AI gebruiken i.c.m. persoonsgegevens? Een DPIA is vereist!
Met de toenemende integratie van AI in ons dagelijks leven wordt het steeds belangrijker om aandacht te hebben voor (persoons-) gegevensbescherming. Het verbaast mij persoonlijk zeer hoe gretig mensen op de diverse social media kanalen AI tools en tips aanprijzen zonder stil te staan bij de privacy (en security) keerzijde. Want er zijn wel degelijk privacyrisico’s bij het gebruik van AI in combinatie met persoonsgegevens. En de Autoriteit Persoonsgegevens vereist in zo’n geval een DPIA.
Wat is een DPIA?
Een DPIA is een is een instrument om vooraf de privacyrisico’s te beoordelen en waar nodig maatregelen te nemen om deze kleiner te maken. De afkorting DPIA staat voor “Data Protection Impact Assessment”, in het Nederlands “Gegevensbeschermingseffectbeoordeling”. De DPIA helpt organisaties privacy-risico’s te identificeren en te minimaliseren. Deze is verplicht als de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert. Denk daarbij aan cameratoezicht, verwerking van bijzondere persoonsgegevens of het gebruik van nieuwe technologieën zoals dus AI. De DPIA is een essentieel onderdeel van de AVG en moet uitgevoerd worden voordat je mag starten!
Breng de privacyrisico’s van AI in kaart met een vereiste DPIA
AI staat bij de Autoriteit Persoonsgegevens (AP) op de lijst met “hoog risico verwerkingen” en het zijn dus voorbeelden van nieuwe technieken waarvan de AP eist dat een organisatie een DPIA doet alvorens te starten met de verwerking. Ofwel, voordat jij AI mag gebruiken en naam en toenaam opneemt in je prompts, is een DPIA vereist! Bij het gebruik van AI in combinatie met persoonsgegevens is een DPIA vereist om verschillende redenen.
- Ten eerste helpt een DPIA bij het identificeren en minimaliseren van de privacyrisico’s. AI-systemen kunnen in theorie grote hoeveelheden persoonlijke gegevens verwerken en patronen ontdekken die voor ons niet direct zichtbaar zijn, wat kan leiden tot onbedoelde privacyinbreuken.
- Ten tweede zorgt een DPIA ervoor dat de verwerking van persoonsgegevens kan voldoen aan de privacywetgeving. Redelijk recent kreeg creditcardmaatschappij ICS een fikse boete voor het niet uitvoeren van een DPIA waar dat wel verplicht was.
- Ten slotte stimuleert een DPIA transparantie en verantwoordingsplicht bij het gebruik van AI, door organisaties te dwingen na te denken over hoe en waarom persoonsgegevens worden gebruikt, en om passende maatregelen te nemen om de (persoons)gegevens te beschermen.
Wat moet je weten van een AI tool als je deze gebruikt i.c.m. persoonsgegevens?
Sommige AI tools zijn super handig, maar het gebruik ervan is op zijn minst discutabel. Laat ik een voorbeeld geven. Stel je voor je bent helemaal klaar met het notuleren van vergaderingen en besluit deze te gaan opnemen en het audio- of zelfs videobestand te uploaden naar een tool die automatisch kan transcriberen. En deze tool kan wellicht ook nog een samenvatting maken en actielijsten opstellen. Je komt een eind in ChatGPT, maar mensen worden nog blijer van een meer gespecialiseerde tool zoals Aiko of fireflies.
Klikt fantastisch, de “maren” zijn echter:
- Wat doet de AI tool met je prompt? Wordt deze opgeslagen? Wordt deze gebruikt om het model te trainen? Is de verwerking binnen de EU?
- Wat doet het model met de opname? Wordt deze opgeslagen? Geanalyseerd? Zit er stemherkenning in? Dat moet bijna wel om te kunnen transcriberen en de spraak te koppelen aan de juiste naam.
- Bij verwerkingen waarbij je een externe partij inschakelt zal je met die externe partij een overeenkomst moeten opstellen wanneer je persoonsgegevens deelt met die partij! Vanuit de privacy bekeken is dat veelal een verwerkingsovereenkomst, een moderne vorm van een geheimhoudingsverklaring. Deze is niet altijd aanwezig. Heb je een Microsoft 365 abonnement afgesloten, dan zit daar automatisch een verwerkingsovereenkomst in. Dus het gebruik van de AI tool Copilot valt daaronder. Maar is dat bij andere tools ook zo?
Hoe voorkom je dat je een DPIA moet uitvoeren als je AI wilt gebruiken?
Als je wel AI wilt gebruiken, maar geen DPIA wilt uitvoeren, anonimiseer dan gewoon je prompts. Zorg er dus voor dat de prompt-invoer niet te herleiden is naar een persoon. Daarnaast is het natuurlijk slimmer om een AI tool te gebruiken die binnen de kaders van een bestaande overeenkomst vallen. Zoals de eerder besproken tool Microsoft Copilot die beter geschikt is voor zakelijk gebruik, mits je organisatie al een Microsoft 365 abonnement heeft.
Wil je meer weten over DPIA’s, al dan niet in combinatie met AI? Neem gerust contact met me op, ik help je graag verder!
Bouke van Kleef
Directeur AVK – Innovatiecoach
Bronnen: Copilot – Autoriteit Persoonsgegevens – ICT recht
Volg ons