CIP-werkconferentie – AI Act in de praktijk – Sven Stevenson van de Autoriteit Persoonsgegevens

Show Notes

Op 29 november jl. organiseerde CIP de eerste CIP-werkconferentie. Met ca. 200 professionals is daar nagedacht over de implementatie van de nieuwe AI Act. Vanuit de thema's Ethiek, Informatiebeveiliging, Privacy en Inkoop. 

In de podcast legt Sven Stevenson van de Autoriteit Persoonsgegevens uit waarnaar de aandacht voor privacybescherming uitgaat bij de implementatie van deze wet. "De AI Act verduidelijkt wat een goede beheersingsmanier is voor deze technologieën. Waar het daarbij spannend wordt, gaat het vaak om mensen", licht hij toe.

Transcript

Sven Stevenson: Bij heel veel van wat spannend is, waar het om AI en algoritmes gaat, gaat het vaak om mensen. Je ziet dat er heel veel vragen op tafel liggen. Het raakt alles en iedereen in allerlei verschillende vormen.

Robin Rotman: Welkom bij de AI Act in de praktijk. We zijn vandaag bij de CIP-werkconferentie en hier buigen bijna 200 professionals zich over de vraag hoe we ons kunnen voorbereiden op de komst van de AI Act. Dit is een podcast van het Centrum Informatiebeveiliging en Privacybescherming. Nu te gast Sven Stevenson, programmadirecteur over Algoritmes bij de Autoriteit Persoonsgegevens én hij is betrokken bij de voorbereiding van de mogelijke toezichthoudende rol van de AP op het gebied van AI. Dat is nogal wat, Sven. Er komt een hoop op je af, of niet?

Sven Stevenson: Ja. We zijn er al een tijdje mee bezig. Die AI Act treedt - als het goed is - misschien ergens in 2026 in werking, maar daarom is het mooi om te zien dat zoveel professionals daar nu al mee bezig zijn in de voorbereiding.

Robin Rotman: Je merkt dat vaak met nieuwe technologie. Dan hoor je vaak: hé, we lopen een beetje achter de feiten aan. Het CIP heeft nu de handschoen opgepakt en gezegd: weet je wat? We gaan ruim van tevoren met z'n allen eens nadenken over wat hier allemaal gebeurt en hoe we ons kunnen voorbereiden. Wat zie jij gebeuren in het veld? Mensen zijn zoekende.

Sven Stevenson: Ja. Aan de ene kant lopen we vooruit op die wetgeving die er aankomt en die heeft een overgangsperiode van twee jaar, maar wat wij ook zien, - en daar zijn wij bij de AP in ons dagelijks werk mee bezig - is dat AI en algoritmes nu echt in een stroomversnelling raken. Het werd al veel gebruikt, maar zeker met nieuwe toepassingen als generatieve AI gaat het nu heel snel dat het overal wordt toegepast. Het is ook echt broodnodig dat die regelgeving er komt en dat we met z'n allen een goed beeld hebben van hoe we dit op een goede manier reguleren en daar grip op krijgen.

Robin Rotman: Je ziet al die professionals zoeken. Hoe zit het met julliezelf - de Autoriteit Persoonsgegevens - en misschien wel de overheid? Zijn die ook zo aan het zoeken?

Sven Stevenson: Ja, ze zijn zoekende. Dat is op allerlei fronten. Je ziet heel veel discussies over definities. Wanneer is het nu wél een algoritme, wanneer is het nu niet een AI-systeem? Wat vinden we wél een hoog risico, wat vinden we niet een hoog risico? Wat moet je vooraf toetsen? Wat is een structuur binnen een organisatie? Hoe moet je er grip op krijgen? Je ziet dat er heel veel vragen op tafel liggen. Je ziet dat er overal eerste antwoorden liggen, maar het is tegelijkertijd...

Robin Rotman: Een spannende tijd.

Sven Stevenson: Ja.

Robin Rotman: Het is ook nog niet eens helemaal duidelijk wat jullie rol precies wordt. Worden jullie ook de AI-waakhond of wordt dat straks gescheiden? Dat is ook een spannende vraag.

