Field Note 005Strategy

AI en de AVG: waar de wet schuurt met hoe modellen leren

Modellen willen zoveel mogelijk data, de AVG wil zo min mogelijk. Die spanning los je niet op met een vinkje, maar met keuzes in het ontwerp.

Robert KeusFounder2 min lezen
Coverbeeld bij AI en de AVG: waar de wet schuurt met hoe modellen leren

De AVG en machine learning trekken aan tegengestelde kanten. Een model wordt beter met méér data; de AVG verplicht juist tot zo min mogelijk, en alleen voor een vooraf bepaald doel. Die spanning is geen formaliteit die je met een privacyverklaring wegneemt. Ze zit in hoe je bouwt.

Waar het schuurt

Vier plekken waar AI en de AVG botsen, en die je vooraf moet beslechten:

  • Dataminimalisatie. Het model wil alles; de wet staat alleen toe wat nodig is voor het doel.
  • Doelbinding. Data die je voor het ene doel verzamelde, mag je niet zomaar hergebruiken om een model te trainen voor iets anders.
  • Transparantie. Je moet kunnen uitleggen wat er met persoonsgegevens gebeurt, ook als het systeem complex is.
  • Geautomatiseerde besluiten. Een volledig automatisch besluit met rechtsgevolg mag alleen met grondslag én een menselijke controle waartegen iemand bezwaar kan maken.

Compliance is een ontwerpkeuze, geen sluitstuk

Privacy die je achteraf aan een AI-systeem probeert vast te schroeven, kost meer en werkt minder goed dan privacy die je vanaf het ontwerp meeneemt.

AVG en AI Act zijn twee sloten op dezelfde deur

De AVG gaat over persoonsgegevens; de AI Act over het risico van het systeem. Ze overlappen, maar dekken elkaar niet. Een systeem kan AVG-proof zijn en toch onder de hoog-risico-verplichtingen van de AI Act vallen. Behandel ze samen, niet als losse projecten. Hoe je dat bestuurlijk belegt, staat in AI governance: van AI Act naar bestuurbare AI.

Compliant bouwen is geen rem op AI. Het is de voorwaarde waaronder je gevoelige data überhaupt aan een model durft toe te vertrouwen, en dat begint bij een datafundament waarin toegang en herleidbaarheid al zijn ingebouwd.