Internetrecht door Arnoud Engelfriet

Steeds meer organisaties zetten Artificial Intelligence (AI) in. Dit versnelt beslissingsprocessen en schept nieuwe inzichten omtrent risico’s, klanteigenschappen en commerciële kansen. Deze techniek is zeer nieuw en haar inzet roept dan ook vele vragen op over de juridische en ethische randvoorwaarden. Mag dat wel, een computer laten beslissen? Welke kaders hanteer je om een verantwoorde inzet van AI te realiseren? Wordt het tijd voor een AI Compliance Officer?

De inzet van AI biedt nieuwe mogelijkheden. Bestaande processen kunnen fors worden versneld door menselijke tussenkomst te vervangen door een AI. Zo zou een AI-bewaker bagage van bezoekers kunnen screenen op ongewenste voorwerpen, en deze doet dat dan veel sneller dan een mens (en is bovendien om vijf uur niet moe en afgeleid). Een verzekeraar zou een AI in kunnen zetten om claims te kunnen analyseren.

Dergelijke analyses hebben echter ook diverse risico’s. Zo staan AI’s er om bekend dat zij bestaande vooringenomenheid (bias) uit de onderliggende data sterk uitvergroten, wat kan leiden tot ongewenst gedrag zoals discriminatie. Ook is het vaak lastig duidelijke uitleg te krijgen over hoe een AI tot zijn conclusie komt: dergelijke data-analyse is volkomen onvergelijkbaar met een menselijk gedachteproces.

Deze risico’s maken organisaties nog steeds huiverig over de inzet van AI. Ook de wetgever heeft niet stilgezeten: in de Europese privacywet GDPR is een expliciet verbod opgenomen om mensen aan besluiten te onderwerpen die door een AI zijn genomen. Hoe dan ook grip te krijgen op AI, en te zorgen voor een nette, ethisch verantwoorde inzet, is een lastige vraag voor veel organisaties.

In 2019 publiceerde de Europese Commissie de Ethics Guidelines for trustworthy AI. Onder “ethisch” verstaat men niet alleen het voldoen aan wettelijke regels, maar ook aan meer algemene ethische principes. Ethische AI bestaat uit drie componenten, waaraan gedurende de volledige levenscyclus van het systeem moet worden voldaan: de AI moet

1. wettig zijn, door te voldoen aan alle toepasselijke wet- en regelgeving,
2. ethisch zijn, door naleving van ethische beginselen en waarden te waarborgen, en
3. robuust zijn uit zowel technisch als sociaal oogpunt, aangezien KI-systemen ongewild schade kunnen aanrichten, zelfs al zijn de bedoelingen goed.

1. Menselijke controle en toezicht
2. Diversiteit, non-discriminatie en rechtvaardigheid
3. Technische robuustheid en veiligheid
4. Transparantie en verklaarbaarheid
5. Privacy en datagovernance
6. Maatschappelijk en milieuwelzijn
7. Verantwoording en controleerbaarheid

Omdat het hier ook nog eens gaat om geavanceerde technologie en vaak vele partijen betrokken zijn, is AI compliance een uitdagende kwestie. Een AI compliance officer moet dan ook behoorlijk thuis zijn in wetgeving, techniek en de toepassingspraktijk.

Ik vond dit zo’n leuke dat ik de afgelopen weken eigenlijk alleen heb gewerkt aan mijn nieuwe leergang AI in de praktijk: compliance & governance. Deze online leergang is speciaal ontwikkeld voor informatieprofessionals, juristen en compliance officers die aan de slag moeten of willen met AI en de toetsing daarvan. Geen blokkades opwerpen, maar zorgen dat bedrijven en instanties aan de slag kunnen. Weten wat er wel kan en hoe dat wordt bereikt.

De stof wordt volledig online aangeboden. Met geavanceerde vormen van elearning kan de cursist eenvoudig werken en effectief de stof tot zich nemen. De docent is online beschikbaar voor 1-op-1 overleg, en via een discussieforum kunnen cursisten met elkaar overleggen en brainstormen.

Met dat forum is trouwens iets bijzonders: het wordt aangeboden door een fictief Nederlands dorp. De leergang kent namelijk een serious game element, waarbij deelnemers optreden voor bedrijfsleven en overheid in dat dorp om te zorgen dat AI-initiatieven volledig compliant én bruikbaar worden. Hoe beter men het spel speelt, hoe hoger het dorp scoort in de wereldwijde competitie van de Most AI-focused city in the world, bijgehouden door het fictieve United Nations Office for Global AI (UNOGAI). Bij pittige onderwerpen als deze is serious gaming een bewezen techniek om leren effectiever te maken.

Durf jij de uitdaging aan? Op 1 februari gaat de eerste ronde van start. Meer informatie en de inschrijfmogelijkheid vindt u bij ICTRecht.

