Debatcentrum De Balie in Amsterdam organiseert een nieuwe editie van Techdenkers over dataveiligheid en kunstmatige intelligentie. De avond onderzoekt wie toegang heeft tot persoonlijke gegevens en wat er met data gebeurt in apps, clouds en algoritmen. Het onderwerp is urgent door de Europese AI-verordening en de privacywet AVG, met directe “Europese AI-verordening gevolgen overheid” en bedrijven. Bezoekers krijgen inzicht in risico’s, rechten en praktische keuzes rond datagebruik.
Waarom dit gesprek nodig is
Steeds meer diensten gebruiken algoritmen, van klantenservice tot zorg en onderwijs. Toch is vaak onduidelijk welke data worden verzameld en hoe lang die blijven bestaan. Ook is niet altijd helder of gegevens in Europa of buiten de EU worden verwerkt. Dat maakt het lastig om risico’s goed te beoordelen.
Nieuwe AI-modellen, zoals ChatGPT van OpenAI, Gemini van Google en Llama 3 van Meta, leren van enorme hoeveelheden tekst en beeld. Zo’n model is software die patronen herkent en tekst of beeld kan genereren. Daarbij kan gebruikersdata worden gebruikt voor verbetering van het systeem, tenzij je dat uitzet. Deze praktijk vergroot de behoefte aan duidelijke keuzen en uitleg voor burgers.
De vraag “hoe veilig zijn mijn data?” raakt aan vertrouwen in overheid en bedrijven. Burgers willen weten wie meekijkt en hoe beslissingen tot stand komen. Zij verwachten dat organisaties zuinig omgaan met gegevens en fouten snel herstellen. Dat vereist duidelijke regels én goede uitvoering.
AI-verordening: gevolgen voor overheid
De Europese AI-verordening (AI Act) werkt met risicoklassen en gaat gefaseerd gelden vanaf 2025, op het moment van schrijven. Hogere risico’s betekenen zwaardere eisen, zoals documentatie, testprocedures en menselijk toezicht. Overheden die algoritmen gebruiken voor bijvoorbeeld toekenning van voorzieningen of fraudedetectie vallen al snel in een hoge risicoklasse. Gemeenten en uitvoeringsorganisaties moeten daarom eerder en beter toetsen.
Voor algemene AI-modellen (GPAI), zoals GPT-4, Gemini en Llama 3, komen transparantieplichten. Leveranciers moeten evaluaties delen, risico’s beperken en Europese auteursrechten respecteren. Dat raakt ook afnemers die deze modellen via Microsoft Azure of Google Cloud inzetten. Zij blijven verantwoordelijk voor een passende implementatie in hun werkproces.
Inkoop en toezicht verschuiven daardoor van “wat kan het?” naar “is het verantwoord?”. Dat betekent: vragen om model- en datakaarten, logboeken en robuuste testen. Ook zijn extra waarborgen nodig bij geautomatiseerde besluiten met grote gevolgen. Dit alles komt bovenop bestaande AVG-verplichtingen.
De AI-verordening deelt systemen in vier risicoklassen: verboden, hoog, beperkt en minimaal.
Wat gebeurt met mijn data
Apps en AI-diensten verzamelen gebruiksgegevens, invoer en soms locatie- en apparaatdata. Opslag loopt vaak via grote cloudaanbieders zoals Amazon Web Services, Microsoft Azure en Google Cloud. Verwerking kan binnen en buiten de EU plaatsvinden, afhankelijk van contracten en instellingen. Voor doorgifte naar de VS is het EU–VS Data Privacy Framework relevant, op het moment van schrijven.
AI-trainen is het proces waarbij een model patronen leert uit datasets, terwijl fine-tunen het bijsturen is met specifieke voorbeelden. Sommige platforms gebruiken chatgesprekken om modellen te verbeteren, tenzij je dat uitzet in de instellingen. Bij ChatGPT kun je chatgeschiedenis uitschakelen zodat gesprekken niet voor training worden gebruikt. Voor API-gebruik geldt vaak al “niet trainen” als standaard, maar controleer dit per aanbieder.
Belangrijke basisprincipes zijn dataminimalisatie en bewaarbeperking: verzamel zo weinig mogelijk data en bewaar ze niet langer dan nodig. Versleuteling helpt bij opslag en transport, maar geeft geen vrijbrief voor ruim datagebruik. Ook “anoniem” gemaakte data kunnen soms te herleiden zijn, zeker bij kleine groepen. Transparantie over doelen en bewaartermijnen blijft daarom cruciaal.
Rechten onder de AVG
De AVG geeft recht op inzage, correctie, verwijdering en dataportabiliteit. Je mag vragen welke gegevens zijn vastgelegd en met wie die worden gedeeld. Ook kun je bezwaar maken tegen bepaald gebruik, bijvoorbeeld voor marketing. Organisaties moeten die verzoeken tijdig en volledig afhandelen.
Bij geautomatiseerde besluiten met grote gevolgen heb je recht op menselijk ingrijpen en uitleg over de gemaakte afweging. Dat geldt bijvoorbeeld bij toekenning of weigering van een voorziening. Een Data Protection Impact Assessment (DPIA) is verplicht bij hoog risico. Datalekken moeten binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens, op het moment van schrijven.
Verwerkers en verwerkingsverantwoordelijken moeten stevige contracten sluiten en zorgvuldig loggen. Bij doorgifte buiten de EU zijn extra waarborgen nodig, zoals standaardclausules. Interne audits en periodieke evaluaties helpen om fouten en bias te vinden. Dit voorkomt problemen en herstel achteraf.
Praktische keuzes voor ontwerpers
Privacy by design betekent dat je systeem zo ontwerpt dat het standaard zuinig met data omgaat. Verwerk waar mogelijk lokaal op het apparaat in plaats van in de cloud. Kies voor heldere doelen per datastroom en zet functies die niet nodig zijn uit. Zo verminder je risico’s en kosten tegelijk.
Anonimiseren klinkt eenvoudig, maar is vaak lastig in de praktijk. Pseudonimiseren (namen vervangen door codes) is niet hetzelfde als anonimiseren. Combineer je meerdere databronnen, dan neemt de kans op herleidbaarheid toe. Test daarom systematisch of heridentificatie mogelijk is.
Transparantie helpt gebruikers en toezichthouders. Denk aan korte, begrijpelijke datakaarten en modelkaarten met herkomst, beperkingen en kwaliteitsmetingen. Geef duidelijke knoppen voor toestemming, inzage en verwijderen. En leg vast hoe klachten snel worden afgehandeld.
Wat er nu nog ontbreekt
Veel organisaties missen nog onafhankelijke toetsing van algoritmen. Er is schaarste aan auditors en duidelijke keurmerken. De AI-verordening voorziet in aangewezen instanties voor conformiteitsbeoordeling, maar die capaciteit moet nog worden opgebouwd. Tot die tijd zijn open evaluaties en externe reviews extra belangrijk.
Transparantie over datasets blijft beperkt door privacy en intellectueel eigendom. Toch vragen de regels om meer inzicht in herkomst en kwaliteit van trainingsdata. Leveranciers van generatieve systemen zullen daarom beter moeten documenteren. Publieke instellingen kunnen dit via inkoop afdwingen.
Bij de overheid schuift de aandacht naar verantwoord gebruik en uitlegbaarheid. Inkoopteams moeten eisen stellen aan logging, DPIA’s en risico-analyses, niet alleen aan functies. Burgers verwachten snelle en begrijpelijke antwoorden op vragen over hun data. Dat maakt samenwerking tussen juristen, ontwerpers en ontwikkelaars onmisbaar.
