NIEUWSARTIKEL

In de nieuwste editie van onze serie ‘De FG en AI’ nemen we een kijkje in de wereld van NGFG-lid Remy van den Boom, Functionaris Gegevensbescherming bij TNO. Als privacy-expert bij deze toonaangevende onderzoeksinstelling waar duizenden wetenschappers werken aan innovatieve oplossingen, speelt Remy een sleutelrol in het waarborgen van privacy en ethiek binnen AI-ontwikkelingen. Met zijn jarenlange ervaring in gegevensbescherming en zijn inzicht in de nieuwe AI-verordening belicht Remy de uitdagingen én kansen die AI met zich meebrengt voor de bescherming van persoonsgegevens. Ontdek hoe hij privacy by design toepast en wat hij ziet als de toekomst van samenwerking tussen technologische teams en privacyprofessionals!

Remy van den Boom is een expert op het gebied van privacy en gegevensbescherming en werkt momenteel als Functionaris Gegevensbescherming bij TNO. TNO is een onderzoeksinstelling waar ruim 4000 mensen werken. TNO-onderzoek richt zich op diverse onderzoeksdomeinen waarbinnen gegevensbescherming cruciaal is. Enkele voorbeelden hiervan zijn:

• Defensie & Veiligheid: dit onderzoeksgebied richt zich op het creëren van innovaties voor mensen die zich dagelijks inzetten voor onze veiligheid. Gegevensbescherming is hier van groot belang om de veiligheid en privacy van gevoelige informatie te waarborgen.
• Gezond Leven: binnen dit onderzoeksgebied is gegevensbescherming belangrijk bij het verwerken van gezondheidsgegevens.
• Informatie & Communicatie Technologie: dit domein omvat onderzoek naar nieuwe technologieën, waaronder de ontwikkeling van AI-systemen en op AI gebaseerde modellen. Om deze technologieën te ontwikkelen zijn veel gegevens nodig, waaronder persoonsgegevens. TNO zet zich in om dit op een verantwoorde wijze te doen, met oog voor grondrechten en de effecten van deze technologie op de maatschappij. Dit is essentieel voor het behoud van een vrije samenleving in een digitale wereld.

Wat betreft zijn betrokkenheid bij AI en privacy is Remy actief in discussies over de ethische en privacy-implicaties van deze opkomende technologie. In zijn werk als FG wordt hem advies gevraagd op de integratie van AVG-beginselen bij de ontwikkeling van AI in TNO-onderzoek. Uiteraard mogen daarbij ook de nieuwe verplichtingen uit de AI Verordening niet ontbreken. Reden genoeg voor ons om Remy eens aan de tand te voelen in onze reeks De FG en AI.

Kun je ons een korte introductie geven over je achtergrond en hoe je betrokken bent geraakt bij het vakgebied van privacy en gegevensbescherming?
In 2012 ben ik bij de Dienst Justis gestart als bestuursrecht jurist. De AVG bestond nog niet, maar wel de Wbp. Ik ben toen gevraagd om binnen Justis ook de rol van privacycoördinator op mij te nemen. Verschillende dienstonderdelen van het Ministerie van JenV, toen nog VenJ, hadden een dergelijke rol ingericht. Je deed dit naast je gewone werkzaamheden. In die tijd werd ook de AVG voorbereid bij de Europese Commissie. Bescherming van persoonsgegevens kreeg steeds meer aandacht binnen organisaties, vooral ingegeven door de hoge boetes die ineens konden worden opgelegd. Niet meteen de beste prikkel zou ik zeggen, waardoor je zag dat mensen en organisaties in een AVG-kramp geraakten en er niets meer leek te mogen.

