De AI Verordening vormt het eerste wereldwijde kader, maar roept tegelijk fundamentele vragen op over gegevensbescherming.
Karrewiet, het jeugdjournaal van Ketnet, wijdt hele instructiefilmpjes aan AI. Daarin wordt privacy niet vernoemd, maar wordt wel de dwingende raad gegeven géén persoonlijke gegevens door te geven. De Gegevensbeschermingsautoriteit is er alleszins niet gerust in. Op www.ikbeslis.be probeert ze met tips & tricks jongeren weerbaar te maken en te tonen hoe ze hun privacy kunnen beschermen.
Lode Lauwaert noemt AI, in zijn boek AI. Wat niemand ons vertelt, de nieuwe atoombom. Sinds de lancering van ChatGPT in 2022 is AI niet meer uit het nieuws te slaan. Voor filosoof Etienne Vermeersch gebeurde de doorbraak al in 2016, toen Google erin slaagde het bordspel GO te winnen. Maar de roots van AI liggen nog vroeger. In 1950 schreef Alan Turing Computing Machinery and Intelligence, de geboorteakte van AI. In 1962 kon ELIZA, de eerste chatbottherapeut, al een simpel gesprek voeren. In 1972 verscheen de eerste aanbeveling van de Raad van Europa en in 1980 volgde het Verdrag tot gegevensbescherming, het zogenaamde Convention 108, dat de eerste principes opstelde voor de verwerking van de persoonsgegevens.1 In 2024 tekende de Raad van Europa het eerste internationale AI-verdrag: de AI Verordening.2
AI VERORDENING
De AI Verordening van de Raad van Europa wordt nu uitgerold.3 De Verordening somt principes op voor AI-systemen, zoals menselijke waardigheid, autonomie, transparantie en toezicht, aansprakelijkheid en verantwoordelijkheid, gelijkheid en non-discriminatie, privacy en persoonsgegevensbescherming, betrouwbaarheid en veilige innovatie.4 Deze 'wet' is het eerste alomvattende rechtskader voor AI ter wereld.
De bedoeling van de AI Verordening is drievoudig: AI-systemen in de EU in overeenstemming brengen met de waarden van de EU, de introductie van mensgerichte AI bevorderen en de bescherming tegen de risico's van AI garanderen, en innovatie op het gebied van AI ondersteunen.
De AI Verordening volgt een risico gebaseerde aanpak: hoe hoger de risico's van een AI‑systeem, hoe strenger de regels. Er is een piramide met vier risiconiveaus: gaande van minimale over beperkte, hoge en onaanvaardbare risico's. Voor de laatste drie categorieën introduceert de AI Verordening regels en verplichtingen. De Verordening bevat tevens de invoering van AI‑testomgevingen. En om de overgang naar het nieuwe regelgevingskader te vergemakkelijken, lanceerde de Europese Commissie het AI Pact.
De AI Verordening introduceert een complex governancekader op twee niveaus: op Europees en nationaal niveau. De niet-naleving van de AI Verordening kan leiden tot zware sancties voor bedrijven, in de vorm van boetes tot 35 miljoen euro of 7% van de wereldwijde omzet.
ZOVEELSTE UITDAGING VOOR PRIVACY
Het leest alsof door de AI Verordening alles netjes is neergelegd. Niets is minder waar. De opmars van Big Data kreeg géén weerwoord van de Algemene Verordening Gegevensbescherming (AVG, ook wel gekend als de befaamde GDPR). Want het uitgangspunt van Big Data staat haaks op dat van GDPR: waar het eerste uitgaat van een massa data, zweert het tweede bij een minimalistische dataverwerking. GDPR clasht dus met Big Data: alles opslaan, het opbouwen van een gigantische hooiberg waar het wanhopig zoeken was naar die ene naald. Tot bleek dat de technologie in staat was om accuraat te zoeken wat je wilde vinden; false positives nam je er gewoon bij. De informatietechnologie werd slimmer en sneller. Geruisloos kwam AI ons leven, ons denken en onze verwachtingen binnengewandeld. Onfeilbare scans van huidkanker en ander ongerief sneller ontdekken, daar kon je toch niet tegen zijn?
