Wat is het verschil tussen een DPIA en een FRIA?

Nu het gebruik van complexe technologieën steeds dieper geworteld raakt in ons dagelijks leven, willen we de risico's die eraan verbonden zijn begrijpen en mogelijk beheren. Met dit doel voor ogen heeft de Europese wetgeving verschillende risicobeheerkaders gecreëerd, die verantwoordelijke partijen kunnen, of in bepaalde gevallen verplicht kunnen worden, om te gebruiken.

In 2016 heeft de Algemene Verordening Gegevensbescherming (AVG), Artikel 35, de Data Protection Impact Assessment (DPIA) geïntroduceerd. Het doel van deze bepaling is om een instrument te bieden aan verwerkingsverantwoordelijken (Art. 26) om risico's voor fundamentele rechten en vrijheden die voortvloeien uit hun gegevensverwerkingsactiviteiten te identificeren en te beperken.

In juni 2023 heeft het Europees Parlement, in zijn gewijzigde versie van de Artificial Intelligence Act (AI Act), een vergelijkbaar instrument voorgesteld, genaamd Fundamental Rights Impact Assessment (FRIA) voor hoogrisico AI-systemen. Dit instrument, vastgelegd in het nieuwe artikel 29, is bedoeld om risico's voor fundamentele rechten en vrijheden met betrekking tot het gebruik van AI-systemen te identificeren en te beoordelen, en om maatregelen in te zetten voor de beperking van risico’s.

DPIA vs FRIA

Hoewel de doelstellingen en aard van deze twee instrumenten vergelijkbaar zijn, namelijk het beheer van risico's, vertonen ze overlap en verschillen op ten minste drie aspecten:

1) Persoonsgegevens en niet-persoonsgegevens. Onder de AVG is het uitvoeren van een DPIA alleen verplicht bij de verwerking van persoonsgegevens, terwijl een FRIA vereist kan zijn in het geval dat een AI-systeem wordt geïdentificeerd als 'hoogrisico', ongeacht de aard van de verwerkte gegevens. Twee verduidelijkingen zijn hier nodig. Ten eerste is het onderscheid tussen persoons- en niet-persoonsgegevens niet altijd zo helder en vaak afhankelijk van de context. Ten tweede suggereren de EDPB (voorheen A29WP) Richtsnoeren dat zelfs als het uitvoeren van een DPIA niet strikt vereist is, blijft het steeds een goede praktijk van risicobeheer.

2) Een FRIA moet een breder analysebereik hebben. Hoewel de AVG niet specifiek vermeldt dat een DPIA alleen risico's voor privacy en persoonsgegevens (Art. 7 en Art. 8 EU Handvest Grondrechten) moet overwegen, is het gebruikelijk om de analyse te beperken tot deze twee grondrechten. Aan de andere kant zou een FRIA bredere vragen moeten behandelen, van non-discriminatie tot menselijke waardigheid en impact op het milieu. Verschillende toezichthouders (3), evenals onderzoeksinstellingen (4) en overheden (5) hebben richtlijnen en sjablonen over de uitvoering van een FRIA gepubliceerd. Hier vermelden ze een breed scala aan vragen, zowel met betrekking tot risico-identificatie als mitigatiemaatregelen, die overwegingen omvatten met betrekking tot de verwerkte gegevens en de gebruikte algoritmen.

3) De uitvoerders van een risicobeoordeling, kunnen verschillen of samenvallen. De AVG legt deze verplichting op aan de verwerkingsverantwoordelijke, terwijl de AI Act voorgesteld door het Europees Parlement deze verplichting oplegt aan de 'deployers' van hoogrisico AI-systemen. Met betrekking tot de mate van controle bij het bepalen van de reikwijdte van een bepaalde technologie of proces, kan het ook zijn dat de twee betrokkene partijen (d.w.z. deployer en verwerkingsverantwoordelijke) overeenkomen. In dat geval, kan eenzelfde partij verplicht worden om zowel een DPIA als een FRIA uit te voeren.

Zoals deze korte vergelijking laat zien, zijn er verschillende raakvlakken tussen een DPIA en een FRIA. Gezien het overleg hierover tussen het Europees Parlement, de Raad en de Commissie van de EU (triloog), is het de moeite waard om te wijzen op bepaalde inconsistenties die de effectiviteit van deze instrumenten kunnen verminderen.

