te voorkomen.
- Ervoor zorgen dat de betrokkenen hun rechten kunnen uitoefenen.
- Toezicht houden op geautomatiseerde beslissingen en de verwerking van gevoelige gegevens.
Het is voor technologiebedrijven van essentieel belang om inzicht te hebben in de komende AI-wetgeving in Europa en zich voor te bereiden op de invoering ervan. Door hun AI-strategieën en bedrijfsprocessen tijdig aan te passen, kunnen zij in deze snel veranderende juridische omgeving zowel naleving van de wetgeving als verantwoorde AI-innovatie waarborgen.
Nuans begeleidt u door deze complexiteit.
