Navigeren tussen algoritmes en privacy
AI Act en AVG: hoe verhouden ze zich tot elkaar?
“Kunnen we dit ook met AI doen?” Het is een vraag die ik, Sam Verstappen (Privacy & Legal Consultant), de laatste maanden vaak heb gehoord bij organisaties. De drang om te innoveren is groot, maar de vraag over wat nu wel en niet mag, is ook aanwezig. Voor een lange tijd was de Algemene verordening gegevensbescherming (AVG) een kompas in de digitale wereld, maar met de komst van de AI Act is er een nieuwe dimensie bijgekomen. Hoewel de stapeling van regels ontmoedigend kan lijken, hoeft de AI Act je niet te verlammen. Het is geen kwestie van kiezen welke wet voorrang krijgt, de AVG en de AI Act versterken elkaar juist. In deze blog laat ik je zien hoe je deze twee kaders naast elkaar legt, zodat je met grip en vertrouwen aan de slag kunt met AI.
De AI Act bouwt voort op het fundament van de AVG
Een veelgehoord misverstand is dat de AI Act de AVG vervangt voor AI-systemen. Niets is minder waar. Waar de AVG zich richt op de bescherming van de persoonsgegevens die in een AI-systeem kunnen voorkomen, focust de AI Act zich op de veiligheid en risico’s van het AI-systeem zelf. Je kunt het zien als twee verschillende lenzen waardoor we naar dezelfde technologie kijken. De AVG beschermt de mens achter de data, terwijl de AI Act de bescherming van de mens probeert te waarborgen door o.a. eisen te stellen aan de betrouwbaarheid, veiligheid en robuustheid van AI-systemen. Als je AI-systeem persoonsgegevens verwerkt, moet je simpelweg aan beide wetten voldoen. Ze versterken elkaar om de fundamentele rechten van het individu te waarborgen. De twee wetten zijn complementair in plaats van hiërarchisch.
De AVG Als ondergrens voor AI-systemen
AI-modellen hebben enorme hoeveelheden data nodig. Zodra die data herleidbaar is naar een mens, is de AVG van toepassing. Je mag niet zomaar alle beschikbare persoonsgegevens in een Large Language Model (LLM) gooien onder het mom van “innovatie”. Je hebt onder andere een geldige grondslag nodig, moet voldoen aan dataminimalisatie en je moet transparant zijn naar de betrokkene. De AI Act voegt daar een extra laag aan toe: afhankelijk van het risiconiveau (van laag tot onacceptabel) moet je onder andere aantonen dat het systeem transparant, veilig en menselijk controleerbaar is. Kortom, de AVG regelt de rechtmatigheid van de verwerking van persoonsgegevens en de AI Act zorgt voor productveiligheid en risicobeheersing.
Wie is waarvoor verantwoordelijk?
In de AVG kennen we de rollen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Artikel 3 van de AI Act introduceert termen als ‘aanbieder’ (provider) en ‘gebruiker’ (deployer). Een bedrijf dat AI-systemen op de markt brengt of ontwikkelt, wordt aangemerkt als provider. De provider is volgens artikel 16 van de AI Act verantwoordelijk voor de veiligheid, technische documentatie en de wettelijke conformiteit van het (hoog risico) AI-systeem.
Gebruik je een kant-en-klare AI-tool van een grote tech-leverancier voor bijvoorbeeld je recruitment? Dan ben je volgens de AI Act een deployer. Een deployer is volgens artikel 26 van de AI Act verantwoordelijk voor het gebruik van het systeem volgens de gegeven instructies, het waarborgen van menselijk toezicht en het monitoren van de werking in de praktijk.
In beide gevallen ben je in dit voorbeeld volgens de AVG nog steeds de ‘verwerkingsverantwoordelijke’ voor de gegevens van de sollicitanten. Dit betekent dat je de verantwoordelijkheid voor privacy en ethiek niet kan neerleggen bij de softwareleverancier.
Praktijkvoorbeeld: de AI-recruiter
Laten we kijken naar een praktijkvoorbeeld: een AI-systeem dat CV’s scant en een eerste selectie maakt uit potentiële kandidaten.
Vanuit de AI Act
Dit systeem wordt als ‘hoog-risico’ gekwalificeerd volgens bijlage III van de AI Act (hierin staat opgenomen wat voor systemen hoog-risico zijn). Dit betekent dat de provider moet voldoen aan strenge eisen zoals het opzetten van een risicobeheersysteem, het waarborgen van de kwaliteit van trainingsdatasets en het opstellen van uitgebreide technische documentatie. Als deployer ben je bovendien verplicht om het systeem volgens de gebruiksinstructies te gebruiken, incidenten direct te melden en (voor overheidsinstanties) een Impact Assessment Mensenrechten en Algoritmes (IAMA) uit te voeren.Vanuit de AVG
Omdat je op grote schaal persoonsgegevens verwerkt en mensen profileert, is het uitvoeren van een DPIA verplicht (artikel 35 AVG). Daarnaast is artikel 22 AVG hier cruciaal: sollicitanten hebben het recht om niet te worden onderworpen aan een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd, indien hen dat aanmerkelijke mate treft. Je moet de sollicitant dus niet alleen informeren over het gebruik van AI, maar ook een proces inrichten waarbij een recruiter meekijkt met de AI-selectie en deze ook kan overrulen, en de sollicitant zijn standpunt kenbaar kan maken.
Conclusie
De AI Act en de AVG vullen elkaar aan, maar toetsen vanuit een andere invalshoek. De AVG beschermt het individu tegen onrechtmatige gegevensverwerking. De AI Act beschermt tegen onveilige of fundamenteel risicovolle AI-systemen. Samen vormen ze het fundament voor een digitale omgeving waarin innovatie en veiligheid hand in hand gaan. De komst van de AI Act betekent werk aan de winkel, maar het biedt ook kansen om je als organisatie te onderscheiden door ’trustworthy AI’. Door privacy en AI-compliance vanaf het begin te integreren, voorkom je dubbel werk en juridische reparaties achteraf. Dit geeft je een voorsprong op concurrenten: je bent sneller ‘compliant’ en bouwt aantoonbaar aan vertrouwen bij klanten en partners. Het gaat erom dat we de risico’s beheersen zodat we de waarde van deze technologie optimaal kunnen benutten.
Bij Cuccibu helpen we organisaties dagelijks om deze complexe wetgeving te vertalen naar praktische procedures en beleid. Of het nu gaat om het opzetten van een AI-governance kader of het uitvoeren van een DPIA op de verwerking van persoonsgegevens in een nieuw algoritme, onze consultants staan voor je klaar om grip te krijgen op de toekomst.
Reduce Risk, Create Value!
Bronnen: Algemene verordening gegevensbescherming (AVG), EU AI Act (Verordening (EU) 2024/1689) & Richtlijnen van de European Data Protection Board (EDPB).