Home Kennis AI & privacyrecht

AI & privacyrecht

15 januari 2019
Marte van Graafeiland
en
Janneke Verburg

Onlangs heeft het team Innovation, Privacy & Technology van Pels Rijcken de whitepaper Juridische aspecten van AI & machine learning gepubliceerd.

De komende weken bieden wij u met een aantal blogs een inkijk in de diverse rechtsgebieden die in onze whitepaper aan de orde komen. In dit blogbericht gaan wij wat dieper in op Artificial Intelligence in combinatie met het privacyrecht.

Machine learning

Machine learning is een vorm van Artificial Intelligence (AI) waarbij technologie in staat is zichzelf te ontwikkelen door data-analyse en vervolgens zelf beslissingen te nemen die niet zijn voorgeprogrammeerd. Machine learning-technologie maakt daarvoor gebruik van zelflerende algoritmes. Deep learning, een verdergevorderde vorm van machine learning, is in staat zelf verbanden te leggen tussen data en op basis daarvan conclusies te trekken. Vaak is niet duidelijk hoe deep learning-technologie tot zijn output komt.

Betekenis AVG voor AI

Als bij de ontwikkeling en/of toepassing van een algoritme persoonsgegevens worden verwerkt, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.

Wat betekent de AVG voor de ontwikkeling en toepassing van AI? Enkele punten:

Verwerkingsverantwoordelijke / verwerker

Vastgesteld moet worden wie verwerkingsverantwoordelijke is of zijn en wie verwerker(s). Wie in de context van AI verwerkingsverantwoordelijke of verwerker is, laat zich niet gemakkelijk beantwoorden. Wie het doel bepaalt waarvoor een algoritme zal worden gebruikt kan een rol spelen, maar ook zal relevant zijn wie de verwerkingsverantwoordelijke is voor de persoonsgegevens waarvan bij de ontwikkeling van een zelflerend algoritme gebruik wordt gemaakt. Levert een opdrachtgever bijvoorbeeld de data aan op basis waarvan de ontwikkelaar – ten behoeve van de opdrachtgever – een zelflerend algoritme ontwikkelt, dan zou de opdrachtgever de verwerkingsverantwoordelijke kunnen zijn en de ontwikkelaar de verwerker. Maar maakt een (ingeschakelde) ontwikkelaar (ook) gebruik van zijn ‘eigen’ data, dan zou het goed kunnen dat die ontwikkelaar doorgaans (ook) als verwerkingsverantwoordelijke kwalificeert.

Beginselen van gegevensverwerking

Een verwerkingsverantwoordelijke moet rekening houden met een aantal beginselen van gegevensverwerking. Zo mogen persoonsgegevens in beginsel niet worden verwerkt voor een doel dat onverenigbaar is met het doel waarvoor de persoonsgegevens oorspronkelijk zijn verkregen. De input (data) bij de initiële ontwikkeling van een zelflerend algoritme zal in veel gevallen niet voor de ontwikkeling van dat algoritme zijn verkregen. Er zal in dat geval aan de hand van de criteria in artikel 6 lid 4 AVG moeten worden beoordeeld of sprake is van verenigbare doelen. Goed om te weten is dat een verdere verwerking met het oog op onder meer wetenschappelijke doelen (waar ook technologische ontwikkelingen onder kunnen vallen) als een verenigbare rechtmatige verwerking wordt beschouwd. Vanzelfsprekend moet het wetenschappelijk onderzoek wel aan bepaalde criteria voldoen. Een ander uitgangspunt is: zorg ervoor dat de persoonsgegevens die worden verwerkt juist zijn. Dit geldt ook voor nieuwe gegenereerde data uit bestaande datasets. Zo dwingt het juistheidbeginsel tot het beperken van ´hidden biases´ in input en gegenereerde output (denk aan de omstandigheid dat raciale verschillen een belangrijke wegingsfactor in het zelflerend algoritme (gaan) vormen). En tenslotte het beginsel van dataminimalisatie: er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk.

Grondslag / doorbrekingsgrond

Is er voor de verwerking van persoonsgegevens een grondslag en, als sprake is van bijzondere persoonsgegevens, een doorbrekingsgrond aanwezig? Bij AI-toepassingen zal steeds gekeken moeten worden naar de context waarin van AI gebruik wordt gemaakt en welk doel dat gebruik dient.

Transparantie

Om betrokkenen zo goed mogelijk inzicht te geven in de verwerking van hun persoonsgegevens bevat de AVG verschillende daarop gerichte (transparantie)bepalingen. Zo moeten betrokkenen in beginsel proactief worden geïnformeerd over de verwerking van hun persoonsgegevens en moet als sprake is van geautomatiseerde besluitvorming (zie hierna) inzichtelijk worden gemaakt welke logica aan die besluitvorming ten grondslag ligt.

Geautomatiseerde individuele besluitvorming

Als bij een AI-toepassing sprake is van een beslissing die uitsluitend is gebaseerd op de geautomatiseerde verwerking van persoonsgegevens kan het, afhankelijk van de AI-toepassing, zo zijn dat voldaan moet worden aan de speciale regels die voor bepaalde vormen van geautomatiseerde individuele besluitvorming gelden. Dat kan soms nog een uitdaging zijn.