Houdt de voorgestelde Verordening inzake Artificiële Intelligentie in voldoende mate rekening met het privacy- en gegevensbeschermingsrecht van natuurlijke personen?

De Europese Commissie heeft op 21 april 2021 een voorstel gedaan voor een Verordening inzake Artificiële Intelligentie. In mijn masterscriptie schrijf ik over deze Conceptverordening. In het bijzonder beoordeel ik of de Conceptverordening naar mijn mening in voldoende mate rekening houdt met het recht op privacy en het recht op gegevensbescherming van natuurlijke personen, die onderworpen worden aan artificiële-intelligentiesystemen (‘onderworpenen’). De scriptie bevat drie hoofdstukken, die ingaan op verschillende aspecten van de Conceptverordening. Deze blog bevat een beknopte samenvatting van de scriptie.

De juridische definitie van ‘artificiële-intelligentiesysteem’ en de risicogebaseerde aanpak

In het eerste hoofdstuk van de scriptie ga ik allereerst in op de reikwijdte van de juridische definitie van ‘artificiële-intelligentiesysteem’ (artikel 3 onder 1 juncto bijlage I Conceptverordening) en bespreek ik de gevolgen van een ruime of enge definitie van ‘artificiële-intelligentiesysteem’ (‘AI-systeem’). Ik raad aan om naar een goede balans te zoeken, zodat deze juridische definitie niet te ruim, maar ook niet te eng is.

Verder bespreek ik de zogenaamde ‘risicogebaseerde aanpak’ die de Conceptverordening hanteert. Op grond van deze aanpak wordt elk afzonderlijk AI-systeem in een eigen risicocategorie ingedeeld: a) onaanvaardbaar, b) hoog, c) beperkt, d) minimaal of laag. In de scriptie focus ik mij in het bijzonder op AI-systemen met een hoog risico, zoals biometrische identificatie op afstand van natuurlijke personen (denk bijvoorbeeld aan gezichtsherkenning).

Een risicogebaseerde aanpak versus een op rechten gebaseerde aanpak

In het tweede hoofdstuk van de scriptie ga ik verder in op de risicogebaseerde aanpak en vergelijk ik deze met een ander mogelijke aanpak die in de toekomstige Verordening inzake Artificiële Intelligentie (‘AI-Verordening’) kan worden gehanteerd: een op rechten gebaseerde aanpak. Een op rechten gebaseerde aanpak neemt als uitgangspunt de bescherming van natuurlijke personen, waarbij het hoofdzakelijk gaat om de bescherming van hun grondrechten, zoals het privacy- en gegevensbeschermingsrecht. Kort gezegd ben ik van oordeel dat een combinatie van beide aanpakken het meest gunstig is voor de bevordering van het privacy- en gegevensbeschermingsrecht van onderworpenen, mits de uitvoering en handhaving van de AI-Verordening niet te gecompliceerd wordt

Bovendien ga ik in dit hoofdstuk in op het onderlinge verband tussen de Conceptverordening en de Algemene verordening gegevensbescherming (‘AVG’) en stel ik vast dat dit onderlinge verband tussen beide verordeningen op sommige punten onduidelijk is of spanning kan opbrengen.

Wettelijke verplichtingen op grond van de Conceptverordening

Vervolgens onderzoek ik in het derde hoofdstuk van de scriptie in welke mate twee wettelijke verplichtingen die in de Conceptverordening zijn opgenomen, namelijk het uitvoeren van een initiële risicobeoordeling en het (laten) uitvoeren van een conformiteitsbeoordeling, rekening houden met het privacy- en gegevensbeschermingsrecht van onderworpenen. Ik constateer dat beide verplichtingen onvoldoende rekening houden met het privacy- en gegevensbeschermingsrecht van onderworpenen. In mijn oordeel houd ik onder meer rekening met het feit dat het onderlinge verband tussen de Conceptverordening en de AVG op een aantal punten onduidelijk en inconsistent is.

Conclusie

Naar mijn oordeel zijn het privacy- en gegevensbeschermingsrecht van onderworpenen onvoldoende gewaarborgd in de Conceptverordening. De Conceptverordening moet derhalve op een aantal prominente punten gewijzigd worden, voordat zij haar finale vorm aanneemt. Het aanbieden van juridische begeleiding bij de invulling van de vage, open normen en standaarden van de AI-Verordening en (indien een AI-systeem persoonsgegevens verwerkt) de AVG, bijvoorbeeld in de vorm van ‘soft law’ instrumenten, is mijns inziens noodzakelijk voor een rechtmatige toepassing van de toekomstige AI-Verordening in de praktijk.

Voor de volledige scriptie zie: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4261035