Arnoud

Een lezer vroeg me:

Onze websitebouwer en hosting bedrijf stapt over op een ander (en volgens hun veiliger) cms systeem. Het cms dat we nu gebruiken zal per 1 juli bevroren worden en per 1 januari daarna offline gehaald worden. Kunnen zij dat eenzijdig zeggen? Dit geeft ons enorme kosten, onder meer 5000 euro voor de migratie van alle content en verdubbeling van de maandelijkse kosten.

Ik moet zeggen dat ik in dit geval de gegunde termijnen (een dik half jaar nog alles kunnen doen en daarna nog zes maanden gebruiken zonder aanpassingen in het cms) best schappelijk vind. Ik krijg deze vraag vaker maar dan zijn de termijnen eerder in weken uitgedrukt. Een periode van dik een jaar om te migreren naar een andere leverancier voelt best redelijk, en dat maakt dat ik eigenlijk geen juridisch argument tegen kan bedenken.

Ja, als er in de voorwaarden of SLA zou staan dat de software nog een aantal jaren mee moet kunnen natuurlijk. Maar ik ken geen leverancier die zichzelf zo hard vast gaat pinnen zonder behoorlijke vergoeding. Of als heel recent het contract is vernieuwd voor een paar jaar en het cms een belangrijk deel van de dienst is. Maar dat is vrij uitzonderlijk.

Arnoud

Deurbellen met een ingebouwde camera mogen niet zomaar worden opgehangen richting buren of de openbare weg, waarschuwt de Autoriteit Persoonsgegevens tegen de NOS. Volgens marktonderzoeker Multiscope heeft een half miljoen huishoudens inmiddels zo’n slimme deurbel. Wat er slim aan die deurbellen is, vermeldt het onderzoek overigens niet. Maar het probleem is natuurlijk dat dan (vaak) ook de openbare weg wordt gefilmd. En dat mag niet zomaar, en het is altijd een héle discussie wat dan de randvoorwaarden zijn.

In de meeste gevallen hangen dergelijke surveillancecamera’s echter zo dat ze wel de openbare weg filmen. De kern van het probleem is namelijk dat je de aanbeller (of portiekophouders) frontaal wil kunnen zien voor de herkenning, en vrijwel altijd is de openbare weg zichtbaar achter die personen. Huizen met grote voortuin en de bel pas bij de voordeur zijn sterk in de minderheid.

Het is echter niet verboden, omdat je wel degelijk een eigen legitiem belang kunt hebben bij dat filmen. Je wilt namelijk weten wie er aan de deur staat, wie zich ophoudt in je portiek en ga zo maar door. Dat valt onder het kopje beveiliging en is in principe een legitieme reden onder de AVG. Je komt dan ook uit bij de belangenafweging: is die camera van jou nodig en proportioneel voor dat doel? En heb je redelijke maatregelen ter bescherming van passanten en andere betrokkenen genomen?

Als je de AVG zuiver leest, dan ontkom je niet aan een duidelijke waarschuwing en een reglement cameratoezicht. Daarin moet je dan onder meer uitgewerkt hebben wanneer er wordt gefilmd, wat je met de beelden doet en hoe lang je ze bewaart. Dat doet natuurlijk niemand, en daarom waarschuwt de AP nu maar eens via de massamedia.

Weet je wat slim zou zijn van zo’n camera? Een automatische achtergrond-uitknipper net zoals Zoom en Teams hanteren. Dan zie je wel wie er voor de deur staat (dat was zeg maar het punt van een deurbel) maar worden passanten geblurd terwijl ze langslopen.

Arnoud

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De… Lees verder

Kledingketen H&M heeft van de Hamburgse databeschermingstoezichthouder een boete van 35 miljoen euro gekregen wegens het schenden van de privacy van het personeel. Dat meldde Security.nl onlangs. Sinds 2014 werden zaken over het privéleven van medewerkers van het servicecentrum in Nuremberg in groot detail bijgehouden. Dit kwam eind vorig jaar door een configuratiefout aan het licht;… Lees verder

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in… Lees verder

Interessante vraag op Reddit: Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy? Legaal gezien, pardon juridisch gezien maakt het niet heel veel uit met welk technisch middel… Lees verder

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken,… Lees verder

Twitter lijkt witte mensen op foto’s eerder uit te lichten dan zwarte mensen, bleek deze week uit tests van gebruikers. Dat meldde Nu.nl onlangs. Het gaat om een experiment van Tony Arcieri, die ontdekte dat Twitter inzoomt op grote afbeeldingen en daarbij witte gezichten de voorkeur geeft, zoals hier naast kort te zien is. Dat… Lees verder

Een lezer vroeg me: Ik ben professioneel fotograaf en werk onder meer voor modellen. Portretten in opdracht dus, zoals dat in de Auteurswet heet. Een opdrachtgever krijgt van mij een paar foto’s, op basis van mijn professionele inschatting wat de ‘beste’ zijn. Nu is er een model dat op basis van de AVG “inzage in… Lees verder