De Europese privacytoezichthouders hebben een advies gepubliceerd over het verantwoord inzetten van AI-modellen in het kader van de Europese privacywetgeving. Streven naar anonimiteit lijkt de belangrijkste manier om AI-modellen te kunnen ontwikkelen én te gebruiken. In deze blog leest u over het advies van de European Data Protection Board.
AVG en AI: geen match made in heaven…
AI-modellen liggen aan de basis van populaire AI-tools als ChatGPT, Bing Chat en Perplexity. Hoewel gebruikers niet direct in aanraking komen met het AI-model zelf, bepaalt de kwaliteit ervan de hele gebruikerservaring.
Hoe de kwaliteit van een AI-model wordt vergroot?
Door deze te voeden en te trainen met relevante data. Heel veel relevante data. Daarbij worden vaak – bewust of onbewust – ook (gevoelige) persoonsgegevens gebruikt.
Problematisch, aldus de Europese toezichthouders.
Aangezien AI nu al niet meer weg te denken is uit onze samenleving, rijst de vraag:
Hoe is het dan wel mogelijk om AVG-proof AI-modellen te ontwikkelen en in gebruik te nemen?
Het antwoord hierop is relevant voor zowel ontwikkelaars als gebruikers van AI.
De European Data Protection Board (EDPB) komt daarom met een advies over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen. Hierin worden 3 belangrijke aspecten besproken.
1. Anonimiteit
De EDPB is van mening dat AI-modellen die getraind zijn met (persoons)gegevens niet automatisch als anoniem kunnen worden beschouwd. Het is aan privacytoezichthouders om per geval te beoordelen of een AI-model anoniem is.
In welke gevallen kan een AI-model mogelijk als anoniem worden beschouwd?
Als het zeer onwaarschijnlijk is dat personen van wie de gegevens zijn gebruikt om het model te ontwikkelen, direct of indirect te identificeren zijn.
Als het vrijwel onmogelijk is om dergelijke persoonsgegevens – al dan niet opzettelijk – via zoekopdrachten tevoorschijn te halen.
Om de anonimiteit te kunnen beoordelen, kijken privacytoezichthouders onder meer naar alle middelen en maatregelen die getroffen zijn om de anonimiteit te waarborgen. Denk bijvoorbeeld aan de aanpak die gevolgd is tijdens de ontwikkelingsfase van een AI-model om:
het verzamelen van persoonsgegevens die gebruikt worden voor training van het model te voorkomen of te verminderen;
te zorgen dat gebruikte persoonsgegevens zo min mogelijk te identificeren zijn;
te voorkomen dat persoonsgegevens uit het model kunnen worden gehaald; en
persoonsgegevens zo goed mogelijk te beschermen tegen cybersecurity-aanvallen.
2. Gerechtvaardigd belang
Om persoonsgegevens te mogen verwerken bij het ontwikkelen en gebruiken van AI-modellen, vereist de AVG dat de verwerking is gebaseerd op 1 van de 6 grondslagen.
Gerechtvaardigd belang lijkt een logische keuze, maar daarvoor moet er wel aan 3 voorwaarden worden voldaan.
Er is daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
De verwerking is noodzakelijk om dit belang te behartigen.
Er is een afweging gemaakt tussen uw belangen en die van de betrokkenen.
Daarnaast benadrukt de EDPB dat personen redelijkerwijs moeten kunnen verwachten dat hun persoonsgegevens voor de verwerking in kwestie worden gebruikt.
In het advies gaan de Europese privacytoezichthouders uitgebreider in op de 3 voorwaarden en op welke wijze u hieraan kunt voldoen bij het gebruik en de ontwikkeling van AI-modellen.
Ook worden er maatregelen genoemd die organisaties kunnen nemen om de mogelijke negatieve impact van de verwerking van persoonsgegevens in AI-modellen te verkleinen.
3. Onrechtmatige verwerking
Tot slot gaat de EDPB in op diverse scenario’s waarbij een AI-model is ontwikkeld met onrechtmatig verwerkte persoonsgegevens. Dit kan namelijk grote gevolgen hebben voor de rechtmatigheid van de inzet ervan, tenzij het model voldoende is geanonimiseerd.
Zorgen over privacy en AI
De ontwikkeling en het gebruik van AI-modellen leiden al langere tijd tot kopzorgen bij privacytoezichthouders. Zo meldde de Autoriteit Persoonsgegevens afgelopen zomer dat er steeds vaker meldingen binnenkomen van een datalek door gebruik van een AI-chatbot als ChatGPT.
De Autoriteit Persoonsgegevens adviseerde organisaties toen om – naast duidelijke afspraken over het gebruik van AI – te werken aan bewustwording rondom het gebruik van AI. Bijvoorbeeld door middel van concrete richtlijnen, trainingen en uitlegmateriaal.
Ook de EDPB geeft aan verder te werken aan guidelines met betrekking tot het AVG-proof ontwikkelen en gebruiken van AI. Zo wordt bijvoorbeeld gewerkt aan richtlijnen over de inzet van scraping.
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.