In dit interview van de reeks De FG en AI gaan we dieper in op het boeiende onderwerp van Artificial Intelligence (AI) en de impact ervan op gegevensbescherming. Met de opkomst van AI-technologieën worden functionarissen gegevensbescherming geconfronteerd met nieuwe uitdagingen en mogelijkheden. Jean Paul zal zijn expertise delen over hoe AI kan worden ingezet om privacy en gegevensbescherming te verbeteren, maar ook over de potentiële risico's en best practices voor een ethisch gebruik van deze technologieën.
Ik heb aan de Radboud Universiteit Nederlands recht gestudeerd en daar was ik ook werkzaam als student-assistent Informaticarecht bij Jan Berkvens en Anja Oskamp. Na een korte omzwerving als advocaat kwam ik in 2003 als beleidsmedewerker Bedrijfsleven terecht bij de rechtsvoorganger van de AP, het College Bescherming Persoonsgegevens. Dat bleek het begin van mijn passie voor privacy en mijn drive om gegevensbescherming voor iedereen toegankelijk te maken. Ik ontwikkel en verzorg al meer dan 15 jaar praktijktrainingen voor privacy professionals en ben oprichter en redactielid van Sdu Jurisprudentie Bescherming Persoonsgegevens en auteur van de Sdu Wettenverzameling Privacyrecht en Uitsprakenbundel Wbp. Momenteel ben ik managing partner van L2P, een middelgroot adviesbureau dat ik heb opgericht en dat gespecialiseerd is in privacy- en informatiebeveiliging en sinds 2018 ben ik van veel organisaties de externe FG of coach ik de interne FG. Ik ben FG van o.a. gemeenten, publieke omroepen, ziekenhuizen, zorginstellingen en onderwijsinstellingen.
AI is een vloek en een zegen tegelijk. Het grootste risico van AI is naar mijn mening dat het algoritme op dit moment niet altijd logischerwijs controleerbaar en beheersbaar is en dat gebruikers met name oog hebben voor de functionele voordelen. Feit, fictie en onstuitbare ontwikkelingen kunnen dan door elkaar gaan lopen met niet te voorziene gevolgen. Daar tegenover staat de potentie van snelheid, juistheid en volledigheid, harmonisatie, objectivering en toegankelijkheid. Ook zal de inzet van AI een noodzaak worden in de wedloop tussen organisaties en cybercriminelen.
Op basis van mijn gesprekken met andere FG’s en mijn observaties in de afgelopen jaren zou ik zeggen dat de specifieke uitdagingen voor FG’s zitten in:
AI kan bijvoorbeeld een waardevolle bijdrage leveren als onderdeel van je SOC-SIEM, interne monitoring en logging van activiteiten, documenten lezen en aanvullen, teksten vertalen of corrigeren, administratie afhandelen (toeslagen beoordelen, bijverdienstencontrole), risicoanalyses maken, menselijke beslissingen valideren.
Als FG zou ik vooral de focus leggen op het toepassen of tot stand brengen van de interne processen die zorgen voor uitlegbaarheid, controleerbaarheid, corrigeerbaarheid en cyclische evaluatie van de inzet van AI. Ethisch en verantwoord gebruik is niet de verantwoordelijkheid van de FG maar van de hele organisatie. Coalitievorming door de FG met interne en/of externe stakeholders is essentieel zodat de FG niet alleen staat in de bewaking van en besluitvorming over het ethisch en verantwoord gebruik. Als FG ben je een interne toezichthouder met een adviserende bevoegdheid over de AI inzet. Je kunt adviseren over uiterste grenzen om een verwerking rechtmatig te laten zijn, maar niet eigenhandig bepalen waar die uiterste grens uiteindelijk ligt. Leg de bal ook terug waar die hoort: de eerste lijn. Durf ook aan de eerste lijn te vragen wat ze zelf denken over de verantwoorde inzet van AI-systemen.
Ik denk dat de belangrijkste risico’s zitten in de ondermijning van het dataminimalisatiebeginsel en het kunnen aantonen van de juistheid, behoorlijkheid, rechtmatigheid (ongelijke behandeling) en transparantie van de verwerkingen. Daarnaast zie ik als risico de ‘function creep’: onverenigbaar verder gebruiken van persoonsgegevens dan waarvoor ze zijn verzameld.
