SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
AI verwerkt persoonsgegevens, en valt daarom onder de privacywetgeving AVG. Weet jij wanneer je er als onderneming mee te maken krijgt en welke maatregelen je kan nemen om het gebruik van AI acceptabel te maken? Gerrit-Jan Zwenne, hoogleraar recht en advocaat met de focus op privacy en gegevensbescherming, vertelt meer over veelgemaakte fouten en geeft advies.
Het verwerken van persoonsgegevens
“De AVG stelt regels over het verwerken van persoonsgegevens in de hele Europese Unie. Dat zijn meer dan 400 miljoen mensen en daarmee een van de belangrijkste markten van de wereld. De wetgeving heeft een enorme reikwijdte, er is geen maatschappelijke organisatie, onderneming of gemeente die geen persoonsgegevens verwerkt. Daarmee zijn de risico’s als je niet voldoet aan de wetgeving ook groot”, zegt Gerrit-Jan.
AI onder de privacywetgeving AVG
Gerrit-Jan: “De AVG bevat bepalingen over algoritmes die van toepassing zijn op wat je met AI doet. AI bestaat uit intelligente algoritmes die vaak persoonsgegevens verwerken om tot een resultaat te komen. Als je zelf AI-tools bouwt, wat op zich al ingewikkeld is, moet je dan voldoen aan de AVG. Ook als je AI gebruikt, zoals ChatGPT of Microsoft Copilot, kan dat ook verwerking van persoonsgegevens met zich meebrengen. Je moet ook dan voldoen aan de eisen die de AVG stelt”.
Behoedzaam gebruik van generatieve AI
“Ik heb bijgedragen aan het advies aan de Rijksoverheid op het gebied van generatieve AI. Eén van de aanbevelingen is dat je niet kunt toestaan dat ambtenaren zo maar problemen gaan oplossen met AI. Het is mogelijk om lange kamerstukken samen te vatten met ChatGPT, maar op het moment dat je vraagt of ChatGPT iets kan vertellen over een sollicitant, verwerk je persoonsgegevens. Het eerste probleem daarmee is dat je persoonsgegevens prijsgeeft aan een onderneming in de Verenigde Staten, en dat kan niet zomaar”, somt Gerrit-Jan op. “Een ander probleem is dat de uitkomsten van AI niet altijd te vertrouwen zijn. Je moet daarom heel voorzichtig zijn als je AI gebruikt om beslissingen te nemen”.
Problematisch gebruik van persoonsgegevens
“Uber gebruikt bijvoorbeeld persoonsgegevens om chauffeurs een score te geven, als de score te laag is, krijgt de chauffeur geen ritten meer. Dit kan grote gevolgen hebben voor de privésituatie van de chauffeur. Hier is over geprocedeerd, er is bepaald dat Uber inzicht moet geven in hoe hun algoritmes werken”, vertelt Gerrit-Jan. “Dat algoritmes ingrijpende gevolgen kunnen hebben, blijkt ook in het geval van Bunq. De bank bepaalde middels een algoritme of er risico was op witwassen en heeft op basis daarvan een aantal dagen rekeningen gesloten. Dit raakt rekeninghouders letterlijk in de portemonnee. Een ander voorbeeld is mensen wel of niet uitnodigen voor sollicitatiegesprekken op basis van een algoritme. Een algoritme kan discrimineren, dat mag zeker niet en kan tot serieuze boetes leiden”.
De omstandigheden van het geval
Gerrit-Jan: “Algoritmes gebruiken mag vaak wel, zolang je het transparant doet en de mensen handelingsperspectief biedt. Je vertelt mensen waarom hun lening wordt afgewezen, bijvoorbeeld omdat ze nog een koop-op-afbetaling af moeten lossen. Daarnaast is het goed om altijd de mogelijkheid te bieden dat iemand, een medewerker, naar een beslissing kijkt. Maar het feit is en blijft dat er altijd allerlei nuances relevant kunnen zijn bij het gebruik van algoritmes, juristen noemen dit ‘de omstandigheden van het geval’. Het hangt van veel factoren af of je algoritmes mag gebruiken. De regels van de AVG en andere wetgeving zijn soms ingewikkeld. Maar je komt al een heel eind als je simpelweg je gezond verstand gebruikt, en op een nette en zorgvuldige manier met elkaar omgaat. En dat je goed kunt uitleggen wat je doet. Het laatste ontbreekt vaak: bij het aanvragen van een stikstofvergunning werd allerlei data ingevoerd van boeren, bijvoorbeeld de hoeveelheid land of koeien. Sommigen kregen geen vergunning, alleen maar omdat de computer zei dat ze die niet kregen (‘computer says no’). Dat is nooit goed genoeg”.
Ontdek onder welke voorwaarden je AI mag gebruiken
“Ik geef tijdens de opleiding Praktische toepassing Privacywet AVG een heldere uiteenzetting van wat de AVG verlangt, wanneer de AVG van toepassing is en wanneer niet. Wat betekent de AVG voor de gebruiker, bijvoorbeeld voor de onderneming die bedrijfsprocessen efficiënter wil maken met behulp van AI? Wanneer is het riskant? We behandelen ook het perspectief van de klant, consument, burger, werknemer of patiënt. Wat als je het niet eens bent met het gebruik van jouw gegevens? Wat zijn jouw rechten? Je leert daarnaast problemen herkennen, zodat je die kunt oplossen”, sluit Gerrit-Jan af. Wil je meer weten over het programma? Vraag dan de brochure aan. De opleiding is ook volledig op maat als Incompany-traject te volgen.
