NIEUWSARTIKEL

In dit interview van de reeks De FG en AI gaan we dieper in op het boeiende onderwerp van Artificial Intelligence (AI) en de impact ervan op gegevensbescherming. Met de opkomst van AI-technologieën worden functionarissen gegevensbescherming geconfronteerd met nieuwe uitdagingen en mogelijkheden. Jean Paul zal zijn expertise delen over hoe AI kan worden ingezet om privacy en gegevensbescherming te verbeteren, maar ook over de potentiële risico's en best practices voor een ethisch gebruik van deze technologieën.

Kun je ons een korte introductie geven over je achtergrond en hoe je betrokken bent geraakt bij het vakgebied van privacy en gegevensbescherming?

Ik heb aan de Radboud Universiteit Nederlands recht gestudeerd en daar was ik ook werkzaam als student-assistent Informaticarecht bij Jan Berkvens en Anja Oskamp. Na een korte omzwerving als advocaat kwam ik in 2003 als beleidsmedewerker Bedrijfsleven terecht bij de rechtsvoorganger van de AP, het College Bescherming Persoonsgegevens. Dat bleek het begin van mijn passie voor privacy en mijn drive om gegevensbescherming voor iedereen toegankelijk te maken. Ik ontwikkel en verzorg al meer dan 15 jaar praktijktrainingen voor privacy professionals en ben oprichter en redactielid van Sdu Jurisprudentie Bescherming Persoonsgegevens en auteur van de Sdu Wettenverzameling Privacyrecht en Uitsprakenbundel Wbp. Momenteel ben ik managing partner van L2P, een middelgroot adviesbureau dat ik heb opgericht en dat gespecialiseerd is in privacy- en informatiebeveiliging en sinds 2018 ben ik van veel organisaties de externe FG of coach ik de interne FG. Ik ben FG van o.a. gemeenten, publieke omroepen, ziekenhuizen, zorginstellingen en onderwijsinstellingen.

Hoe zie jij de rol van AI in de huidige en toekomstige landschappen van privacy en gegevensbescherming?

AI is een vloek en een zegen tegelijk. Het grootste risico van AI is naar mijn mening dat het algoritme op dit moment niet altijd logischerwijs controleerbaar en beheersbaar is en dat gebruikers met name oog hebben voor de functionele voordelen. Feit, fictie en onstuitbare ontwikkelingen kunnen dan door elkaar gaan lopen met niet te voorziene gevolgen. Daar tegenover staat de potentie van snelheid, juistheid en volledigheid, harmonisatie, objectivering en toegankelijkheid. Ook zal de inzet van AI een noodzaak worden in de wedloop tussen organisaties en cybercriminelen.

Welke specifieke uitdagingen zie je voor functionarissen gegevensbescherming bij het implementeren van AI-technologieën binnen hun organisaties?

Op basis van mijn gesprekken met andere FG’s en mijn observaties in de afgelopen jaren zou ik zeggen dat de specifieke uitdagingen voor FG’s zitten in:

• het opbouwen van de juiste kennis over de AI-specifieke regelgeving en de verschillende soorten technologie achter de vele verschijningsvormen van AI;
• het kunnen begrijpen van de implicaties van AI op de bedrijfsvoering van de eigen organisatie;
• het op passende (mét draagvlak en niet legistisch) wijze kunnen overbrengen van de risico’s (kans en impact) voor de organisatie en het kunnen adviseren over de risicobehandeling;
• het ophouden van de juiste pet als FG als adviserende toezichthouder. Je niet laten verleiden om feitelijk als privacy officer te gaan fungeren of om jezelf eigenaar te maken van het onderwerp (three-lines-model, juiste governance);
• het monitoren van de moraliteit en daarmee de accepteerbaarheid van de toepassing en het zo nodig adviseren over het bijsturen er van.

Kun je enkele voorbeelden geven van hoe AI kan helpen bij het verbeteren van gegevensbescherming en privacy compliance?