Onfeilbare scans van huidkanker en ander ongerief sneller ontdekken, daar kon je toch niet tegen zijn?
Alleen werd het duidelijk dat enkele basisprincipes van het privacyrecht werden genegeerd. Ook werd toegegeven dat de resultaten soms onjuist, of minstens twijfelachtig, waren. Er werd tevens niet uitgelegd hoe die machine tot dat resultaat was gekomen. AI is een "black box" en dat strijdt met de basisregel die vereist dat je kunt uitleggen hoe je tot een bepaald besluit komt. Nog wars van de vereiste dat geautomatiseerde beslissingen met gevolgen voor mensen steeds door mensen moeten geverifieerd.
Het werd steeds duidelijker dat belangrijke premissen van de gegevensbescherming op gespannen voet staan met AI. Vandaag is AI op quasi alle terreinen van het menselijk handelen binnengedrongen en dreigt ze de privacybescherming te verstikken.
GDPR EN AI BESTAAN NAAST ELKAAR
De Europese regelgever koos ervoor om beide wetgevingen (GDPR en AI) naast elkaar te laten bestaan. Met daarnaast nóg een ander initiatief, 'het Digitale Kompas5, reeds in 2021 gelanceerd door de Europese Commissie, dat de visie en strategie voor de digitale transformatie van de EU tot 2030 vastlegt.
Dat al deze normen evenwaardig naast elkaar staan en dat ze simultaan en gecoördineerd moeten worden toegepast, is een gruwelijke gordiaanse knoop. Deze zal moeten worden ontward door de toezichthouders. De European Data Protection Board doet zijn best om richtsnoeren te geven6, net zoals de Belgische Gegevensbeschermingsautoriteit.7 Uiteindelijk zal het aan de rechtspraak toekomen, zeker aan het Europees Hof van Justitie, om de knoop te ontwarren.
Europa krijgt navolging: ook in California wordt AI-wetgeving uitgerold.
De klacht dat de wetgeving te laat komt, is terecht maar onvermijdelijk. Meer nog, wanneer die wetgeving zoveel mogelijk ontdaan wordt van details (het zogenaamd "technologisch neutraal codificeren"), krijg je de vraag naar "specifieke normen zodat we weten hoe die algemene principes moeten worden toegepast". Het zal jaren vergen om duidelijkheid te krijgen, maar het komt eraan. Het is onvermijdelijk. Ook al doen de GAFAM (Google, Apple, Facebook, Amazon en Microsoft), en hun politieke megafoon Trump, er alles aan om de Europese regelgeving weg te zetten als "vijandig" en 'handelsverstorend", ze krijgt navolging: ook in California wordt AI-wetgeving uitgerold.
PRIVACY: REACTIE OP TECHNOLOGISCHE ONTWIKKELINGEN
Privacy werd als juridisch concept 'ontwikkeld' door twee Amerikaanse juristen: Samuel D. Warren en Louis Brandeis. Zij publiceerden in 1890 "the right to privacy", toen een nieuw rechtsbegrip. Eén van de auteurs werd belaagd door de pers. Dat was nieuw. Daar waar kranten voorheen het voorrecht van de elite was, hadden twee belangrijke technologische ontwikkelingen de massapers mogelijk en betaalbaar gemaakt: de rotatiepers en de fotografie. Hiermee geconfronteerd en gechoqueerd, ontwikkelden de juristen Warren en Brandeis het begrip 'privacy'.
Dat was niet anders toen de parlementairen van de Raad van Europa in 1968 een rapport vroegen over de gevaren van de computer, beducht als ze waren hun macht te verliezen en afhankelijk te worden van de technocraten-informatici. Dat leidde tot een eerste aanbeveling in 1972 en uiteindelijk de Conventie 108 in 1981.
