AI vs. AVG: hoe jij de bot beteugelt

ArtikelenPrivacy
Geschreven door Stefan van Nifterick

In de afgelopen weken maakte de hype rondom ChatGPT het voor veel mensen definitief duidelijk: Artificial Intelligence (AI) biedt organisaties oneindig veel kansen. Maar het gebruik ervan brengt óók verantwoordelijkheden met zich mee. Als organisatie moet je natuurlijk rekening houden met de Algemene Verordening Gegevensbescherming (AVG) en de bescherming van privacygevoelige informatie. Zelfs als je niet zelf AI ontwikkelt maar gebruik maakt van tools van derden. Hoe regel je dat op de juiste manier? We duiken erin.

Waar praten we over?

Bij buzzwoorden en hypetermen raakt de definitie nogal eens ondergesneeuwd, dus allereerst maar eens: wat is Artificial Intelligence (AI)? AI is technologie waarbij machines taken uitvoeren, die tot op dat moment eigenlijk alleen door mensen konden worden gedaan. Denk bijvoorbeeld aan het verwerken van taal of het analyseren van beelden. Hierdoor kunnen organisaties bepaalde processen efficiënter uitvoeren en nieuwe inzichten verkrijgen. AI wordt daarom ook vaak ontwikkeld door organisaties zelf, om bedrijfsspecifieke processen een efficiency boost te geven. Of de technologie wordt ingekocht, om bedrijfsonafhankelijke processen soepeler te laten verlopen. Denk daarbij aan tools voor tekstschrijven, voor fraude detectie of het genereren en analyseren van beeld.

Als we het hebben over de impact van Artificial Intelligence op de Algemene Verordening Gegevensbescherming, dan is het goed om nog even kort de definitie van die laatste te geven: de AVG is een Europese verordening die de bescherming van persoonsgegevens regelt. Een verordening waar jij, als het goed is, al sinds mei 2018 mee bezig bent in je organisatie. Wetgeving waar óók de leveranciers van je AI-tools zich aan moeten houden. En dat is waar jij als organisatie tóch in beeld komt. Jij bent namelijk verantwoordelijk voor de gegevensverwerking die plaatsvindt met behulp van de AI van derden.

De juiste AI-leverancier kiezen

Om te bepalen of een AI leverancier de compliancy van jouw organisatie niet in de weg zit, zul je goed moeten screenen op de compliance met de AVG van de beoogde partner. 

Maar hoe doe je dat precies? We geven je een paar tips:

  • Vraag om referenties van andere organisaties die de leverancier gebruiken.

  • Vraag om een overzicht van de technische en organisatorische maatregelen die de leverancier heeft genomen om de gegevens te beschermen.

  • Vraag om een verklaring van de leverancier waarin zij verklaren dat zij zich aan de AVG houden.

Je conclusie moet vrij simpel zijn. Kan een leverancier bovenstaand niet (goed) aanleveren? Dan zou dit niet de partij voor jou moeten zijn, ondanks de mogelijk geniale toepassing en tijdswinst op je primaire bedrijfsproces. Op z’n minst weet je dan in ieder geval welk privacy risico je aanvaardt.

Transparantie en verantwoordingsplicht

Een ander belangrijk aspect is transparantie en verantwoordingsplicht. Dit betekent dat je als organisatie transparant moet zijn over hoe je AI gebruikt en welke gegevens er worden verwerkt. Dit kan bijvoorbeeld door middel van een privacyverklaring of een verantwoordingsdocument. Hierin leg je uit welke gegevens je verzamelt, waarvoor je ze gebruikt en hoe je de privacy van de betrokken personen beschermt. 

Dit is niet alleen verplicht volgens de AVG, maar het is ook gewoon goed voor je reputatie als organisatie. Mensen willen namelijk weten waar hun gegevens naar toe gaan en wat ermee gebeurt. Naast het afkaderen van een heldere scope (welke gegevens worden waar gebruikt), leg je in dit document ook vast welke besluitvorming er mogelijk op basis van AI wordt genomen in je organisatie. 