Sven Stevenson: De AP is natuurlijk al sinds jaar en dag bekend als de AVG-toezichthouder. We zijn begin dit jaar ook gestart met een rol als coördinator in het algoritmetoezicht. Dat betekent ook dat wij samen met een aantal andere toezichthouders het voortouw nemen in gezamenlijk voorbereiden op die toezichtrol onder de AI Act, maar we zien dat ook als een gezamenlijk effort. Dat heeft ermee te maken dat AI overal in terugkomt. Van de financiële sector tot de gezondheidssector tot het onderwijs tot alles van overheidsdienstverlening: in elke sector, overal zie je dat de organisaties met AI te maken krijgen. Dat betekent ook dat je het ook als toezichthouder niet in je eentje kan doen.

Robin Rotman: Als het specifiek over die gegevensbescherming gaat, wat zouden dan nu in die hele grote brij de aandachtspunten moeten zijn?

Sven Stevenson: Gegevensbescherming geldt natuurlijk altijd en overal, ook voor AI. Het zijn een soort van de buitengrenzen waarbinnen je AI kan ontwikkelen en toepassen. Dat betekent dat je grondslag waarop je data in AI mag verwerken op orde moet zijn. Het moet proportioneel. De AVG is van toepassing op AI.

Robin Rotman: Ja, maar waarom hebben we dan specifieke AI-wetgeving nodig, want we hebben al wetten voor alle kernbegrippen en de dingen die we belangrijk vinden?

Sven Stevenson: Wat de AI Act toevoegt, is dat het verduidelijking biedt voor de hele specifieke situatie van AI wat nu een goede beheersingsmanier is. Het is een nadere inkadering van de specifieke uitdagingen die er zijn bij AI. AI draait natuurlijk heel erg om dataverwerking, automatisering, machine learning. Het roept specifieke vragen op en de AI Act geeft daar specifieke duidelijkheid op. Het zegt er bijvoorbeeld ook bepaalde dingen over die niet mogen. Social scoring wordt bijvoorbeeld verboden onder de AI Act.

Robin Rotman: Er lopen hier heel veel FG's rond, heb ik gemerkt. Zij beginnen allemaal net een beetje te wennen aan hun rol rond de AVG en nu gaat hun rol weer veranderen met AI en die AI Act. Kun jij een beetje schetsen of heb jij een beetje een beeld wat hun rol in de toekomst gaat zijn?

Sven Stevenson: Bij heel veel van wat spannend is, waar het om AI en algoritmes gaat, gaat vaak om mensen en zijn persoonsgegevens sowieso aan de orde. Dat een FG ermee te maken krijgt, is een feit. Ik denk dat het voor FG's heel erg een uitdaging gaat worden, want het betekent dat er nog veel meer op hun bordje komt. Moet een FG een AI-systeem ook aan de AI Act toetsen of kan hij blijven kijken naar strikt de AVG-compliance. Op welk moment is het? Vooraf? Is het ook tijdens het gebruik van een AI-systeem? Dat zijn vragen waar nog niet hele eenduidige antwoorden op zijn. Waar die AI zich echt op richt, is oeen AI wordt gezien als een product. AI is volgens die wetgeving een product, gemaakt door een ontwikkelaar en een organisatie is een gebruiker die het inzet. Het legt verantwoordelijkheden bij die producten en de rol van een FG is heel erg gericht op de organisatie die een systeem gebruikt.

Robin Rotman: Zou het kunnen zijn dat je straks een functionaris gegevensbescherming hebt en dat daarnaast een functionaris AI-implementatie bij organisaties gaat rondlopen?

Sven Stevenson: Dat is een heel origineel idee. We zien dat organisaties dit ook al doen.

Robin Rotman: Oh, dat gebeurt al.

Sven Stevenson: Organisaties denken heel goed, zijn hier aan het experimenteren. Je ziet dat er organisaties zijn die opkomen met het idee van een functionaris algoritmes. Dat heeft op dit moment misschien niet dezelfde juridische basis als een FG, maar het idee is best aardig: we doen iemand specifiek die toetst of de algoritmes en de AI voldoen aan standaarden, best practices die er op dit moment zijn. We zien ook dat de organisaties de FG-rol uitbreiden met een wat groter office, waarin dan een team van mensen werkt, waarin mensen zich ook specifiek focussen op AI. Dit soort ideeën zijn er. Waar het gaat eindigen, weten we nog niet.