Ook EU-wetgeving reageert vaak op technologische ontwikkelingen. De Europese privacyrichtlijn van 1995 en de GDPR van 2016 kwamen er toen de breuklijnen tussen wet en praktijk te groot waren en de eerdere regelgeving niet bij machte bleek een passend antwoord te geven op de voortgang van de informatietechnologie.
DIAGNOSE: HET GAAT NIET GOED MET PRIVACY
Hoe meer wetgeving wordt gegenereerd, hoe meer privacy degenereert. Het gaat hard. De oorzaken zijn velerlei, zoals de steeds krachtigere technologische systemen en de oprukkende veiligheidscultuur. Maar wellicht is de grootste bedreiging de steeds toenemende macht van de GAFAM's, de datakapitalistische bedrijven die prominent op de eerste rij bij de eedaflegging van hun brulboei Trump zaten. Ze hebben ijzersterke politieke bescherming, onbegrensde financiële armslag en de arrogantie om nationale staten, de Europese Unie incluis, af te dreigen of de regelgeving naast zich neer te leggen. De meeste van deze bedrijven zijn bovendien dermate verwaand dat zij er niet voor terugschrikken te liegen en te bedriegen alsof ze tot de crème de la crème van de georganiseerde misdaadorganisaties behoren.
We accepteren privacyschendingen voor meer gemak, productiviteit, veiligheid en winst.
We weten maar al te goed wat er aan het gebeuren is, dat is net het wraakroepende. Het is met privacybewustzijn zoals met de klimaatcrisis. Met de regelmaat van de klok volgen de datalekken elkaar op, net zoals de klimaatrampen elkaar in sneltempo opvolgen. Er zijn ondertussen talloze studies en boeken verschenen die steeds fatalistischer worden. We weten het maar al te goed dat onze privacy onvoldoende wordt beschermd, maar accepteren dit voor meer gemak, productiviteit, veiligheid en winst.
REMEDIE: POLITIEK & PET'S
Econoom Koen Schoors geeft in zijn boek Alles wordt anders… en beter (2024) toch weer moed. Hij spreekt niet alleen over 'de duistere kant van AI', maar ook over een 'hoopgevende kant'. Schoors is ervan overtuigd dat AI ons zal helpen om het beter te hebben, maar stelt dat AI niet mag worden overgelaten aan ondernemingen maar moet worden aangestuurd door de civil society, met een belangrijke rol voor universiteiten, onderzoeksinstellingen, non-profitorganisaties en overheden. Dat is ook de boodschap van econoom en Nobelprijswinnaar, Daron Acemoglu. Het is maar hoe we het gezamenlijk aanpakken: met de nadruk op wat wij met zijn allen moeten doen, wars van de datakapitalisten. We weten het dus, maar het 'handelen' blijft voorlopig uit. De AI Verordening niet te na gesproken.
Naast wetgeving en juridische handhaving is wellicht heil te verwachten van Privacy Enhancing Technologies (PET's).
Naast wetgeving en juridische handhaving is wellicht heil te verwachten van Privacy Enhancing Technologies (PET's). Dat zijn technologieën, zoals software, algoritmen en methodologieën, die persoonsgegevens beschermen en privacyrisico's minimaliseren, terwijl dataverzameling, analyse en delen mogelijk blijft. Ze zorgen ervoor dat gevoelige informatie minder gebruikt wordt, veilig verwerkt wordt, en geven individuen meer controle over hun eigen gegevens. Deze PET's worden slechts hier en daar onderwezen in de wetenschappen. En of er werkelijk in wordt geïnvesteerd, is niet meteen duidelijk. PET's bieden nochtans onverwachte en verrassende mogelijkheden. Het is dan ook zaak om die tak van de datawetenschappen prominent de plaats te geven die ze verdient.
