Voor het verwerken van persoonsgegevens gelden de regels van de AVG. Ook (of misschien wel juist) bij de inzet van Artificial Intelligence (AI) en andere algoritmische toepassingen. Waar moet u rekening mee houden en welke (extra) regels gelden er eigenlijk voor AI?

Persoonsgegevens verwerken in AI-systemen

Uw AI-model of -systeem wordt gevoed met data om het te trainen. Worden uw geavanceerde zelflerende algoritmes ook gevoed met persoonsgegevens of verwerken ze deze op een of andere manier?

Dan gelden de regels van de AVG. Dezelfde regels die gelden voor alle verwerkingen van persoonsgegevens.

Waar u dan zoal aan moet denken?

Ten eerste mag u alleen persoonsgegevens verwerken voor een doel dat u van tevoren heeft vastgesteld. De verzamelde gegevens mag u in principe niet zonder toestemming voor een ander doel gebruiken.

Ten tweede is het belangrijk dat u de juiste, rechtsgeldige grondslag kiest om persoonsgegevens te verwerken. Zie voor meer informatie hierover onze blog ‘6 AVG-grondslagen, maar hoe kies je de juiste?’.

Ten derde dient u zo min mogelijk persoonsgegevens te verwerken. Verwerk niet meer gegevens dan strikt noodzakelijk voor het doel dat u heeft vastgesteld.

Tot slot is het belangrijk dat u de security goed op orde heeft, zodat persoonsgegevens niet in verkeerde handen terecht kunnen komen.

Let extra op deze AVG-regels bij AI-toepassingen

Naast bovenstaande algemene AVG-regels, lichten we ook een paar andere regels uit met betrekking tot algoritmische systemen en AI-toepassingen.

Wees transparant

De AVG verplicht dat u transparant bent over de verwerking van persoonsgegevens richting betrokkenen. Welk type gegevens verzamelt u en voor welk doel zet u dit in? Deze en andere vragen moet u helder communiceren richting personen waarvan u informatie verwerkt.

Gebruikt u een algoritmisch systeem voor bijvoorbeeld uw besluitvorming?

Dan moet u informatie geven over de onderliggende logica en de verwachte gevolgen van die verwerking voor de betrokkene.

Privacy by default en privacy by design

Persoonsgegevens dient u te beschermen door middel van ontwerp (privacy by design) en door standaardinstellingen (privacy by default). Om privacy by default en privacy by design mogelijk te maken, moet privacybescherming een integraal onderdeel vormen van de ontwerpkeuzes en de inrichting van uw AI-model.

Uw AI-systeem moet zo ingericht zijn dat het niet meer persoonsgegevens verzamelt dan noodzakelijk voor het vastgestelde doel en de verzamelde informatie niet langer bewaard dan toegestaan is. Ook moet het eenvoudig zijn voor betrokkenen om hun gegevens in te zien, te wijzigen én te verwijderen. Instellingen voor de gebruiker moeten standaard privacybeschermend zijn.

Tot slot moet het systeem met securitymaatregelen worden beschermd. Onder meer tegen specifieke AI-aanvallen, zoals beschreven in onze blog ‘AI-systeem ontwikkelen? Volg de 5 stappen van de AIVD voor extra security’.

Recht op een menselijke blik

Om mensen controle te geven over hun persoonsgegevens, geeft de AVG hen het recht op een menselijke blik bij besluiten.

Wat dit inhoudt?

De AVG verbiedt in veel gevallen om een belangrijk besluit voor betrokkenen geautomatiseerd - dus zonder tussenkomst van een mens – te nemen. Er zijn uitzonderingen. Is geautomatiseerde besluitvorming bijvoorbeeld noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst?

Dan mag uw algoritme een besluit nemen, mits de persoon in kwestie bezwaar kan maken. Hij of zij heeft dan alsnog recht op een nieuwe, door een medewerker genomen beslissing.

Verplichte DPIA

Zodra u gebruik maakt van algoritmische systemen die persoonsgegevens verwerken, is een data protection impact assessment (DPIA) vrijwel altijd verplicht.

Met een DPIA brengt u vooraf de privacyrisico’s van een gegevensverwerking in kaart. Op basis daarvan kunt u maatregelen treffen om de risico’s te verkleinen.

Lees ook onze blog: ‘Gevoelige persoonsgegevens verwerken? Voorkom problemen met een goede DPIA!’.

Let op!

De Autoriteit Persoonsgegevens wijst u erop dat u naast de regels voor reguliere DPIA’s specifiek aandacht moet besteden aan:

  • technische aspecten, zoals algoritmekeuze, bias en NFL;

  • transparantie en uitlegbaarheid van het algoritme en de inzet daarvan;

  • rechten van betrokkenen, zoals het recht op verwijdering en het recht op rectificatie.

Op de hoogte blijven van deze en andere ontwikkelingen?

Meldt u zich dan nu aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.