EDPB-advies over verantwoorde AI-modellen en privacyregels
De European Data Protection Board (EDPB) heeft een advies aangenomen over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen.
Het advies gaat over drie aspecten:
- Wanneer en hoe AI-modellen anoniem zijn.
- Of en hoe gerechtvaardigd belang een grondslag kan zijn voor het ontwikkelen en gebruiken van AI-modellen.
- Wat er gebeurt als er bij het ontwikkelen van een AI-model persoonsgegevens zijn gebruikt die onrechtmatig zijn verwerkt. En hoe het zit met ‘first party’ en ‘third party’ gegevens.
Anonimiteit
Privacytoezichthouders moeten per geval bekijken of een AI-model anoniem is. Bij een anoniem AI-model moet het zeer onwaarschijnlijk zijn dat:
- De personen wiens gegevens zijn gebruikt om het AI-model te maken, direct of indirect te identificeren zijn.
- De persoonsgegevens met ‘queries’ weer uit het model te halen zijn.
In het advies legt de EDPB uit hoe organisaties en toezichthouders kunnen controleren of een AI-model anoniem is.
Gerechtvaardigd belang
Met voorbeelden en criteria helpt het advies toezichthouders en organisaties bepalen of gerechtvaardigd belang een grondslag kan zijn om persoonsgegevens te verwerken bij het ontwikkelen en gebruiken van AI-modellen. Denk aan een chathulp of AI om online beveiliging te vergroten. Zulke diensten kunnen voor mensen handig zijn en kunnen mogelijk zijn op basis van gerechtvaardigd belang. Maar alleen als de verwerking strikt noodzakelijk is en er een goede belangenafweging is. Mensen moeten daarnaast redelijkerwijs kunnen verwachten dat hun persoonsgegevens hiervoor worden gebruikt.
Blijkt uit de afweging dat de verwerking een te grote (negatieve) impact heeft op mensen? In het advies staan voorbeelden van maatregelen die organisaties dan kunnen nemen om de impact te verkleinen.
Onrechtmatig verwerkte persoonsgegevens
Tot slot gaat het advies in op AI-modellen die ontwikkeld zijn met onrechtmatig verwerkte persoonsgegevens. In zo’n geval is het gebruik van het model waarschijnlijk verboden, tenzij het model goed geanonimiseerd is.
Het advies is tot stand gekomen na een verzoek van de Ierse toezichthouder, de Data Protection Commission (DPC). Vervolgens heeft de EDPB betrokken partijen in het werkveld om input gevraagd, waaronder het EU AI Office.
Handvatten
Vanwege de vele verschillende en snel ontwikkelende AI-modellen geeft het advies handvatten om per geval een analyse uit te voeren. Daarnaast werkt de EDPB aan guidelines die antwoord geven op specifiekere vragen, bijvoorbeeld over scraping.
De Autoriteit Persoonsgegevens (AP) is een van de privacytoezichthouders in de EDPB.