NIEUWSARTIKEL

Sander van der Smissen over de FG en AI

Geplaatst op 02-09-2024  -  Categorie: Interviews  -  Auteur: Sander van der Smissen

sander-van-der-smissen-pmp

In dit interview van de reeks de FG en AI gaan we dieper in op het boeiende onderwerp van Artificial Intelligence (AI) en de impact ervan op gegevensbescherming. Met de opkomst van AI-technologieën worden functionarissen gegevensbescherming geconfronteerd met nieuwe uitdagingen en mogelijkheden. Sander zal zijn expertise delen over hoe AI kan worden ingezet om privacy en gegevensbescherming te verbeteren, maar ook over de potentiële risico's en best practices voor een ethisch gebruik van deze technologieën.

Kun je ons een korte introductie geven over je achtergrond en hoe je betrokken bent geraakt bij het vakgebied van privacy en gegevensbescherming?
Sinds vlak voor het van kracht gaan van de AVG (maart 2018) ben ik werkzaam binnen dit vakgebied. De afgelopen jaren heb ik vanuit PMP allerlei adviesopdrachten gedaan en ben ik mij langzamerhand gaan specialiseren in AI. Tegelijkertijd ben ik veel FG-opdrachten gaan doen. Momenteel ben ik FG voor een hogeschool, een schoolbestuur in het speciaal onderwijs, een onderwijsinstelling in het primair onderwijs, een onderzoeksbureau en een landelijke kinderopvangorganisatie.

In 2015 ben ik afgestudeerd in de sociologie. Dat deed ik met een thesis waarin ik een koppeling maakte tussen ideeën over burgers/migranten, religie, veiligheidsbeleid en ervaring met terrorisme, om zo te verklaren hoe diverse Europese landen reageerden op mensen die deelnamen aan buitenlandse strijd (zogenaamde Syriëgangers). In die tijd ben ik geïntrigeerd geraakt door specifieke termen als counterterrorisme en community policing. Of om het breder te stellen: hoe overheidshandelen en persoonlijke vrijheid geacht worden met elkaar op gespannen voet te staan. Deze extreme tegenstellingen met extreme belangen (terrorismebestrijding versus persoonlijke vrijheden), herkent de privacyprofessional of FG in een iets afgezwakte variant wellicht in diens eigen werk.

Overigens moet ik eerlijkheidshalve vermelden dat er nog een andere belangrijke factor was die maakte dat ik in dit vakgebied terecht kwam. Een jeugdvriend, die reeds bij PMP werkte, vroeg mij of ik niet eens keer zou komen solliciteren.

Hoe zie jij de rol van AI in de huidige en toekomstige landschappen van privacy en gegevensbescherming?
Allereerst erken ik de verstrekkende gevolgen van AI en haar mogelijkheid om de samenleving echt wezenlijk te veranderen (wat momenteel al gebeurt). Maar, ik denk ook dat we momenteel in een hype zitten waardoor de meerwaarde van AI op veel plekken overschat wordt. Dat komt deels door de magie die een relatief onbekend en onbegrepen fenomeen omringt. Daarnaast wordt AI gezien als een easy fix voor aloude, complexe en niet helemaal erkende problemen zoals personeelstekorten of bezuinigingen.

Dat gezegd hebbende gaan AI en gegevensbescherming hand in hand; AI kan nu eenmaal niet zonder gegevens. Maar omdat de veronderstelde brede toepasbaarheid van AI wat mij betreft overschat wordt, zal de belasting voor de privacy- en gegevensbeschermingsbranche meevallen. Een mooi kenmerk van de AI Act en diens risicogebaseerde insteek, is dat niet alle vormen of uitwerkingen van AI evenveel van onze schaarse aandacht vragen.

Welke specifieke uitdagingen zie je voor functionarissen gegevensbescherming bij het implementeren van AI-technologieën binnen hun organisaties?
Een voorzienbaar probleem is dat je moet toezien op iets wat je wellicht niet helemaal doorgrondt. Ik schat in dat veel toezichthouders het onderwerp van AI naar zich toe zullen trekken (zoals de AP al deed). Het alternatief dat een FG er niets van mee wil krijgen, is overigens ondenkbaar. De veelzijdigheid van het onderwerp maakt dat het meerdere disciplines raakt. Daarom moet een FG, meer dan ooit, samenwerking zoeken met andere organisatieonderdelen of functies (ethische commissies, data-analisten, onderzoekers, of mensen van het beleid). Die diverse perspectieven, ervaringen en kennis, zijn relevant voor een verantwoorde implementatie.

Kun je enkele voorbeelden geven van hoe AI kan helpen bij het verbeteren van gegevensbescherming en privacy compliance?
AI is vaak goedkoop, efficiënt en kan met enige mate van onafhankelijkheid ten opzichte van mensen werken. Dat zijn allemaal dingen die stroperige (werk)processen kunnen helpen. Dingen die we hebben bedacht om voor privacycompliance te zorgen, vallen daar geregeld onder. De laatste twee jaar zien we een stormachtige ontwikkeling in (het breed toegankelijk worden van) tekst- en taalmodellen. AI kan dus ondersteunen waar veel tekst wordt verwerkt (opstellen van privacyverklaringen, samenvatten van jurisprudentie). En daarnaast kan goed ontworpen tooling of andere artificiële hulp, de werkdruk van de drukbezette mensen van privacy verlagen, dan kunnen zij zich weer met allerlei andere zinvolle zaken bezighouden.

