AI en naleving van de wetgeving op het gebied van gegevensbescherming: Een gids voor organisaties

Het gebruik van hulpmiddelen voor kunstmatige intelligentie (AI) neemt steeds meer toe, zowel in organisatorische als persoonlijke contexten. Het aanbod van AI-tools en de soorten informatie die ze verwerken breiden zich snel uit. 

In dit artikel worden de belangrijkste overwegingen besproken waarmee organisaties rekening moeten houden bij het gebruik van AI-tools om naleving van de wetgeving op het gebied van gegevensbescherming te waarborgen. 

Wetten gegevensbescherming Verenigd Koninkrijk 

Het gegevensbeschermingskader van het Verenigd Koninkrijk bestaat uit het volgende: 

• De bewaarde versie van de EU-wetgeving van de Algemene verordening gegevensbescherming (EU 2016/679); 

• De Wet bescherming persoonsgegevens 2018 (DPA 2018); 

• De Voorschriften van 2003 inzake privacy en elektronische communicatie (EG-richtlijn) (SI 2003/2426) 

Het is belangrijk om op te merken dat de Algemene verordening gegevensbescherming van de EU (EU 2016/679) heeft extraterritoriale werking en kan ook van toepassing zijn op voor de verwerking verantwoordelijken en verwerkers in het Verenigd Koninkrijk die actief zijn binnen de EU. 

AI-tools en gegevens 

De afgelopen jaren zijn we getuige geweest van de ontwikkeling van AI-tools die in hoge mate afhankelijk zijn van persoonlijke gegevens. Alexa van Amazon bijvoorbeeld, dat veel wordt gebruikt door inwoners van het Verenigd Koninkrijk, verzamelt routinematig aanzienlijke hoeveelheden gegevens, waaronder: 

• Betalingsinformatie 

• Live locatie 

• Records van communicatieverzoeken, die persoonlijke gegevens kunnen bevatten 

• Aankoopgeschiedenis 

• Winkelgewoonten 

Ook Meltwater, een AI-tool voor media, sociale media en consumenten, genereert inzichten in klantgedrag door gegevens uit verschillende bronnen te verwerken, waaronder live chats, accounts op sociale media en aankoopgeschiedenis. 

Omdat AI-instrumenten zich snel ontwikkelen, blijft het verzamelen van gegevens een integraal onderdeel van hun functie. Het is vrijwel zeker dat de gegevens die door sommige AI-tools worden verzameld persoonsgegevens, gegevens van speciale categorieën en mogelijk gegevens over kinderen zullen bevatten. 

Daarom is het voor organisaties van cruciaal belang om ervoor te zorgen dat de wetgeving op het gebied van gegevensbescherming wordt nageleefd. 

De AI-begeleiding 

De Information Commissioner's Office (ICO) heeft richtlijnen opgesteld over AI en gegevensbescherming (de "AI-begeleiding") om organisaties te helpen de relevante gegevensbeschermingswetgeving te interpreteren voor zover deze van toepassing is op AI. In de AI-gids worden ook aanbevelingen gedaan voor goede praktijken voor organisatorische en technische maatregelen om de risico's van AI voor personen te beperken. 

De ICO definieert AI breed en erkent het als een standaard industrieterm die verschillende technologieën omvat. Een belangrijk onderdeel van AI is 'machinaal leren', waarbij computatietechnieken worden gebruikt om statistische modellen te maken van grote datasets. Deze modellen worden vervolgens gebruikt om voorspellingen of classificaties te doen over nieuwe gegevens, en veel van de huidige interesse in AI draait om machine learning. 

De AI-leidraad gaat daarom in de eerste plaats in op de risico's en uitdagingen op het gebied van gegevensbescherming die voortvloeien uit AI op basis van machinaal leren. Er wordt echter ook erkend dat andere vormen van AI extra uitdagingen op het gebied van gegevensbescherming met zich mee kunnen brengen. 

Op wie is de AI-leidraad van toepassing? 

De AI-leidraad is bedoeld voor twee brede doelgroepen: 

1. Degenen die zich richten op nalevingmet inbegrip van: 

• Functionarissen voor gegevensbescherming 

• Algemeen adviseur 

• Risicomanagers 

• Hoger management 

• De eigen controleurs van de ICO, die de AI-leidraad zullen gebruiken als informatie voor hun controlefuncties in het kader van de gegevensbeschermingswetgeving. 

2. Technologie specialistenmet inbegrip van: 

• Machine learning-ontwikkelaars en datawetenschappers 

• Softwareontwikkelaars/ingenieurs 

• Cyberbeveiliging en IT-risicomanagers 

Dit artikel concentreert zich op aspecten van de AI Guidance die relevant zijn voor organisaties die zich richten op naleving. Organisaties worden echter aangemoedigd om de AI-leidraad in zijn geheel te bekijken. 

Belangrijkste aspecten van de AI-leidraad 

De AI-leidraad is uitgebreid en gedetailleerd. Hieronder belichten we de belangrijkste punten voor organisaties die AI gebruiken. 

Wat zijn de implicaties van AI voor verantwoording en bestuur? 

Organisaties moeten: 

• Hun interne structuren, rollen en verantwoordelijkheden, trainingseisen, beleid en stimulansen afstemmen op hun AI-governance- en risicomanagementstrategieën. 

• Voortdurend aantonen hoe ze omgaan met gegevensbescherming door ontwerp en standaardverplichtingen. 

• Ervoor zorgen dat hun governance- en risicobeheercapaciteiten in verhouding staan tot hun gebruik van AI. 

