Door Rory Remon & Lisa Machgeels 

De inzet van data en AI biedt organisaties veel kansen, maar roept ook belangrijke juridische vragen op. Samen met advocatenkantoor AKD organiseerden we een webinar over het Omgaan met data en AI volgens de wet- en regelgeving van nu. 

👉Klik hier om deze terug te kijken

Ter voorbereiding stelden we vijf vragen aan een van de advocaten van AKD Lisa Machgeels. In dit interview deelt zij waardevolle inzichten over veelvoorkomende misverstanden, de noodzaak van een actueel databeleid, de AI-Act, en waar het vaak misgaat in de samenwerking met externe marketing- en datapartners.

1.     Wat merken jullie als advocatenkantoor op dit moment van de toegenomen aandacht voor AI en datagebruik in organisaties?

Organisaties willen steeds vaker gebruikmaken van AI en data, omdat dit kansen met zich meebrengt om efficiënter, slimmer en competitiever te worden. Aan de andere kant zijn er ook juridische uitdagingen. Als advocatenkantoor merken we dat organisaties steeds vaker vragen hebben over de juridische implicaties van kunstmatige intelligentie, zoals de bescherming van privacy, de compliance met regelgeving zoals de AVG  en de AI Act en de aansprakelijkheid bij AI-gestuurde besluitvorming. Daarnaast worden we vaker om advies gevraagd met betrekking tot intellectuele eigendom en de bescherming van content die door AI is gegenereerd. We verwachten dat er in de toekomst mogelijk ook een toename zal zijn van geschillen in dit kader.

We merken dat organisaties zich nog niet altijd bewust zijn van de noodzaak om duidelijke richtlijnen op te stellen voor het gebruik van data en algoritmes. In dit kader hebben organisaties daarom behoefte aan begeleiding: hoe kan AI en datagebruik op een verantwoorde manier worden ingezet zonder inbreuk te maken op (privacy)rechten of bestaande wet- en regelgeving? Dit vraagt om een multidisciplinaire aanpak, waarbij zowel juridische als technologische aspecten een rol spelen.

2.     Welke misverstanden komen jullie vaak tegen bij bedrijven die met AI of data gedreven marketing aan de slag willen?

Organisaties denken soms dat data die openbaar beschikbaar is, ook vrij mag worden gebruikt. Dat is uiteraard een misvatting. Zelfs als data op internet te vinden is, betekent dit nog niet dat het zomaar mag worden gebruikt voor AI-modellen of voor marketingdoeleinden. Privacywetgeving of auteursrechten kunnen hier van toepassing zijn en een beperking of verbod van het gebruik opleveren.

Een ander misverstand dat kan bestaan bij organisaties is dat opt-in toestemming voldoende is voor alle vormen van datagebruik. Toestemming van gebruikers is inderdaad belangrijk, maar in veel gevallen is de expliciete toestemming alleen niet genoeg. Een organisatie die data verwerkt moet immers ook voldoen aan principes zoals doelbinding en minimale gegevensverwerking. Bovendien kan toestemming niet altijd als verwerkingsgrondslag worden ingeroepen, bijvoorbeeld in een werkgever-werknemer relatie, in dat geval moet een alternatieve verwerkingsgrondslag worden toegepast. Tenslotte is toestemming ook alleen geldig wanneer de betrokkene voldoende geïnformeerd is. Daar schort het ook nog wel eens aan.

Organisaties denken soms ook ten onrechte dat wanneer ze een AI-tool gebruiken of kopen, ze niet aansprakelijk zijn voor de uitkomsten. De organisatie gaat er dan vanuit dat de verantwoordelijkheid ligt bij de aanbieder van de technologie. In werkelijkheid kan echter ook de gebruiker aansprakelijk zijn, bijvoorbeeld wanneer AI-gestuurde besluitvorming leidt tot een schadelijke of misleidende beslissing.

Tot slot is het een misvatting dat AI creatief werk kan genereren zonder juridische beperkingen. AI kan onder andere teksten, afbeeldingen en campagnes creëren, maar het is de vraag of hierdoor rechten ontstaan en zo ja, aan wie die rechten dan toekomen. Als de gebruiker van een AI-model voldoende creatieve keuzes heeft gemaakt voor de input, krijgt hij dan vervolgens de rechten op de gegenereerde content? Dit is een complex juridisch vraagstuk en de meningen hierover in de literatuur zijn op dit moment nog verdeeld. In Nederland is hier tot op heden ook nog geen rechtspraak over, daarom is het zeer wenselijk dat een rechter zich op korte termijn een keer over dit thema zal buigen.

3.     Wat voegt de Europese AI-wetgeving (AI Act) toe aan bestaande regels zoals de GDPR, en waarom is die aanvulling belangrijk?

Ontwikkelingen in de digitale wereld gaan tegenwoordig razendsnel. De AVG is al in 2016 in werking getreden, maar de toenemende populariteit van AI-systemen vond vooral in de laatste paar jaren plaats. Zo werd de eerste versie van ChatGPT gelanceerd in 2022. Bestaande wetten zoals de AVG bieden al wel bescherming bij het verwerken van persoonsgegevens en zien ook op gevallen waarin AI-systemen worden gebruikt om persoonsgegevens te verwerken. De AVG is echter onvoldoende om alle risico’s aan te pakken die bij AI komen kijken. De Europese AI-wetgeving (AI Act) bouwt daarom voort op bestaande regelgeving zoals de AVG, maar richt zich specifiek op de juridische kaders voor kunstmatige intelligentie.

