We doen geen schokkende vaststelling wanneer we zeggen dat het gebruik van artificiële intelligentie (AI) sinds de introductie van ChatGPT nog meer in het vizier van de Data Protection Officer (DPO) is gekomen. In de context van algoritmes en andere lerende modellen kwam we AI al vaker tegen, maar sinds ChatGPT is het onontkoombaar en daarnaast ook beschikbaar voor iedere medewerker in een organisatie.
Dus de kans is groot dat jouw teams al experimenteren met het gebruik van AI binnen je onderneming.
Een vraag voor vele DPO’s is dan ook: kunnen wij ons blijven vasthouden aan de bestaande handvaten van de GDPR, of moeten we elders onze mosterd gaan halen? De GDPR-regelgeving is immers voorgesteld in 2012 toen deze technologie nog in de kinderschoenen stond.
De vrees dat de GDPR-regels al voorbij zijn gestreefd, is wellicht onterecht. Tenslotte is innovatie van alle tijden en zijn de basisprincipes van gegevensverwerking sinds 1980 niet zo heel veel veranderd. Het zijn dan ook alomvattende principes, en met een beetje mentale gymnastiek zijn ze ook goed toe te passen op de AI context.
Dat betekent bijvoorbeeld meer focus op het juistheidsbeginsel: welke data is gebruikt bij de training van het model en hoe weten we dat die juist is en vrij van vooringenomenheid? We kennen immers het principe van “garbage in, garbage out”. Aan de aanbieders van dergelijke AI-software moet dus nadrukkelijk bevraagd worden welke garanties men kan bieden in die context.
Tegelijkertijd gaat de impact van AI over meer dan louter de verwerking van persoonsgegevens. Waar de GDPR de kant van AI met persoonsgegevens beheerst, door diverse algemene verplichtingen, contracten of policies, is er nood aan een breder kader voor het reguleren en implementeren van AI in zijn algemeenheid. Europa was daar ook voor de ChatGPT hype al over aan het nadenken in de vorm van de AI Act.
De laatste loodjes wegen het zwaarst, al is de AI Act ondertussen in de finale stadia van Europese goedkeuring aangekomen. In de basis zien we veel gelijke elementen met de GDPR zoals de algemene governance-insteek en risk based approach. Zo is een belangrijke rol in de AI Act weggelegd voor de beoordeling van AI en de mogelijke risico’s. Een concept dat DPO’s al goed kennen in de vorm van de DPIA, dus het is niet vreemd dat men binnen organisaties al stiekem naar de DPO voor het opvolgen van diverse verplichtingen uit de AI Act kijkt.
Een voorbereide DPO telt voor twee, en laat de AI Act en de synergie tussen de GDPR en de AI Act precies zijn waar onze volgende Stay Tuned Sessie over gaat. Naast de gewoonlijke bespreking van nationale en internationale zaken van gegevensbeschermingsautoriteiten, gaat de workshop van deze Stay Tuned namelijk over de AI Act en meer bijzonder de uitvoering van een AI Impact Assessment.
Meer info of inschrijven? Kijk HIER
***