Nieuwe technologie: wie is verantwoordelijk?
De ontwikkeling van AI berust op het verzamelen en analyseren van big data, waaronder persoonsgegevens. Met machine learning komt dat proces in een stroomversnelling en wordt het steeds moeilijker om een overzicht te behouden, en correct met data om te gaan. Valt AI te rijmen met gegevensbescherming? En hoe kan je als bedrijf ethisch met AI aan de slag? We vragen het aan privacyjurist Matthias Dobbelaere-Welvaert.
Hoewel AI grote voordelen biedt, zien we ook meer fake news en privacyschendingen door deze technologie. Zo werd de Republikeinse presidentscampagne in de VS ingezet met AI-gegenereerde beelden. En in Italië werd ChatGPT verboden omdat er te veel persoonsgegevens door worden verwerkt. Kan de privacywetgeving gelijke tred houden met de technologische evolutie?
Da’s natuurlijk een belangrijke vraag. Een verbod op AI-toepassingen is wellicht niet de oplossing, want die toepassingen komen er sowieso. Maar het is paniekvoetbal, bij gebrek aan een Europese wetgeving. Daarop wachten we al jaren. Zowel voor- als tegenstander van de technologie willen dat kader, want het schept duidelijkheid en een werkbare basis.
Het is een complexe kwestie. Er is ook geen transparantie over de bronnen van de data die door AI-machines worden verwerkt. De privacywet is ruim geschreven en kan de vraagstukken rond new tech wel capteren, maar het afdwingen van privacyrechten is problematisch. Want wie is aansprakelijk?
AI werkt met steeds meer algoritmes, waarbij een machine automatisch beslissingen neemt. Zit daar een ethische logica achter? Kan je AI ethisch reguleren?
Dat is wel absoluut de bedoeling. In 2021 kwam het eerste wetsvoorstel rond AI van de Europese Commissie, maar door de zware lobby errond is die nog niet goedgekeurd. Daarin zijn transparantie en de grote ethische kwesties ruim opgenomen. Amerikaanse bedrijven leiden het debat, maar zodra ze data verwerken van Europese onderdanen, moeten ze de Europese wetgeving volgen. We wachten op de Europese regelgeving rond AI, maar we zijn alvast beschermd door de GDPR. Zo oordeelde het Europees Hof van Justitie al enkele keren – onder druk van privacyactivist Max Schrems – dat de data-uitwisseling van de EU naar de VS illegaal is, omdat de VS niet kan garanderen dat de veiligheidsdiensten die data niet zullen screenen.
Kan je vandaag als bedrijf garanderen dat de persoonsgegevens die verzameld worden voor AI-toepassingen correct worden gebruikt?
De datastromen zijn momenteel het grootste probleem. Ontwikkelaars hebben daar niet altijd het overzicht over. Zeker bij een zelflerend AI-systeem, waarbij je wordt overgeleverd aan een algoritme. Zo mogen de persoonsgegevens die op jouw website staan, niet zomaar mogen worden opgehaald door AI als ‘beschikbare’ informatie, als antwoord op een vraag. Maar dat ‘beseft’ AI dus niet.
De controle over onze data wordt daardoor bijna onmogelijk. Ik zeg niet dat AI het einde betekent van onze privacy, maar het is een grote opdoffer voor wie privacy wil beschermen. Want nu vecht je niet alleen meer tegen overheden en corporates, maar ook tegen algoritmen en die leggen nog minder verantwoording af.
Als Europese ontwikkelaars aan de slag willen met AI, moeten ze nagaan: is de dataset legitiem verkregen, met toestemming van de betrokken personen? Of is de data verkregen uit een andere geldige verwerkingsgrond? Als je dat niet kan garanderen, kan de data dan ontdaan worden van persoonsgegevens, kan je de info anonimiseren? En dat is ontzettend veel werk.
Daarom kan je vandaag als Europees bedrijf maar moeilijk een toepassing als ChatGPT lanceren als je GDPR-compliant wil zijn.
Wie heeft auteursrecht over wat voortvloeit uit een AI zoals ChatGPT?
In principe kan dat enkel een natuurlijke persoon zijn. Volgens ChatGPT ben je dat zelf, als jij een tekst genereert. Maar wie is aansprakelijk wanneer er fouten in de tekst staan en stukjes uit teksten van anderen, en als je geen bronnencontrole kan doen? ChatGPT begrijpt niks van het belang van bronnen. Je kan het zien als een kind dat heel erg zijn best wil doen en constant wil pleasen, maar dat ondertussen wel een risico vormt. Want ook zaken als auteursrecht zijn nog onduidelijk.
