19/06/2023 - Welkom terug bij Considerati's uitgebreide blogserie over de invloed van kunstmatige intelligentie. Wij, van Considerati, zijn toegewijd aan het verduidelijken van het snijvlak tussen AI en andere gebieden zoals aansprakelijkheid, privacy en ethiek in het licht van de EU AI Act die momenteel naar de trialoogfase gaat. Deze blogreeks werd gelanceerd in de aanloop naar de onlangs gehouden conferentie: Artificial Intelligence, Impact & Update 2023 die Considerati, in samenwerking met Outvie, organiseerde op 16 juni. Prof. dr. Bart Schermer, oprichter van Considerati, sprak over de status en ontwikkelingen van de AI-regelgeving. Responsible Tech consultants Marianne Schoenmakers en Jord Goudsmit verzorgden ook een workshop over het meten en monitoren van Responsible AI Governance binnen organisaties.  

In onze vorige blogposts in de AI-reeks zijn we ingegaan op het voorgestelde aansprakelijkheidsraamwerk voor AI in de Europese Unie ("EU") en hebben we het potentieel van AI om mensenrechtenschendingen te veroorzaken besproken. Een volwassen en gevestigd voorbeeld van deze beide aspecten is het snijvlak van privacy en AI.

Inleiding

In deze blog worden de privacy gevolgen van AI onderzocht vanuit de lens van real-life use-cases en wordt besproken hoe de General Data Protection Regulation ("GDPR") een relevante en functionele regelgeving voor AI is geworden en zal blijven.

Privacy en real-life use-cases van AI 

Twee van de meest voorkomende voorbeelden van AI om ons heen zijn:

• Gepersonaliseerde aanbevelingen: Verschillende online platforms gebruiken AI-algoritmes om gepersonaliseerde inhoud aan te bevelen op basis van de voorkeuren van de gebruiker. Hiervoor analyseert het algoritme gebruikersgegevens zoals aankoop- en browsergeschiedenis, kliktijd en -patronen, online gedrag enz. Andere categorieën binnen persoonsgegevens, waaronder locatie en IP-adres, kunnen door het algoritme worden verwerkt om gebruikers te profileren. Daarom is een legitiem en GDPR-conform gebruik van dergelijke algoritmen essentieel voor de bescherming van de privacy en persoonsgegevens van gebruikers. GDPR-beginselen zoals transparantie en verantwoordingsplicht worden hier des te relevanter, omdat gebruikers zich vaak niet bewust zijn van of geen kennis hebben over het soort en de omvang van de verwerking die op de achtergrond plaatsvindt.
• Virtuele assistenten: Het wordt steeds gebruikelijker voor mensen om assistenten zoals Siri, Alexa en Google Assistant thuis en op het werk te gebruiken. Deze assistenten zijn ook AI-gebaseerde tools, die getraind zijn om commando's van de gebruiker te verwerken en op een gebruiksvriendelijke manier te reageren. Dergelijke assistenten hebben ook de neiging om de opdrachten van de gebruikers op te nemen en te verwerken om de relevantie en nauwkeurigheid van hun output te verbeteren. Daarnaast blijkt uit recent verschenen rapporten dat sommige virtuele assistenten gesprekken om zich heen opnemen en verwerken, al dan niet bedoeld als commando, om hun AI-modellen voortdurend te trainen. Gezien de mogelijk intieme- en privéomgevingen waarin deze virtuele assistenten waarschijnlijk zullen worden gebruikt, is het van cruciaal belang dat het ontwerp en de werking van de assistenten voldoen aan de GDPR. 

Er zijn diverse andere voorbeelden van bestaande en opkomende AI in ons dagelijks leven, waarin we waarschijnlijk niet alleen in onze privésfeer door AI zullen worden omringd, maar ook aan AI zullen worden onderworpen in zeer gegevens intensieve contexten, zoals autonome voertuigen, gezichtsherkenning, kredietcontroles, moderatie van content, en diagnose in de gezondheidszorg. Er moet dus rekening worden gehouden met de GDPR om de rechten en privacy van de betrokkenen te beschermen en om ervoor te zorgen dat de gebruikers en makers van AI zich aan de wet houden en hoge boetes vermijden.

AI-aansprakelijkheid en GDPR

De boete die de Nederlandse Belastingdienst kreeg opgelegd voor het gebruik van zijn zwarte lijst voor fraude (FSV) laat zien hoe, bij gebrek aan definitieve aansprakelijkheidswetten voor AI, de GDPR een betrouwbaar anker is geweest voor verantwoording bij het gebruik van AI. Kort samengevat kwam de Nederlandse belastingzaak voort uit het gebruik van een algoritme voor fraudedetectie door de Belastingdienst. De Belastingdienst werd schuldig bevonden aan verschillende schendingen onder de GDPR, waaronder het verwerken van onjuiste persoonsgegevens waardoor het algoritme onterecht personen op een zwarte lijst plaatse. Dit schond niet alleen de rechten van deze personen onder de GDPR, maar had ook ernstige financiële gevolgen voor hen. Het College Bescherming Persoonsgegevens legde de Belastingdienst aanzienlijke sancties op onder de GDPR. Dit is een goed voorbeeld van het belang van de GDPR voor een verantwoord gebruik van AI.

In de afgelopen vijf jaar heeft de GDPR een solide basis gelegd voor de bescherming van privacy en persoonsgegevens. Sturing van gegevensbeschermingsautoriteiten en EU-autoriteiten zoals het Europees Comité voor gegevensbescherming hebben geholpen om de reikwijdte en het begrip van "persoonsgegevens", de rechtmatigheid van de verwerking, bewaring ervan en de rechten van betrokkenen in deze context te verduidelijken. Gezien het feit dat er in verschillende real-life use cases van AI, zoals hierboven besproken, gebruik wordt gemaakt van persoonlijke informatie van betrokkenen, is het essentieel voor de makers en gebruikers van dergelijke AI om te voldoen aan de GDPR, naast en zelfs nadat AI-specifieke wetgeving is geïmplementeerd.

Conclusie

Ondanks de verspreiding en hype is AI een opkomende technologie met onbeperkte toepassingen en mogelijkheden. Om dezelfde reden is de regulering en het bestuur van AI een complex onderwerp dat een voortdurende ontwikkeling van de wetgeving vereist die gelijke trend houdt met de technologie en die meerdere takken van het juridische stelsel beslaat - van mensenrechten, gegevensbescherming en intellectueel eigendom tot sectorspecifieke wetten. Nu de EU AI Act de trialoogfase ingaat en het voorstel voor de AI-aansprakelijkheidsrichtlijn vooruitgang boekt in het wetgevingsproces, zal er binnenkort een meer gerichte regulering van AI komen. Echter, naast de aankomende wetten, kan het belang en de relevantie van de GDPR, als een even noodzakelijk regelgevend instrument voor AI, niet worden onderschat.

In deze editie van Considerati's AI-blogserie ronden we onze analyse van AI en privacy af. We vertrouwen erop dat ons onderzoek waardevolle inzichten heeft opgeleverd in de ingewikkelde raakvlakken van AI met aansprakelijkheid, privacy en ethiek. De complexiteit van deze relaties zijn cruciaal in ons digitale ecosysteem en het is van cruciaal belang om ze te begrijpen. 

In ons volgende bericht, dat gepubliceerd wordt op 26 juni, sluiten we Considerati's AI Blog Series af met een blik op privacy engineering en AI.