DPIA uitvoeren op een AI-tool: stap voor stap voor het MKB

Femke de Vries

AI-Automatisering Consultant voor het MKB

AI-tools schieten als paddenstoelen uit de grond. Je ziet ze overal: chatbots die je klantenservice overnemen, slimme software die je marketingteksten schrijft, of programma’s die je data analyseren.

Het is verleidelijk om gewoon te beginnen. Even een account aanmaken, de algemene voorwaarden accepteren en hup, aan de slag. Maar stop even. Weet jij wat er met de data van je klanten gebeurt zodra je die intoetst in zo'n AI-systeem?

Grote kans dat dit een AVG-ramp wordt. De Autoriteit Persoonsgegevens kijkt steeds strenger naar het gebruik van AI. En terecht.

Een DPIA (Data Protection Impact Assessment) klinkt als een bureaucratische nachtmerrie, maar het is eigenlijk gewoon een brandveiligheidscheck voor je data.

Voordat je een nieuwe AI-tool in de strijd gooit, moet je de risico's in kaart brengen. In dit artikel leg ik je, zonder ingewikkelde juridische termen, precies uit hoe je dit aanpakt. Zodat je slim gebruikmaakt van AI, zonder je klanten (en je reputatie) in de steek te laten.

Wanneer moet je een DPIA uitvoeren? De 9 criteria

De wet zegt dat je een DPIA moet doen als je verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen". Maar wat betekent dat?

De Europese Commissie heeft negen criteria opgesteld om dit te beoordelen. Je hoeft ze niet allemaal af te vinken; als er één van toepassing is die het risico flink opschroeft, moet je aan de bak. Hier zijn de negen criteria, vertaald naar de praktijk van alledag:

1. De omvang: Verwerk je grote hoeveelheden gegevens of bijzondere data (zoals gezondheidsgegevens of strafbladen)? Dan is de kans op schade bij een lek groter.
2. Het doel: Is het doel legitiem? Of ga je gegevens gebruiken voor iets totaal anders dan waarvoor je ze kreeg?
3. De noodzaak: Is deze AI-tool echt nodig, of zijn er alternatieven die minder inbreuk maken op de privacy?
4. De grondslag: Mag je deze gegevens wel verwerken? Heb je toestemming of is het nodig voor de uitvoering van een contract?
5. Hoe je ze krijgt: Haal je de data direct bij de persoon zelf, of kom je ze ergens anders vandaan?
6. Automatische beslissingen: Neemt de AI beslissingen die grote gevolgen hebben voor mensen, zonder dat een mens ertussen zit? Denk aan een AI die sollicitanten afwijst.
7. Data-export: Gaan de gegevens de grens over, bijvoorbeeld naar servers in de VS? Denk aan tools van Microsoft, Google of OpenAI.
8. Nieuwe technologie: Gebruik je technologie die zo nieuw is dat de risico's nog niet goed bekend zijn? AI is hier een schoolvoorbeeld van.
9. Risico op schade: Wat is de ergste nachtmerrie? Kan iemand financiële schade oplopen, gediscrimineerd worden of ernstig in zijn privacy worden geschaad?

Hoe voer je een DPIA uit? Een praktische aanpak

Een DPIA is geen ellenlang rapport dat in een la verdwijnt. Het is een logisch proces.

Stap 1: Beschrijf de verwerking

Volg deze stappen om jezelf en je bedrijf te beschermen. Zet op een rijtje welke AI-tool je wilt gebruiken. Wat is de naam van de software?

Welke gegevens ga je invoeren? Denk aan namen, e-mailadressen, betaalgegevens of IP-adressen.

Stap 2: Identificeer de risico's

Wat is het precieze doel? "Efficiënter werken" is geen doel; "Automatisch beantwoorden van klantvragen via een chatbot" wel. Denk als een boef. Hoe zou iemand deze data kunnen misbruiken?

En wat als de AI een fout maakt? Stel, je voert klantdata in in een onbeveiligde tool.

Stap 3: Evalueer de risico's

De kans op een datalek (impact) is groot. Of de AI besluit om een klant te weigeren op basis van een verkeerde analyse (discriminatie). Schrijf al deze scenario's op.

Schaal de risico's in op twee punten: de waarschijnlijkheid (hoe groot is de kans dat het gebeurt?) en de impact (hoe erg is de schade als het gebeurt?).

Stap 4: Bedenk maatregelen om het risico te verlagen

Een klein lekje van een onbelangrijk e-mailadres is vervelend, maar de impact is laag. Een lek van creditcardgegevens is een ramp. Wees eerlijk in je inschatting.