Hoe kunnen functionarissen gegevensbescherming ervoor zorgen dat AI-systemen binnen hun organisaties ethisch en verantwoord worden ingezet?
Dat kan allereerst door te zorgen dat ze niet de enige persoon zijn die zich hierover druk maakt. Daarnaast zouden alle organisaties er goed aan doen als er een mentaliteit heerst waarbij men bekend is met- en kritisch op de (on)mogelijkheden van AI. Als er besef is van wat AI kan, maar vooral ook wat AI niet kan, is er een veel beter gesprek te voeren over subsidiariteit en effectiviteit. Wanneer die betovering over de nieuwigheid en de oneindige mogelijkheden nog niet doorbroken is, is dat gesprek lastiger. Daarnaast, en dit is een brug naar de volgende vraag, maar ook meteen het allerbelangrijkste hierin: wees je bewust van de diversiteit aan risico’s. Dat betekent aan de ene kant dat we niet al te moeilijk doen over risicoloze inzet van AI. Anderzijds moeten de (meer) spannende toepassingen juist stevig onderbouwd en uitvoerig besproken worden.

Wat zijn de belangrijkste risico's die gepaard gaan met het gebruik van AI in het beheer van persoonsgegevens, en hoe kunnen deze risico's worden gemitigeerd?
Risico’s zijn casusspecifiek. Hopelijk komt er naarmate we ervaring opdoen met de vereisten uit de AI Act, meer duidelijkheid; dat maakt sturen op risico’s makkelijker. Een voornaam algemeen risico dat ik voorzie is de discrepantie tussen de bedrijven die AI ontwikkelen en de bedrijven die het inzetten. De maatschappelijke verantwoordelijkheid voor de juiste inzet van AI ligt vaak bij die laatste groep; terwijl zij meestal niet bij het ontwerp betrokken zijn geweest. Degene die daar wel over gaan, zijn voor een groot deel vertegenwoordigd in een verassend kleine groep bedrijven. Met Big Tech is het vaak moeilijk onderhandelen; ze staan niet bekend om een geschiedenis van volledige openheid, en laten zich niet altijd even makkelijk ter verantwoording roepen.

Welke best practices zou je aanbevelen voor functionarissen gegevensbescherming die te maken hebben met AI-projecten?
Zoek de samenwerking met elkaar als FG’s; én met andere functies of organisatieonderdelen, zowel intern als extern. Zet je eindige aandacht in naar gelang het risico; houd je niet te veel bezig met zaken die privacy rechtelijk niet spannend zijn.

Hoe kunnen functionarissen gegevensbescherming samenwerken met andere afdelingen, zoals IT en juridische afdelingen, en ervoor zorgen dat AI-systemen compliant zijn met de AVG en andere relevante wet- en regelgeving?
Compliance moet niet het (primaire) doel zijn. Te meer omdat er nu nog veel onduidelijk is over wat dat voor de AI-wetgeving precies omhelst. Gelukkig komt er de komende tijd duiding vanuit Europa qua richtlijnen en de oprichting van AI-organen en adviescommissies. Tot die tijd zou ik investeren in meer begrip van het thema en inderdaad in het opzetten van die samenwerking tussen bestaande afdelingen. De wegen naar compliance met AVG zijn hopelijk voor de meesten ondertussen bekend. De DPIA blijft een cruciaal instrument om dat voor al die diverse toepassingen van AI te bereiken.

Wat zijn de meest voorkomende misverstanden of mythes over AI en gegevensbescherming die je bent tegengekomen, en hoe kunnen deze worden aangepakt?
Ik ben vertegenwoordigers tegengekomen uit beide kampen die er aan de uitersten van dit vraagstuk zijn. Zoals vaker bij introductie van nieuwe technologie zijn er enerzijds de optimisten die denken dat dit al onze problemen verhelpt. Anderzijds zijn er altijd pessimisten die alle nieuwe technologie per definitie wantrouwen. Het antwoord ligt natuurlijk in het midden. Misverstanden pakken we zoals eerder gesteld aan met meer kennis, én zuiverheid in de taal die we gebruiken om AI te duiden. Volgens mij zijn er veel (beladen) definities met allerlei aannames daarachter, die constant door elkaar heen worden gebruikt. Ik maak mezelf daar ook schuldig aan door in dit stuk de hele tijd het containerbegrip AI te gebruiken zonder toe te lichten wat ik daaronder versta . Voor een genuanceerdere uiteenzetting is hier helaas geen ruimte.

Wat zijn jouw toekomstvisies op het gebied van AI en gegevensbescherming, en hoe kunnen functionarissen gegevensbescherming zich voorbereiden op deze toekomstige ontwikkelingen?
De historie wijst uit dat de toekomst zich notoir moeilijk laat voorspellen. Zie als voorbeeld de relatief onverwachte ontploffing die ChatGPT teweegbracht, wat op diens beurt weer het schrijfproces van de AI Act sterk beïnvloedde. Ik denk dat FG’s het best met een nieuwsgierige, kritische blik de ontwikkelingen volgen zonder zich al te veel te laten sturen door een van de hierboven genoemde kampen.

Is er nog iets waar je op wilt terugkomen of wat je wilt inbrengen?
Deze tekst is tot stand gekomen zonder inzet van LLM’s.

Meer weten over Sander of contact met hem opnemen? 

Sander is goed te contacteren via zijn LinkedIn profiel, Leden zoeken leden op de NGFG-website en natuurlijk via PMP