Over de GDPR (AVG), Artificial Intelligence, Big Data en Machine Learning

Wet- en regelgeving

Vanaf mei 2018 treed de GDPR, in Nederland bekend onder de naam Algemene Verordening Gegevensverwerking (AVG), in werking. Over de impact van deze wet op jouw bedrijfsvoering heb ik al het nodige geschreven. Ook is er een hele goede en vereenvoudigde uitleg beschikbaar in de vorm van een filmpje van de NOS. Goed bruikbaar om binnen jouw organisatie om ook (en juist) die mensen mee te nemen, die niet dagelijks met dit onderwerp te maken hebben.

Hoewel het voor veel -wellicht de meeste- bedrijven een krachtmeting zal gaan worden om aan alle eisen van de AvG te voldoen, is dit proces als het goed is bij iedereen wel in gang gezet. Het centraliseren van je klantdata, het bieden van inzage en transparantie en het aan de consument geven van mogelijkheden om gegevens te wijzigen zijn daar voorbeelden van. Net als het aanstellen van een FG (Functionaris Gegevens Bescherming) of een Privacy Officer.

Uiteraard denken en helpen we vanuit Invicta graag mee, bijvoorbeeld door Invenna te installeren zodat je op één plaats al jouw klantdata vast kunt leggen, historie kunt opbouwen en inzage kunt geven. Een hele grote stap die betrekkelijk snel gemaakt kan worden en die je een voorsprong zal geven, waardoor je tijd over hebt om (ook) naar alle andere verplichtingen te kijken.

Next step

Terwijl het bouwen aan een compliant data-omgeving in gang wordt gezet zou ik het liever ergens anders over hebben. Iets dat veel ongrijpbaarder is, minder duidelijk gereguleerd en tegelijk van wezenlijk belang voor jouw bedrijfsvoering van morgen.

In steeds meer processen, vast ook binnen jouw bedrijf, wordt gebruik gemaakt van Artificial Intelligence. Slimme modellen die bijvoorbeeld bepalen welke consument wèl in aanmerking komt voor jouw product of advertentie en welke niet.

We staan aan het (relatieve) begin van een tijdperk van meer en meer data, die op steeds slimmere wijze kan worden gebruikt. Het toepassen van Machine Learning en het gebruiken van Data Science zijn meer een vanzelfsprekendheid aan het worden en zijn niet langer een toekomststrategie.

De GDPR en Artificial Intelligence

De GDPR reguleert AI toepassingen maar tot op zeer beperkte hoogte en zegt feitelijk alleen dat consumenten het recht op uitleg hebben en het recht om bezwaar te maken tegen het (genomen) geautomatiseerde besluit (AI).

Het recht op informatie ziet alleen op het moment vóórdat er een besluit wordt gemaakt – en niet achteraf. Bovendien kunnen besluiten alleen worden aangevochten wanneer ze volledig geautomatiseerd zijn – zonder menselijke tussenkomst – en rechtsgevolgen voor de betrokkene hebben.

Complexiteit

Tegelijk zie ik, waarschijnlijk omdat deze ontwikkeling nog relatief jong is, een grote kloof tussen de scientists of analisten die deze modellen maken en toepassen en de board of directie. Omdat de data zo ontzettend snel toeneemt en de behoefte aan modellen gelijke tred aanhoudt, verliest een groot deel van het bedrijf –vaak juist die mensen die een helikopterview moeten hebben en houden- grip op wat er allemaal gebeurt.

Een succesvol model kan kosten reduceren, zorgen voor een sterke toename aan klanten bij nieuwe campagnes, risico’s sterk verkleinen, of processen veel efficiënter laten verlopen. Dergelijke modellen zijn (vaak) dermate complex in hun beslisregels dat de persoon of personen –de data scientists- die ze gebouwd hebben nog net, of zelfs ook net niet meer, weten wat exact de discriminerende factoren zijn waardoor de ene consument wel een bericht of aanbod krijgt, maar de ander niet. En omdat (de toepassing van) het model succesvol is, worden weinig vragen gesteld.