Je hoeft niet meteen te stoppen met de AI-tool. Je moet het risico managen. Mogelijke maatregelen zijn:

• Anonimiseren: Verwijder persoonsgegevens voordat je ze intoetst. Gebruik ID-nummers in plaats van namen.
• Een verwerkersovereenkomst: Zorg dat je contractueel vastlegt dat de AI-aanbieder (zoals Salesforce of HubSpot) je gegevens niet zelf mag gebruiken.
• Beperkte toegang: Niet iedereen in je bedrijf hoeft toegang tot deze tool. Geef alleen de mensen die het echt nodig hebben, toegang.
• Encryptie: Zorg dat data versleuteld is, zowel onderweg als in de cloud.

Stap 5: Documenteer alles

Als de Autoriteit Persoonsgegevens langskomt, moet je kunnen laten zien dat je nagedacht hebt. Sla je DPIA-op (bijvoorbeeld in Word of Excel).

Wat waren de risico's? Welke maatregelen heb je genomen? Waarom vond je die maatregelen voldoende?

Stap 6: Monitor en herhaal

Dit is je bewijsstuk. Een DPIA is geen eenmalig klusje.

Als je de AI-tool aanpast, of als er nieuwe wetgeving komt, moet je de DPIA opnieuw bekijken. Zet een reminder in je agenda om dit jaarlijks te doen.

Waarom je niet zomaar persoonsgegevens in een AI-tool moet gooien

Veel ondernemers denken: "Ik typ toch wel anoniem?" of "Het is maar een klein beetje data." Maar AI-tools zijn gemaakt om patronen te herkennen. Zodra je persoonsgegevens invoert, ben je ze kwijt. Wil je weten hoe ChatGPT en de AVG voor ondernemers precies werken? Waarom?

Ten eerste, de 'black box'. Je weet vaak niet hoe het algoritme werkt. Het leert van de data die jij invoert.

Als je per ongeluk biased data invoert (bijvoorbeeld alleen mannen noemen in een sollicitatie-AI), leert de AI discriminatie.

Ten tweede, de opslag. Waar staan de data? Veel AI-bedrijven zitten in de Verenigde Staten. Onder de wet CLOUD Act mogen Amerikaanse autoriteiten daar data opeisen.

Zonder dat jij het weet. Ten derde, het doel.

In de kleine lettertjes van veel gratis AI-tools staat dat ze jouw data mogen gebruiken om hun eigen modellen te verbeteren. Dat betekent dat je klantgegevens worden gebruikt om de AI voor je concurrenten te trainen. Dat wil je niet. Kies daarom altijd voor veilige AI-tools die AVG-compliant zijn.

Wie is er verantwoordelijk?

Jij. Als ondernemer ben jij de verwerkingsverantwoordelijke.

Jij bepaalt wat er met de data gebeurt. Je kunt het niet afschuiven op de AI-leverancier. Zij zijn de verwerker, maar jij bent de baas.

Als het misgaat, ben jij degene die de boete krijgt. Voor de meeste MKB'ers is het voldoende om zelf deze stappen te doorlopen.

Heb je het idee dat je echt complexe data verwerkt? Schakel dan hulp in. Denk aan een externe privacy-officer of een juridisch adviseur. Maar begin in ieder geval zelf met nadenken.

Wat kost een DPIA?

De kosten hangen af van hoe je het aanpakt. Een DIY-DPIA (die je zelf doet) kost je vooral tijd. Reken op een dagdeel tot een dag voor een zorgvuldige analyse.

Tijd die je investeert in het veilig houden van je bedrijf. Schakel je een extern bureau in?

Dan kunnen de kosten variëren van €500 voor een basischeck tot €2.000 of meer voor een uitgebreide analyse van een complexe AI-implementatie. Zie het niet als een kostenpost, maar als een verzekering. Voordat je start, is het slim om de belangrijkste AI-risico's voor je MKB-bedrijf in kaart te brengen. Een datalek of een AVG-boete (tot 4% van je wereldwijde omzet!) is namelijk vele malen duurder.

Conclusie: AI en privacy gaan hand in hand

AI-tools zijn fantastisch en gaan je bedrijf helpen groeien. Maar ze zijn geen excuus om de privacy van je klanten te negeren. Een DPIA uitvoeren klinkt zwaar, maar het is in feite gewoon je gezonde verstand gebruiken.

Door de risico's te schatten en maatregelen te nemen, bouw je niet alleen een veilig bedrijf, maar ook een betrouwbaar merk.

Klanten weten hun data bij jou veilig te zijn, en dat is in 2024 een goud waard. Dus, open die nieuwe AI-tool, maar open ook een document voor je DPIA. Je zult er geen spijt van krijgen.