De fall-out van de AI Act

imageNu het stof enigszins is neergedaald rondom de AI Act is het de hoogste tijd om stil te staan bij een nieuwe verantwoordelijkheid van bedrijven en instellingen die gebruik (gaan) maken van een AI toepassingen binnen het recruitment domein. Bedrijven en instellingen worden namelijk mede-verantwoordelijk voor het integer handelen van de AI-provider als de toepassing(en) gebruik maakt/maken van persoonsgegevens. En dat kan niet worden afgedaan met een verklaring van een AI-provider dat zij integer handelt. Het moet aangetoond kunnen worden. Door zowel de AI-provider als de gebruiker van de toepassing(en). Dus iedere recruitment afdeling, iedere intermediair, iedere vacaturesite of vacature-aggregator, ieder social netwerk en iedere uitvoeringsorganisatie die persoonsgegevens in combinatie met een AI-toepassing gebruikt, dient zich expliciet er van te vergewissen dat alles volgens de regels verloopt.

Laten we er dan maar meteen een bijzonder relevant onderdeel bij de kop nemen: persoonsgegevens.

Volgens de AVG zijn persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. (AVG, art.4, lid 1)

Persoonsgegevens kunnen alleen met expliciete toestemming van de betreffende natuurlijke persoon gebruikt worden. Is deze toestemming niet aanwezig dan dienen alle persoonsgegevens te worden verwijderd, geanonimiseerd of gepseudonimiseerd:

Het doel van zowel anonimisering als pseudonimisering is om persoonsgegevens te beschermen terwijl ze nog steeds nuttig blijven voor legitieme doeleinden zoals analyse, onderzoek, enzovoort.

Hier is een uitgebreide lijst van andere persoonlijke gegevens die voor anonimisering en/of pseudonimisering in aanmerking komen:

  1. Contactgegevens: Dit omvat telefoonnummers, e-mailadressen, faxnummers en andere contactinformatie.
  2. Geboortedatum en leeftijd: Informatie over de geboortedatum en leeftijd van een individu.
  3. Geslacht en geslachtsidentiteit: Informatie over het geslacht van een persoon en hun zelf geïdentificeerde geslachtsidentiteit.
  4. Burgerservicenummer (BSN) of sofinummer: Identificatienummers die door overheidsinstanties worden uitgegeven.
  5. Identiteitsdocumenten: Gegevens van identiteitsdocumenten zoals paspoortnummer, rijbewijsnummer, enz.
  6. Financiële gegevens: Inclusief bankrekeningnummers, creditcardnummers en financiële transactiegegevens.
  7. Medische en gezondheidsgegevens: Informatie over de gezondheidstoestand, medische geschiedenis, behandelingen, enz.
  8. Educatieve gegevens: Onderwijsachtergrond, diploma’s, academische prestaties en schoolinformatie.
  9. Werkgerelateerde gegevens: Functietitel, Afdeling, Werkadres, Werktelefoonnummer en e-mailadres, Datum van indiensttreding, Werkgeschiedenis, Opleidings- en trainingsrecords, Salarisgegevens, Prestatiebeoordelingen. Foto’s en video’s gerelateerd aan het werk, Biometrische gegevens voor toegangscontrole.
  10. IP-adressen: Internet Protocol-adressen die kunnen worden gebruikt om online activiteiten te traceren.
  11. Locatiegegevens: Gegevens over de fysieke locatie van een persoon, vaak verzameld via GPS of mobiele apparaten.
  12. Biometrische gegevens: Gegevens gebaseerd op fysieke en gedragskenmerken, zoals vingerafdrukken, gezichtsherkenning, stemherkenning, enz.
  13. Etnische achtergrond en nationaliteit: Informatie over de etnische achtergrond en nationaliteit van een persoon.
  14. Religieuze overtuigingen: Informatie over religieuze overtuigingen en lidmaatschap van religieuze groeperingen.
  15. Sociale media-activiteiten: Gegevens over het gebruik van sociale media platforms, inclusief posts, likes, enz.
  16. Genetische informatie: DNA-gegevens en genetische kenmerken van een individu.
  17. Strafrechtelijke gegevens: Informatie over strafrechtelijke veroordelingen, arrestaties en juridische geschiedenis.
  18. Seksuele geaardheid: Informatie over de seksuele geaardheid van een persoon.
  19. Ras of etniciteit: Informatie over ras, etniciteit of afkomst van een persoon.
  20. Politieke opvattingen: Informatie over politieke overtuigingen en affiliaties


Da’s best veel…

O, ik was bijna vergeten te vermelden dat het zonder toestemming kopieren van persoonsprofielen (van bv. sociale media (LinkedIn) of vacaturesites (bv. Werk.nl, Indeed, etc.)) sowieso niet is toegestaan. Het feit dat een persoon een profiel op LinkedIn of Werk.nl is geen vrijbrief om deze gegevens ongevraagd te kopieren. Integendeel. Wederom is dat uitsluitend toegestaan als vooraf toestemming is verkregen van de betreffende persoon

En dan komt nu de 1 million dollar question: Als al die gegevens moeten worden verwijderd, geanonimiseerd of gepseudonimiseerd, wat heb ik dan nog aan de resterende data? Hoe kan ik daar in hemelsnaam mee matchen? En hoe kan de AI-leverancier de actualiteit van het AI-model garanderen als de onderliggende gegevens niet geupdate kunnen worden? En wat heb ik aan een volledig anoniem profiel als mijn vacature daarmee matcht?

Inderdaad: NIETS

Geef een reactie