De choreografie tussen AI en GDPR

Wist je dat als je een artificiele Intelligentsysteem (AIS) ontwikkelt om persoonlijke gegevens te verzamelen en te verwerken voor advertenties, je rekening moet houden met de regels van de GDPR en het verbod op gerichte advertenties voor minderjarigen op basis van de DSA?

Wat zijn AIS?

Artificiele Intelligentie Systemen (‘AIS’) zijn een integraal onderdeel van ons leven geworden en keren terug in verschillende capaciteiten en applicaties. Hoewel de technologie geen universele definitie heeft, wordt het vaak geassocieerd met complexe algoritmische systemen zoals Large Language Models (LLM) (zoals de GPT modellen achter ChatGPT).

In de praktijk

En toch is AI meer aanwezig in ons leven dan we ons realiseren. Denk aan de aanbevelingssystemen die zinnen suggereren terwijl we e-mails schrijven of de samengestelde ranglijsten van liedjes en video’s op onze sociale media.

AI kan zelfs thuis een rol spelen, waar het slimme luidsprekers of robotstofzuigers aandrijft die persoonlijke gegevens kunnen vastleggen, zoals beelden van de binnenkant van je huis.

Of je nu overweegt om AIS te gebruiken in je privéleven of op de werkplek, in een tijdperk waarin AI steeds meer een prominente plaats inneemt in diverse aspecten van ons leven, kan het interessant zijn om enkele algemene overwegingen te benadrukken bij het ontwikkelen of inzetten van AIS.

GDPR?

De Algemene Verordening Gegevensbescherming (GDPR) stelt een algemeen kader vast met kernprincipes en regels voor de verwerking van persoonsgegevens in de Europese Unie.

Ja, je hebt het goed gelezen. Vanwege de correlatie tussen AIS en de verwerking van persoonsgegevens zullen de GDPR-regels hier ook een rol spelen. En hoewel de principes hetzelfde blijven, kunnen sommige moeilijker te voldoen zijn dan je aanvankelijk dacht.

Het doel bepalen:

Het bestemmingsprincipe vereist dat je AIS wordt ontwikkeld, getraind en ingezet met een duidelijk gedefinieerd doel dat in overeenstemming is met het beperkt aantal rechtsgronden bepaald door de GDPR.

In de praktijk betekent dit dat je zowel moet definiëren:

Een doel voor de leerfase – zoals duidelijk definiëren waarom je gegevens verwerkt voordat je je systeem ontwikkelt en traint – en
Een doel voor de productie- of implementatiefase – wat ook vereist dat je de toekomstige mogelijkheden, inclusief de machine learning-capaciteiten van AIS, meeneemt.

Informatie en uitleg:

Het transparantieprincipe draait om het verstrekken van informatie of communicatie met betrekking tot de verwerking van persoonsgegevens op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke manier, met gebruik van duidelijke en eenvoudige taal.

Hoewel het op het eerste gezicht eenvoudig lijkt, kan het toepassen hiervan zowel in de leer- als de implementatiefase uitdagender zijn dan je denkt. Denken we bijvoorbeeld aan onrechtstreekse of afgeleide gegevens. Daarbovenop is het geven van een nauwkeurige uitleg over complexe en ondoorzichtige AI-systemen een hele opdracht.

Ten slotte is het interessant om te vermelden dat de komende EU-wetgevingsinstrumenten, zoals de Artificial Intelligence Act (AIA) of de Digital Services Act (DSA), bepalingen bevatten die de reikwijdte van deze eis verder zullen versterken.

Uitoefening van rechten:

Het respecteren van de rechten van individuen onder de GDPR is essentieel voor AI-systemen die persoonsgegevens verwerken.

Toegang, rectificatie, verwijdering, beperking, overdraagbaarheid en bezwaar zijn essentiële rechten die individuen in staat stellen om hun persoonsgegevens te begrijpen en te beheren.

Deze rechten moeten gedurende de hele levenscyclus van het AI-systeem gehandhaafd worden, inclusief gegevens in de trainingsdata en gegevens die tijdens de productie- of implementatiefase worden geproduceerd.

Daarom moeten gegevensbeheerders mechanismen en procedures opnemen om verzoeken van betrokkenen te behandelen, rekening houdend met het feit dat bepaalde uitzonderingen van toepassing kunnen zijn voor AI die wordt gebruikt in wetenschappelijk onderzoek.

Bovendien is het belangrijk om te overwegen dat AI-modellen zelf vaak persoonsgegevens bevatten. Sommige algoritmen bevatten inherent fragmenten van trainingsgegevens, terwijl andere modellen onbedoeld persoonlijke informatie kunnen vastleggen, wat noodzaakt tot waarborgen tegen potentiële risico’s.

Aankomende wetgeving?

We verwachten verschillende nieuwe wetgevingsinstrumenten die een geheel nieuwe reeks regels zullen introduceren ter aanvulling op het bestaande GDPR-kader:

Data Governance Act (DGA) met regels over gegevensgebruik en -deling (aangenomen);
Digital Services Act (DSA) die de regels vaststelt voor online platformen en tussenpersonen – online marktplaatsen, sociale netwerken, platformen voor het delen van inhoud, app-winkels en online reis- en accommodatieplatforms;
Digital Markets Act (DMA) die verplichtingen en verboden vaststelt voor Gatekeepers (grote digitale platforms met kernplatformdiensten – zoals bijvoorbeeld online zoekmachines, app-winkels en berichtendiensten. Denk bijvoorbeeld aan Google en Amazon.) – wat een nawerking zou kunnen hebben voor kleinere entiteiten;
Data Act met regels over eerlijk gebruik en toegang tot gegevens;
Artificial Intelligence Act (AIA) die de regels vaststelt voor AI-systemen op basis van een risicogebaseerde benadering;
Aansprakelijkheidsrichtlijnen omvatten de gewijzigde Productaansprakelijkheidsrichtlijn (PLD) en de Aansprakelijkheidsrichtlijn voor Artificiele Intelligentie (AILD).

Auteur: Parastou Amiri, Julie Van Eyck