Eind november heb ik een voorzet gedaan om tot een veel beter inzicht te komen van de kwaliteit en de rechtmatigheid van de verwerking van persoonsgegevens door leveranciers van AI toepassingen binnen het recruitment domein. Met alle hyperbool rondom (generative) AI’s lijken deze onderwerpen ondergeschikt te raken aan de ongekende mogelijkheden van deze nieuwe generatie AI-tools, maar als het stof is neergedaald staan kwaliteit en rechtmatigheid nog altijd fier overeind, in afwachting van antwoorden en nog belangrijker, in afwachting van oplossingen en compliance.
In deze aflevering ga ik in detail in op het privacy-aspect van de data-discussie. In hoeverre voldoen AI-leveranciers die binnen het recruitment domein actief zijn aan de bepalingen van de Algemene Verordening Gegevensbescherming (AVG), voor zover ze met persoonsgegevens werken. In een volgende aflevering ga ik in op misschien wel het meest complexe onderdeel: de kwaliteit van de gebruikte persoonsgegevens. Een veelkoppig monster waarbij de klassieke Hydra eenvoudigweg verbleekt. In een derde aflevering is het de beurt aan de AI Act, waarbij recruitment systemen als hoog risico worden geclassificeerd. Met alle consequenties van dien.
First things first: de vragenlijst persoonsgegevens en AVG. Er zijn in totaal 17 Ja/Nee vragen en voor de meeste Ja-antwoorden is er een vervolgvragenlijst. Voor de meeste Nee-antwoorden is er een een verzoek tot een toelichting in vrije tekst. Alleen voor de eerste vraag heb ik de vervolgvragenlijst in dit artikel toegevoegd, om een indruk te geven van de mate van detaillering. Het voert veel te ver om alle vervolg-vragenlijsten hier te publiceren
1. Heeft uw AI-model persoonsgegevens verwerkt die zijn verkregen uit publiek beschikbare bronnen?
· Ja. Zie bijlage vraag 1 voor aanvullende vragen/detaillering
· Nee
Bijlage vraag 1
Van welke publiek beschikbare bronnen is gebruik gemaakt? Publiek beschikbare bronnen zijn informatiebronnen die vrij toegankelijk zijn voor het publiek zonder beperkingen zoals betaling of toegangscontrole.
Een overzicht van publieke bronnen is bijvoorbeeld:
- Overheidswebsites: Websites van de overheid of overheidsinstellingen die officiële documenten, wetten, regelgevingen, overheidsverslagen, statistieken, en beleidsdocumenten bevatten.
- Openbare databases: Databases die door overheidsinstanties of andere organisaties worden beheerd en die toegankelijk zijn voor het publiek, zoals demografische gegevens, economische data, of juridische archieven.
- Open access publicaties: Academische of professionele publicaties die zonder abonnement of betaling online beschikbaar zijn.
- Sociale media platformen: Openbare profielen en berichten op sociale media platformen, hoewel de juridische status hiervan kan variëren afhankelijk van de privacy-instellingen en gebruiksvoorwaarden van het platform.
- Openbare forums en blogs: Online platforms waar gebruikers vrijelijk informatie en meningen kunnen delen.
- Nieuwswebsites: Websites die nieuws en journalistieke artikelen publiceren en die vrij toegankelijk zijn zonder betalingsbeperkingen.
- Archieven van openbare instellingen: Dit omvat digitale archieven van bibliotheken, musea, en andere culturele instellingen die hun collecties online beschikbaar stellen.
- Overige, niet eerder benoemde publieke bronnen. Graag een specificatie van overige, publiek beschikbare bronnen.
Het is belangrijk op te merken dat, hoewel deze bronnen publiekelijk toegankelijk zijn, dit niet automatisch betekent dat alle inhoud binnen deze bronnen vrij gebruikt mag worden voor elk doel. Er kunnen auteursrechten of andere wettelijke beperkingen van toepassing zijn op bepaalde inhoud binnen deze publieke bronnen.
2. Heeft u een rechtmatige grondslag vastgesteld voor het verwerken van deze persoonsgegevens, zoals toestemming, legitiem belang of een andere passende juridische basis?
