De EU is de eerste mondiale speler die een wetgevend kader voor artificiële intelligentie (AI) aanneemt.
De Commissie interne markt en de Commissie burgerlijke vrijheden van het Europees Parlement hebben op 11 mei 2023 hun standpunt vastgelegd in de aanloop naar de onderhandelingen met de lidstaten en de Europese Commissie.
In deze blog zullen we de wisselwerking tussen deze AI-act en de GDPR bespreken en de waarschijnlijke impact ervan op de regelgeving inzake databescherming.
Ook zullen we kort ingaan op hoe de AI-act de rol van de DPO zal beïnvloeden.
Wat is AI ?
Kunstmatige intelligentie” (AI) wordt gedefinieerd als “een technisch of machine gebaseerd systeem dat, voor een bepaalde reeks doelstellingen, een output kan genereren zoals bijvoorbeeld de inhoud, voorspellingen, aanbevelingen of beslissingen die van invloed zijn op echte of virtuele omgevingen. AI-systemen zijn dan ook ontworpen om te werken met verschillende niveaus van autonomie”.
2. Wat is de AI-wet?
De AI-wet is een initiatief van Europa om AI te reguleren. Dit zou de eerste concrete wet over AI zijn ter wereld. De AI-wet deelt toepassingen van AI in op vier risiconiveaus, namelijk: onaanvaardbaar risico, hoog risico, beperkt risico en minimaal of geen risico.
3. Verboden: Applicaties met onaanvaardbare risico’s
Tot deze groep behoren:
- AI-systemen maken of breiden gezichtsherkenningsdatabases uit door middel van ongericht schrapen.
- AI-systemen die emoties afleiden bij wetshandhaving, grensbeheer, de werkplek en het onderwijs.
- AI-systemen die subliminale technieken of manipulatieve of misleidende technieken gebruiken om gedrag te vervormen.
- AI-systemen die gebruik maken van de kwetsbaarheden van individuen of specifieke groepen.
- Biometrische categoriseringssystemen op basis van gevoelige attributen of kenmerken.
- AI-systemen die worden gebruikt voor sociale scores of het evalueren van betrouwbaarheid.
- AI-systemen die worden gebruikt voor risicobeoordelingen die strafrechtelijke of administratieve overtredingen voorspellen.
4. Waarom het belangrijk is dat AI op deze manier gereguleerd wordt
De belangrijkste reden hiervoor is dat AI op heden, maar zeker nog meer in de toekomst, veel delen van ons leven kan beïnvloeden. Enkele van deze zaken zijn o.a.:
- het beïnvloeden van welke informatie wij online zien door te voorspellen welke inhoud ons aanspreekt;
- gegevens van gezichten vast leggen en analyseren om wetten af te dwingen of advertenties te personaliseren;
- het diagnostiseren en behandelen van kanker.
5. Welke vraag moeten we ons stellen?
De vraag die we ons nu moeten stellen is of de AI- wet is voorzien op deze verscheidenheid aan toepassingen? En vooral, of AI niet te fel beperkt wordt door de opkomst van deze wet.
Er zijn verschillende mazen en uitzonderingen in de voorgestelde wet. Deze tekortkomingen beperken het vermogen van de wet om ervoor te zorgen dat AI een positieve factor in ons leven blijft.
Momenteel is bijvoorbeeld gezichtsherkenning door de politie verboden, tenzij de beelden met vertraging worden gemaakt of de technologie wordt gebruikt om vermiste kinderen op te sporen.
Waar we ons wel al zorgen over kunnen maken, is de vraag of er in de AI-act onze data voldoende zal beschermen en hoe de wisselwerking is met de GDPR-bepalingen. Hier zullen we dieper op ingaan.
6. Het verband tussen de AI-regelgeving en GDPR
Net als de GDPR in 2018, zou de AI-wet van de EU een wereldwijde norm kunnen worden, die bepaalt in welke mate AI eerder een positief dan een negatief effect heeft op ons leven.
Een van de twee grondslagen die door de Europese Commissie wordt gebruikt ter rechtvaardiging van de AI-wet, is artikel 16 van de VWEU, dat de EU de opdracht geeft om regels vast te stellen met betrekking tot de bescherming en verwerking van persoonsgegevens van natuurlijke personen.
