De AI act (AIA) maakt veel los bij organisaties en binnen ons vakgebied. Het zal niet onbekend in de oren klinken dat de FG naar voren geschoven wordt bij het toepassen van AI binnen een organisatie. Maar is dat wel terecht?! In dit artikel ga ik in op AIA in relatie tot de rol van een FG. Hierbij baseer ik me op de AIA en eigen ervaringen als FG. Is het een grijs gebied tussen AI en FG of kunnen we duidelijke scheidslijnen trekken?
De AIA geeft in art. 1 lid 1 aan wat het doel van die wet is; namelijk: ‘… de werking van de interne markt te verbeteren en de toepassing van mensgerichte en betrouwbare artificiële intelligentie (AI) te bevorderen, en tegelijkertijd een hoog niveau van bescherming van de gezondheid, de veiligheid en de in het Handvest verankerde grondrechten te waarborgen, met inbegrip van de democratie, de rechtsstaat en de bescherming van het milieu, tegen de schadelijke gevolgen van AI-systemen in de Unie, en innovatie te ondersteunen.’. Uit deze doelstelling vallen een aantal zaken op. Het gaat om het verbeteren van de interne markt[1], het bevorderen van de toepassing van AI waarbij rekening gehouden moet worden met de expliciet vermelde randvoorwaarden. Privacy (bescherming van persoonsgegevens) wordt hierbij impliciet vermeld door de verwijzing naar het Handvest[2].
De kern van AIA is gelegen in het in de handel brengen, in gebruik stellen en gebruiken van een AI-systeem. Een AI-systeem is in deze te beschouwen als wetgeving voor een product[3]. Art. 1 lid 2 AIA maakt dit duidelijk. Het gebruik van gegevens, persoonsgegevens in het bijzonder, is een component hiervan maar niet de kern.
Bij het implementeren van een AI-systeem door een organisatie (als gebruiksverantwoordelijke), zal zij inzicht moeten krijgen in de toepassing en werking ervan in relatie tot de inputdata die de organisatie daarvoor wil gebruiken. Een FG kan in deze fase goed betrokken worden om vast te stellen of er persoonsgegevens verwerkt worden en welke gevolgen kunnen voor komen voor natuurlijke personen bij het gebruik van het AI-systeem. Dit laatste ook in het geval er geen persoonsgegevens verwerkt worden maar een schending van een recht uit het Handvest wel te voorzien is.
Belangrijk aan deze betrokkenheid van de FG is dat de rol, taak en verantwoordelijkheden van de FG bij de organisatie (projectteam) helder is gemaakt. De FG houdt toezicht en geeft waar nodig advies in relatie tot de rechten en vrijheden van natuurlijke personen bij het verwerken van (persoons)gegevens. De organisatie kan hierover andere verwachtingen hebben of ‘vastklampen’ aan de FG omdat interne kundigheid op het gebied van AI ontbreekt. Verwachtingenmanagement is dan ook belangrijk zodat de FG niet onbedoeld aanvullende (operationele) taken krijgt of verwacht wordt die taken op zich te nemen.
Het implementeren van een AI-systeem is niet heel anders dan de implementatie van een ICT-systeem. Op het moment dat een wens is geuit gaan (inkoop)-processen werken om onder andere behoefte en kaders te inventariseren, risico’s in kaart te brengen, eventuele koppelingen met systemen, te gebruiken data, enz. Het is aan de organisatie om afdelingen en medewerkers duidelijk te maken dat deze processen gevolgd moeten worden zodat op gedegen en veilige wijze AI-systemen binnen de organisatie gebruikt kunnen worden. De FG heeft vanuit mijn ervaringen niet ‘ineens’ een andere of aanvullende rol alleen maar omdat het een AI-systeem betreft. De organisatie blijft aanzet en de FG houdt toezicht en geeft advies waar het de verwerking van persoonsgegevens betreft.
Door de processen van de organisatie te volgen zou de aanschaf en implementatie van een AI-systeem niet anders hoeven te verlopen dan bij een ander systeem. Het tijdig betrokken raken bij een project zorgt ervoor dat de FG de kaders kan inventariseren om de mate van betrokkenheid en toezicht te kunnen bepalen. Blijf hierbij bij je leest! Iedere betrokken persoon heeft een eigen rol. De rol van FG is hierin niet anders dan wat de AVG heeft gesteld. De toewijzing van de rol van AI-deskundige/adviseur vindt binnen het projectteam of anders binnen de organisatie plaats. Hoewel deze rol van AI-deskundige/adviseur een belangrijke rol is, is dit in ieder geval niet de rol die de FG (ook) zou moeten bekleden[4].
[1] Ben je bewust dat de EU primair een samenwerkingsverband is om handel tussen de lidstaten te bevorderen en te vergemakkelijken.
[2] Handvest van de grondrechten van de Europese Unie.
[3] Zie als voorbeeld ook de wetsartikelen gerelateerd aan conformiteitsbeoordelingen in afdeling 4 en 5 AIA.
[4] Dat betekent niet automatisch dat de FG niet kundig zou hoeven zijn op het gebied van AI.