· Ja, toestemming van iedere persoon waarvan gegevens zijn verwerkt
· Ja, een legitiem belang. Zie bijlage vraag 2 voor aanvullende vragen/detaillering
· Ja, een andere passende juridische basis. Zie bijlage vraag 2 voor aanvullende vragen/detaillering
· Nee. Waarom zijn geen toestemming, legitiem belang of andere passende juridische basis van toepassing (toelichting)
Hoewel toestemming misschien niet altijd vereist is, moeten betrokkenen nog steeds worden geïnformeerd over hoe hun gegevens worden gebruikt.
3. Zijn de persoonsgegevens die uit publiek beschikbare bronnen zijn verzameld, geanonimiseerd of gepseudonimiseerd vóórdat ze werden gebruikt voor het trainen van het AI-model?
· Ja. Zie bijlage vraag 3 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
4. Heeft u adequate technische en organisatorische maatregelen getroffen om de beveiliging van deze persoonsgegevens te waarborgen, inclusief versleuteling en toegangscontrole?
· Ja. Zie bijlage vraag 4 voor aanvullende vragen/detaillering
· Nee. Waarom zijn er geen maatregelen getroffen ter beveiliging van de persoonsgegevens? Toelichting
5. Wordt er regelmatig geauditeerd en gemonitord om ervoor te zorgen dat de verwerking van persoonsgegevens in overeenstemming is met de geldende wetgeving en ethische normen?
· Ja. Zie bijlage vraag 5 voor aanvullende vragen/detaillering
· Nee. Waarom vinden er geen audit- of monitoring activiteiten plaats? Toelichting
6. Is er een duidelijk privacybeleid en worden betrokkenen geïnformeerd over het gebruik van hun gegevens voor het trainen van het AI-model?
· Ja. Zie bijlage vraag 6 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
7. Bent u bereid om betrokkenen de mogelijkheid te bieden om hun gegevens te laten verwijderen uit uw AI-model als zij daarom vragen (bijv. recht om te worden vergeten)?
· Ja. Zie bijlage vraag 7 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
8. Heeft u mechanismen geïmplementeerd om eventuele vooringenomenheid of discriminatie (bias) in het AI-model te identificeren en aan te pakken?
· Ja. Zie bijlage vraag 8 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
9. Heeft u de nodige maatregelen getroffen om ervoor te zorgen dat de persoonsgegevens niet worden gebruikt voor doeleinden die niet verenigbaar zijn met het oorspronkelijke doel van de gegevensverzameling?
· Ja. Zie bijlage vraag 9 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
· Ja. Zie bijlage vraag 10 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
11. Worden er gegevensbeschermingsimpactbeoordelingen (DPIA’s) uitgevoerd voor specifieke verwerkingen waarvan bekend is dat ze een hoog privacy risico met zich meebrengen?
· Ja. Zie bijlage vraag 11 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
12. Is er een privacyfunctionaris (Data Protection Officer) aangesteld om toezicht te houden op de gegevensbescherming binnen de organisatie?
· Ja. Zie bijlage vraag 12 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
13. Zijn er procedures voor het verlenen van toegang tot persoonsgegevens en voor het uitoefenen van de rechten van betrokkenen, zoals het recht op inzage en correctie?
· Ja. Zie bijlage vraag 13 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
14. Heeft het AI-model maatregelen geïmplementeerd om de gegevenskwaliteit te waarborgen en onnauwkeurigheden in de persoonsgegevens te minimaliseren?
· Ja. De gegevenskwaliteit is onderwerp van een separate vragenlijst en in die lijst worden ‘alle’ dimensies van kwaliteit in detail behandeld.
· Nee. Waarom niet? Toelichting
· Ja. Zie bijlage vraag 15 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
16. Worden personen (wiens gegevens zijn gebruikt) geïnformeerd over hun rechten met betrekking tot gegevensbescherming en hoe zij deze rechten kunnen uitoefenen?
· Ja. Zie bijlage vraag 16 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
17. Heeft het AI-model mechanismen geïmplementeerd om de traceerbaarheid van gegevensverwerking te waarborgen en te documenteren?
· Ja. Zie bijlage vraag 17 voor aanvullende vragen/detaillering
· Nee. Waarom niet? Toelichting
En dat is de eerste van drie vragenlijsten. Ik publiceer deze met een eenvoudige reden, een vraag om feedback. Van het opstellen van zo’n vragenlijst krijg je last van tunnelvisie, en dat los ik in mijn eentje niet op. Dus ik hoop op feedback, van welke aard dan ook. Zolang het gaat om het beter maken van deze vragenlijst
Deze vragenlijst en vervolg-vragenlijsten zijn beschermd onder de creative commons BY-NC-ND licentie.