In zijn algemeenheid is het als eerste van belang dat het proces om de risico’s te identificeren en te kwalificeren aanwezig dient te zijn. Het is lastig om op voorhand nauwkeurig te kunnen aangeven hoe vervolgens de risico’s het beste gemitigeerd kunnen worden. Dat is sterk afhankelijk van de context waarbinnen de verwerkingen plaatsvinden.
Ook dit is sterk afhankelijk van de context waarbinnen AI wordt toegepast. Wat ik kan aanbevelen is om kennis te nemen van uitgewerkte handreikingen, toetskaders of naslag zoals:
Eigenlijk brengt AI voor een FG naar mijn beleving geen andere aanpak met zich mee. Organisaties dienen een werkend risicobeheersingsraamwerk te hebben waarbinnen het privacy management wordt uitgevoerd en waar de FG op adviseert en toezicht houdt. Idealiter betekent dit dat zodra de behoefte ontstaat aan de inkoop van AI-systemen, het selectieproces van de leverancier wordt doorlopen en waar sprake is van verwerkerschap, de leverancier voorafgaand wordt getoetst op AVG compliance (bijv. als onderdeel van de offerte eisen bij een aanbesteding). Dat er vervolgens een (pre-)DPIA wordt doorlopen als onderdeel waarvan alle relevante stakeholders in samenwerking met de privacy professionals zoals de FG, komen tot een zorgvuldige afweging over de inzet van AI-systemen.
Ik kan niet pretenderen dat ik verstand heb van de meest voorkomende misverstanden of mythes maar ik kom er wel een aantal tegen in mijn praktijk:
In mijn adviezen en trainingen heb ik het vaak over een aantal regels die je kunt toepassen op elk vraagstuk:
Toepassing van AI zal onlosmakelijk verbonden zijn met de toenemende digitalisering van onze samenleving. Voor een FG is het van ontzettend groot belang om op tijd kennis van AI- systemen en AI-regelgeving op te doen zodat dit onderwerp zo vroeg mogelijk op de agenda van de organisatie komt te staan. Mijn advies om dit zo vroeg mogelijk te doen is gebaseerd op mijn ervaringen dat de adoptie van noviteiten nogal latent kan zijn in organisaties. Niet zozeer uit onwil maar vooral omdat het tijd duurt om kennis op te bouwen en routine op te doen bij het beoordelen er van en de wijze waarop dit verantwoord kan worden ingezet.
Volg dus op tijd opleidingen, praat met vakgenoten en AI-specialisten en gebruik je chatgroepjes.
Als FG zou ik binnen de organisatie met name sturen op een zorgvuldig afwegingskader en de toepassing er van door bijvoorbeeld te stimuleren dat er een AI-beleid wordt opgesteld. In een AI-beleid kun je ingaan op wat de organisatie wilt, wat de organisatie zou mogen en wat de organisatie minimaal zou moeten doen. Fungeer daarbij als een FG die bruggen bouwt en verbindt waardoor je ook echt effectief kunt zijn. Ontkracht de mythe dat een FG een ‘showstopper’ is en laat zien dat je een ‘business enabler’ kunt zijn. Toon begrip voor de uitdagingen binnen de organisatie en probeer met oplossingen te komen die wél privacy compliant zijn zonder dat de functionaliteit van het AI-systeem wordt aangetast (privacy by design gedachte en het subsidiariteitsbeginsel). Daarnaast zou ik ook sturen op het voorkomen van nog meer data obesitas in de organisatie omdat data gebruik nog wel eens ten onrechte kan worden aangezien als een wondermiddel voor alle problemen. Laat als FG zien dat je data ook kunt gebruiken zonder dat er sprake hoef te zijn van een inbreuk op de persoonlijke levenssfeer. Beperk het gebruik van productiedata en stimuleer het gebruik van synthetische of anonieme gegevens of als het echt niet anders kan, pseudonieme persoonsgegevens.
Hoe kunstmatig de intelligentie ook is, het is natuurlijk de kunst om je Gezond Boeren Verstand te blijven gebruiken!
Wil jij meer weten over of in contact komen met Jean Paul van Schoonhoven? Neem dan een kijkje op zijn LinkedIn profiel of neem contact op met L2P.