Dezelfde oefening tweemaal uitvoeren.

Gezien de impact en omvang die een hoogrisico AI-systeem kan hebben op de rechten en vrijheden van individuen - en de hele samenleving - zou het uitvoeren van een DPIA al gemeengoed zijn bij de inzet van deze systemen. Hoewel de AVG niet vereist dat een DPIA wordt uitgevoerd voor elke gegevensverwerkingsactiviteit die risico's kan opleveren voor de rechten en vrijheden van natuurlijke personen, is het uitvoeren van een DPIA verplicht wanneer de verwerking " waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen". In het bijzonder wijst Art. 35(3)(a) op het gebruik van "geautomatiseerde verwerking, waaronder profilering, [waarbij] rechtsgevolgen zijn verbonden voor de natuurlijke persoon of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen". Bijvoorbeeld, AI-systemen die worden gebruikt voor kredietwaardigheidsbeoordeling (2), kunnen een dubbel assessment vereisen: eerst om te voldoen aan de vereisten van Art. 35(3)(a) AVG, evenals aan de nieuwe voorgestelde vereisten van Art. 29 van de AI Act.

Een breder onderzoeksbereik betekent niet per se meer kennis vergaren.

Het stellen van aanvullende vragen, zoals bij de impactsbeoordeling op het milieu of op kwetsbare groepen, leidt niet per se naar afdoende of bevredigende antwoorden. Enerzijds laat gevestigd onderzoek zien hoe AI-systemen maatschappelijke conflicten of spanningen kunnen verergeren. Toch lijkt de nadruk op de effecten van een enkel AI-systeem binnen een bredere context (van onrechtvaardigheid) geen effectieve oplossing te zijn. Hetzelfde AI-systeem kan verschillende effecten hebben wanneer het wordt ingezet in diverse sociaal-juridische contexten. Deze verschillen kunnen als gevolg de wettigheid van bepaalde systemen of technologie beïnvloeden.

Wie zal de FRIA lezen en actie ondernemen?

Ondanks de verplichting om een risicobeoordeling van een impactvol systeem uit te voeren, is handhaving wat uiteindelijk het verschil zal maken. Art. 29(4) van de AI Act legt de verplichting op om "voor zover mogelijk vertegenwoordigers van personen of groepen van personen die waarschijnlijk worden getroffen door het hoogrisico AI-systeem", zoals "gelijkheidsorganen, consumentenbeschermingsinstanties, sociale partners en gegevensbeschermingsinstanties, te betrekken met het oog op inbreng in de impactbeoordeling." Deze bepaling voorziet in een brede rol voor maatschappelijke organisaties om deel te nemen aan de "sociale" controle van machines, wat een noviteit is in vergelijking met de uitvoering van een DPIA.

Maar aangezien het huidige gebrek aan maatschappelijke organisaties en autoriteiten met specifieke bevoegdheden, lijkt deze bepaling te ambitieus. Autoriteiten en maatschappelijke organisaties in Europa verschillen veel van elkaar in toezichtgereedheid en dit zou mogelijk resulteren in een fragmentarische toepassing van deze vereiste in de verschillende lidstaten.

Al met al zou een FRIA bedoeld kunnen zijn als een risicobeheersingsinstrument van dezelfde aard als de DPIA. Volgens het Europees Parlement is dit instrument bedoeld om het onderzoeksgebied uit te breiden naar meerdere en gevarieerde vragen, zoals de impact van AI-systemen op het milieu en kwetsbare groepen. Dit geldt zelfs wanneer privacy en bescherming van persoonsgegevens niet direct in het geding zijn. In het geval dat de EU wetgever Art 29 goedkeurt, zal dit een nieuwe uitdaging en een interessante kans bieden voor juridische professionals in het algemeen."

Bronnen

1. https://ec.europa.eu/newsroom/article29/items/611236

2. In dit geval heeft de Noorse toezichthouder voor gegevensbescherming opgemerkt dat de kredietwaardigheidssystemen die worden overwogen, geen adequaat systeem van interne controle hebben. https://gdprhub.eu/index.php?title=Datatilsynet_(Norway)_-_20/02172

3. https://www.cnil.fr/en/artificial-intelligence-cnil-publishes-set-resources-professionals

4. https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4315823

5. https://www.government.nl/documents/reports/2021/07/31/impact-assessment-fundamental-rights-and-algorithms