Ik heb in die periode al vrij snel de CIPP/e en CIPM certificaten gehaald en ben gedurende 2016-2018 als kwartiermaker privacy officer gestart bij de IND en vervolgens in 2018 bij TNO gestart als FG. Je kunt wel stellen dat ik vanaf het eerste uur betrokken ben geweest bij de ontwikkelingen die dit nieuwe rechtsgebied heeft doorgemaakt, waaronder de eerste samenwerkingsverbanden die toen zijn gestart. Denk aan het Centrum Informatiebeveiliging en Privacybescherming (CIP). Alles was toen nieuw, iedereen was zoekende naar een praktische manier om de AVG te implementeren. In het CIP heb ik, samen met andere enthousiaste privacy pioniers, meegedacht en -geschreven aan de eerste CIP Privacy Baseline. In de afgelopen jaren is er veel gebeurd en verbeterd om gegevensbescherming binnen organisaties de juiste plek te geven en praktisch uit te voeren. Ik denk dat we nu hetzelfde zien gebeuren rondom de AI-regelgeving. Dit is opnieuw leuk en spannend om mee te maken.

Hoe zie jij de impact van AI op privacybescherming in de komende jaren, vooral in het licht van nieuwe wetgevingen zoals de AI Act?
De opkomst van het internet in de jaren ’90 en de daaruit voortkomende applicaties, waaronder de opkomst van social media, heeft het belang van bescherming van persoonsgegevens een nieuwe dimensie en boost gegeven. Het werd mogelijk om veel data te verzamelen, nieuwe data te genereren en te koppelen én alle data bleef gewoon bewaard. Een goudmijn voor veel bedrijven die met het internet nieuwe producten en diensten kunnen aanbieden of bestaande diensten efficiënter en daarmee competitiever maken en dat vaak op wereldschaal! Gegevens van mensen werden tevens handelswaar. Het belang van regelgeving en handhaving werd ineens veel groter omdat de impact voor individuele mensen wanneer onzorgvuldig met hun gegevens werd omgegaan vele mate groter werd dan daarvoor.

AI wordt door experts gezien als een opkomende, en in potentie maatschappij ontwrichtende, technologie. De belangen bij het ontwikkelen van ‘responsible AI’ zijn daardoor nog groter dan bij het reguleren van onlinediensten. Pas sinds kort, en dus achteraf, zijn daar eindelijk stappen in gemaakt, onder andere door de twee verordeningen Digital Service en Market Act. Het is wat mij betreft positief dat voor AI met regulering niet is gewacht. Willen we onze democratische waarden, onze individuele autonomie en eigen zelfontplooiing behouden dan lijkt regulering noodzakelijk, hoewel je je kunt afvragen of dit voldoende is.

AI-technologie kan in allerlei producten en in dienstverlening worden toegepast. Vaak komt daar op de één of andere manier interactie met mensen bij voor, waarbij gegevens over hen door het AI-systeem worden verwerkt. De focus komt niet alleen te liggen op de gegevens die je in een systeem stopt, maar ook om de gegevens die nodig zijn voor het trainen ervan en natuurlijk de output van het AI systeem. Daarbij vormt de ondoorzichtigheid van de gegevensverwerkingen een nieuwe uitdaging voor om risico’s te beoordelen op het gebied van gegevensbescherming en andere fundamentele rechten hetgeen een impact heeft op de maatschappij als geheel. We worden immers voor het eerst geconfronteerd met content die door een machine is gecreëerd, van dusdanige kwaliteit dat het niet meer van echt te onderscheiden is. Hedendaagse problemen rondom manipulatie en beïnvloeding kunnen daardoor nog groter worden. Wat dat betreft, gaan we echt een nieuw tijdperk in.