Robin Rotman: Nee, dat weten we niet. Dat is die FG. Kun je mij eens een beetje meenemen in de concretere voorbeelden van die nieuwe ICT-producten waarop die wet van toepassing is? Probeer mij een beetje te verrassen. Neem mij eens een beetje mee naar die wereld van over 10, 20 jaar. Waar zitten we naar te kijken met z'n allen?

Sven Stevenson: De wereld van nu is al spannend genoeg. Wij kijken hier natuurlijk dagelijks naar en de voorbeelden zijn soms heel verrassend. Een casus waar we ons bijvoorbeeld serieus over hebben gebogen, waarvan we weten dat dit ook meerdere toezichthouders gaat raken, is bijvoorbeeld een triagesysteem op de intensive care. Daar zijn er systemen die echt op AI zijn gebaseerd, alle informatie bij elkaar verzamelen en op basis daarvan zo goed mogelijk advies geven aan de artsen over wanneer je een patiënt van de intensive care kan ontslaan. Je snapt al gelijk dat dat heavy is.

Robin Rotman: Dat raakt ethische vragen.

Sven Stevenson: Zeker.

Robin Rotman: Wie gaat erover? Moet dat AI-systeem straks misschien ook de eed gaan afleggen? Hoe verhoudt het zich dan tot de artsen? Dat soort dingen.

Sven Stevenson: Een heel ander voorbeeld is van alles wat in het onderwijs gebeurt en ook toelating tot de onderwijsinstellingen en het beoordelen van de voortgang van studenten. Daar wordt ook AI voor gebruikt. Een ander voorbeeld dat we recent zien en waar we ook aandacht voor hebben, is alles wat met arbeidsaansturing te maken heeft. Steeds meer arbeid wordt aangestuurd door algoritmes. Dit noemen we algoritmisch management. Dat betekent bijvoorbeeld dat een thuiszorgwerker wordt aangestuurd door een algoritme dat bepaalt wanneer hij naar welk huis gaat om daar te helpen. Dat wordt dan mogelijk ook getrackt door algoritmes. Het raakt alles en iedereen in allerlei verschillende vormen.

Robin Rotman: Het is een hele spannende tijd en iedereen moet er wat mee. Ik ben in ieder geval blij dat het CIP het initiatief genomen heeft om vandaag al die mensen bij elkaar te halen. Straks wordt het allemaal geïmplementeerd. Wat zou de komende tijd - het komende jaar, de komende twee jaar - wat jou betreft het stappenplan moeten zijn zodat we allemaal samen klaar zijn voor deze nieuwe tijd?

Sven Stevenson: Het is heel belangrijk dat er op twee dimensies wordt gewerkt. De eerste is echt die systemen zelf. Daar is die AI Act heel krachtig voor, want die stelt duidelijke eisen aan systemen, - een AI-toepassing - met name als die hoog risico zijn. Waar we denken dat nog veel meer aandacht voor moet komen, - en we zien dat het CIP daar een goede rol in speelt door de professionals bij elkaar te brengen - is: wat vraagt het nu van organisaties? Hoe moet je je organisatie nu inrichten? Hoe zorg je dat je je als grote organisatie - die misschien 20 tot 40 risicovolle AI-systemen gebruikt - organiseert dat daar veel kennis, kunde, waarborgen in die organisatie zijn ingebed om dit allemaal op een goede manier, op een veilige manier en een samenlevingsversterkende manier mogelijk te maken?

Robin Rotman: Ik denk dat dat een mooie conclusie is. Ik hoop dat het lukt en ik wens jullie allemaal heel veel succes. Dank je wel, Sven Stevenson, voor dit gesprek.

Sven Stevenson: Dank je wel.

Robin Rotman: Als je nu benieuwd ben wat al die andere collega's van jou hiervan vinden, dan kan je naar onze website cip-overheid.nl. Dank je wel.