Home » Artificiële Intelligentie » “GDPR-compliant zijn wordt een uitdaging”
Sponsored

AI biedt heel wat mogelijkheden, maar het samenspel met de privacywetgeving is niet altijd even evident. Meer uitleg door Bart Van Den Brande, managing partner bij Sirius Legal advocaten en lid van NVAIR.

Tekst: Joris Hendrickx

“AI is heel vaak gebaseerd op de grootschalige verwerking van persoonsgegevens. Dé grote uitdaging daarbij is om de algemene principes uit de GDPR, die de veiligheid en bescherming van onze persoonsgegevens moeten garanderen, correct toe te passen binnen de context van AI. Zo is bijvoorbeeld transparantie een van de hoekstenen van de GDPR. Burgers hebben recht op heel wat informatie telkens hun persoonsgegevens gebruikt worden.”

Transparantie

“Specifiek bij ‘geautomatiseerde verwerking’ van hun gegevens stelt zich het probleem dat ze ook moeten weten op basis van welke ‘logica’ beslissingen genomen worden. Bij AI gaat het echter vaak over zelflerende algoritmes waarvan we op een bepaald ogenblik niet meer met zekerheid weten hoe ze nu eigenlijk precies tot een beslissing komen.”

“Transparantie wordt dan een moeilijk begrip. Tegen zulke geautomatiseerde beslissingen moet men zich overigens kunnen verzetten, maar in de praktijk is ook dat helemaal niet zo evident. Daarnaast stellen zich enkele andere potentiële conflicten met de GDPR. Zo kan je persoonsgegevens niet onbeperkt bewaren. Ofwel moet je dus werken met geanonimiseerde gegevens, ofwel moet je gegevens kunnen verwijderen als de betrokkene daarom vraagt. Maar ook dat is niet evident bij op AI gebaseerde zelflerende algoritmes.”

Dé grote uitdaging is om de algemene principes uit de GDPR, die de veiligheid en bescherming van onze persoonsgegevens moeten garanderen, correct toe te passen binnen de context van AI.

Technische beveiliging

“Ook technische veiligheid is zeer vaak een issue. Het aantal gevallen van hacking en cybercriminaliteit neemt elk jaar toe. Als AI gebruikmaakt van persoonsgegevens, moet dat in alle veiligheid kunnen gebeuren. De schadeclaims en boetes bij een incident kunnen gigantisch zijn. Ook op AI gerichte bedrijven moeten dus uit zelfbescherming veel meer aandacht hebben voor GDPR-compliance en databescherming. Maar dat gebeurt nog te weinig.”

Voorafgaande check

“De GDPR bevat eigenlijk de perfecte tool om al deze risico’s aan te pakken. De ‘Data Protection Impact Assessment’ is een verplichte voorafgaande controle bij het ontwikkelen van nieuwe technologie waarin gegevens worden verwerkt.”

“Deze moet de potentiële risico’s voor de privacy en dataveiligheid documenteren en moet als basis dienen voor maatregelen die de impact op de privacy zo veel mogelijk beperken. Wie geen voorafgaande DPIA uitvoert, riskeert overigens fikse boetes met betrekking tot de GDPR. Jammer genoeg krijgt zo’n DPIA vandaag veel te weinig aandacht.”

Next article