De snelle ontwikkeling van kunstmatige intelligentie heeft geleid tot het aannemen van de Europese AI Act, die in werking is getreden op 1 augustus 2024. Artificiële intelligentie kan in grote mate persoonsgegevens gebruiken in zowel in het trainen van datasets als bij het trainen van modellen en hierdoor moeten ook deze bedrijven de GDPR-wetgeving in acht houden bij het ontwikkelen en gebruiken van AI software.
GDPR & AI in vogelvlucht
AI-systemen, zeker generatieve AI, verwerken enorme hoeveelheden data waaronder ook persoonsgegevens. Dit gebeurt zowel in het trainen van de datasets waarop de algoritmes werken, tijdens het trainen van het algoritme alsook bij het gebruik van ontwikkelde AI-systemen. De AI act is dan ook van toepassing op aanbieders, gebruikers, gemachtigden, importeurs en distributeurs van AI-systemen.
De Algemene Verordening Persoonsgegevens (beter gekend als de GDPR wetgeving) is technologie neutraal waardoor deze onmiddellijk toepasselijk is op AI-systemen. De AI Act heeft dan ook meerdere verwijzingen gemaakt naar GDPR wetgeving in de wettekst en beide wettelijke kaders zullen moeten simultaan worden toegepast.
Volgende principes zullen dan ook onverkort van gelden voor AI-systemen:
- rechtmatigheid, behoorlijkheid en transparantie: persoonsgegevens worden verwerkt met een geldige, wettelijk basis die in het belang van de persoon is zonder nadelig, discriminerend, onverwacht of misleidend te zijn en dat de onderneming hier transparant over communiceert indien men de data gebruikt voor en met AI modellen.
- doelbinding: gegevens mogen enkel worden verzameld met een vooraf bepaald en gerechtvaardigd doel en de gegevens dan ook niet gebruiken voor andere doelen dan gecommuniceerd aan de datasubjecten.
- dataminimalisatie: bij het verwerken van de persoonsgegevens moet men dit doen met zo weinig mogelijk persoonlijke data.
- juistheid: de persoonsgegevens moeten juist zijn en gecorrigeerd kunnen worden door data subjecten.
- opslagbeperking: gegevens mogen niet langer worden bewaard dan noodzakelijk en men houdt de bewaartermijnen in acht.
- vertrouwelijkheid en integriteit: men gaat om met de gegevens op een integere manier en voorziet de nodige beveiligingsmaatregelen om deze te beschermen van datalekken.
Rechten van datasubjecten
AI-systemen moeten dan ook de rechten van datasubjecten in acht houden en ervoor zorgen dat deze kunnen worden uitgeoefend. Deze rechten zijn het recht op toegang, het recht op rectificatie, het recht om vergeten te worden, het recht om de verwerking te beperken, het recht op gegevensportabiliteit, het recht om bezwaar te maken en het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde grondslag gebaseerde beslissingen.
Hier heeft de Franse gegevensbeschermingsautoriteit (CNIL) al aangegeven dat het nodig kan zijn voor AI producenten om sommige metadata op te slaan zodat op een later moment iemand kan worden geïdentificeerd in een dataset. Indien er data wordt gescraped vanop websites en uit andere bronnen dan wordt er ook aangeraden om deze data te bewaren om zo latere identificatie mogelijk te maken voor datasubjecten. Hierdoor kunnen ook de mogelijke intellectuele rechten worden geïdentificeerd en beschermd indien nodig.
Wat met de output van AI?
De output van AI kan worden geclassificeerd als persoonsgegevens indien de betrokken
personen kunnen worden geïdentificeerd uit deze output. Een belangrijke noot hierbij is dat dit enkel zo is indien de identificatie kan gebeuren wegens het gebruik van persoonsgegevens in de dataset of het algoritme aangereikt door de AI producent. Indien deze identificatie is gebeurd omdat de prompt van de gebruiker persoonlijke data bevat, is de AI producent niet verantwoordelijk voor deze output en valt de verantwoordelijkheid op schouders van de gebruiker.
Wat zijn de volgende stappen voor privacy-proof AI?
1. Privacy by design: vanaf de start van de ontwikkeling en/of gebruik van een AI systeem, worden de nodige maatregelen gesteld om GDPR-proof te zijn. Dit kan door het opmaken van een DPIA (Data Protection Impact Assessment) en LIA’s (Legitimate Interest Assessments). Documenteer ook alle andere processen die worden toegepast om de persoonsgegevens te beschermen en hou de wettelijke bewaartermijnen van persoonlijke data in acht.
2. Kennis is goud waard: De AI Act introduceert AI geletterdheid (AI literacy) waarbij de Europese Unie AI producenten en gebruikers dwingt om hun werknemers op te leiden om zo op een verantwoordelijke en correcte manier om te gaan met persoonsgegevens binnen AI. Er wordt dan verwacht dat werkgevers hun werknemers trainen in het gebruik van AI, sensibiliseren hoe om te gaan met persoonsgegevens op een correcte manier.
3. Voorkomen is beter dan genezen: Bekijk de bestaande documentatie, beleidslijnen en due diligence en maak een inventaris van de huidige AI-systemen en deze in ontwikkeling. Bekijk of deze systemen persoonsgegevens gebruiken en zoja, over dewelke deze gaan en welke risico’s en mogelijk misbruik deze met zich meedragen. Documenteer deze oefening en maak hem periodiek opnieuw. De GBA (Gegevensbeschermingsautoriteit) houdt hier ook toezicht op en kan bij klachten een veroordeling en boete opleggen.
Nood aan hulp bij deze oefening of vragen bij de nieuwe wetgeving? Contacteer ons dan gerust hier.
Comentários