Jurisprudentie

In Nederland is, voor zover ik weet, nog geen jurisprudentie op het gebied van uitsluitingen door het toepassen van Artificial Intelligence. In de VS wel. Het SAS Institute heeft daar een klant verloren nadat een rechter oordeelde dat de “Computer Says No” conclusie uit een model niet door de beugel kon. De rechter oordeelde dat het gebruik van het EVAAS-systeem (Educational Value Added Assessment System) de burgerrechten schendt. Partijen kwamen tot een schikking en het schooldistrict besloot de software van het SAS Institute niet langer te gebruiken. Hier kun je daar meer over lezen.

De zaak en uitspraak tonen in ieder geval aan dat de risico’s reëel zijn. Ik denk (en ga er vanuit) dat noch de betreffende educatieve instelling, noch het SAS Institute kwaadwillend handelden. Tegelijk kwamen beiden op een onprettige manier in het nieuws èn hebben zij kosten moeten maken om zaken “recht te zetten”.

Bewustwording

Zonder dat we de fantastische mogelijkheden van AI en Machine Learning opzij moeten zetten, zou ik wel willen oproepen tot awareness. Het in- of uitsluiten van mensen kan volledig juist zijn, bijvoorbeeld als het gaat om het verstrekken van een hypotheek en de variabele is of iemand die wel, of niet kan afbetalen. Maar wat als in (de uitkomsten van) ons model blijkt dat geslacht, ras, of andere vergelijkbare gevoelige kenmerken worden meegenomen?

Puur hypothetisch is een algoritme dat voorspellende waarden levert en een besluit maakt onpartijdig. Maar voorspellende waarden worden (nagenoeg) altijd opgebouwd door data uit het verleden te bekijken. En juist daar moeten we oplettend zijn, want op het moment dat er in het verleden een situatie is ontstaan dat een bepaalde groep consumenten (per toeval of met opzet) is in- of uitgesloten, dan zal een model dit meewegen in de voorspellingen en besluiten die gemaakt worden.

Door onder- of oververtegenwoordiging een weging te geven is dit probleem vaak op te lossen, maar dat kan (mogelijk) weer ten koste gaan van resultaat. Daarom begint het kijken naar- en gebruiken van (Big) data ook met (het hebben van) een ethisch standpunt. Een beetje zoals alle serieuze bedrijven ook een MVO statement hebben.

Voordelen van duidelijke afspraken

Helder en transparant zijn over het gebruik van AI heeft overigens een aantal belangrijke voordelen, nog los van het feit of resultaten binnen of (mogelijk onbedoeld) buiten vigerende wetgeving (zoals de GDPR) vallen.

  • Door openheid en transparantie neemt de kwaliteit van je relatie met de consument toe
  • En daarmee ook je mogelijkheden om die relatie beter te benutten
  • De reputatie van je bedrijf loopt (veel) minder risico
  • Zowel op het gebied van feitelijke overtredingen als sentiment
  • Een verhoging ten aanzien van het “algemene publieke vertrouwen” in jouw merk.

Vanuit Invicta werken wij dagelijks voor marktleidende bedrijven die Artificial Intelligence als onderdeel van hun (marketing) processen gebruiken. We zijn altijd op zoek naar succes en verbetering, maar niet ten koste van alles. Ethiek in datagebruik is voor ons net zo vanzelfsprekend als het voldoen aan wet- en regelgeving.

Heb je zelf een vraag of zou je hierover willen verder praten, neem dan even contact op!

Over Invicta | door DDMA

Invicta B.V. heeft met succes de Privacy Waarborg Security Check doorlopen. Haar organisatorische informatiebeveiliging is geaccrediteerd met het beveiligingslabel Goud. Invicta B.V. heeft informatiebeveiliging geborgd binnen de organisatie en beleid gedefinieerd met betrekking tot operationele processen, toegangsbeheer, good governance en het inschakelen van derde partijen.