Data vs privacy: EU regelgeving voor kunstmatige intelligentie

Wordt het ontwikkelen en gebruiken van AI-aangedreven oplossingen zoals chatbots de komende jaren ingewikkelder? Vast staat dat effectieve AI begint met een goede dataset. Juist het gebruik van (vooral ‘menselijke’) data voor AI wordt aan nieuwe regels onderworpen. Ziptone sprak met Menno Weij (Partner Tech & Privacy Law bij BDO Nederland) en met Arjan van Hessen (Telecats/UTwente).

Het is een kwestie van tijd en dan komt er nieuwe regelgeving vanuit de EU voor kunstmatige intelligentie. De eerste onderdelen van de richtlijnen zijn afgelopen voorjaar gepubliceerd en daaruit blijkt dat de nieuwe regelgeving is gebaseerd op risico-inschattingen. Daarbij geldt: de omvang van het risico is kans maal impact. Als er een kleine kans is dat iets fout gaat, maar de impact daarvan is groot, dan is het risico groter en zullen de regels restrictiever zijn. Chatbots zijn bijvoorbeeld ingedeeld in risicocategorie 2, waarbij er een informatieplicht geldt: bedrijven moeten transparant zijn over de werking van de toepassing. Precies op dit punt zou customer service wel eens te maken kunnen krijgen met extra meldingsplicht aan consumenten. In dit artikel de uitleg.

Algoritme-waakhond

“Met de tot nu toe verschenen wetsvoorstellen en beleidsnotities van de EU is de toon gezet,” aldus tech- en privacyjurist Menno Weij (BDO). “Dat er regels komen, is goed, maar de impact die deze regels gaan hebben op bedrijven en consumenten vind ik op dit moment zorgwekkend. Er wordt bijvoorbeeld gesproken over het optuigen van een algoritme-waakhond, een taak die in Nederland bij de Autoriteit Persoonsgegevens zou moeten worden ondergebracht. De AP klaagt al jaren over te weinig geld en middelen en loopt alleen al op privacy-dossiers flink achter.”

Openheid en transparantie

Een tweede lijn uit de plannen van de EU heeft betrekking op openheid en transparantie rondom het gebruik en inzet van AI. Weij: “Juridisch komt het erop neer dat duidelijk wordt gemaakt dat je als consument te maken hebt met, bijvoorbeeld, een chatbot in plaats van een echt persoon. De gedachte hierachter is om die persoon de mogelijkheid te geven een weloverwogen keuze te maken óf afstand te nemen van een bepaalde situatie. Bijvoorbeeld dat die persoon de klantenservice kan bellen in plaats van genoegen te nemen van een chatbot.”

Data als trainingsmateriaal: grote impact

Daarnaast verwacht Weij ook de nodige impact van een ander opvallend element in de komende wet- en regelgeving. “Een van de aanjagers van het Europese privacybeleid is de Franse privacywaakhond CNIL (Commission Nationale Informatique & Libertés). CNIL, een vooruitstrevende en gerespecteerde privacywaakhond binnen Europa, heeft een analyse gemaakt van de verschillende rollen van AI-leveranciers in de context van de GDPR. Die analyse kan verstrekkende gevolgen hebben voor bedrijven die AI-toepassingen inzetten richting consumenten.”

Chatbot-melding
Op dit moment is nog niet duidelijk hoe aan deze transparantieverplichting invulling moet worden gegeven. Je zou kunnen denken aan een melding zoals ‘u maakt nu gebruik van een geautomatiseerde dienst die gebruik maakt van algoritmen en data, waarbij de data onder andere worden verzameld tijdens uw gebruik van de dienst’. Weij vermoedt dat het vanuit het perspectief van AI-wetgeving die kant zal opgaan: dat mensen weten dat ze met een robot te maken hebben. Daarnaast zou de consument als betrokkene ook moeten weten wat het gevolg van zo’n interactie met die robot is, aldus Femke Schemkes, collega van Weij. “Enerzijds worden er geautomatiseerde antwoorden gegenereerd naar aanleiding van de gestelde vragen; anderzijds worden er data verzameld en gebruikt tijdens de dienst, en wellicht ook om het AI-systeem te laten leren. Voor een leek die niets van AI-systemen weet, zal dit namelijk niet direct duidelijk zijn.”

Weij: “Vanuit het spoor ‘privacy’ is vooral de variant interessant dat de leverancier ook verantwoordelijke wordt. Daar zal de partij waarmee de consument zakendoet, dan op moeten wijzen, waarbij die partij zou moeten doorverwijzen naar bijvoorbeeld een privacy-statement van de oorspronkelijke leverancier.”

Dataset is van grote invloed op effectiviteit AI

Dan de technische kant van AI. Ook Arjan van Hessen (Head of Imagination, Telecats/UTwente) vindt dat het de hoogste tijd is om wet- en regelgeving te ontwikkelen, “want de technologische ontwikkelingen gaan razendsnel.” Hij legt uit dat de werking van AI sterk afhankelijk is van de wijze waarop datasets worden samengesteld.

Van Hessen: “AI komt neer op herkennen van patronen in verzamelde gegevens. Hoe breder de dataset is, hoe beter AI meestal werkt. Naarmate je meer beperkingen gaat opleggen aan het gebruik van bepaalde data uit je dataset, kan AI onnauwkeuriger worden. Denk aan het wel of niet gebruiken van bijzondere persoonsgegevens. In de VS en vooral China vindt men privacyregels minder belangrijk en het resultaat daarvan kan zijn dat bijvoorbeeld Chinese AI straks beter ‘scoort’ dan Europese. In Europa is het uitgangspunt dat je geen bijzondere persoonsgegevens gebruikt tenzij je het heel goed kunt uitleggen. Daarnaast zet de Europese Unie sterk in op de verklaarbaarheid of uitlegbaarheid van algoritmen, zodat de (eind-)gebruiker verteld kan worden waarom een bepaalde beslissing genomen werd. Dat is bij AI, in tegenstelling tot bij de meer klassieke algoritmes, zeker niet eenvoudig, maar het is goed dat het in ieder geval geprobeerd gaat worden.”

