Algoritmes en Artificiële Intelligence (AI) zijn enorm in opkomst. Steeds meer systemen en apparaten maken gebruik van algoritmes en nemen zo min of meer zelfstandig beslissingen. Ook bedrijven en overheden nemen vaker besluiten op basis van deze rekenmodellen. De modellen worden dan ook steeds complexer. Zo gebruikt de Belastingdienst het AI-programma SyRI om te zoeken naar potentiële fraudeurs en belastingontduikers. Bij inTECHrity begeleiden we veel softwareontwikkelaars bij het ISO 27001 traject of we voeren de interne audits uit. Hier lopen we relatief vaak tegen de vraag aan of de AI-beslissingen wel correct zijn.

Machine Learning discriminerend?
De kern van AI is een technologie die Machine Learning heet. Deze technologie gebruikt algoritmes om autonoom, dus zonder begeleiding, patronen te herkennen in inputdata. De algoritmes stellen zelf regels op om bijvoorbeeld bepaalde objecten in plaatjes te herkennen. Maar hierin schuilt een risico. Het invoeren en labelen van gegevens is meestal mensenwerk. De zelflerende algoritmes gebruiken deze labels bij de patroonherkenning. En dus ontstaan er ook bepaalde aannames. Want wat wij erin stoppen, beïnvloedt wat eruit komt. Zo kan het invoeren van gender of etnische kenmerken leiden tot discriminatie. Iets wat de AVG terecht afkeurt.

AP kijkt mee
De Autoriteit Persoonsgegevens (AP) heeft dit natuurlijk ook opgemerkt en legt de komende jaren extra nadruk op drie focusgebieden om de persoonsgegevens te beschermen. Een van deze focusgebieden is ‘AI en algoritmes’:

“Steeds meer bedrijven en organisaties maken gebruik van algoritmes en AI. Dit biedt voordelen en leidt tot nieuwe nuttige toepassingen. Maar de inzet van AI en algoritmes kent ook risico´s en schadelijke effecten. Onverantwoordelijk gebruik van algoritmes kan leiden tot foutieve beslissingen, tot uitsluiting van mensen en tot discriminatie. De AP is als toezichthouder verantwoordelijk voor het toezicht op de verwerking van persoonsgegevens, en daarmee ook op de toepassing van AI en algoritmes waarbij persoonsgegevens worden gebruikt.”

De AP kan het verschil maken door grenzen te markeren ten aanzien van wat er wel en niet kan onder de AVG. De focusgebieden geven onder meer richting aan de uitvoering van hun wettelijke taken (zie voor meer informatie de AP website).

Onbedoeld seksisme
Laatst stuitte ik op het artikel “Een seksistisch algoritme kan je leven bedreigen” (FD 4 oktober 2019), geschreven door de Britse journaliste Caroline Criado Perez. Zij beschreef duidelijk hoe wij onbewust nog steeds verschil maken tussen mannen en vrouwen. Sommigen van ons worden er inmiddels een beetje moe van: “Ja, we weten nu wel dat vrouwen worden gediscrimineerd op de werkvloer, dat ze seksueel worden geïntimideerd en dat ze minder betaald krijgen dan mannen.” Maar er zijn veel meer verschijningsvormen dan deze geijkte. Perez kwam ook met niet voor de hand liggende voorbeelden. Zoals in Karlskoga, een gemeente in Zweden, waar ze ontdekten dat het beleid rondom sneeuwruimen onbedoeld nadelig was voor vrouwen én voor de gemeentekas.

Wat kan ISO 27001 betekenen?
Wat ik wil aangeven is dat we ons vaak niet bewust zijn van het feit dat we onbedoeld toch discrimineren. En dat als AI moet leren op basis van de gegevens die wij (vaak mannen!) invoeren, discriminatie op afkomst of geslacht er ongemerkt in kan sluipen. Natuurlijk is ISO 27001 hier geen kant en klare oplossing voor. Maar het zorgt er wel voor dat je processen implementeert, waarbij je je in ieder geval bewust bent van dit risico en het probeert te mitigeren.

Heeft u vragen over de invulling van de AVG, de rol van functionaris gegevensbescherming of ISO27001? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.