De gegevensbeschermingsrisico-inventarisatie (DSFI) is in de AVG verplicht voor bepaalde soorten gegevensverwerking en moet helpen om risico's te herkennen en te minimaliseren. Geldt dit ook voor systemen die kunstmatige intelligentie gebruiken? Een overzicht met aanbevelingen.
Podcast over het onderwerp
De risico-inschatting voor kunstmatige intelligentie en machine leren als gevolg van aflevering 29 van het podcast "privacy Deluxe":
Inleiding
Artikel 35 van de GDPR introduceert het begrip van een gegevensbeschermingsrisico-inventarisatie en beschrijft wanneer zo'n inventarisatie moet worden opgesteld. In lid 1 wordt vermeld dat deze regel in het bijzonder geldt voor nieuwe technologieën. Kunstmatige intelligentie is zulke een technologie. ([1])
Een risicoanalyse als onderdeel van een DSFA moet altijd snel te maken zijn. Aangezien de risicoafweging zowel een voorwaarde is om na te gaan of een DSFA nodig is, als ook onderdeel van elke DSFA, moet dus altijd een deel hiervan worden opgesteld.
Risicoafweging = Vermeerdering van drie waarden, zie bijdrage.
Muss nu voor elk systeem van machine learning een DSFA aangesteld worden? Machine Learning kan ook als nieuwe technologie beschouwd worden. Want de revolutionaire aanpakken zoals Transformer of pre-trainde AI-modellen, maar ook het herontstaan van LSTM (Long Short-Term Memory, uitvinding uit Duitsland) zijn zeker in combinatie of soms ook voor zichzelf genomen nieuw.
De genoemde wettelijke bepaling stelt criteria vast voor de aard, omvang, omstandigheden en doeleinden van de verwerking van persoonsgegevens. Bij digitale diensten zal het criterium betreffende de omvang van de gegevensverwerking regelmatig als vervuld worden beschouwd.
Omdat een gegevensbeschermingsimpactassessie niet voor alle verwerkingen nodig is, valt de inspanning die ook buiten een DSFA moet worden verricht, niet onder de DSFA.
Forbeelden van dergelijke werkzaamheden: verplichte informatie, beveiliging van systemen, opleidingen.
Een volledige DSFA is volgens art. 35, §1 GDPR vereist, wanneer de gegevensverwerking voorlopig een hoog risico voor de rechten en vrijheden van natuurlijke personen tot gevolg heeft. Welke gegevensverwerkingen plaatsvinden, moet in het kader van de verplichte informatie volgens art. 13 GDPR of art. 14 GDPR sowieso bekend zijn.
Artikel 35 lid 2 van de AVG laat de verantwoordelijke bij het uitvoeren van een gegevensbeschermingsimpactassessie de raad van de gegevensbeschermingsbeambte vragen. Dit punt is echter voor de vraag naar de DSFA irrelevant, zoals men al aan kan zien aan het feit dat in het genoemde lid 2 staat dat de DSBs alleen bijgetrokken moeten worden als er een dergelijke benoemd is (zie hiervoor als speciaal geval artikel 38 van de AVG). ([1])
Volgens de voorschriften in artikel 35, lid 4 stellen toezichthouders een lijst van verwerkingsactiviteiten samen die voor een DSFA relevant zijn. De lijst van DSK geeft voorbeelden en noemt bijvoorbeeld klantenservice middels kunstmatige intelligentie.
Gegevensbeschermingsimpactassessie
Eerst geldt de GDPR alleen voor persoonsgegevens. Toegang tot apparaten, zoals geregeld in lex specialis (§ 25 TDDDG, tot 14 mei 2024 heette het TTDSG), zijn doorgaans geen kernonderwerp van AI-toepassingen en kunnen hier buiten beschouwing worden gelaten.
Alle anderen dan de potentiële persoonsgegevens zijn dus voor een DSFA irrelevant. In dit verband wordt erop gewezen dat een niet-persoonsgebonden gegevenspunt ook dan persoonsgebonden is als het samen met een persoonsgebonden gegevenspunt optreedt en de kennis over beide gegevenspunten tegelijkertijd bij dezelfde verantwoordelijke voorligt. Zie hiervoor het voorbeeld van de Cookies, die omwille van hun contact met de IP-adres als persoonsgebonden moeten worden beschouwd.
Al eerder genoemd, gaat het om nieuwe technologieën. Daarom moet er volgens de wet nauwkeuriger gekeken worden. Dat is ook logisch, want als iets nieuws wordt ingevoerd, what er voorheen nog geen aandacht voor de vraag of een DSFA moet worden ingesteld of niet.
In Art. 35 Abs. 3 GDPR worden gevallen genoemd waarin een DSFA moet worden ingesteld. Deze gevallen zijn in korte samenvatting:
- Systeematische en omvattende beoordeling van persoonlijke aspecten van natuurlijke personen, inclusief profiling.
- Uitgebreide verwerking van bijzondere categorieën persoonsgegevens (politieke meningen, gezondheidsgegevens etc.), zie Art. 9 lid 1 GDPR.
- Systeematisch omvattende inzwinning van openbare gebieden.
Voor alle soorten systemen moet een DSFA worden uitgevoerd, mits één van deze gevallen is gegeven en de andere voorwaarden in acht zijn genomen, waaronder het risico voor betrokken personen hoort. Neem bijvoorbeeld de videokonferentie-software Zoom. Zoom schrijft in haar gebruiksvoorwaarden (van toepassing vanaf 07.08.2023, datum: 10.08.2023):
Zij geven ermee toestemming dat Zoom op de door dienst gegenereerde data naar elk doel toegang heeft, ze gebruikt, verzamelt, maakt, verandert, verspreidt, verwerkt, overdraagt, onderhoud en bewaart, voor zover dit volgens het geldende recht is toegestaan, waaronder om de productie- en dienstontwikkeling, marketing, analyses, kwaliteitsborging, machineonderwijs of kunstmatige intelligentie (inclusief voor doeleinden van training en afstemming van algoritmen en modellen) …
Uittreksel uit de gebruiksvoorwaarden van Zoom, vetgedrukt door mij.
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
