In een wereld waar artificiële intelligentie razendsnel evolueert, worstelen bedrijven met een fundamentele vraag: hoe kun je innovatief zijn én tegelijkertijd privacy waarborgen? Het is een uitdaging die steeds urgenter wordt, zeker nu organisaties massaal AI-tools implementeren zonder altijd de privacyimplicaties volledig te doorgronden.
"Wat we bij veel klanten zien, is dat zodra je GDPR en AI Act uitspreekt, het direct wazig wordt," vertelt Raf Ganseman, Consulting Partner bij EY. "Hoe moet ik daar nu precies naar kijken? Daarom proberen we daar structuur in aan te brengen."
Die structuur is cruciaal, want de spanning tussen AI-ontwikkeling en privacywetgeving is reëel. Waar de Algemene Verordening Gegevensbescherming (GDPR) sinds 2018 persoonlijke data beschermt, introduceert de EU Commissie nu de AI Act die vanaf 2026 volledig van kracht wordt. Hoewel beide regelgevingen fundamentele rechten waarborgen, verschillen ze fundamenteel in doel en aanpak – en dat creëert uitdagingen voor organisaties.
Het fundamentele conflict: data versus privacy
Thomas Diependaele, Consulting Manager bij EY, legt de vinger op de zere plek: "AI heeft heel veel data nodig, terwijl GDPR eigenlijk zegt dat je zo weinig mogelijk persoonsgegevens moet gebruiken, enkel wat effectief nodig is."
Het conflict is zo direct als het klinkt: AI-modellen functioneren beter met méér data, terwijl GDPR juist dataminimalisatie vereist. "Bedrijven moeten een keuze maken," aldus Thomas. "Willen we een optimaal AI-model trainen, of willen we volledig GDPR-compliant zijn? Dat is een direct conflict."
Deze spanning manifesteert zich op verschillende niveaus. De GDPR vereist bijvoorbeeld dat data voor specifieke, expliciete en legitieme doeleinden wordt verzameld. Maar hoe definieer je het precieze doel wanneer je een generiek AI-model zoals ChatGPT ontwikkelt?
Ook het verkrijgen van toestemming (consent) is complex. "Het is moeilijk om aan personen te vragen: 'Mag ik je data gebruiken om mijn AI-model te trainen?'" legt Thomas uit. "Als AI-ontwikkelaar ben je daar dan weinig mee."
Praktische aanpak: Risico-gebaseerde benadering
De oplossing ligt volgens EY in een proactieve, praktische aanpak die beide regelgevingen respecteert zonder innovatie te verstikken. "Een risico-gebaseerde aanpak is cruciaal," benadrukt Thomas. "Is dit echt een project met gevoelige gegevens, of een kleinschalig project zonder gevoelige data? Je moet niet voor elk project dezelfde zware maatregelen nemen."
Deze nuance is belangrijk. Voor sommige AI-toepassingen – denk aan systemen die beslissingen nemen over kinderbescherming of medische diagnoses – zijn strikte waarborgen essentieel. Voor andere, minder risicovolle toepassingen, volstaan eenvoudigere maatregelen.
Privacy by Design: Vanaf de start rekening houden met privacy
Een sleutelbegrip in deze aanpak is 'Privacy by Design' – privacy integreren vanaf de allereerste ontwikkelingsfase. "Je houdt vanaf de start van het bouwen van je AI-model rekening met GDPR," legt Thomas uit. "Je gaat checken: voldoet mijn AI-systeem hieraan, hieraan, hieraan? En tijdens het bouwen moet dat ook voldoen aan alle GDPR-vereisten."
Raf vult aan met een praktisch voorbeeld: "Veel van de AI-applicaties die nu gebouwd worden, gebruiken pre-trained modellen die een bepaalde blob data nodig hebben. Een van die Privacy by Design-principes is dat je in die blob data al analyseert: wat zit er precies in, en heb ik al die data wel nodig voor wat mijn AI-model moet doen?"