AVG biedt al houvast voor datagebruik bij AI
Voor het gebruik van (bijzondere) persoonsgegevens is in 2018 de wetgeving aangepast, zowel nationaal (AVG) als Europees (GDPR). In de GDPR en AGV is vastgelegd dat verwerking van data voor ‘statistische doeleinden’ gewoon is toegestaan. Maar het resultaat van een training van AI mag echter niet rechtstreeks terug worden toegepast op de betrokken personen, en al helemaal niet als een geautomatiseerde besluitvorming (artikel 22 AVG).

Kwaliteit van de oplossing

Er is nog een tweede reden waarom het voorkomen van bias belangrijk is: naast de risico’s van discriminatie en misbruik is ook de performance van de oplossing van belang. Van Hessen: “Als AI wordt opgebouwd uit een dataset die geen goede weergave van de werkelijkheid is en ontwikkelaars deze oplossing vervolgens wel breed gaan inzetten, werkt de oplossing uiteindelijk minder goed. Wanneer je spraakherkenning ontwikkelt zonder Oekraïners die Nederlands gaan spreken te includeren, dan werkt de oplossing niet voor de volledige samenleving.”

Van Hessen benadrukt dat dit probleem nu al bestaat: spraakherkenning werkt immers minder goed bij hoogbejaarden, kinderen en buitenlanders die Nederlands als tweede taal spreken, eenvoudigweg omdat deze groepen meestal niet worden betrokken bij het trainen van de spraakherkenner. “Willen we de spraakherkenner dus meer inclusief maken, dan zullen dus ook de spraakdata van alle kleinere groepen die Nederlands spreken, gebruikt moeten worden. En dit proces stopt nooit, want er komen steeds weer ‘nieuwe’ Nederlanders bij, waardoor de spraak eigenlijk constant verandert.”

Alles begint met het juiste trainingsmateriaal

Het trainingsmateriaal moet dus representatief zijn voor de doelgroep waarvoor je AI wilt inzetten. Die doelgroep kan trouwens ook veranderen in de loop van de tijd – denk aan de komst van nieuwe groepen in je samenleving, aan vergrijzing of aan mensen met dementie – en dan moet AI hier ook op worden bijgeschoold, aldus Van Hessen. “In de GDPR wordt je stem – want een biometrisch kenmerk dat voor unieke identificatie kan worden gebruikt – nu als bijzonder persoonsgegeven gezien. Dat maakt het verbeteren van spraakherkenningstechnologie wel ingewikkelder. Het inclusief maken en houden van technologie wil je niet overlaten aan Microsoft of Google.”

Expertise versterken

Van Hessen zou het een goed idee vinden als er meer expertise in organisaties komt over de eigen datacollectie en wat daarmee wordt gedaan. “Anders krijg je situaties zoals bij de Belastingdienst waar de Toeslagenaffaire laat zien hoe het uit de hand kan lopen als je niet goed kijkt naar je datacollectie en je analysemethode. Evalueren van gehanteerde werkwijzen door experts, om ervan te leren, dat gebeurt volgens mij te weinig. Denk aan de relatie tussen de aard en kwaliteit van uitkomsten en de dataset. Ik hoor steeds vaker van jonge data-scientists dat zij het moeilijk vinden hun managers te overtuigen waarom iets wel of niet goed werkt of waarom iets statistisch eigenlijk niet verantwoord is.” Natuurlijk zullen die managers langzaam een beter beeld krijgen van data, algoritmes en AI, maar het zou enorm helpen om hier toch wat meer vaart mee te maken, aldus Van Hessen.

Waar moeten we rekening mee houden?

Terug naar de onvermijdelijke wet- en regelgeving. Die zou voor consumenten kunnen neerkomen op een vergelijkbare praktijk als bij de cookie-meldingen: straks moet je wellicht ook een AI-melding bij een chatbot wegklikken. “De vraag is wat de consument hierover aan uitleg gaat krijgen. En of die uitleg te begrijpen is. Natuurlijk is het bieden van een keuzemogelijkheid een groot goed. Maar zo’n extra melding kan er ook voor zorgen dat de ‘toestemmingsvermoeidheid’ van consumenten verder wordt vergroot,” vreest Weij, “Het middel is dan erger dan het doel.”

De kans is groot dat de nieuwe regels veel extra werk voor bedrijven gaan opleveren – en voor juristen een lawyers paradise, aldus Weij. Als het gaat om het laagdrempelig ontwikkelen van toepassingen – denk aan low code chatbots, iets wat gewoon binnen het contactcenter kan worden opgepakt – dan is hij ervan overtuigd dat hiervoor de huidige wetten en regels voldoen. “Natuurlijk moeten ook low code ontwikkelaars compliant zijn. Bedrijven die op dit vlak hun governance niet op orde hebben en zonder na te denken low code toepassingen laten ontwikkelen en uitrollen, lopen vanzelf vroeg of laat tegen de lamp.”

Tekst: Erik Bouwer – Ziptone

DELEN

Get in touch

Nederland

Frankrijk

Op dit moment is er een storing bij Tele 2.
Voor andere support vragen bellen naar:
+31 (0) 20 - 771 15 16

Of stuur een berichtje