AI & 14 Europese dataspaces

In de afsluitende speech op de CPDP conferentie wees de European Data Protection Supervisor, Wojciech Wiewiórowski, op de risico’s van de “versnippering van wetgeving” die dit tot gevolg kan hebben. Op dit moment wordt een groot deel van ons recht op privacy nog verankerd in de Algemene Verordening Gegevensbescherming, de AVG.

Met de eerste Europese dataruimte, de European Health DataSpace (EHDS), zien we hoe dat kan gaan veranderen. Daarin wordt ons recht op het geven van toestemming afgeschaft voor medische gegevens, met het ‘publiek belang’ als argument. Maar wat is ‘publiek belang’?

Samen met Enrique Echeverria (1) en Guido van ’t Noordende (2) organiseerde Privacy First op de CPDP conferentie een workshop over de EHDS.

AI

Het zijn hongerige zelflerende algoritmes, gevoed met zowel publieke als privé-gegevens, die worden gebruikt om een nieuwe wereld te genereren en te controleren: politieke propaganda (3), porno, deepfakes, Taylor Swift (4), desinformatie en andere dingen die levensecht lijken, maar in werkelijkheid nooit gebeurd zijn. De grote platformen zijn verantwoordelijk voor het verwijderen van dingen die niet mogen bestaan, maar zijn niet transparant over de algoritmes die ze daarvoor gebruiken.

Daarnaast heeft iedere AI een bias die ontstaat doordat gegevens per definitie niet neutraal zijn. In een workshop (5) van Cosmonauts & Kings (6) experimenteerden we met AI voor het ontwikkelen van een campagne-post en werd duidelijk hoe je de werkelijkheid kan verschuiven, als je het antwoord van AI niet verifieert.

De regulering en het toezicht op AI staat nog in de kinderschoenen. De eerste ideeën zijn er, maar als er één ding duidelijk werd dan is dat dat er nog meer vragen dan antwoorden zijn op het moment.

Tegelijkertijd zijn er de multinationals. Die moeten blijven groeien, anders worden ze zelf overgenomen. BigTech zou zomaar eens BigAI kunnen worden.

Déjà vu - de onechte herinneringsbeleving uit The Matrix (1999)

Too big to fail

“To govern, or to be governed. That’s the question” was terecht de centrale vraag op het CPDP congres dit jaar. Grote instituties zorgen voor een centralisatie van macht, ten koste van individuele autonomie. Al die data zijn een goudmijn, voor wetenschap én voor het trainen van BigAI. Kunnen we daar (letterlijk) straks nog de stekker uit trekken, als het toch niet zo uitpakt als we verwachten?

Zijdelings kwamen ook de vragen over de benodigde energie, natuurlijke hulpbronnen en de klimaateffecten ter sprake.

CPDP Conferences 2024 | foto: CPDP

EHDS Opt-Out blijkt nep

Tweederde van de deelnemers aan onze workshop gaf aan gebruik te willen maken van de ‘opt-out’. In de EHDS-versie die het Europees Parlement heeft aangenomen zou iedereen een opt-out moeten krijgen voor secundair gebruik, maar toch ook weer niet.

De Staat mag deze opt-out buiten werking stellen, indien er een ‘publiek belang’ is. Dat is dus geen opt-out: iedereen wordt opgenomen in de EHDS en uitsluitend het beschikbaar stellen van gegevens wordt geblokkeerd. Bij een echte opt-out worden je gegevens aan de bron geblokkeerd en kan je niet “balanceren tussen privacy en databeschikbaarheid”, zoals de Nederlandse Minister van Volksgezondheid wil (7).

Met een echte opt-out ben je geen lid van de club en besta je niet in het systeem.

Publiek belang

‘Publiek belang’ is dat wat in het algemeen belang is, dus in het belang van iedere burger in Europa. Dat spreekt voor zich zou je denken, totdat er miljoenen worden verdiend met een medicijn dat ontwikkeld wordt op basis van onze ‘gemeenschappelijke’ gegevens en de fabrikant stelt dat de beschikbaarheid van de medicatie in het ‘publiek belang’ is. Hetzelfde kan gebeuren voor een AI die op basis van onze gegevens getraind werd en vervolgens in de software van peperdure medische apparatuur wordt gebruikt.

De EHDS stelt weliswaar dat de resultaten, of output, van het gebruik van onze gegevens binnen 18 maanden publiek moeten worden gemaakt, maar maakt vervolgens niet duidelijk wat het dan onder ‘resultaten’ of ‘output’ verstaat.

In eerdere versies van de EHDS werd het gebruik van gegevens voor commerciële doeleinden, zoals het trainen van AI, apart vermeld, maar in de laatste versie is dat verdwenen waardoor we moeten aannemen dat elk belang een ‘algemeen belang’ is.

Purposes for which electronic health data can be processed for secondary use: [...] (a)public interest in the area of public and occupational health [...]

— EHDS, Article 34

Van onze deelnemers was niemand bereid gegevens te delen voor commercieel gebruik. Voor onderzoek door universiteiten, of non-profit organisaties was veel animo. Die keuzevrijheid wordt in de EHDS overigens niet geboden.

Staat van de democratie

Wanneer we niet langer zelf kunnen beslissen welke persoonlijke gegevens we delen en die gegevens gebruikt kunnen worden om een alternatieve werkelijkheid te creëren, dan is het niet langer de vraag of we in een vrije democratische rechtsstaat leven.

We zijn niet meer in staat om waar te nemen of dat wel of niet het geval is.

1. https://www.eur.nl/people/enrique-santamaria-echeverria

2. https://www.linkedin.com/in/guido-van-t-noordende-40730319/

3. https://www.youtube.com/watch?v=kLMMxgtxQ1Y&t=7s

4. https://en.wikipedia.org/wiki/Taylor_Swift_deepfake_pornography_controversy

5. https://www.cpdpconferences.org/cpdp-panels/ai-for-democracy---how-to-use-ai-in-political-campaigning

6. https://cosmonautsandkings.com/en/homepage-english/

7. https://www.security.nl/posting/842300/Minister+wil+onderzoek+naar+opt-out+voor+standaard+delen+van+zorgdata+via+EHDS