Blogpost: zorgen om generatieve AI

Thema's:
Coördinatie toezicht algoritmes & AI
Algoritmes uitgelegd
Big data en profilering
Persoonsgegevens op internet

De Autoriteit Persoonsgegevens (AP) houdt toezicht op alle soorten verwerkingen van persoonsgegevens. Dus ook op algoritmes en AI waarbij persoonsgegevens worden verwerkt. Sinds dit jaar is ons toezicht op algoritmes en AI intensiever. In een aantal blogposts gaan we in op de maatschappelijke, juridische en technologische aspecten van de inzet van algoritmes en AI. We trappen af met Cecile Schut, directeur Systeemtoezicht, Beveiliging en Technologie bij de AP. 

We zien een explosieve stijging van het gebruik van generatieve AI-toepassingen. Dagelijks komen er nieuwe apps bij.  AI-tools, al dan niet gebaseerd op taalmodellen, lijken als paddenstoelen uit de grond te schieten. Overheden en bedrijven zien voordelen voor hun werknemers, maar ook voor burgers en klanten.

AI-toepassingen waarbij op basis van opdrachten (‘prompts’) inhoud wordt gecreëerd, heten generatieve AI. Bijvoorbeeld tekst, computercode, afbeeldingen, geluid of video. Naar verwachting zal generatieve AI de komende periode steeds meer worden toegepast. 

Persoonsgegevens in generatieve AI-modellen

De AP ziet de mogelijkheden die deze nieuwe technologie biedt. Cecile Schut: “Tegelijkertijd maken we ons zorgen over de risico’s voor de bescherming van persoonsgegevens. Generatieve AI-modellen worden vaak getraind met grote hoeveelheden data, die meestal geautomatiseerd van het internet verzameld worden. Dat noemen we ook wel ‘scraping’.  In de gescrapete data bevinden zich vrijwel zeker persoonsgegevens.” 

“Het is onwaarschijnlijk dat het verzamelen van die gegevens mag op basis van de privacywetgeving. Ontwikkelaars moeten zich daarom bewust zijn van de wettelijke vereisten. Ook is de vraag of de output die zo’n generatief model produceert, zoals tekst, wel klopt. Het model kan fouten maken, doordat ongeverifieerde persoonsgegevens zijn gebruikt om het model te trainen. En het model kan ook informatie, inclusief persoonsgegevens, genereren die uit de lucht is gegrepen. En dat is niet toegestaan. Persoonsgegevens moeten kloppen. Betrokkenen hebben het recht op actualisatie of rectificatie. Onjuiste gegevens moeten kunnen worden aangepast of verwijderd. Dat is bij dit soort modellen een probleem.” 

“Veel AI-tools die nu laagdrempelig te gebruiken zijn, zijn niet transparant. Het zou goed zijn om je af te vragen welke risico’s je loopt als je als organisatie een AI-tool wilt gaan inzetten. Wat is de betrouwbaarheid van de gegenereerde informatie? En is het voor de gebruikers duidelijk wat er met hun gegevens gebeurt wanneer de opdrachten (prompts) die zij de AI-tool geven, worden toegevoegd aan de trainingsdata? De privacywetgeving is duidelijk: transparantie is een recht. Voor betrokkenen moet duidelijk zijn dat je persoonsgegevens worden verwerkt, waarom, hoe en door wie.” 

Kies bewust voor inzet van AI-toepassingen 

Generatieve AI biedt natuurlijk ook mogelijkheden. Ook voor de overheid. Zo maakt de inzet van generatieve AI processen mogelijk sneller, efficiënter en goedkoper. De AP wil stimuleren dat organisaties die mogelijkheden op een verantwoorde manier benutten. Daarom vraagt de AP organisaties kritisch te kijken naar hoe zij AI-toepassingen ontwikkelen en gebruiken.

AI-toepassingen kunnen er bijvoorbeeld ook toe leiden dat mensen, zonder het te weten, worden ingedeeld in categorieën. En dat hun gedrag wordt voorspeld, gemanipuleerd en voorgeschreven op basis van mogelijk inaccurate en niet verifieerbare historische data. 

Cecile Schut: “Denk aan digitale assistenten waarvan aanbevelingen klakkeloos worden overgenomen. Een HR-medewerker zou bijvoorbeeld met toestemming van sollicitanten een chatbot kunnen vragen om hun cv’s en motivatiebrieven door te nemen en vervolgens samen te vatten wat de voor- en nadelen zijn per kandidaat. Zelfs neutraal ogende antwoorden van de chatbot kunnen daarbij gebaseerd zijn op vooroordelen of onvolkomenheden die in trainingsdata zaten.” 

 “Doordat de tools heel makkelijk te gebruiken zijn, zien we nu vaak dat organisaties AI-toepassingen gaan inzetten zonder voldoende kennis of serieuze voorbereiding. Terwijl het juist belangrijk is om na te denken over risico’s. Zo kunnen bestaande vooroordelen bevestigd worden. Internationale voorbeelden hiervan zijn te vinden bij werving en selectie. Of bij modellen die getraind werden om aanvragen voor leningen te beoordelen.”

“Wanneer je AI inzet voor hulp bij belangrijke besluiten, is het van belang dat je ook inzicht hebt in de gronden waarop het model tot een advies komt. Een ander risico is dat een AI-toepassing wordt ingezet voor doeleinden waarvoor die toepassing echt niet geschikt is. Zoals het geven van medisch advies. Of, een voorbeeld uit Nieuw-Zeeland, een app van een supermarkt die recepten genereerde met giftige ingrediënten. Verdiep je dus in de tool die je wilt gebruiken!”

Acties 

Generatieve AI kan door verkeerd gebruik van persoonsgegevens grote, nadelige maatschappelijke effecten hebben. Bijvoorbeeld door (onbedoeld) vooroordelen te bevestigen en uitsluiting en discriminatie in de hand werken. De AP staat als privacytoezichthouder voor de verantwoorde ontwikkeling en inzet van AI. In lijn met de wettelijke vereisten uit onder meer de privacywetgeving en met als uitgangspunt de mens centraal te stellen.

Cecile Schut: “We ondernemen als AP de komende tijd verschillende acties. Zo hebben we softwareontwikkelaar OpenAI om opheldering gevraagd over ChatGPT. Dit onderzoek loopt. Ook maken we deel uit van de EDPB Taskforce ChatGPT. En hebben we een techbedrijf om verantwoording gevraagd over de verwerking van persoonsgegevens via de chatbot. Die werd geïntegreerd in hun app, die populair is bij kinderen. Komende tijd houden we de ontwikkelingen scherp in de gaten.” 

Lees ook

Bekijk alle actualiteit