De Autoriteit Persoonsgegevens gaat toezien op het gebruik van kunstmatige intelligentie (AI) en algoritmes waarbij persoonsgegevens worden gebruikt. Dat las ik bij Security.nl. De grens tussen ‘wat geweldig dat dit kan’ en ‘bloedlink wat hier gebeurt’ kan juist hier soms akelig dicht bij elkaar komen, aldus de toezichthouder. Iedereen die verantwoordelijk is voor de inzet van algoritmes en AI moet weten wat hij doet en daar transparant over zijn. Mogelijk gaat de AP AI inzetten voor dit toezicht; men heeft immers een zwaar menstekort.
Oké dat was nodeloos cynisch en/of clickbait. Maar toch: het voelt gek om zo’n technisch pittig onderwerp tot focus te verklaren als je nu maar 138 van de 20.000 klachten tot onderzoek bombardeert, en het aantal boetes met binair stelsel op de vingers van één hand te tellen zijn. Desondanks is het een goede stap, omdat veel organisaties tot nu toe AI aangereikt kregen in mooie brochures als prachtige beloftes van objectiviteit, en nu de FG en/of jurist van zo’n organisatie met enige onderbouwing kan wapperen dat er toch risico’s aan deze nieuwe technologie zitten.
Het beoogde toezicht van de AP bevat voor mij geen écht nieuwe stappen. Het komt neer op invullen van de eisen uit de AVG, met name transparantie en uitlegbaarheid van wat je doet en de verantwoordingsplicht waarmee je moet onderbouwen waarom je transparant bent en hoe je echte uitleg geeft. (De verantwoordingsplicht is het grofste geschut dat de AVG heeft; hele hordes doen het keurig maar kunnen het niet verantwoorden en overtreden dus alsnog de AVG.)
De leukste hobbel om te moeten nemen alvorens je een algoritme in gaat zetten is dat je een DPIA moet uitvoeren. Het valt al heel snel onder een “systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen” (art. 35 AVG), of dat nou gaat om het weigeren van leningen of het niet uitnodigen van sollicitanten. Daar zitten risico’s aan omdat je niet weet hoe zo’n algoritme werkt, terwijl je de klant of sollicitant dat wél moet kunnen uitleggen.
En de kicker: als je die DPIA uitvoert en je concludeert dat je niet eenvoudig aan de AVG kunt voldoen, dan mag het niet totdat je toestemming van de AP hebt. Wat volgens mij de overgrote meerderheid gaat krijgen, want hoe ga je die risico’s managen als je niet weet hoe de tool werkt? Of iets preciezer gezegd, als je niet weet hoe de dataset opgebouwd is en hoe je geborgd hebt dat deze alleen de gewenste, eerlijke factoren betrekt in de analyse? Dan is een bulletpoint op de doos “free of bias” van de fabrikant echt niet genoeg.
En ja, ik kan ook nog een hele tirade voeren over het feit dat we het steeds hebben over “inzet van algoritmes” terwijl het hele punt van AI juist is dat je geen algoritme inzet maar een enorme Excelsheet die correlaties presenteert als harde regels. Maar dat is niet goed voor de bloeddruk.
Arnoud