Auditvereisten voor de verwerking van persoonsgegevens met betrekking tot kunstmatige intelligentie
Kunstmatige intelligentie (AI) speelt een steeds grotere rol in de softwareontwikkeling. Dit artikel presenteert een kleine catalogus met controles om de naleving van belangrijke AVG-principes met betrekking tot AI-systemen te garanderen. De nadruk ligt op het beginsel van doelbepaling, het beginsel van transparantie en het beginsel van opslagbeperking.
Waarom AI-audit?
Gegevensbeschermingsbeoordeling van software die AI-elementen bevat, vereist een duidelijk, onafhankelijk en goed gedocumenteerd proces. Dit proces heeft tot doel objectief bewijsmateriaal en informatie te verzamelen en te evalueren om te bepalen of de software voldoet aan de relevante normen voor gegevensbescherming.
Deze “Testcatalogus” is uiteraard niet volledig en kan variëren afhankelijk van het toepassingsgebied. Het wordt gebruikt om doelstellingen voor gegevensbescherming en controlemaatregelen voor AI-verwerkingsactiviteiten te definiëren. Tijdens het auditproces kan dit worden gebruikt als referentie om de geschiktheid van het te auditeren proces te evalueren en de daaropvolgende ontwikkeling ervan te evalueren.
Afhankelijk van het ontwikkelingsmodel kan het ook wenselijk zijn om een datawetenschapper in het auditteam op te nemen.
Identificeer op AI gebaseerde componenten
– Toewijding aan het beginsel van verantwoordelijkheid Artikel 5 lid 2 Algemene Verordening Gegevensbescherming Om dit recht te doen, is het allereerst noodzakelijk om de traceerbaarheid te waarborgen. Dit zorgt voor de juiste identificatie van de op AI gebaseerde componenten die worden gebruikt bij de gecontroleerde verwerking.
Dit kan worden gegarandeerd door:
- Versiegeschiedenis bijhouden voor de ontwikkeling van AI-componenten. Dit moet alle parameters bevatten die worden gebruikt tijdens het trainen van de componenten, evenals alle informatie die nodig is om de ontwikkeling en wijzigingen in de componenten te volgen.
Transparantie
Naleving van het transparantiebeginsel en de verplichting om informatie over het verwerkingsproces aan betrokkenen te verstrekken, vereist dat de gegevensbron en de logica van de op AI gebaseerde component beschikbaar, begrijpelijk en interpreteerbaar zijn.
Dit wordt bijvoorbeeld gewaarborgd door:
- Gegevensbronnen zijn gedocumenteerd.
- De kenmerken van de gegevens die worden gebruikt om de AI-component te trainen, zijn op passende wijze gedefinieerd, gedocumenteerd en gerechtvaardigd.
- De logica van de op AI gebaseerde component is goed gedocumenteerd, zodat deze kan worden begrepen. Uw gedrag met betrekking tot invoergegevens, gegevensgebruik en uitvoergegevens kan worden gevolgd.
- Als onjuist gedrag van een op AI gebaseerde component schade zou kunnen toebrengen aan de betrokkenen, zijn er mechanismen ingevoerd om deze schade te minimaliseren en communicatiekanalen te bieden aan relevante belanghebbenden.
- Er wordt rekening gehouden met de huidige ontwikkelingsstatus van de AI-component. Hierbij dient altijd advies te worden ingewonnen bij een datawetenschapper.
Maatwerk
In lijn met het doeldefinitiebeginsel moeten de doeleinden waarvoor de door de AI-component verwerkte gegevens zullen worden gebruikt duidelijk, expliciet en juridisch gedefinieerd zijn.
Dit wordt bijvoorbeeld gewaarborgd door:
- Het beoogde doel van de betreffende AI-component wordt zowel kwantitatief als kwalitatief gedocumenteerd, waarbij precies wordt beschreven wat het beoogde doel is te bereiken door het gebruik ervan in de context van gegevensverwerking.
- De verschillende processen, activiteiten en/of processen binnen de organisatie waarin de AI-component wordt toegepast zijn in kaart gebracht en het toepassingsgebied zoveel mogelijk beperkt.
- Potentiële gebruikers van de op AI gebaseerde component kunnen worden geclassificeerd.
In de context van het beginsel van doelbepaling moet ook rekening worden gehouden met het evenredigheidsbeginsel. Als de op AI gebaseerde component wordt gecontroleerd als onderdeel van een verwerkingsprocedure en een gegevensbeschermingseffectbeoordeling vereist, moeten de noodzaak en evenredigheid van het gebruik van die op AI gebaseerde component worden beoordeeld in relatie tot het beoogde doel ervan.
Dit kan worden gegarandeerd door:
- Onderzoek of bij het gebruik van de kunstmatige-intelligentiecomponent van gegevensverwerking op passende wijze rekening wordt gehouden met de rechten en vrijheden van betrokkenen in vergelijking met andere mogelijke opties.
- Documenteer de motivaties en redenen (bij het aanpakken van een nieuw probleem) voor het gebruik van een op AI gebaseerde component om het probleem op te lossen.
Beperk de gegevensopslag
Met inachtneming van het beginsel van opslagbeperking en de daarin opgenomen uitzonderingen mogen gegevens die door een op AI gebaseerde component worden gebruikt, ongeacht of het voor trainingsdoeleinden is of daardoor gegenereerde gegevens, niet langer worden bewaard dan noodzakelijk is voor de beoogde doeleinden.
- De juridische gronden voor het opslaan van persoonsgegevens die door de kunstmatige-intelligentiecomponent worden verwerkt voor een periode die verder gaat dan de periode die is gespecificeerd voor de doeleinden van de verwerking, worden zorgvuldig bepaald.
- De gehele levenscyclus van het AI-gebaseerde onderdeel waarin de verwerkte persoonsgegevens worden opgeslagen, moet worden gedefinieerd en gerechtvaardigd.
- Er moeten procedures worden opgezet om te controleren of deze bewaartermijnen daadwerkelijk zijn nageleefd.
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”