• Een algemeen verantwoordingskader ontwikkelen als basis voor het aantonen van hun verantwoordingsplicht volgens de wetten voor gegevensbescherming, waarop ze hun aanpak voor AI-verantwoordelijkheid kunnen baseren. 

Hoe zorg je voor transparantie in AI? 

• Organisaties moeten transparant zijn over de manier waarop ze persoonsgegevens verwerken in AI-systemen om te voldoen aan het transparantiebeginsel. 

• Voordat een organisatie begint met het verwerken van persoonlijke gegevens, moet ze haar transparantieverplichtingen overwegen ten opzichte van de personen van wie ze de persoonlijke gegevens wil verwerken. 

• De organisatie moet in haar privacyinformatie details opnemen over de doeleinden voor het verwerken van persoonlijke gegevens, de bewaartermijnen voor die gegevens en de entiteiten met wie de gegevens zullen worden gedeeld. 

• Als de gegevens rechtstreeks bij personen worden verzameld, moet de privacy-informatie worden verstrekt op het moment van de verzameling, voordat de gegevens worden gebruikt om een model te trainen of dat model toe te passen. Als de gegevens uit andere bronnen worden verzameld, moet de privacy-informatie binnen een redelijke termijn, uiterlijk binnen een maand, worden verstrekt. 

Hoe zorg je voor rechtmatigheid in AI? 

• Om aan het rechtmatigheidsbeginsel te voldoen, moet een organisatie elke afzonderlijke verwerking uitsplitsen en voor elke verwerking het doel en een passende rechtmatige grondslag vaststellen. 

• Wanneer persoonsgegevens worden verwerkt, of dit nu is om een nieuw AI-systeem te trainen of om voorspellingen te doen met behulp van een bestaand systeem, moet de organisatie hiervoor een passende grondslag hebben. 

Wat moeten organisaties weten over eerlijkheid en statistische nauwkeurigheid? 

• Statistische nauwkeurigheid verwijst naar de verhouding juiste en onjuiste antwoorden die door een AI-systeem worden geproduceerd. 

• AI-systemen moeten voldoende statistisch nauwkeurig zijn om te garanderen dat de verwerking van persoonsgegevens voldoet aan het eerlijkheidsbeginsel. 

• Om aan het eerlijkheidsprincipe te voldoen, moeten organisaties ervoor zorgen dat persoonsgegevens worden behandeld op een manier die personen redelijkerwijs zouden verwachten en niet op een manier die ongerechtvaardigde nadelige gevolgen voor hen heeft. 

• Organisaties moeten voorkomen dat persoonsgegevens worden verwerkt op manieren die onnodig nadelig, onverwacht of misleidend zijn voor de betrokken personen. Het consequent verbeteren van de statistische nauwkeurigheid van de output van een AI-systeem is één manier om ervoor te zorgen dat het eerlijkheidsbeginsel wordt nageleefd. 

Hoe moeten organisaties beveiliging en dataminimalisatie bij AI beoordelen? 

• Bij de verwerking van persoonsgegevens moeten organisaties zorgen voor passende beveiligingsniveaus tegen ongeoorloofde of onwettige verwerking, onopzettelijk verlies, vernietiging of beschadiging. 

• De beveiligingsmaatregelen die een organisatie neemt, moeten in verhouding staan tot het niveau en het type van de risico's die voortvloeien uit specifieke verwerkingsactiviteiten. 

• Om trainingsgegevens te beveiligen, moeten technische teams alle bewegingen en opslag van persoonlijke gegevens registreren en documenteren. Bovendien moeten alle tussenliggende bestanden met persoonlijke gegevens die niet langer nodig zijn, worden verwijderd. 

• Ongeacht of AI-systemen intern, extern of door een combinatie van beide worden ontwikkeld, organisaties moeten ze beoordelen op beveiligingsrisico's. 

• Het personeel moet over de nodige vaardigheden en kennis beschikken om veiligheidsrisico's aan te pakken. 

Hoe garanderen organisaties individuele rechten in hun AI-systemen? 

• De wetgeving inzake gegevensbescherming geeft personen verschillende rechten met betrekking tot hun persoonsgegevens. In de context van AI zijn deze rechten van toepassing wanneer persoonsgegevens worden gebruikt in enig stadium van de ontwikkeling en invoering van een AI-systeem. 

• Het recht op rectificatie kan bijvoorbeeld van toepassing zijn op persoonsgegevens die worden gebruikt voor het trainen van een AI-systeem. Hoe groter het belang van nauwkeurigheid in deze gegevens, hoe meer moeite organisaties moeten doen om de nauwkeurigheid ervan te controleren en waar nodig te rectificeren. 

• Organisaties kunnen ook verzoeken ontvangen om persoonlijke gegevens binnen opleidingsgegevens te wissen. Hoewel het recht op wissen niet absoluut is, moeten dergelijke verzoeken in overweging worden genomen, tenzij de gegevens worden verwerkt op grond van een wettelijke verplichting of een publieke taak. 

• Om eerlijkheid en transparantie te garanderen, moeten organisaties personen informeren als hun persoonsgegevens worden gebruikt om een AI-systeem te trainen. Deze informatie moet worden verstrekt op het moment dat de gegevens worden verzameld. 

Neem contact met ons op - AI en gegevensbescherming advocaten 

Sali Zaher, Commerciële geschillen Associate, kan u helpen bij geschillen over AI en gegevensbescherming. Mocht u vragen hebben over dit onderwerp, neem dan contact op met Sali Zaher via e-mail op S.Zaher@rfblegal.co.uk of telefonisch op 020 7467 5766.