AI & AVG: 3 aandachtspunten

Artificial Intelligence (AI) kan heel handig zijn om in te zetten. Alleen, dit kan je niet zomaar zonder slag of stoot doen. In dit artikel vertel ik je 3 aandachtspunten met betrekking tot de AVG voor als je AI gaat inzetten. Die aandachtspunten gelden dus alleen als je persoonsgegevens als input geeft (dit is trouwens wanneer er sprake is van persoonsgegevens).

1. Rechten van betrokkenen

De personen waarvan je persoonsgegevens verwerkt, noem je “betrokkenen”. Betrokkenen hebben volgens de AVG verschillende rechten. Denk aan het recht op rectificatie, recht op gegevenswissing en recht op beperking van de verwerking.

Wanneer je AI inzet, zijn deze rechten echter slecht te waarborgen. Je weet niet wat de AI verder doet met de persoonsgegevens die je invoert. Slaat de AI de persoonsgegevens op of niet? Gebruikt hij de persoonsgegevens om ervan te leren? Je kunt de persoonsgegevens die je als input hebt gegeven zijn moeilijk terug te halen. Dus ook niet rectificeren of laten wissen.

2. Wettelijke grondslag

Volgens de AVG moet je een wettelijke grondslag hebben om persoonsgegevens te verwerken. Dit kan heel lastig gaan worden. Laten we naar een paar grondslagen kijken.

Toestemming

Één van de grondslagen waarop je je verwerking mag baseren is “toestemming”. Het kan onwerkbaar of niet wenselijk zijn om toestemming te vragen aan betrokkenen of hun persoonsgegevens in AI gegooid mogen worden. Daarnaast zijn er wat strenge eisen aan die toestemming gesteld (zie linkje hierboven).

Uitvoering van de overeenkomst

Een andere grondslag is “noodzakelijk voor de uitvoering van de overeenkomst”. De grondslag zegt het al: Het moet noodzakelijk zijn om de overeenkomst met de betrokkene uit te voeren. Je moet kunnen aantonen in welk opzicht het hoofddoel van de overeenkomst zonder die verwerking niet zou kunnen worden bereikt, zei het Hof van Justitie van de EU over deze grondslag. Kan het op een andere manier, dan moet het op een andere manier.

Gerechtvaardigd belang

Dan heb je nog de grondslag “gerechtvaardigd belang”. Om je op deze grondslag te baseren, moet je (1) een gerechtvaardigd belang hebben, (2) moet de verwerking van de persoonsgegevens noodzakelijk zijn om dat belang te bereiken, en de belangrijkste: (3) de rechten en belangen van de betrokkene mogen niet zwaarder wegen dan jouw belangen. Ofwel: Als het recht op privacy van de betrokkene zwaarder weegt dan jouw belang, dan mag je je verwerking niet op deze grondslag baseren.

Er valt heel goed te beargumenteren dat het belang van de betrokkene zwaarder weegt dan jouw belang. Want wat de AI verder doet met de persoonsgegevens van de betrokkene, is zeer onduidelijk.

3. Beveiliging

Volgens de AVG moet je passende technische en organisatorische maatregelen nemen om de persoonsgegevens die je verwerkt, te beveiligen tegen ongeoorloofde en onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Als je AI inschakelt, dan belanden de persoonsgegevens waarschijnlijk in het Wilde Westen. Je hebt geen grip op de beveiliging ervan. Zal de AI het gebruiken voor informatie? Om te leren? Om als output te geven bij andere gebruikers? Zal de AI gehackt worden? Mensen of bedrijven die die persoonsgegevens niet horen te zien, kunnen de gegevens wellicht toch te zien krijgen. Met andere woorden: Er kan dus al snel een datalek plaatsvinden (Leestip: wanneer is er sprake van een datalek?).

Gevolgen

Wat zijn de gevolgen als het mis gaat? Als een betrokkene schade lijdt, dan kan hij een schadevergoeding aan je vragen. Daarnaast kun je een flinke boete krijgen van de Autoriteit Persoonsgegevens als je de AVG niet naleeft. En wat dacht je van reputatieschade?

Jurist auteursrecht

Heb je een vraag als ondernemer/bedrijf ?

Stel ‘m gerust!

Misschien vind je deze blogs ook interessant:

Wekelijks al die handige juridische tips in je mailbox?

Abonneer je op mijn nieuwsbrief!