Mr. dr. Mirjam Elferink, Advocaat Intellectuele eigendom, ICT-recht en Privacy bij Elferink & Kortier Advocaten.
Verschillende vormen van AI domineren de laatste tijd het nieuws. Denk aan programma’s als ChatGPT, kunstgenerator DALL-E of AI-systemen die in staat zijn om bijvoorbeeld nieuwe muziek uit te brengen waarbij niet kan worden onderscheiden of de muziek van de artiest zelf afkomstig is of niet. En wat te denken van gezichtsherkenningssoftware of voice cloning via stemimitatiesoftware? Soms worden dergelijke AI-systemen bejubeld om hun nieuwe mogelijkheden, anderzijds horen we ook geluiden die waarschuwen voor de risico’s die ze met zich mee kunnen brengen. Een van de vele zorgen omtrent de inzet van AI is mijns inziens het risico dat zich (grove) inbreuken op de privacy kunnen voordoen. Op welke privacyaspecten moet u letten indien u in uw organisatie AI-technologie wilt inzetten?
In de VS maakt de politie al gebruik van gezichtsherkenningssoftware. Begin dit jaar werd een acht maanden zwangere vrouw in Detroit gearresteerd omdat zij zou zijn ‘herkend’ door deze gezichtsherkenningstechnologie. Zij werd beschuldigd van het plegen van overvallen en autodiefstallen terwijl ze hoogzwanger was. Ze bracht bijna anderhalve dag onterecht in hechtenis door. Toen pas bleek dat het gezichtsherkenningssysteem een fout had gemaakt. Het Amerikaanse bedrijf Clearview AI heeft miljoenen foto’s in haar database (misschien ook wel die van u?) en claimt iedereen te kunnen identificeren op basis van slechts één momentopname van het gezicht en dat met een nauwkeurigheidspercentage van 99%. Als daar niet op een juiste wijze mee omgegaan wordt, bestaat het gevaar dat privacy van burgers op grote schaal geschonden wordt.
Hetzelfde geldt voor voice cloning via stemimitatiesoftware waarbij criminelen mensen oplichten door aan de telefoon met software de stem van een familielid van het slachtoffer na te bootsen. Dit schijnt in de VS al veelvuldig voor te komen.
AI werkt kort gezegd door grote hoeveelheden data te combineren met snelle, repetitieve manieren van verwerken en intelligente algoritmen. Hierdoor kan de software automatisch van patronen of opties in de data leren. Ontwikkelaars zetten trainingsdata in waarmee de AI getraind wordt. Met behulp van AI kan een machine ingesproken of geschreven tekst bijvoorbeeld herhalen met de stem van een individu. Het is de vraag of deze trainingsdata hiertoe wel mag worden gebruikt. Hoe is deze data verkregen, wie hebben hier al dan niet recht op, etc. is slechts een greep uit de vele vragen die hier opdoemen.
Algemene Verordening Gegevensbescherming (AVG)
Naar aanleiding van bovenstaande voorbeelden dringen zich als gezegd een aantal vragen op vanuit privacy perspectief. Mogen ontwikkelaars die AI-systemen met behulp van (stem)data trainen zomaar gebruik maken van andermans stem of portret? Mag een organisatie dergelijke vormen van AI zonder meer inzetten bij bijv. de opsporing?
Voordat die vraag kan worden beantwoord is dan eerst de vraag hoe een stem juridisch moet worden gekwalificeerd. In rechtspraak is deze vraag al eens aan de orde geweest. Zo heeft de Rechtbank Midden-Nederland op 9 januari 2020 (ECLI:NL:RBMNE:2020:24) geoordeeld dat de stem van een persoon een biometrisch persoonsgegeven is in de zin van artikel 9 AVG. Het is daarmee een bijzonder persoonsgegeven waarvoor in principe een verbod op verwerking geldt. Dit verbod geldt behoudens enkele wettelijke uitzonderingen, bijvoorbeeld indien een betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer welbepaalde doeleinden.
Ook een portret dat gebruikt wordt voor gezichtsherkenningssoftware is een bijzonder persoonsgegeven in de zin van de AVG. Dat betekent dat ontwikkelaars van AI-stemgeneratoren en gezichtsherkenningssoftware volgens de AVG worden aangemerkt als verwerkingsverantwoordelijken voor de persoonsgegevens die zij – meestal in de vorm van trainingsdata – gebruiken. Zij moeten daarbij voldoen aan alle vereisten die voortvloeien uit de AVG. Dat blijkt ook uit het huidige voorstel voor de AI-verordening die nog in de maak is. Daarnaast volgen er nog veel meer verplichtingen die voortvloeien uit de op handen zijnde AI-Verordening. Vervolgens is het de vraag of organisaties zonder meer gebruik kunnen maken van dergelijke AI-technologie. De besproken praktijkvoorbeelden laten immers zien dat (onjuist c.q. onethisch) gebruik kan leiden tot fouten en daarmee tot inbreuk op de privacy. Let wel: dit is slechts een van de vele privacy aspecten die hieraan kleven. Daarnaast geldt nog legio andere wet- en regelgeving. Gelet op de vele risico’s is het nog maar de vraag of de voordelen van de inzet van AI uiteindelijk opwegen tegen de nadelen hiervan. Mocht u AI technologie in uw organisatie willen inzetten bedenk dan dat er in ieder geval eerst een gedegen risico-inventarisatie en privacy impact assessment moet plaatsvinden!
Mirjam Elferink geeft tijdens de derde editie van de Od Kennissessie met als thema ‘Informatiewetten vertaald naar de praktijk’ op 20 juni aanstaande een workshop over (Generatieve) AI, auteursrecht en privacy. Wil je deze workshop bijwonen? Schrijf je dan nu in voor de Od Kennissessie 2024
De advocaten en juristen van Elferink & Kortier Advocaten schrijven op deze plek regelmatig een column, waarin zij een praktisch probleem op het gebied van de AVG in relatie tot informatiebeheer behandelen. Heeft u een praktijkvraag die u behandeld wilt zien? Stuur deze naar Od@publiekdenken.nl
