Wanneer je in jouw onderzoek op basis van persoonsgegevens artificiële intelligentie ontwikkelt of met behulp van artificiële intelligentie persoonsgegevens verwerkt, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Deze AI-toepassingen moeten daarom gedurende hun gehele levenscyclus de principes rond privacy en gegevensbescherming waarborgen, met inbegrip van de principes van 'privacy by design’ en ‘privacy by default'.

Verwerk je of ga je persoonsgegevens verwerken?

AI-systemen gebruiken in de regel grote hoeveelheden data die deze systemen de mogelijkheid geven om te leren en intelligent te worden. Het gaat daarbij niet noodzakelijk om persoonsgegevens.

Maar wanneer op een bepaald moment in de lifecycle van AI persoonsgegevens gebruikt worden, dien je de bepalingen van de AVG na te leven. AI-systemen kunnen persoonsgegevens bevatten en/of gebruiken, om de AI te ontwikkelen, trainen, gebruiken…

Volgende vragen kunnen richting geven:

• Over welke categorie van persoonsgegevens gaat het?

Ga je bijzondere categorieën van persoonsgegevens (gevoelige persoonsgegevens) verwerken zoals gezondheidsgegevens, audiobestanden, videobeelden?

Hoewel de verwerking van bijzondere categorieën van persoonsgegevens in principe verboden is, voorziet de AVG uitzonderingsgronden. Zo kan je je eventueel beroepen op de uitzondering voor wetenschappelijke onderzoeksdoeleinden of -projecten waarbij het verwerken van bijzondere categorieën van persoonsgegevens noodzakelijk is. In dit geval moet je passende en specifieke maatregelen treffen om de belangen en de privacy van de betrokkenen in jouw onderzoek te beschermen. 

• Ga je ruwe persoonsgegevens verwerken? Of ga je gepseudonimiseerde of anonieme gegevens verwerken?

Wanneer je ruwe persoonsgegevens of gepseudonimiseerde persoonsgegevens ontvangt of verzamelt, dien je na te gaan of er een rechtsgrond voorhanden is om deze gegevens in jouw onderzoek te gebruiken.

Anonieme gegevens vallen niet onder het toepassingsgebied van de AVG. Wanneer je meent dat de data anoniem zijn of geanonimiseerd zijn, kan je dit best dubbelchecken. Indien je vaststelt dat het redelijkerwijze mogelijk is om de data te herleiden naar de personen van wie ze afkomstig zijn, bijvoorbeeld doordat er ergens nog aanvullende informatie bestaat die tot (her)identificatie kan leiden, zijn de gegevens niet anoniem en zal de AVG van toepassing zijn. Big data vergroot immers de mogelijkheid tot her-identificatie door de mogelijke combinatie van verschillende gegevenssets.

Als je de gegevens zelf gaat anonimiseren, dien je tot op het punt van de anonimiteit eveneens de AVG na te leven. Meer informatie hierover vind je in deze onderzoektip. 

• Ga je deze persoonsgegevens zelf verzamelen? Of ga je ze hergebruiken uit een ander of eerder onderzoek? Of misschien krijg je de persoonsgegevens via een andere interne/externe collega/partner?

Ook wanneer, in een onderzoeksproject, de persoonsgegevens niet rechtstreeks door jou bij de betrokkenen verzameld werden, dien je de AVG na te leven.

• Of misschien ga je de nodige gegevens online via social media verzamelen? Informatie op sociale media en andere online data wordt als “pseudo-publiek” beschouwd: de betrokkene deelt zijn of haar gegevens op het sociale medium voor bepaalde sociale media-doeleinden. De informatie blijft meestal publiek toegankelijk voor privé en/of professionele personen als de betrokkene het account niet afschermt. De principes van de AVG zijn zowel van toepassing op publiek toegankelijke als op “afgesloten” persoonsgegevens, dus ongeacht de zichtbaarheidsinstellingen van het platform (bv. gegevens enkel zichtbaar voor andere gebruikers, vrienden, het ganse publiek, …). 

‘GDPR-conforme’ AI

‘GDPR-conform’ vereist eerst en vooral een correcte ontwikkeling en een correct gebruik van AI vanuit de principes ‘privacy by design’ en ‘privacy by default’.

Privacy by design betekent dat je zo vroeg mogelijk, en dus al in de ontwikkelingsfase van AI, rekening houdt met privacyaspecten zoals doelbinding en minimale gegevensverwerking. Bij elk proces en elke ontwikkeling moet vanaf de ontwerpfase worden nagedacht of en hoe deze invloed (kunnen) hebben op de manier waarop persoonsgegevens worden verwerkt. Op basis daarvan worden dan de nodige (technische) maatregelen in het proces of het product mee ingebouwd. Voorbeelden van dergelijke maatregelen zijn het toepassen van pseudonimisering (het vervangen van identificeerbare persoonsgegevens door pseudoniemen) en versleuteling of encryptie (een methode waarbij data onleesbaar worden gemaakt door middel van bepaalde algoritmen).

