De inzet van kunstmatige intelligentie (AI) binnen bedrijven biedt talloze kansen, maar brengt ook juridische verantwoordelijkheden met zich mee. Voor Nederlandse ondernemers zijn de Algemene Verordening Gegevensbescherming (AVG) en de Europese AI-verordening (AI Act) cruciaal bij het verantwoord inzetten van AI. In dit artikel bespreken we de belangrijkste verplichtingen en geven we praktische tips om compliant te blijven.
1. AI en de AVG: wat moet je weten?
De AVG is van toepassing op alle vormen van verwerking van persoonsgegevens, ongeacht de gebruikte technologie. Dit betekent dat ook AI-systemen die persoonsgegevens verwerken onder de AVG vallen. Belangrijke verplichtingen zijn onder andere:
- Rechtmatigheid en transparantie: Je moet een geldige grondslag hebben voor de verwerking van persoonsgegevens en betrokkenen duidelijk informeren over wat er met hun gegevens gebeurt.
- Doelbinding en dataminimalisatie: Verzamel alleen gegevens die noodzakelijk zijn voor het specifieke doel waarvoor ze worden verwerkt.
- Rechten van betrokkenen: Betrokkenen hebben rechten zoals inzage, correctie en verwijdering van hun gegevens.
- Data Protection Impact Assessment (DPIA): Bij het gebruik van AI-systemen die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van personen, is het uitvoeren van een DPIA verplicht.
De Autoriteit Persoonsgegevens (AP) benadrukt dat organisaties vooraf moeten vaststellen of ze aan de AVG kunnen voldoen bij het gebruik van AI, en de privacyrisico’s in kaart moeten brengen.
2. De AI Act: nieuwe regels voor AI-toepassingen
Sinds 1 augustus 2024 is de AI Act van kracht in de EU. Deze verordening introduceert een risicogebaseerde aanpak voor AI-systemen:
- Verboden AI-systemen: AI-toepassingen die een onaanvaardbaar risico vormen, zoals social scoring en real-time biometrische identificatie in openbare ruimtes, zijn verboden.
- Hoog-risico AI-systemen: Toepassingen zoals AI voor werving en selectie of kredietbeoordeling vallen hieronder en moeten voldoen aan strikte eisen, waaronder risicobeheer, transparantie en menselijk toezicht.
- Beperkt risico: AI-systemen zoals chatbots moeten gebruikers informeren dat ze met AI te maken hebben.
- Laag risico: Toepassingen met minimaal risico, zoals spamfilters, mogen vrij worden gebruikt.
Voor hoog-risico AI-systemen moeten organisaties onder andere een conformiteitsbeoordeling uitvoeren en zorgen voor een CE-markering.
3. Praktische stappen voor ondernemers
Om compliant te blijven met de AVG en de AI Act, kun je de volgende stappen ondernemen:
- Inventariseer AI-toepassingen: Breng in kaart welke AI-systemen je gebruikt of ontwikkelt en bepaal onder welke risicocategorie ze vallen.
- Voer een DPIA uit: Bij AI-systemen die waarschijnlijk een hoog risico inhouden, is een DPIA verplicht.
- Zorg voor transparantie: Informeer betrokkenen duidelijk over het gebruik van AI en hun rechten.
- Implementeer menselijk toezicht: Voor hoog-risico AI-systemen is het essentieel dat er menselijk toezicht is op de beslissingen die de AI neemt.
- Documenteer processen: Houd gedetailleerde documentatie bij over hoe AI-systemen werken, welke gegevens ze gebruiken en hoe ze beslissingen nemen.
- Train medewerkers: Zorg dat je personeel op de hoogte is van de verplichtingen onder de AVG en de AI Act en weet hoe ze hiermee moeten omgaan.
4. Conclusie
Het verantwoord inzetten van AI binnen je onderneming vereist aandacht voor zowel de AVG als de AI Act. Door proactief maatregelen te nemen en je processen op orde te hebben, kun je de voordelen van AI benutten zonder juridische risico’s te lopen. Bij twijfel is het raadzaam juridisch advies in te winnen of contact op te nemen met de Autoriteit Persoonsgegevens.