Welke uitdagingen voorzie jij bij het afstemmen van AI-innovaties met de eisen van de AVG?
Los van de eisen lijken ook de begrippen die de AVG hanteert niet goed aan te sluiten op hoe AI-technologie werkt. Neem bijvoorbeeld ontwikkeling van een Large Language Model, dat voor het ontwikkelen en trainen grote hoeveelheden data nodig heeft. Je komt dan geheid in de problemen met begrippen als doelbinding, grondslagen, herleidbaarheid van gegevens en de mogelijkheid om AVG rechten uit te oefenen. Maar ook basale begrippen als verwerkingsverantwoordelijke krijgen een nieuwe dimensie. Ben je dat alleen of samen met de ontwikkelaar/ aanbieder en wat betekent dat dan concreet en in de praktijk? Een andere grote uitdaging is natuurlijk de verklaarbaarheid van de uitkomst van een AI systeem. Tot op zekere hoogte blijft het een black box waar gegevens in kunnen worden gestopt en er vervolgens een bepaald resultaat uitkomt. Hoe tot de uitkomst wordt gekomen, is niet voor 100% uit te leggen, terwijl deze uitlegbaarheid en transparantie op basis van de AVG kunnen worden geëist.

Verder staat Europa er niet om bekend dat AI-innovaties hier vandaan komen. Burgers, bedrijven en overheden zullen daarom gebruik maken van AI-systemen die in de Verenigde Staten of elders zijn ontwikkeld. Het afstemmen van AI innovaties met de eisen uit Europese regelgeving zoals de AVG en AI Act is dan per definitie uitdagend.

Welke rol kunnen Functionarissen Gegevensbescherming spelen bij het begeleiden van organisaties door de privacy-uitdagingen die AI met zich meebrengt?
De FG heeft sowieso de rol om kritische vragen te stellen wanneer wordt besloten AI te integreren in bestaande werkprocessen en IT-systemen. Het lijkt wenselijk om dan verder te kijken dan alleen AVG-compliance. Je rekt daarmee wel de wettelijke bevoegdheden die een FG heeft op. De FG heeft immers geen formele rol bij het toezicht op de naleving van de AI Act. Toch wordt vaak naar de FG gekeken om ook iets te zeggen over AI-systemen in een organisatie, omdat AI en privacybescherming met elkaar samenhangt. Soms ontbreekt er ook gewoon de kennis binnen de organisatie omdat het nieuwe wetgeving betreft. De FG is inmiddels gewend om te denken in risico’s voor de betrokkenen en de impact die technologie heeft op privacybescherming en grondrechten. Die rol kan de FG dan pakken.

Sommige FG’s hebben dan de neiging om meteen in de juridische details te schieten met het gevaar daarin verstrikt te geraken. Ga in de organisatie het gesprek aan over de inzet van AI en neem mensen mee in de kritische gedachtenvorming. Begin eerst met kritisch te kijken naar het nut en de noodzaak van het inzetten van AI en neem ook de impact van AI op het milieu (meer CO2 uitstoot en watergebruik) mee. Vaak wordt AI gezien als oplossing om efficiënter en kostenbesparend te werken. Stel kritische vragen of dit soort claims voldoende onderbouwd kunnen worden. De FG kan ook het voortouw nemen bij of de organisatie aanmoedigen tot het maken van interne richtlijnen over de inzet van AI.  Deze richtlijnen hebben als doel, mensen handvatten te bieden om zelf kritisch na denken over de mogelijke impact van het gebruik van AI op mens, milieu en samenleving.

Hoe denk jij dat 'privacy by design' praktisch kan worden geïmplementeerd bij organisaties die AI-systemen ontwikkelen of gebruiken?
Privacy by design in AI betekent dat privacybescherming wordt ingebouwd in de AI-systemen vanaf het allereerste stadium. Het uitvoeren van Data Protection Impact Assessments (DPIA's) om privacyrisico's te identificeren en te mitigeren, lijkt een praktisch middel om dit te implementeren. In de DPIA komen alle gegevensbeschermingsbeginselen aan bod en is er aandacht voor het belang om transparant te zijn over hoe gegevens worden verzameld, gebruikt en bewaard, en moet je nadenken over mogelijkheden om ervoor te zorgen dat mensen waarvan hun gegevens door middel van AI worden verwerkt controle hebben over hun eigen gegevens en de output van het AI-systeem. Daarbij is het noodzakelijk om AI systemen te testen, testen en nog eens te testen en daarbij oog te hebben voor mogelijke verschillen in nadelige effecten voor verschillende doelgroepen, zoals minderheden. Op die manier kan discriminatie worden voorkomen en kunnen de rechten en vrijheden van individuen worden beschermd.

