AI AVG

De Europese Toezichthouder voor gegevensbescherming heeft op verzoek van de Ierse DPC Advies 28/2024 gepubliceerd

De Europese Toezichthouder voor gegevensbescherming (EDPB) heeft op verzoek van de Ierse DPC Advies 28/2024 gepubliceerd. Dit advies behandelt belangrijke aspecten van gegevensbescherming volgens de GDPR bij de ontwikkeling en inzet van AI-modellen.

AI-modellen die zijn getraind op persoonsgegevens worden niet automatisch als anoniem beschouwd. Om anonimiteit te bereiken, moet de kans op heridentificatie van individuen of het verkrijgen van persoonlijke gegevens via queries zeer laag zijn. Verwerkingsverantwoordelijken moeten dit aantonen met documentatie en gebruikmaken van technieken zoals beperking van gegevensverzameling, vermindering van identificeerbaarheid en bescherming tegen heridentificatie.

Bij het verwerken van persoonsgegevens moeten verwerkingsverantwoordelijken een passende wettelijke basis kiezen, zoals het rechtmatig belang. Dit vereist een belangenafweging volgens de drie-stappen-test (EDPB-richtlijnen 1/2024). Hierbij wordt gekeken naar de redelijke verwachtingen van betrokkenen, de openbaarmaking van gegevens, de relatie met de verwerkingsverantwoordelijke en het bewustzijn van betrokkenen dat hun gegevens online beschikbaar zijn.

Om de impact op betrokkenen te beperken, beveelt het advies maatregelen aan in verschillende fasen. Dit geldt zowel tijdens de ontwikkeling, bijvoorbeeld bij webscraping, als tijdens de inzetfase van AI-modellen. Deze maatregelen helpen de privacy en rechten van betrokkenen beter te beschermen.

Verwerkingsverantwoordelijken moeten controleren of een AI-model op rechtmatige wijze is ontwikkeld. Hierbij wordt rekening gehouden met de herkomst van gegevens en eventuele eerdere overtredingen. Bij volledig geanonimiseerde modellen is eerdere onrechtmatige verwerking niet relevant. Nieuwe verwerkingen met persoonsgegevens blijven echter onder de GDPR vallen.

Het advies benadrukt de verantwoordelijkheid van verwerkingsverantwoordelijken om transparantie, rechtmatigheid en dataminimalisatie te waarborgen. Het roept ook op om het redelijke verwachtingspatroon van betrokkenen serieus te nemen en de impact van gegevensverwerking te beperken.