De AI Act is essentieel omdat AI-technologie zich ontzettend snel ontwikkelt en maatschappelijke risico’s met zich meebrengt, zoals discriminatie in algoritmes, schending van privacy en gebrek aan controle over autonome systemen. De AI Act helpt ervoor te zorgen dat ontwikkelaars van AI-systemen risico’s aanpakken en dat daar toezicht op is.  Door juridische kaders vast te stellen, zorgt de AI Act ervoor dat AI veilig, transparant en ethisch verantwoord wordt ingezet binnen de EU, terwijl innovatie niet wordt belemmerd.

4.     Waarom is het juist nu belangrijk voor organisaties om hun databeleid opnieuw onder de loep te nemen?

Hier zijn een paar belangrijke redenen voor:

• Met de komst van de AI Act en verdere handhaving van de AVG krijgen organisaties, met name in het geval van hoog risico AI-systemen te maken met strengere eisen rond transparantie, gegevensbescherming en verantwoord gebruik van data. Het niet voldoen aan deze regelgeving kan de reputatie van de organisatie schaden, maar kan ook leiden tot boetes en juridische claims.

• Toezichthouders zoals de Autoriteit Persoonsgegevens en andere Europese waakhonden intensiveren hun handhaving, met hogere sancties voor overtredingen. Dit geldt vooral voor organisaties die persoonsgegevens verwerken zonder voldoende waarborgen of zonder grondslag.

• Voor dataverwerking wordt steeds vaker gebruikt gemaakt van AI-systemen, maar zonder goed beleid kunnen deze systemen leiden tot discriminatie, misbruik van persoonsgegevens of onrechtmatige besluitvorming. Het opstellen van duidelijke richtlijnen voor ethisch en juridisch verantwoord gebruik van data en AI is daarom essentieel binnen een organisatie.
• In de huidige digitale wereld nemen helaas ook datadiefstal en cyberaanvallen toe, en bedrijven moeten zich wapenen tegen deze risico’s. Een up-to-date databeleid helpt bij het naleven van de wettelijke eisen rondom de beveiliging van data en persoonsgegevens en bij het minimaliseren van schade bij een incident.
• Transparantie over het gebruik van data is een belangrijk aspect van klantvertrouwen. Steeds meer consumenten eisen controle over hun gegevens en verwachten dat organisaties zorgvuldig omgaan met hun data. Organisaties die dit goed op orde hebben kunnen hun reputatie dan ook versterken en kunnen zich onderscheiden van anderen.

5.     Welke juridische valkuil zie je vaak ontstaan bij het samenwerken met externe data- of marketingpartners?

Een veelvoorkomend probleem is het gebrek aan heldere overeenkomsten. Bij onduidelijke contractuele afspraken over datagebruik, verantwoordelijkheden en aansprakelijkheid kan een organisatie geconfronteerd worden met juridische geschillen als er iets misgaat. Het is daarom van belang om gedetailleerde overeenkomsten te sluiten waarin heldere afspraken worden gemaakt over deze thema’s. Daarnaast kan het zo zijn dat een marketingpartner of externe partij die persoonsgegevens van de organisatie verwerkt zich niet houdt aan de AVG. De organisatie die hen heeft ingeschakeld kan dan mede verantwoordelijk worden gehouden voor deze schending en eventuele schade die hiervan het gevolg is. Een organisatie doet er dus goed aan om voorafgaand te controleren of een data- of marketingpartner AVG compliant is en om alleen samen te werken met betrouwbare partijen.

Vaak is er ook onvoldoende controle over data-uitwisseling omdat organisaties gegevens met hun partners delen zonder duidelijke beveiligingsmaatregelen. Dit vergroot de kans op datalekken en onrechtmatig gebruik van gegevens en kan vergaande consequenties hebben. Organisaties moeten dus zorgen voor duidelijke databeveiligingsmaatregelen, zoals versleuteling en het beperken van toegang tot data. Verder verzamelen of gebruiken sommige marketingbedrijven gegevens die niet op een rechtmatige manier zijn verkregen. Een organisatie die onbewust gebruikmaakt van die data, kan aansprakelijk worden gesteld voor de schendingen van privacy- of intellectuele eigendomsrechten. Het is dus raadzaam om altijd kritisch te zijn op de oorsprong van gegevens voordat deze worden gebruikt binnen de organisatie.

Tot slot denken organisaties vaak ten onrechte dat bepaalde persoonsgegeven anoniem zijn en dus onbeperkt uitgewisseld kunnen worden met externe partners, terwijl de gegevens in werkelijkheid slechts gepseudonimiseerd zijn. Dit kan mogelijk leiden tot sancties van de Autoriteit Persoonsgegevens en/of tot schadeclaims. Wanneer gegevens volledig geanonimiseerd zijn en niet meer herleidbaar tot een individu, dan vallen deze niet onder de AVG en kunnen ze in principe vrij worden uitgewisseld. Anonimisering moet echter wel onomkeerbaar zijn; als er toch een methode bestaat om de gegevens opnieuw te koppelen aan een individu, dan is slechts sprake van pseudonimisering. De AVG is wél van toepassing op de verwerking van gepseudonimiseerde gegevens en deze mogen dus niet onbeperkt worden gedeeld door een organisatie. Het is daarom van belang om scherp te hebben of er sprake is van een anoniem of pseudoniem gegeven.

Wil je dieper in deze materie duiken en leren hoe je AI en data op een juridisch verantwoorde manier inzet binnen jouw organisatie? Meld je dan aan voor ons gezamenlijke webinar met AKD. Tijdens het webinar gaan we verder in op:

• De impact van opkomende Europese wet- en regelgeving op datagebruik en algoritmes (AI-Act)
• Kernprincipes van de GDPR – transparantie, dataminimalisatie & controle
• Hoe je een toekomstbestendige opt-in strategie opzet
• 1st-party vs. 3rd-party data – de risico’s én kansen van deze fundamentele verschuiving

👉Klik hier om het webinar terug te kijken