Denk je dat er een spanningsveld bestaat tussen de snelheid van AI-innovatie en de relatief langzame ontwikkeling van wetgeving? Hoe kunnen we dit aanpakken?
Jazeker, dit is en blijft lastig en het is een illusie dat wetgeving innovaties, los van of het om AI gaat, kan bijbenen en regulering voor alles een oplossing is. Denk bijvoorbeeld aan de handhaving van wetgeving. Je ziet bijvoorbeeld dat die vaak tekortschiet, niet in de laatste plaats door gebrek aan capaciteit bij toezichthouders.

Bijzonder van AI als technologie is dat de toepassingen daarvan onbeperkt lijken. Hierdoor is het lastig te voorspellen welke nieuwe producten en diensten uit AI-ontwikkelingen voortkomen. Wetgeving kan die situaties niet allemaal voorspellen en er zullen situaties ontstaan waarmee geen of onvoldoende rekening is gehouden. Hierdoor komen hiaten in wetgeving aan het licht.

We hebben het nu vooral gehad over de zorgen die bestaan bij de ontwikkeling van AI en de impact die deze technologie kan hebben op individuen en de maatschappij in het geheel. Technologische vooruitgang op het gebied van AI biedt tegelijkertijd ook kansen door de potentie om AI in te zetten bij het bedenken van oplossingen voor grote maatschappelijke uitdagingen op het gebied van klimaatverandering, het onderwijs en de arbeidsmarkt, de gezondheids- en ouderenzorg en bij het behouden van veiligheid en geopolitieke stabiliteit.

Het erkennen van dit spanningsveld door juristen is een eerste stap. Wetgeving mag wat mij betreft geen onnodig struikelblok zijn bij de kansen die AI als technologie biedt om maatschappelijke problemen op een verantwoorde manier op te lossen. Waar wetgeving ontoereikend is, kan worden aangesloten bij de teleologische interpretatie van een wet. In plaats van strikt naar de letter van de wet te kijken, probeer je te begrijpen wat de wetgever met de wet heeft willen bereiken. Dit betekent dat de bedoeling en het doel van de wet als leidraad wordt genomen bij de interpretatie ervan.

Deze methode zou kunnen worden gebruikt wanneer de tekst van de wet onduidelijk is of tot onredelijke uitkomsten zou leiden als deze letterlijk wordt toegepast.

Wat is volgens jou de toekomst van samenwerking tussen technologische ontwikkelingsteams en privacyprofessionals zoals Functionarissen Gegevensbescherming?
Ik denk dat de FG deze technologische ontwikkelingsteams kan meenemen in het kritisch nadenken over de mogelijke impact van het te ontwikkelen AI-systeem op mensen die ervan gebruik maken of op mensen wiens gegevens daarmee worden verwerkt. Overigens is mijn ervaring binnen TNO met technologische ontwikkelingsteams, zoals de data scientists, dat dit bewustzijn er ook al is. Privacyprofessionals en FG’s kunnen deze teams dus versterken. Het is daarbij cruciaal dat wij als privacyprofessionals ons verdiepen en nieuwsgierig zijn naar hun vakgebied. Het begrijpen van elkaars perspectief op de materie levert uiteindelijk het beste resultaat op waarmee verantwoording kan worden afgelegd over de keuzes die in de ontwikkeling van AI zijn gemaakt.

Meer weten over Remy of contact met hem opnemen?

Remy is goed te contacteren via zijn LinkedIn profiel, Leden zoeken leden op de NGFG-website en natuurlijk via TNO.