Europees Comité voor Gegevensbescherming buigt zich over gebruik persoonsgegevens in GenAI

Het Europees Comité voor Gegevensbescherming onderzoekt hoe AI-modellen persoonlijke gegevens kunnen gebruiken zonder privacywetten te overtreden.

Het Europees Comité voor Gegevensonderzoek publiceerde woensdag een opinie die onderzoekt hoe AI-ontwikkelaars persoonlijke gegevens kunnen gebruiken om AI-systemen, zoals LLM’s, te ontwikkelen en te implementeren zonder privacywetten te schenden.

De modellen moeten volgens het rapport ook voldoen aan de GDPR-wetgeving, strenge evaluatie is dus broodnodig. Als die wet niet wordt nageleefd, staan daar strenge sancties op. Er zijn drie belangrijke zaken waar rekening mee gehouden moet worden: anonimiteit garanderen, legitieme belangen bepalen en beslissen wat er gebeurt bij onrechtmatige gegevensverwerking.

Anonimiteit

De publicatie behandelt verschillende onderwerpen, zoals de bedenking of AI-modellen anoniem kunnen zijn, waardoor privacywetten niet gelden. AI-modellen die getraind zijn met persoonsgegevens zijn niet automatisch anoniem. Dit moet echter geval per geval beoordeeld worden. Om complete anonimiteit te garanderen stelt het comité dat het bijna onmogelijk zou moeten zijn om gegevens uit het model te halen en om persoonsgegevens al dan niet intentioneel te verkrijgen via modelquery’s.

Uit het rapport blijkt dat er voldoende bewijs geleverd moet worden aan toezichthouders zodat ze kunnen beoordelen of het model anoniem is. Voor die beoordeling wordt rekening gehouden met verschillende factoren, zoals de gebruikte technieken om gegevens te beschermen, de context waarin het model wordt gebruikt en of er moderne technologieën gebruikt zijn om identificatie te vergemakkelijken.

Dat bewijs bestaat uit gedetailleerde documentatie met de gebruikte methodes en risicobeperkende maatregelen, verstrekt door controllers. Een controller is een organisatie of persoon die beslist waarom en hoe persoonsgegevens worden verwerkt.

AI ontdekt GDPR-problemen in privacybeleid techbedrijven

Legitieme belangen

Het comité onderzoekt ook of ‘legitieme belangen’ als rechtsgrondslag kunnen gebruikt worden. Ofwel: een wettelijke basis kunnen bieden voor AI-ontwikkeling zonder toestemming van individuen. Het bepalen of een legitiem belang als rechtsgrondslag kan worden gebruikt, gebeurt in drie stappen:

1. Identificeren van een legitiem belang

Het belang moet aan enkele criteria voldoen om legitiem te zijn. Het mag niet in strijd zijn met wet- of regelgevingen, en moet duidelijk en specifiek geformuleerd worden. Daarnaast mag het niet speculatief zijn. Bijvoorbeeld, het gebruiken van een AI-chatbot om de klantenservice te verbeteren is wettelijk; AI gebruiken om zonder toestemming persoonsgegevens te verwerken niet.

2. Effectief noodzakelijk?

De verwerking van een belang ervan moet dus bijdragen aan het beoogde doel en er mogen geen minder ingrijpende manieren bestaan om datzelfde doel te bereiken. Alleen de gegevens die écht nodig zijn voor de training mogen worden verwerkt. Als een AI-chatbot bijvoorbeeld getraind kan worden met anonieme gegevens, is het gebruik van publieke gegevens onnodig.

3. Impact van delen gegevens op het individu

De belangen van de controller mogen niet zwaarder wegen dan de rechten van de betrokkenen. Die afweging wordt gemaakt met drie pijlers in gedachten: wat de aard van de gegevens is, welke redelijke verwachtingen de betrokkenen hebben en wat de impact is. Zo worden gevoelige gegevens strenger afgewogen. Betrokkenen moeten op de hoogte zijn van hoe en waarom hun gegevens worden verwerkt, en moeten de verwachte impact kennen, want dat kan invloed hebben op de redelijke verwachting.

Als de balans toch negatief moest uitvallen, kunnen controllers verzachtende maatregelen gebruiken. Ze kunnen gegevens versleutelen of de betrokkenen beter informeren over de verwerking.

Google rolt nieuwe maatregelen uit voor gegevensbescherming

Onrechtmatige verwerking

Wanneer wordt de verwerking van persoonsgegevens als onrechtmatig beschouwd? De opinie schetst drie scenario’s van onrechtmatige verwerking. Daarin wordt telkens een AI-model ontwikkeld met onrechtmatig verwerkte persoonsgegevens. Als de persoonsgegevens in het model blijven en gebruikt worden door dezelfde controller, kan de hele verwerking onwettig zijn. Dat hangt af van de specifieke context, en elk geval moet onderzocht worden door toezichthouders.

Als de persoonsgegevens in het model blijven, maar het model gebruikt wordt door een andere controller of organisatie, ligt de verantwoordelijkheid bij de tweede controller om te controleren of het model voldoet aan de GDPR. Als de persoonsgegevens na een onrechtmatige verwerking geanonimiseerd worden, is de GDPR-wetgeving niet meer van toepassing, mits het anoniem maken aan streng voorwaarden voldoet.

Er is voorlopig nog geen eenduidige oplossing voor deze rechtelijke vraagstukken, het comité biedt enkel suggesties. Het zal nog even duren voor Europa correcte wetten invoert voor deze steeds sneller groeiende technologie. Europa zet wel stappen in de goede richting. Eerder dit jaar werd er een AI-kantoor opgericht om de AI-wetten te handhaven, de AI-act zelf werpt ook al zijn vruchten af.

poll

"*" indicates required fields

vacatures

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.