Veel AI-tools slaan data op in Europa, maar dat betekent niet automatisch dat deze buiten bereik van buitenlandse wetgeving valt. Wees kritisch op wie er écht toegang heeft.
Locatie, locatie, locatie
Zo kan het zijn dat de leverancier van een tool bijv. gevestigd is in de US of diens moederbedrijf zit daar. Dan gelden de US Patriot Act en de Cloud Act. Deze wetten kunnen de Amerikaanse autoriteiten toegang geven tot de data, ook als deze in Europa staan. Hier moeten dus extra maatregelen genomen worden. Denk aan:
✤ Sterke encryptie, waarbij alleen jij de sleutels hebt;
✤ Strikte technische en juridische scheiding voor de toegang tot de data;
✤ Check eventuele certificering onder het EU–US Data Privacy Framework;
✤ Check de andere certificeren (bijv. ISO27001), waar zien deze precies op;
✤ Gebruik de Standard Contractual Clauses (SCC’s).
Wanneer het gaat om een AI-tool, dan moet je extra opletten. De gegevens kunnen gebruikt worden om de modellen te trainen of de support blijkt gevestigd buiten de EU. Vergeet ook niet te controleren waar de logs en back-ups heengaan.
Subverwerkers
Daarbij komt nog een andere punt, welke je niet over het hoofd mag zien: waar zitten de subverwerkers van die nieuwe leverancier? Wat betekent het als die subverwerkers in de VS, India of China zitten? Wanneer jouw AI-leverancier een subverwerker buiten de EU gebruikt, dan is er sprake van een doorgifte van persoonsgegevens buiten de EU onder de Algemene Verordening Gegevensbescherming (AVG). Het maakt niet uit of de leverancier zelf in de EU zit of dat de data in de EU wordt opgeslagen.
Ook dan moet je alert zijn en de nodige assessments uitvoeren, afspraken met de subverwerkers zelf vastleggen in Standard Contractual Clauses (SCC’s) en aanvullende technische maatregelen nemen, zoals end to-end encryptie (sleutels blijven in EU), pseudonimisering vóór doorgifte of strikte toegangscontrole (need-to-know). Vergeet ook niet af te spreken dat de data niet gebruikt mag worden voor training/ AI-doeleinden.
Onverwachte aanpassingen
Ben je er dan? Nee, dan nog moet je vervolgens goed je leveranciers in de gaten houden. Zij kunnen de standaard instellingen tussendoor veranderen. Mag dit? Uiteraard niet, zeker niet zonder waarschuwing vooraf, maar het gebeurt wel. Zo hebben de Big Tech er een handje van om stilletjes in hun instellingen een schuifje van standaard ‘uit’ naar standaard ‘aan’ te zetten waardoor er wel opeens training met de data of gegevensopslag buiten de EU plaatsvindt.
Hoe voorkom je dat dit gebeurt? Check regelmatig de instellingen van de applicatie. Wanneer je al een aantal jaren werkt met dezelfde leverancier, kun je eens gebruik maken van je auditrechten. Deze heb je als het goed is, vastgelegd in je verwerkersovereenkomst. Zo kun je zelf de leverancier auditen of gebruik maken van een onafhankelijke derde partij. Op deze manier kun je controleren of de leverancier zich houdt aan de spelregels zoals jullie die samen hebben opgesteld.
Check je leverancier goed aan de voorkant en wees daarna alert op tussentijdse wijzigingen. De subverwerkers zijn daarbij minstens zo belangrijk als de leverancier zelf.
Foto door Pete Linfort via Pixabay