Deze voorselectie van data, nog vóór je AI-model ermee aan de slag gaat, kan een belangrijk instrument zijn om GDPR-compliant te blijven zonder de effectiviteit van je AI-oplossing te compromitteren.
Governance: De nieuwe uitdaging
De uitdagingen beperken zich niet tot de ontwikkelingsfase. Naarmate AI-tools toegankelijker worden, ontstaan nieuwe governancevraagstukken die eerder niet bestonden.
"Om een heel specifiek voorbeeld te geven rondom Microsoft Copilot," zegt Raf. "In het begin ging dat gewoon over de adoptie. Maar nu kun je, als je Microsoft Copilot hebt, ook je eigen agents gaan bouwen."
Dit creëert een nieuwe laag van complexiteit: "Als je op grote schaal Copilot gaat gebruiken, betekent dat dat jouw interne medewerkers ook op grote schaal hun eigen agents gaan bouwen. Wat doet dat precies met jouw business? En wat heeft dat qua gevolgen voor wetgeving, privacy of jouw IT-infrastructuur, omdat er zoveel dingen automatisch beginnen rond te lopen in jouw data?"
Bovendien moet je je realiseren dat het gebruik van bestaande AI-tools je niet automatisch beschermt onder wetgeving. "Het is niet omdat je met bestaande tools werkt dat je automatisch beschermd bent," waarschuwt Raf. "Ook werk met bestaande tools moet gematcht worden aan regelgeving."
Holistische aanpak: Van strategie tot uitvoering
Een van de kernboodschappen die EY wil overbrengen, is het belang van een holistische aanpak die verder gaat dan louter technische implementatie.
"Het is voor ons belangrijk dat de kernboodschap van alles wat we rond artificial intelligence naar de markt brengen, is dat wij daar altijd in de hele breedte van onze serviceoffering naar kijken," benadrukt Raf. "Dit is een mooi voorbeeld van hoe je begeleiding kunt aanbieden van bij de technische implementatie in het begin, tot in de uitrol en de opvolging."
Deze A-tot-Z-benadering omvat verschillende aspecten: "We kijken vanaf het eerste puntje, de strategie die een bedrijf kan hebben, tot aan de ideatie van specifieke toepassingen, de implementatie, de check op regelgeving, de uitval, het inbouwen in operating models... Er zit een hele structuur in."
De toekomst: Navigeren tussen innovatie en compliance
Terwijl organisaties worstelen met de balans tussen AI-innovatie en privacynaleving, wordt duidelijk dat beide niet tegenover elkaar hoeven te staan. Net zoals remmen in een auto ons in staat stellen sneller en veiliger te rijden door controle te bieden, kan robuuste wetgeving ervoor zorgen dat AI-ontwikkeling en -inzet fundamentele rechten beschermen.
Door het implementeren van veiligheidsmaatregelen kunnen we het potentieel van AI benutten om een samenleving te creëren waarin technologie ons leven verbetert terwijl onze waarden worden gerespecteerd.
"Het gevoel in de markt kan soms wel zijn dat AI en de AI Act primeren boven het kijken naar GDPR," merkt Raf op. "Maar beide zijn vanuit een wetgevingsperspectief even belangrijk."
Voor organisaties die worstelen met deze uitdagingen, biedt EY een begeleidingstraject dat de volle breedte van het probleem omvat: van strategische plannin en ideatie tot implementatie en compliance. Hun team van experts staat klaar om bedrijven te helpen bij het toepassen van de AI Act en GDPR, het beoordelen van hun gereedheid, het definiëren van een roadmap naar compliance, het identificeren van de scope, en het uitvoeren van impactbeoordelingen.
In een wereld waar AI steeds meer geïntegreerd raakt in onze dagelijkse werkzaamheden, is het vinden van deze balans niet langer optioneel – het is essentieel voor duurzame innovatie die de test van wetgeving en publiek vertrouwen kan doorstaan.
Ontdek uitgebreide inzichten en praktische oplossingen in de whitepaper van EY Privacy in AI: Enhancing Innovation
