AI & GDPR: meer met elkaar verbonden dan u denkt

De General Data Protection Regulation (GDPR) oftewel Algemene Verordening Gegevensbescherming (AVG) zorgde in 2018 voor een revolutie op het vlak van gegevensbescherming. Door strengere regels in te voeren, tracht de GDPR om natuurlijke personen meer controle en transparantie te bieden bij de verwerking van hun persoonsgegevens door derden. De principes uit de GPDR zijn technologieneutraal, wat betekent dat de toepassing ervan niet afhangt van de technologie die werd gebruikt voor de verwerking van de gegevens. Dit impliceert dus dat het bij de opkomst van nieuwe technologieën – zoals artificiële intelligentie (AI) – van groot belang is om na te gaan of uw onderneming nog steeds voldoet aan de regels uit de GDPR.

AI als dataverslinder
De laatste jaren komen er steeds meer AI-tools op de markt die ondernemingen moeten helpen bij het vergroten van hun operationele efficiëntie en concurrentiekracht. Denk bijvoorbeeld aan chatbots, vertaalapps of automatische facturatiesystemen; de mogelijkheden zijn quasi eindeloos. Al deze verschillende AI-systemen hebben als gemeenschappelijk kenmerk dat ze voor hun ontwikkeling en werking in grote mate afhankelijk zijn van enorme hoeveelheden data. In veel gevallen maken ook persoonsgegevens deel uit van deze data. Het is net deze grootschalige verwerking van persoonsgegevens die AI-tools erg vatbaar maken voor inbreuken tegen de GDPR.

Enkele bijzondere risico’s
Welke specifieke GDPR-risico’s er spelen voor uw onderneming, hangt uiteraard af van welke AI-systemen er reeds werden geïmplementeerd en hoe deze worden gebruikt. Het is dan ook niet mogelijk om in deze blogpost een exhaustief overzicht mee te geven van alle mogelijke risico’s. Wel willen we wijzen op enkele courante risico’s die mogelijk ook voor uw onderneming relevant zijn.

1. Dataminimalisatie
Het is ondernemingen niet toegelaten om meer persoonsgegevens te verzamelen en te bewaren dan strikt noodzakelijk voor het doel van de verwerking. Dit is een uitdaging wanneer het aankomt op AI, aangezien AI net voordeel haalt uit de maximalisatie van data. Ondernemingen die moeite hebben met het vinden van het juiste evenwicht, kunnen er baat bij hebben om de persoonsgegevens op voorhand te anonimiseren. Geanonimiseerde gegevens worden door de GDPR immers niet langer gezien als persoonsgegevens.

2. Geautomatiseerde besluitvorming
Sommige AI-systemen worden gebruikt om automatisch bepaalde beslissingen te nemen aangaande natuurlijke personen, zoals bijvoorbeeld het ontbinden van een contract bij laattijdige betaling of het selecteren van geschikte kandidaten op basis van hun CV. Dergelijke beslissingen zonder menselijke tussenkomst zijn verboden door de GDPR, in de mate dat de beslissing rechtsgevolgen met zich mee brengt of de persoon op een andere manier aanzienlijk wordt getroffen.

3. Passende rechtsgrond
Persoonsgegevens mogen slechts verwerkt worden op basis van één van de zes rechtsgronden uit de GDPR. In veel gevallen zal dit de toestemming zijn van de persoon van wie de gegevens worden verwerkt. Toestemming is slechts geldig indien het gaat om een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daarom kan er enkel sprake zijn van toestemming wanneer de persoon volledig begrijpt hoe zijn persoonsgegevens zullen worden verwerkt. Het is dan ook belangrijk om de werking van complexe AI-systemen zo laagdrempelig mogelijk uit te leggen.

4. Bescherming tegen datalekken
De GDPR legt ondernemingen op om passende organisatorische en technische maatregelen te treffen om de persoonsgegevens te beschermen tegen datalekken. Hoewel dit risico niet enkel speelt bij AI-systemen, wordt het risico wel groter wanneer de onderneming grote hoeveelheden persoonsgegevens verwerkt. Mogelijke maatregelen zijn bijvoorbeeld het inperken van de toegang tot de gegevens, het voeren van een sterk wachtwoordbeleid of het instellen van meervoudige authenticatie (Multifactor Authentication of MFA).

Maak de juiste reflex
Het naleven van de GDPR vraagt bijzondere aandacht van ondernemingen die werken met artificiële intelligentie. Dat men zich bij het implementeren van AI-tools bewust is van potentiële GDPR-risico’s is al een eerste onontbeerlijke reflex. Daarnaast is het nuttig – en meestal verplicht – om bij nieuwe AI-projecten een Data Protection Impact Assessment (DPIA) uit te voeren. Een DPIA is een analyse om GDPR-risico’s te detecteren en laat toe doeltreffende maatregelen te nemen om de risico’s te mitigeren. Deze risico’s zijn bovendien zeker niet enkel theoretisch van aard, gegevensbeschermingsautoriteiten uit verschillende lidstaten legden de laatste jaren reeds boetes op voor privacy-inbreuken gerelateerd aan het gebruik van AI-systemen.

Heeft u nog vragen over wat de GDPR betekent voor het gebruik van AI in uw onderneming? Contacteer gerust Halsten BE.legal voor een advies op maat.