AI kan bijvoorbeeld een waardevolle bijdrage leveren als onderdeel van je SOC-SIEM, interne monitoring en logging van activiteiten, documenten lezen en aanvullen, teksten vertalen of corrigeren, administratie afhandelen (toeslagen beoordelen, bijverdienstencontrole), risicoanalyses maken, menselijke beslissingen valideren.

Hoe kunnen functionarissen gegevensbescherming ervoor zorgen dat AI-systemen binnen hun organisaties ethisch en verantwoord worden ingezet?

Als FG zou ik vooral de focus leggen op het toepassen of tot stand brengen van de interne processen die zorgen voor uitlegbaarheid, controleerbaarheid, corrigeerbaarheid en cyclische evaluatie van de inzet van AI. Ethisch en verantwoord gebruik is niet de verantwoordelijkheid van de FG maar van de hele organisatie. Coalitievorming door de FG met interne en/of externe stakeholders is essentieel zodat de FG niet alleen staat in de bewaking van en besluitvorming over het ethisch en verantwoord gebruik. Als FG ben je een interne toezichthouder met een adviserende bevoegdheid over de AI inzet. Je kunt adviseren over uiterste grenzen om een verwerking rechtmatig te laten zijn, maar niet eigenhandig bepalen waar die uiterste grens uiteindelijk ligt. Leg de bal ook terug waar die hoort: de eerste lijn. Durf ook aan de eerste lijn te vragen wat ze zelf denken over de verantwoorde inzet van AI-systemen.

Wat zijn de belangrijkste risico's die gepaard gaan met het gebruik van AI in het beheer van persoonsgegevens, en hoe kunnen deze risico's worden gemitigeerd?

Ik denk dat de belangrijkste risico’s zitten in de ondermijning van het dataminimalisatiebeginsel en het kunnen aantonen van de juistheid, behoorlijkheid, rechtmatigheid (ongelijke behandeling) en transparantie van de verwerkingen. Daarnaast zie ik als risico de ‘function creep’: onverenigbaar verder gebruiken van persoonsgegevens dan waarvoor ze zijn verzameld.

In zijn algemeenheid is het als eerste van belang dat het proces om de risico’s te identificeren en te kwalificeren aanwezig dient te zijn. Het is lastig om op voorhand nauwkeurig te kunnen aangeven hoe vervolgens de risico’s het beste gemitigeerd kunnen worden. Dat is sterk afhankelijk van de context waarbinnen de verwerkingen plaatsvinden.

Welke best practices zou je aanbevelen voor functionarissen gegevensbescherming die te maken hebben met AI-projecten?

Ook dit is sterk afhankelijk van de context waarbinnen AI wordt toegepast. Wat ik kan aanbevelen is om kennis te nemen van uitgewerkte handreikingen, toetskaders of naslag zoals:

• ‘Impact Assessment Algoritme en Mensenrechten’ van DEDA (universiteit Utrecht);
• het ‘AI Impact Assessment (AIIA)’ van de rijksoverheid;
• de ‘Handreiking non-discriminatie by design’ van de rijksoverheid;
• het ‘Implementatiekader voor de Inzet van Algoritmen (IKA)’ van de rijksoverheid;
• ‘Ethics guidelines for trustworthy AI’ van de Europese Unie;
• het ‘Discriminatie door risicoprofielen, een mensenrechtelijk Toetsingskader’ van het College voor de rechten van de mens.

Hoe kunnen functionarissen gegevensbescherming samenwerken met andere afdelingen, zoals IT en juridische afdelingen, en ervoor zorgen dat AI-systemen compliant zijn met de AVG en andere relevante wet- en regelgeving?

Eigenlijk brengt AI voor een FG naar mijn beleving geen andere aanpak met zich mee. Organisaties dienen een werkend risicobeheersingsraamwerk te hebben waarbinnen het privacy management wordt uitgevoerd en waar de FG op adviseert en toezicht houdt. Idealiter betekent dit dat zodra de behoefte ontstaat aan de inkoop van AI-systemen, het selectieproces van de leverancier wordt doorlopen en waar sprake is van verwerkerschap, de leverancier voorafgaand wordt getoetst op AVG compliance (bijv. als onderdeel van de offerte eisen bij een aanbesteding). Dat er vervolgens een (pre-)DPIA wordt doorlopen als onderdeel waarvan alle relevante stakeholders in samenwerking met de privacy professionals zoals de FG, komen tot een zorgvuldige afweging over de inzet van AI-systemen.

