DPA Professionals Privacy informatiebeveiliging AI systeem ontwikkelen deze richtlijnen moeten organisaties kennen
Kennis

AI-systeem ontwikkelen? Deze richtlijnen moeten organisaties kennen

Steeds meer bedrijven gebruiken artificial intelligence (AI). Een AI-systeem kan een organisatie grote voordelen bieden. Denk aan efficiëntere processen, het in beeld brengen van potentiële klanten en het ontwikkelen van nieuwe producten. Maar er kleven ook risico’s aan. Er is nog geen wereldwijd uniform kader en de juridische en ethische aspecten ervan zijn ingewikkeld. Waar moet je allemaal rekening mee houden wanneer je als organisatie een AI-systeem wil ontwikkelen of implementeren? Interim privacy counsel David Lovell deelt de belangrijkste richtlijnen.

Definitie AI-systeem

Artificial Intelligence (AI) of Kunstmatige Intelligentie (KI) is een verzamelbegrip waar machine learning, deep learning en rule based AI voorbeelden van zijn. Er bestaan oneindig veel toepassingen voor. AI-systemen zijn door mensen ontworpen systemen die mensachtige vaardigheden zoals interpreteren, redeneren en leren nabootsen. Het is zelfs mogelijk dat een AI-systeem zichzelf daarin op basis van data verbetert (machine learning en deep learning). Actuele voorbeelden van AI-systemen die organisaties helpen efficiënter te werken? Denk aan een klantenservice-chatbot, een systeem dat helpt ziektes te herkennen, maar ook aan een algoritme op basis van cookies waarmee je gepersonaliseerde content weergeeft aan je websitebezoekers.

Voorstel tot verordening

Wereldwijd bestaat er niet één “standaard” definitie voor een AI-systeem. In april 2021 heeft de Europese Commissie daarom een eerste voorstel gedaan voor een verordening tot vaststelling van geharmoniseerde regels betreffende AI. Het doel hiervan is een technologieneutrale definitie van AI-systemen in EU-recht vast te stellen. En een classificatie vast te stellen voor AI-systemen met verschillende eisen en verplichtingen, toegespitst op een 'risicogebaseerde benadering'.

Waar moeten organisaties rekening mee houden?

Voor je als organisatie een AI-systeem ontwikkelt of gebruikt, is het raadzaam rekening te houden met:

  1. De Algemene verordening gegevensbescherming (AVG) en het voorstel tot een verordening van de Europese Commissie
  2. Ethische aspecten
  3. Organisatorische aspecten
  4. Bias
  5. Uitspraken van de Autoriteit Persoonsgegevens

Relatie tussen AI, de AVG en het voorstel voor een verordening

Onder de AVG heeft de persoon het recht niet te worden onderworpen aan geautomatiseerde besluitvorming die duidelijke gevolgen heeft voor deze persoon. Dit betekent dat de organisatie die een AI-systeem wil inzetten waarin geautomatiseerde besluitvorming aan de orde is, effectieve menselijke controle op het besluit moet garanderen. Privacy en gegevensbescherming moeten worden gegarandeerd vanaf het begin tot en met de ontmanteling of vernietiging van een systeem.

Voorstel Europese Commissie

Het voorstel van de Europese Commissie classificeert AI-systemen in drie categorieën: systemen met een onacceptabel risico, systemen met een hoog risico en systemen met een laag risico. AI-systemen met een onacceptabel risico zijn in het voorstel verboden. Bijvoorbeeld een systeem dat besluiten neemt die de kwetsbaarheid van een groep personen vergroot. Denk hierbij bijvoorbeeld aan een geautomatiseerd besluit waarbij iemand wordt benadeeld doordat diegene in een bepaald profiel past, zonder dat met zijn/haar persoonlijke situatie rekening gehouden is. Het voorstel stelt voorwaarden aan systemen met een hoog risico en, in mindere mate, voor systemen met een laag risico.

Ethische beginselen en bias AI-systeem

AI-systemen kunnen grote gevolgen hebben voor de gebruiker en de samenleving in het algemeen. Daarom moeten organisaties ook rekeninghouden met het ethische aspect en de mogelijke vooroordelen/vooringenomenheden (bias) in het systeem. Hoewel het begrip ‘ethisch’ normatief is, is het als bedrijf noodzakelijk om ethiek mee te nemen in het creëren van een AI-systeem. De AI HLEG heeft nuttige richtlijnen opgesteld met daarin vier ethische beginselen. Deze beginselen bieden een goede basis voor een AI-traject:

  1. Respect voor menselijke autonomie
    Zorg dat mensen die met het systeem werken hun volledige en effectieve zelfbeschikking kunnen behouden.
  2. Preventie van schade
    AI-systemen mogen geen fysieke of mentale schade voor mensen veroorzaken.
  3. Rechtvaardigheid
    Het systeem moet mensen gelijk en rechtvaardig behandelen. Houd rekening met bias in het systeem en maak beroep of bezwaar tegen de beslissing van het systeem mogelijk.
  4. Verantwoording
    Het systeem moet transparant zijn. Stel betrokkenen op de hoogte en maak beslissingen verklaarbaar voor de personen die er direct of indirect gevolgen van ondervinden.

Hulp nodig van een interim privacy counsel zoals David? Krijg meer informatie en neem vrijblijvend contact op.

DPA-Professionals-Privacy-informatiebeveiliging-David-Lovell

David Lovell

Interim privacy counsel

Toezicht door de Autoriteit Persoonsgegevens

Toezicht op AI en algoritmes is één van de drie focusgebieden van de Autoriteit Persoonsgegevens (AP) voor 2020-2023. Ook vermeldt de AP op haar website dat belangrijke beslissingen met noemenswaardige menselijke tussenkomst dienen te worden genomen. In veel gevallen zal een Data protection impact assessment (DPIA) nodig zijn bij de inzet van AI. Dit is een instrument om vooraf de privacyrisico's van een gegevensverwerking in kaart te brengen.         

De potentiële voordelen van AI zijn enorm en wegen sterk op tegen de nadelen. Net zoals met een verwerking van persoonsgegevens, moeten organisaties goed nadenken over mogelijke gevolgen voor gebruikers en alle keuzes documenteren. Maar neemt een organisatie alle genoemde beginselen mee en is het systeem te verklaren voor zowel organisatie als de gebruiker? Dan kan er op een verantwoorde manier van de potentie van AI gebruik worden gemaakt die de samenleving tot dienst is.

Versterking nodig van een privacy & informatiebeveiliging professional?

Heeft jouw organisatie hulp nodig bij het ontwikkelen van een AI-systeem of een ander privacyvraagstuk? Ons team van interim privacy counsels staat voor je klaar.

Meer informatie
DPA-Professionals-Privacy-informatiebeveiliging-David-Lovell
David Lovell

Interim privacy counsel

Over de auteur

David Lovell is werkzaam als interim privacy counsel. Via DPA werkte hij onder andere voor Philips, Bilfinger, Conexxion/Transdef en het COA. David houdt zich onder meer bezig met het privacybeleid binnen organisaties en is verantwoordelijk voor de daadwerkelijke beoordeling van complexe privacyvraagstukken.