AP wil toezicht houden op algoritmes

AP wil toezicht houden op algoritmes

De Autoriteit Persoonsgegevens (AP) wil dat er controle komt op zelflerende algoritmes die gebruik maken van persoonsgegevens. Dat toezicht wil de AP zelf uitvoeren. Zij zijn immers als toezichthouder verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens, en daarmee ook op de toepassing van AI en algoritmes waarbij persoonsgegevens worden gebruikt.

AVG basis voor stelsel van toezicht

Volgens Aleid Wolfsen (voorzitter van de AP) vindt de inzet van algoritmes inmiddels op grote schaal plaats. Dat geldt niet alleen voor private organisaties, maar ook voor de overheid: van de Belastingdienst en de politie tot verschillende gemeentes.

Wolfsen: “Het inzetten van algoritmes biedt veel kansen, maar er kleven ook serieuze risico’s aan. In een democratische rechtsstaat heb je bijvoorbeeld recht op een begrijpelijke motivering voor een voor jou nadelige beslissing. Anders kun je je niet verdedigen en kan een rechter dat niet toetsen. Daarom is transparantie zo cruciaal.”

Zelflerende algoritmes versterken zichzelf: als er bijvoorbeeld in de aannamen waarmee de software werkt of in het bronmateriaal waarmee de applicatie leert (onbewuste) vooroordelen besloten liggen, worden die uitvergroot naarmate het programma langer draait. Er zijn verschillende voorbeelden van pogingen om zelflerende AI in te zetten die zijn gestaakt omdat de resultaten sterk bevooroordeeld waren, zoals in het gaval van het Nederlandse SyRI.

Algemene aandachtspunten

De AVG-beginselen van rechtmatigheid, behoorlijkheid en transparantie bieden een goede basis om de inzet van AI en algoritmes op een positieve wijze bij te laten dragen aan de samenleving. Bij het gebruik van algoritmes die persoonsgegevens verwerken moet aan enkele basisvoorwaarden worden voldaan.

Zo moet er een grondslag zijn voor de verwerking, bijvoorbeeld toestemming of de uitvoering van een contract. Daarnaast mogen gegevens die verwerkt worden voor het ene doel niet zomaar op een later moment ook voor een ander doel worden gebruikt (doelbinding).

Verder gelden er – afhankelijk van het type persoonsgegevens – ook bijvoorbeeld normen rond de opslag en beveiliging van de persoonsgegevens.