Privacy by design wordt vaak in één adem genoemd met privacy by default. Het zijn verwante begrippen; volgens privacy by default moet je AI met de hoogst mogelijke privacy-instellingen aanbieden aan gebruikers. Zo wordt de privacy van de gebruikers vanaf het begin van het onderzoek beschermd, zelfs wanneer deze er zelf voor kiezen om niets te doen.

Zowel privacy by design als by default dienen proactief én preventief ingebed te worden in AI-systemen en ontwikkelingen. Wanneer dit te laat in het proces in overweging gebracht wordt, kan dit erg nadelige gevolgen hebben voor zowel de gebruikers, de onderzoekers als de AI-toepassing zelf…

Daarnaast dienen ook de andere basisprincipes van de AVG nageleefd te worden.

Het ontwikkelen en gebruik van ‘GDPR-conforme’ AI begint dus bij jou, als de betrokken onderzoeker.

Enkele vragen die je hierbij kunnen helpen:

• Ontwerp van het onderzoek / studieopzet:
• Heb je wel écht persoonsgegevens nodig? Als dit niet noodzakelijk is, dan gebruik je best anonieme gegevens.
• Welke persoonsgegevens heb je strikt gezien nodig om het onderzoeksdoeleinde te bereiken (dataminimalisatie)? Probeer je te beperken tot enkel die persoonsgegevens die bijdragen tot het beantwoorden van de onderzoeksvraag.
• Op welke rechtsgrond baseer je jou om persoonsgegevens te verwerken?
• Heb je een AVG-record aangemaakt om de verwerking van persoonsgegevens te registreren (in DMPonline.be)?
• Informatieverplichting:
• Worden de betrokkenen vooraf voldoende geïnformeerd over de gegevensverzameling, het doeleinde van de verwerking van persoonsgegevens en hun rechten (transparantie)? Ook wanneer je data hergebruikt, dien je de betrokkenen te informeren.

Betrokkenen informeren over het gebruik van hun persoonsgegevens gedurende de gehele levenscyclus van AI is essentieel. Je moet transparant zijn over de bedrijfspraktijk van de gebruikte of beoogde technologie. Er wordt, in de context van AI, een onderscheid gemaakt tussen externe en interne transparantie:

Extern: dit begrip verwijst naar de transparantie die jij moet verschaffen aan de buitenwereld met betrekking tot de verwerkingen van persoonsgegevens die jij doet. Het komt er op neer dat je wat er op technisch vlak gebeurt in een AI-systeem vertaalt naar de betrokkenen in begrijpelijke bewoordingen en redeneringen.

Intern: dit verwijst naar de transparantie met betrekking tot de werking van het AI systeem die binnen jouw onderzoek best verzekerd wordt. Niet alleen IT-teams moeten kunnen begrijpen hoe het AI-systeem werkt, maar ook andere personen in jouw onderzoek dienen over relevante informatie te kunnen beschikken, zodat zij deze systemen op een gepaste en weloverwogen manier gebruiken.

• Hoe ga je de gebruikers informeren? Is er een project/AI-specifieke privacyverklaring? Voorzie je een andere manier?

Ook wanneer je gegevens hergebruikt, dien je de betrokkenen individueel te informeren. Als het verstrekken van de informatie echter onmogelijk blijkt of onredelijk veel inspanning zou vergen, dan kan je afwijken van de informatieverplichting. In dat geval moet je wel nog steeds maatregelen nemen om de rechten en vrijheden van de betrokkene te beschermen en om minimale gegevensverwerking te garanderen, waaronder het openbaar maken van de informatie. In dit geval kan de informatie op een meer algemeen niveau openbaar worden gemaakt, zoals bijvoorbeeld op een website.

• Rechten van betrokkenen:
• Welke rechten hebben de betrokkenen en hoe kunnen zij deze uitoefenen?
• Heb je bijkomende mechanismen nodig voor de betrokkene in jouw onderzoek die hun gegevens willen raadplegen, wijzigen of wissen?
• Hoe kunnen betrokkenen hun (eventuele) toestemming intrekken, hun gegevens bekijken of zelfs hun gegevens laten verwijderen?

AI & ethiek

In Europa worden de 'EU ethics guidelines for trustworthy AI' algemeen erkend als de basisprincipes voor ethische AI. Dit document bepaalt de basisprincipes die je tijdens de ontwikkeling of bij de toepassing van AI in acht moet nemen. Voor meer informatie, zie deze pagina.