Dat uitvinder van het internet, Tim Berners-Lee, er nog zin in heeft om het internet terug te geven aan de community en zijn project 'Solid' (om persoonlijke data te beheren, waarbij burgers data opslaan in hun eigen digitale 'kluis') ziet geaccepteerd worden door de Vlaamse overheid, is hoopgevend. Zeggenschap over de eigen persoonsgegevens is een essentieel element voor het aansterken van de privacy. Maar is dat niet veel meer dat wat gemorrel in de marge?
BIJ WIJZE VAN UITSMIJTER: GEZICHTSHERKENNING
Eén van de spectaculaire voorbeelden van AI is gezichtsherkenning. Dat is in enkele jaren tijd een (bijna) onfeilbaar systeem geworden. Gemakkelijk voor het ontgrendelen van de smartphone of de voordeur. Maar eveneens schitterend speelgoed voor elk regime dat zijn 'onderdanen' permanent wil monitoren, controleren en disciplineren. Het begon wetenschappelijk in de VS, werd algoritmisch verfijnd in Europa, militair toegepast door Israël en opgeschaald in China.
Gezichtsherkenning is schitterend speelgoed voor elk regime dat zijn 'onderdanen' permanent wil monitoren, controleren en disciplineren.
In de AI Verordening is de gezichtsherkenning simpelweg verboden. Concreet gaat het om regels die bedrijven beperken in het gebruik van AI voor gezichtsherkenning. Zo is het bedrijven verboden gezichtsherkenningsdatabases te ontwikkelen op basis van data van openbare platformen of beveiligingscamera's. Ook verbiedt de AI Verordening emotieherkenning op scholen en de werkvloer. AI-diensten mogen verder geen sociale scores geven, voorspellend politiewerk doen of menselijk gedrag manipuleren. De uitzonderingen voor gerechtelijke politie zijn streng geregeld. Voor real-time gezichtsherkenning hebben handhavingsinstanties steeds toestemming nodig.
De AI Verordening is dus duidelijk. Dat belet evenwel niet dat gezichtsherkenning te pas en te onpas op de verlanglijst van onze politici en politie verschijnt. Niet alleen voor moord, verkrachting of vormen van zware georganiseerde criminaliteit. Ook voor het sluikstorten.[8] Een sigarettenpeukje weggooien, valt ook onder sluikstorten. Blijkbaar moet de privacyreflex van de Vlaamse partijvoorzitters wijken voor de schoongeboende stoep, ontdaan van zwerfvuil en afval. Of hoe privacy dreigt op het stort te verpieteren. Als het maar proper is.
EINDNOTEN
- Verdrag van 28 januari 1981 tot bescherming van personen ten opzichte van de geautomatiseerde verwerking van persoonsgegevens.↑
- Kaderverdrag van de Raad van Europa van 5 september 2024 over artificiële intelligentie en de mensenrechten, de democratie en de rechtsstaat (CETS No.225↑
- Ze trad in werking op 1 augustus 2024. Twee jaar later werd deze algemeen van kracht in februari 2025: de bepalingen op verboden AI; in augustus 2025: de eisen voor AI voor algemeen gebruik en daaropvolgend in augustus 2026: de eisen voor hoog-risico AI-toepassingen en transparantieverplichtingen; in augustus 2027: de eisen voor hoog-risico AI-producten. De volledige AI-verordening is dan van toepassing. In augustus 2030 volgen de eisen voor hoog-risico AI-systemen bij overheidsorganisaties die vóór augustus 2026 op de markt zijn gebracht.↑
- Verordening (EU) 2024/1689 van het Europees Parlement en de Raad van 13 juni 2024 tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie.↑
- AI-verordening maakt daar deel van uit maar ook de GDPR, de Digital Services Act, de Digital Markets Act, de Electronic Identities And Trust Services.↑
- Advies 28/2024 over bepaalde aspecten van gegevensbescherming in verband met de verwerking van persoonsgegevens in het kader van AI-modellen.↑
- Artificiële intelligentiesystemen en de AVG. Een benadering vanuit gegevensbescherming.↑
- www.datapanik.org/2024/10/06/conner-rousseau-wil-cameras-met-gezichtsherkenning-tegen-sluikstorten.↑