Definitie
Europese privacywet uit 2018 die strenge eisen stelt aan de verwerking van persoonsgegevens. Vaak in botsing met manieren waarop AI-modellen getraind worden.
In context
De Algemene Verordening Gegevensbescherming, in 2018 van kracht geworden, is de Europese privacywet die strenge eisen stelt aan de verwerking van persoonsgegevens. Voor AI is de AVG vooral relevant omdat moderne modellen worden getraind op enorme hoeveelheden tekst die regelmatig persoonsgegevens bevatten, vaak zonder toestemming van de betrokkenen.
De wet hanteert een paar kernbeginselen die spannend zijn voor AI-training. Persoonsgegevens mogen alleen verwerkt worden met een rechtsgrond (bijvoorbeeld toestemming of gerechtvaardigd belang). Betrokkenen hebben het recht om hun gegevens in te zien, te corrigeren of te laten verwijderen. En voor geautomatiseerde besluitvorming gelden extra eisen rond transparantie en menselijke toetsing.
Toezichthouders in Italië, Frankrijk en Nederland hebben sinds 2023 herhaaldelijk onderzoek gedaan naar OpenAI, Meta en andere aanbieders. De Italiaanse autoriteit blokkeerde ChatGPT in 2023 tijdelijk en legde later een boete op. De Nederlandse Autoriteit Persoonsgegevens publiceert leidraden over hoe AI-systemen onder de AVG moeten worden ontwikkeld en gebruikt. De interactie tussen AVG en de nieuwere AI Act zal de komende jaren juridisch verder uitkristalliseren.
Veelgestelde vragen
Hoe verhouden AVG en AI Act zich tot elkaar?
De AVG regelt persoonsgegevens in elke context, ongeacht of AI in het spel is. De AI Act regelt AI-systemen ongeacht of er persoonsgegevens worden gebruikt. Bij AI die met persoonsgegevens werkt, gelden beide regimes naast elkaar. De AI Act voegt extra eisen toe, maar vervangt de AVG niet.
Mag een LLM mijn persoonsgegevens onthouden?
Volgens de AVG niet zonder rechtsgrond. In de praktijk is dit lastig, omdat trainingsdata vaak persoonsgegevens bevatten die zijn meegescrapet van het web. Aanbieders argumenteren met gerechtvaardigd belang, terwijl toezichthouders en rechters die afweging strenger maken. De juridische uitkomst is nog niet definitief.
Heb ik recht op verwijdering van mijn gegevens uit een AI-model?
Op papier ja, in de praktijk technisch lastig. Persoonsgegevens uitfilteren uit een model dat al getraind is, is bijna onmogelijk zonder hertrainen. Aanbieders bieden meestal wel manieren om je gegevens te laten weghalen uit toekomstige trainingsruns en uit de outputlaag (zodat het model jou bijvoorbeeld niet meer noemt).
Kan ik AI-tools veilig gebruiken in mijn bedrijf onder de AVG?
Ja, mits je voldoende waarborgen treft. Belangrijke maatregelen zijn een verwerkersovereenkomst met de aanbieder, het uitsluiten van trainingsgebruik op je data, het minimaliseren van persoonsgegevens in prompts, en het uitvoeren van een DPIA (data protection impact assessment) voordat je AI inzet in processen waarbij persoonsgegevens betrokken zijn.