Je zult wel beamen: tekstuele content genereren met behulp van een bot heeft misschien niet zoveel impact op betrokkenen, maar bij de inzet van AI voor fraude detectie wil je glashelder kunnen communiceren hoe je tot een verdenking bent gekomen. Natuurlijk wil je situaties zoals bij de Belastingdienst voorkomen. 

Je ziet, de voorgaande aanbeveling geldt net zo hard voor de inkoop van AI-technologie, als het voor het gebruik van je zelf ontwikkelde algoritmes. 

Privacy by Design

In de rappe ontwikkeling van software, is privacy nog wel eens de zogeheten ‘after thought’. Een besef achteraf. Er is een fantastische nieuwe mogelijkheid ontwikkeld, de opties zijn eindeloos, maar wat voor data gaat er eigenlijk door zo’n algoritme heen? Kies leveranciers die Privacy by Design toepassen. 

Maar hoe kom je daar vooraf goed achter? Hier zijn een paar tips:

  • Vraag om een overzicht van de manieren waarop de leverancier gegevens anonimiseert of verwijdert. Bij voorkeur gebeurt dat al vóórdat ze worden verwerkt.

  • Vraag om een overzicht van de beperkingen die de leverancier heeft ingesteld op de toegang tot de gegevens.

  • Controleer of de leverancier regelmatig privacy en/of security audits uitvoert. 

Beheer je in je organisatie zelf ontwikkelde AI-toepassingen? Dan moet je dus antwoord op bovenstaand kunnen geven. Over Privacy by Design is veel geschreven, dus we nemen hier alleen paar van de belangrijkste principes met je door: 

  • Zorg dat je minimale gegevensverzameling toepast. Dit betekent dat je alleen de gegevens verzamelt die strikt noodzakelijk zijn voor het doel van de AI-toepassing. 

  • Anonimiseer of pseudonimiseer gegevens voordat je ze verwerkt. Dit betekent dat persoonlijk identificeerbare informatie wordt verwijderd of vervangen door een pseudoniem, zodat het niet mogelijk is om de betrokken personen te identificeren. 

  • Beperk toegang tot je gegevens. Dit betekent dat je regels instelt voor wie toegang heeft tot de gegevens en onder welke omstandigheden deze toegang wordt verleend. 

Vreemde ogen dwingen

Tot slot is er het belang van extern toezicht. Het is goed om te onthouden dat AI-systemen van derden niet altijd correct functioneren, ondanks de beste bedoelingen. Daarom is het aan te raden om extern toezicht in te schakelen. Bijvoorbeeld door middel van een externe auditor of een Privacy Specialist. Zo kun je er zeker van zijn dat je AI-systemen van derden voldoen aan de AVG en dat de privacy van betrokken personen wordt beschermd. 

Blijf vooral toekomstmuziek draaien

Laat na dit artikel nog steeds voorop staan: de mogelijkheden die AI ons biedt om dienstverlening naar een hoger niveau te tillen zijn fascinerend én eindeloos. Om ook over tien jaar die kwaliteit aan je klanten te leveren waar zij om vragen, moet je vooral blijven onderzoeken welke technische toepassingen je daarbij kunnen blijven helpen. En ook het hanteren van een ‘can do’ mentaliteit (hoe gaan we het wel laten werken) ten aanzien van AI toepassingen, lijkt de meest heilzame route om competitief te kunnen blijven. 

Zoals met alle mooie ontwikkelingen, is er een schaduwzijde. Met een kritisch oog voor de implicaties op privacy en aan de hand van bovenstaande tips, zorg jij ervoor dat je je weer kunt focussen op de mooie toepassingen van AI in je bedrijf, terwijl betrokkenen zich geen zorgen hoeven te maken over hun privacygevoelige data. Wel zo ontspannen.

Stefan van Nifterick
Vorige

De impact van ISO 27001:2022
Volgende

MnP Solutions en InTECHrity bundelen krachten