De roep om toezicht op Artificiële Intelligentie (AI) en algoritmes (PDF, 11 pagina’s) wordt in de politiek en de samenleving steeds sterker. En niet zonder reden. De AP vindt dat burgers erop moeten kunnen vertrouwen dat er op zorgvuldige wijze met hun persoonsgegevens wordt omgegaan. Wij zijn als toezichthouder verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens, en daarmee ook op de toepassing van AI en algoritmes waarbij persoonsgegevens worden gebruikt.
AVG basis voor stelsel van toezicht
Volgens Aleid Wolfsen (voorzitter van de AP) vindt de inzet van algoritmes inmiddels op grote schaal plaats. Dat geldt niet alleen voor private organisaties, maar ook voor de overheid: van de belastingdienst en de politie tot verschillende gemeentes.
Wolfsen: “Het inzetten van algoritmes biedt veel kansen, maar er kleven ook serieuze risico’s aan. In een democratische rechtsstaat heb je bijvoorbeeld recht op een begrijpelijke motivering voor een voor jou nadelige beslissing. Anders kun je je niet verdedigen en kan een rechter dat niet toetsen. Daarom is transparantie zo cruciaal.”
Algemene aandachtspunten
De AVG-beginselen van rechtmatigheid, behoorlijkheid en transparantie bieden een goede basis om de inzet van AI en algoritmes op een positieve wijze bij te laten dragen aan de samenleving. Bij het gebruik van algoritmes die persoonsgegevens verwerken moet aan enkele basisvoorwaarden worden voldaan.
Zo moet er een grondslag zijn voor de verwerking, bijvoorbeeld toestemming of de uitvoering van een contract. Daarnaast mogen gegevens die verwerkt worden voor het ene doel niet zomaar op een later moment ook voor een ander doel worden gebruikt (doelbinding).
Verder gelden er – afhankelijk van het type persoonsgegevens – ook bijvoorbeeld normen rond de opslag en beveiliging van de persoonsgegevens.
Aleid Wolfsen: ”Juist bij de toepassing van nieuwe technologieën hebben bedrijven en overheden de verantwoordelijkheid om een inzichtelijke en controleerbare afweging te maken tussen in dit geval het gebruik van deze systemen en het beschermen van privacy.
De grens tussen ‘wat geweldig dat dit kan’ en ‘bloedlink wat hier gebeurt’ kan juist hier soms akelig dicht bij elkaar komen. De grens tussen sollicitanten eerlijk en integer selecteren en… discrimineren, tussen klanten weigeren nadat gebleken is van een concreet (betalings)risico en klanten weigeren omdat ze vooraf enkel zijn geprofileerd als risico, tussen verkiezingen eerlijk laten verlopen en… manipuleren, tussen verdachten aanhouden nadat er een concrete verdenking is of mensen voor enige verdenking al profileren als verdachten.
Iedereen die verantwoordelijk is voor de inzet van algoritmes en AI moet weten wat hij doet en daar transparant over zijn.”
Verantwoordingsplicht
De verantwoordingsplicht geeft belangrijke handvatten voor het toezicht op algoritmes en is in de AVG uitgewerkt in verschillende instrumenten. Zo moet een verwerkingsverantwoordelijke bijvoorbeeld verplicht een register bijhouden, waarin activiteiten waarbij persoonsgegevens worden verwerkt worden beschreven, inclusief de doeleinden van die verwerkingen.
Daarnaast moet een verwerkingsverantwoordelijke voorafgaand aan een bepaalde verwerking een beoordeling uitvoeren van het effect hiervan op de bescherming van persoonsgegevens. Deze zogeheten data protection impact assessment (DPIA) is bij het gebruik van algoritmes veelal verplicht.
Hierin moet een verwerkersverantwoordelijke goed onderbouwen waarom hij of zij bepaalde gegevens gebruikt in een algoritme, wat het doel van het gebruik van een algoritme is, maar ook waarom het nodig is te werken met dat algoritme.
Wanneer deze risico’s onvoldoende kunnen worden weggenomen is het verplicht om ter advies een voorafgaande raadpleging in te dienen bij de AP.
Activiteiten AP
In de komende periode zal de AP zich richten op het verder uitwerken van haar toezicht op AI en algoritmes waarin persoonsgegevens worden gebruikt. Hierin werken wij samen met andere relevante partijen binnen en buiten Nederland.