Het is bijna allemaal AI wat de klok slaat, al weet niemand precies hoe laat het is. Wat we wel weten is dat het tijd is om te voldoen aan de AI Act en dat betekent weer zoeken naar een gepast beleidskader, controlemechanismes en documentatie. Hoe pakken we dit efficiënt aan? Door te kijken naar wat er al is en hoe we dit kunnen hergebruiken.

Rond gegevensbescherming zien we ondertussen namelijk een verhoogde maturiteit bij veel organisaties die de afgelopen jaren werk hebben gestopt in het optuigen van documentatie en beleid. Vanaf een bepaald niveau ben je vervolgens toe aan wat objectieve reflectie over de stand van zaken: een gegevensbeschermingsaudit, oftewel een formeler meetpunt door een (interne of externe) GDPR auditor.

Daar zit ook meteen een belangrijke optie tot hergebruik: er zijn immers zeer veel raakvlakken tussen de onderwerpen die in een GDPR audit beoordeeld worden en verplichtingen uit de AI Act. We bekijken er enkele:

Transparantie en uitlegbaarheid: een kernprincipe van gegevensbescherming is transparant zijn naar de betrokkene, een aspect dat in een GDPR audit ook nadrukkelijk aan bod zal komen. Identieke verplichtingen komen terug in de AI Act rond de inzet van algoritmen.
De uitvoering van DPIA’s: vele AI systemen zullen onderworpen moeten worden aan een DPIA, in de beoordeling van een DPIA tijdens een audit zullen ook aspecten zoals proportionaliteit, data minimalisatie, juistheid van gegevens, rechten van betrokkenen beoordeeld worden. Dit sluit perfect aan op AI Act vereisten rond ontwerpkeuzes, datasamenstelling en impact op fundamentele rechten.
Geautomatiseerde besluitvorming: misschien wel de grootste overlap tussen de GDPR en AI Act zijn de regels rond geautomatiseerde besluitvorming. Een GDPR audit bij een organisatie die dergelijke besluitvorming doet, zal deze altijd beoordelen en hiermee ook de vereisten uit de AI Act afdekken.
Het beheer van een managementsysteem: voor GDPR audit kijken we zeer vaak naar de ISO27701-norm voor het beheren van “Personal Information Management System” of kortweg PIMS. De basisprincipes van een PIMS zijn nagenoeg identiek aan deze van een AIMS (Artifical Intelligence Management System) zoals voorzien in de ISO42001 standaard, en zoals opgelegd in de AI Act voor hoog-risico AI-systemen.

We beperken ons nu tot de meest evidente raakvlakken, maar het moge duidelijk zijn: dit is hét moment om te starten met GDPR audits om deze te gebruiken als compliance instrument voor de AI Act. Dan blijft enkel nog de vraag: hoe voer je goede GDPR audits uit?

Maak plaats voor onze opleiding tot GDPR auditor! In deze cursus worden ervaren privacy professionals de kneepjes van het auditen aangeleerd door onder andere stil te staan bij: