Gerechtvaardigd belang en AI-systemen

Geplaatst op door

Op 8 oktober 2024 adopteerde de EDPB haar richtlijnen inzake de verwerking van persoonsgegevens op basis van het gerechtvaardigd belang (GDPR art. 6, 1, f).

In deze richtlijnen stelt de EDPB dat een verwerking van persoonsgegevens op die rechtgrond enkel mag worden gebruikt als laatste redmiddel voor zeldzame en onverwachte situaties wanneer andere rechtsgronden niet geacht worden van toepassing te zijn.

De rechtsgrond mag zeker niet worden beschouwd als een bepaling waar minder beperkingen aan verbonden zijn.

Om het artikel te kunnen inroepen als rechtsgrond voor de verwerking van persoonsgegevens moeten 3 cumulatieve voorwaarden worden vervuld.

Deze 3 cumulatieve voorwaarden moeten nauwkeurig onderzocht en gedocumenteerd worden, alvorens men met de verwerking start.

Te vervullen voorwaarden

De 3 te vervullen cumulatieve voorwaarden zijn:

  1. het nastreven van een gerechtvaardigd belang;
  2. de noodzaak om persoonsgegevens te verwerken voor het nagestreefde gerechtvaardigd belang;
  3. een balancing act, waarbij de belangen of de rechten en vrijheden van het data subject niet belangrijker zijn dan het gerechtvaardigd belang of belangen van de verwerkingsverantwoordelijke of een derde.

Hierna zal kort worden ingegaan op punt 1 van de 3 te vervullen cumulatieve voorwaarden.

Als deze eerste stap reeds negatief wordt beantwoord, dan moet men zelfs niet verder kijken of de verwerking kan worden gegrond op art. 6, 1, f.

Gerechtvaardigd belang

De term gerechtvaardigd belang is soms niet steeds duidelijk. Wat bedoelt men daar eigenlijk mee?

Het gaat om een belang dat de wet en de geldende regels respecteert, dat precies, duidelijk en actueel is.

M.a.w. wetsovertredingen, hypothetische of toekomstige elementen beantwoorden hier niet aan (zie OW 41).

Dit betekent dat verwerkingsverantwoordelijken de bepaling niet kunnen gebruiken als “last resort”, als redmiddel, om hun verwerking(en) of voorgenomen verwerking(en) te verantwoorden.

AI-Systemen en toestemming

In het huidige stadium worden AI-Systemen – d.i. kort door de bocht een systeem met een functionaliteit om uit bestaande dingen nieuwe dingen te produceren of af te leiden, ook wel inferentievermogen genoemd (OW 12, AI Act 2024) – hoofdzakelijk nog getraind via manuele inputs van mensen.

Dit geldt ook voor het gebruikte of toegepaste redeneerproces (algorithmen) om te komen tot een output, advies, aanbeveling, …. door het AI-Systeem.

Quid, wanneer AI-Systemen zodanig gevorderd zijn dat zij autonoom inputs in de vorm van data en redeneerprocessen gaan ontwikkelen, opslaan en gebruiken voor de productie van hun output?

Voor de inputs van persoonsgegevens door de betrokkene zelf, kan er misschien nog een rechtsgrond worden gezocht in art. 6, 1, f of art. 6, 1, a maar het valt te betwijfelen dat deze rechtsgrond of zelfs enige andere rechtsgrond van de GDPR dienst kan doen wanneer het AI-Systeem autonoom (afgeleide) persoonsgegevens gaat produceren van de betrokkene.

Beperkingen rechtsgrond art. 6, 1, f

Zoals supra reeds aangegeven moeten er 3 cumulatieve voorwaarden worden vervuld om de rechtsgrond te kunnen inroepen.

Het is reeds moeilijk om aan punt 1 van deze 3 cumulatieve voorwaarden te voldoen, omdat persoonsgegevens slechts mogen worden verwerkt indien het rechtmatig, transparant, doelgebonden, … gebeurt. Bovendien moeten de verwerkte persoonsgegevens ook nog juist zijn.

Persoonsgegevens die een AI-Systeem als output geeft kunnen in sommige gevallen niet juist zijn, omdat zij werden gefabriceerd door het AI-Systeem zelf. Dit fenomeen wordt AI-hallucinaties genoemd.

De manier waarmee het AI-Systeem aan deze gefabriceerde onjuiste beweringen komt, is niet altijd transparant voor de betrokkene; nochtans een GDPR vereiste.

AI-hallucinaties

Een voorbeeld hiervan is het toekennen van wetenschappelijke citaten of wetenschappelijke werken aan een auteur, waarvan nadien via fact-checking is gebleken dat die fout bleken te zijn.

Wetenschappelijke citaten en werken zijn immers persoonsgegevens, weliswaar publiek bekendgemaakt; maar men kan zich ook outputs van een AI-Systeem inbeelden met betrekking tot persoonsgegevens die niet publiek bekendgemaakt zijn.

M.a.w. het AI-systeem “beweert” op een heel geloofwaardige manier dat een bepaalde natuurlijke persoon bepaalde eigenschappen heeft, die deze persoon natuurlijk helemaal niet heeft.

Maar quid wanneer een AI-Systeem onjuiste meningen of uitspraken gaat uitvinden en deze toewijzen aan een persoon, vooral wanneer deze onjuiste meningen of uitspraken schadelijke gevolgen hebben voor de betrokkene?

In dit geval kan men nog moeilijk spreken over een rechtmatige verwerking.

Het AI-Systeem en de verwerkingsverantwoordelijke zou dan in sommige gevallen kunnen worden aangeklaagd wegens laster en eerroof, of omdat een AI-Systeem werd gebruikt dat niet conform de wetgeving is.

En inderdaad, de Europese AI verordening van 2024 voorziet in haar art. 5 verboden AI-praktijken, zoals bijvoorbeeld het doelbewust gebruik maken van manipulatieve of misleidende technieken.

Dit betekent dat wanneer een AI-Systeem onwaarheden kan produceren, art. 6, 1, f geen rechtsgrond kan vormen voor de verwerking van persoonsgegevens.

Dus de verwerkingsverantwoordelijke die gebruik maakt van een AI-Systeem moet dus vooraf weten dat het door hem gebruikte AI-Systeem helemaal niet in staat is onjuistheden te fabriceren, om art. 6, 1, f GDPR te kunnen inroepen en ook niet te vallen onder art. 5 van de AI verordening.

Dit lijkt ons inziens voor de huidige GenAI-Systemen praktisch een onmogelijke opgave te zijn, waardoor het zich beroepen op art. 6, 1, f GDPR moet worden uitgesloten.

Hergebruiken van toegestemde verwerkingen van persoonsgegevens

Het valt ook te betwijfelen of een betrokkene, hoewel toegestemd heeft voor het verwerken van bepaalde persoonsgegevens voor een bepaald doel, ook toestemming heeft gegeven voor een ander doel waarvoor het AI-Systeem een output genereert.

Bijvoorbeeld persoon A vraagt aan een AI-Systeem “advies” over een bepaalde materie met ingave van zijn persoonsgegevens, bijvoorbeeld een medische complicatie of ziekte, en krijgt hiervoor van het AI-Systeem een “advies” op maat.

De informatie en kennis die het AI-Systeem op deze wijze heeft bekomen gebruikt het bijvoorbeeld om een vergelijkbare vraag te beantwoorden van persoon B, waarbij het AI-Systeem in zijn “advies” expliciet verwijst naar de omstandigheid van persoon A.

In de meeste gevallen zal persoon A zich zelfs niet bewust zijn dat zijn persoonsgegevens ook voor iets anders kan worden gebruikt. En zelfs indien de betrokkene zich hiervan bewust is, dan nog zal het moeilijk zijn om een GDPR conforme toestemming te bekomen, aangezien deze per iedere specifieke verwerking moet worden gegeven.

Om deze redenen lijkt art. 6, 1, f geen geldige en toepasbare rechtsgrond te zijn bij de verwerking van persoonsgegevens via AI-Systemen.

Bloep, 14 december 2025.