Als we even uitzoomen: waarom is het zo belangrijk om persoonsgegevens te beschermen?
Als je tien jaar geleden had gezegd: binnenkort nemen we vingerafdrukken van minderjarigen, DNA-stalen van pasgeborenen, en stellen overal op de weg camera’s op die je 24/24 volgen en kunnen identificeren … dan hadden we misschien gerebelleerd. Maar dat gebeurt niet, omdat overheden en bedrijven alles heel geleidelijk introduceren. Eerst verschijnt er hier en daar een camera, en voor je het weet staan onze wegen en steden vol. Of we nemen eerst vingerafdrukken voor het Europees paspoort, en geleidelijk aan verschuift dat naar het nationaal paspoort en ook naar minderjarigen. Dat geleidelijke, dat voel je niet zo. Nochtans ligt je privacy aan de basis van je veiligheid en een gezonde democratie.
Het is dus erg belangrijk dat we het gebruik van onze persoonsgegevens door AI kunnen beschermen. Techbedrijven werken vaak met een standaard verwerkingsovereenkomst – een zogenaamde Data Processing Agreement. En die is te nemen of te laten. Als die techreuzen de bronnen van hun data niet willen kenbaar maken aan overheden of een auditor, dan zeker niet aan een bedrijfsjurist. Daar moet je als bedrijf op bedacht zijn, want de eindverantwoordelijkheid naar de klant toe ligt wel bij jou zodra je die toepassing gaat gebruiken.
Welke acties kunnen bedrijfsjuristen nemen om de privacy van hun klanten te beschermen?
Met een DPIA (Data Processing Impact Assessment) ga je na welke plaats nieuwe technologie krijgt in je bedrijf, welke data de toepassing zal verzamelen en hoelang die wordt bewaard, naar welke servers de data wordt gestuurd en of alles binnen de EU blijft. Op basis daarvan bekijk je de kosten en baten, zowel voor het bedrijf als voor de klant. Je moet ook een verwerkingsgrond verkrijgen van je klanten, bijvoorbeeld door expliciet toestemming te vragen. Als er een klacht komt die leidt tot een procedure, of controle door de GBA (Gegevensbeschermingsautoriteit), dan moet je die zaken kunnen aantonen, onder meer in een register.
Ook virtual en augmented reality zijn in opmars. In de Metaverse van Zuckerberg wordt privacy een illusie, maar bedrijven laten wel steeds vaker een metaversetoepassing bouwen op maat. Kan dat veilig?
Als je zelf een metaverse laat bouwen, heb je uiteraard meer controle. Als bedrijf zou ik daarvoor de platformen van Facebook en Microsoft niet gebruiken. Dan vertrekt er geen data buiten de EU, bepaal je zelf met welke data je werkt, en kan je met een retention policy vastleggen hoelang de data worden bijgehouden. Dan kan het privacyvriendelijk, in samenwerking met de metaversebouwer. Die heeft een zorgplicht en zal daarover ook hebben nagedacht. Zo niet, moet hij dat te kennen geven.
In een Metaverse Privacy Policy lezen je klanten dan waarvoor hun data worden gebruikt, en hoe ze hun data kunnen verwijderen.
Hoe kan je nieuwe technologie doorlichten op het vlak van cybersecurity?
Ik ben geen IT-expert, maar het is een goed idee om te werken met een ethische hacker. Zij testen de tools op potentiële risico’s. Dat is sinds februari ook legaal. Het kost wel wat, maar als je bedenkt wat er op het spel staat, is die kost relatief.
Daarnaast is het slim om enkel servers te gebruiken binnen de EU. Veel bedrijven vinden zo’n migratie lastig, en blijven daarom bij Google en Microsoft.
En dan werken met een goede aanbieder, natuurlijk. Techbouwers zouden nog meer moeten weten over privacy en cybersecurity dan onze bedrijfsexperten. Daar moet overleg mogelijk zijn.
Als er dan toch een hack is, wil je als bedrijf al het mogelijke gedaan hebben om de veiligheid te garanderen: een DPIA, een ethische hacker, betrouwbare partnerbedrijven, een geëngageerde DPO, privacy by design, … Alles is hackbaar, maar in zo’n geval had je niet meer kunnen doen.
Benieuwd wat AI in de toekomst brengt voor bedrijven? Beluister vanaf 9 mei onze podcast ‘The Future of Work’, met Matthias Dobbelaere-Welvaert, Maarten Verschuere en Pieter Van Leugenhagen.