Wat zijn de meest voorkomende misverstanden of mythes over AI en gegevensbescherming die je bent tegengekomen, en hoe kunnen deze worden aangepakt?

Ik kan niet pretenderen dat ik verstand heb van de meest voorkomende misverstanden of mythes maar ik kom er wel een aantal tegen in mijn praktijk:

• dat er specialisten nodig zijn om AI te begrijpen;
• dat gegevensbescherming een demper is op het techno-optimisme;
• dat de eis van transparantie onmogelijk te verenigen is met de inzet van AI;
• dat een privacy professional zekerheid kan geven over een compliant inzet van AI-systemen.

In mijn adviezen en trainingen heb ik het vaak over een aantal regels die je kunt toepassen op elk vraagstuk:

• start met het opbouwen van kennis en inzicht in AI-systemen;
• omarm de verwondering die je tegenkomt bij de inzet van de AI-systemen;
• als je denkt dat je gegrepen wordt door de beklemming die AI-systemen kunnen oproepen; vanuit de beklemming komt altijd de bevrijding.

Wat zijn jouw toekomstvisies op het gebied van AI en gegevensbescherming, en hoe kunnen functionarissen gegevensbescherming zich voorbereiden op deze toekomstige ontwikkelingen?

Toepassing van AI zal onlosmakelijk verbonden zijn met de toenemende digitalisering van onze samenleving. Voor een FG is het van ontzettend groot belang om op tijd kennis van AI- systemen en AI-regelgeving op te doen zodat dit onderwerp zo vroeg mogelijk op de agenda van de organisatie komt te staan. Mijn advies om dit zo vroeg mogelijk te doen is gebaseerd op mijn ervaringen dat de adoptie van noviteiten nogal latent kan zijn in organisaties. Niet zozeer uit onwil maar vooral omdat het tijd duurt om kennis op te bouwen en routine op te doen bij het beoordelen er van en de wijze waarop dit verantwoord kan worden ingezet.

Volg dus op tijd opleidingen, praat met vakgenoten en AI-specialisten en gebruik je chatgroepjes.

Als FG zou ik binnen de organisatie met name sturen op een zorgvuldig afwegingskader en de toepassing er van door bijvoorbeeld te stimuleren dat er een AI-beleid wordt opgesteld. In een AI-beleid kun je ingaan op wat de organisatie wilt, wat de organisatie zou mogen en wat de organisatie minimaal zou moeten doen. Fungeer daarbij als een FG die bruggen bouwt en verbindt waardoor je ook echt effectief kunt zijn. Ontkracht de mythe dat een FG een ‘showstopper’ is en laat zien dat je een ‘business enabler’ kunt zijn. Toon begrip voor de uitdagingen binnen de organisatie en probeer met oplossingen te komen die wél privacy compliant zijn zonder dat de functionaliteit van het AI-systeem wordt aangetast (privacy by design gedachte en het subsidiariteitsbeginsel). Daarnaast zou ik ook sturen op het voorkomen van nog meer data obesitas in de organisatie omdat data gebruik nog wel eens ten onrechte kan worden aangezien als een wondermiddel voor alle problemen. Laat als FG zien dat je data ook kunt gebruiken zonder dat er sprake hoef te zijn van een inbreuk op de persoonlijke levenssfeer. Beperk het gebruik van productiedata en stimuleer het gebruik van synthetische of anonieme gegevens of als het echt niet anders kan, pseudonieme persoonsgegevens.

Is er nog iets waar je op wilt terugkomen of wat je wilt inbrengen?

Hoe kunstmatig de intelligentie ook is, het is natuurlijk de kunst om je Gezond Boeren Verstand te blijven gebruiken!

Meer informatie over of contact opnemen met Jean Paul van Schoonhoven

Wil jij meer weten over of in contact komen met Jean Paul van Schoonhoven? Neem dan een kijkje op zijn LinkedIn profiel of neem contact op met L2P.