De AI-wet en GDPR zijn beide gebaseerd op artikel 16 VWEU, wat betekent dat ze elkaar aanvullen als het gaat om de bescherming van betrokkenen.
De regels van de AI-wet vullen op bepaalde punten de bescherming aan die al geboden wordt door de GDPR.
Het Europees Comité voor gegevensbescherming (EDPB) en de Europese Toezichthouder voor gegevensbescherming (EDPS) hebben zelfs voorgesteld dat AI-systemen moeten voldoen aan de GDPR-naleving om de vereiste CE-markering te verkrijgen.
Deze samenhangende regelgeving draagt bij aan een solide kader voor gegevensbescherming in de context van AI-toepassingen.
7.Verwerkingsverantwoordelijke
Onder de GDPR is de ‘verwerkingsverantwoordelijke’ hoofdzakelijk verantwoordelijk voor de verwerking van persoonsgegevens. Bij de implementatie van AI-systemen zullen de ‘gebruikers’ van de AI-wet in de uitrolfase eerder als ‘verwerkingsverantwoordelijken’ worden beschouwd volgens de GDPR. Dit betekent dat ze, zelfs met beperkte taken onder de wet, aansprakelijk blijven voor het gebruik en de gevolgen van persoonsgegevens in verband met AI-systemen.
De aanbieders van AI-systemen zullen onder de GDPR worden gekwalificeerd als “verwerkers”, die de persoonsgegevens verwerken namens de gebruikers van AI en hun instructies volgen, met name als ze ondersteuning of onderhoudsdiensten verlenen voor AI-systemen.
8. Wat worden de aanbieders van AI-systemen?
Onder de GDPR worden aanbieders van AI-systemen meestal ‘verwerkers’. In de ontwikkelingsfase en voor nalevingsdoeleinden kunnen ze echter als ‘verwerkingsverantwoordelijken’ worden beschouwd, afhankelijk van de verwerking van persoonsgegevens volgens de AI-wet.
9. Naar welke verwijzingen bevat de AI-wet om GDPR-compliance te zijn?
De AI-act bevat enkele verwijzingen naar GDPR-compliance, zoals de verplichting voor gebruikers om informatie uit HRAIS-gebruiksinstructies te gebruiken voor gegevensbeschermingseffectbeoordelingen (DPIA’s).
Aanbieders van AI-systemen hebben een strenge transparantieverplichting jegens klanten/gebruikers, waarbij gebruiksinstructies en technische documentatie details specificeren. Hoewel de AI-act bepaalde verplichtingen regelt, kunnen gebruikers/controllers onder de GDPR bredere naleving en transparantie eisen, zelfs voor AI-systemen die niet als HRAIS zijn gekwalificeerd.
Belang van de DPO
We hebben in punt 2 kunnen vaststellen dat AI-systemen kunnen worden aangedreven met persoonlijke gegevens.
Ook is de AI-act opgebouwd rond een op risico gebaseerde benadering en risicobeheer.
Dit is ook de manier waarop de GDPR is opgebouwd. De DPO weet dus al wat het is om een gegevensbeschermingseffectbeoordeling(DPIA) uit te voeren en een risicoanalyse te doen.
Ook weet de DPO hoe hij een programma moet opzetten, een beleid moet opzetten, een audit moet uitvoeren en teams moet trainen.” De DPO zal dan ook de ideale persoon zijn om (AI-) bedrijven te ondersteunen in het naleven van de GDPR-bepalingen en de AI-act.
Wat zijn de volgende stappen van de AI-act?
Het Europees Parlement zal Mid-Juni 2023 een plenaire stemming houden, daarna gaan de onderhandelingen tussen de Europesen Raad, het Europees, Parlement en de Europese Commissie van start om overeenstemming te bereiken over een definitieve tekst, die naar verwachting wordt voortgezet van juni tot en met december 2023.
Vanaf het moment dat de definitieve AI-act in werking is getreden, wordt deze 24 maanden hierna officieel van toepassing. Momenteel wordt verwacht dat dit in de eerste helft van 2026 zal zijn.
Contacteer een erkend DPO voor al uw vragen rond AI.
