Ik sta, in het schema dat het artikel als illustratie gebruikt, raar te kijken naar de middelste tak: verwerkingsverantwoordelijke A verwerkt
onrechtmatig (gewone) persoonsgegevens in een "foundation model", verwerkingsverantwoordelijke B werkt daarmee verder en dat is
niet bij voorbaat onrechtmatig. Hoe kan dat nou weer?
De pdf waar het artikel naar linkt zegt daarover op pagina 7:
Wanneer verwerkingsverantwoordelijke A het foundation model niet (aantoonbaar) heeft geanonimiseerd, blijft
de AVG van toepassing.
So far, so good...
De onrechtmatigheid van de verwerking door verwerkingsverantwoordelijke A betekent echter niet dat de uitgevoerde verwerkingen door verwerkingsverantwoordelijke B bij voorbaat ook onrechtmatig zijn.
Dat verrast me dus.
Verwerkingsverantwoordelijke B zal vanuit zijn verantwoordingsplicht een adequate beoordeling moeten uitvoeren voor de ontwikkeling van het model met onrechtmatig verkregen persoonsgegevens door verwerkingsverantwoordelijke A.5
De 5 achteraan verwijst via een voetnoot¹ naar EDPB Opinion 28/2024 on certain data protection aspects related to the
processing of personal data in the context of AI models, paragraaf 129. Die zegt:
SAs should take into account whether the controller deploying the model conducted an appropriate assessment, as part of its accountability obligations 89 to demonstrate compliance with Article 5(1)(a) and Article 6 GDPR, to ascertain that the AI model was not developed by unlawfully processing personal data. Such evaluation by SAs should take into account whether the controller has assessed some non-exhaustive criteria, such as the source of the data and whether the AI model is the result of an infringement of the GDPR, particularly if it was determined by a SA or a court, so that the controller deploying the model could not ignore that the initial processing was unlawful.
https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_enSAs zijn Supervisory Authorities, toezichthoudende autoriteiten, zoals de AP. Daar staat dat partij B zijn huiswerk moet hebben gedaan en beoordeeld moet hebben of partij A niet onrechtmatig persoonsgegevens heeft verwerkt bij het maken van dat "foundation model". Alleen hoeft die beoordeling kennelijk niet feilloos te zijn, want de mogelijkheid wordt open gelaten dat A wel degelijk onrechtmatig persoonsgegevens heeft verwerkt, en B dat ondanks zijn beoordelingsactie niet opmerkt. En kennelijk levert dat dan de situatie op dat B persoonsgegevens die door A
onrechtmatig zijn verwerkt zelf toch
rechtmatig verwerkt.
Oeps. Ik snap dat B niet schuldig is aan wat er mis is gegaan als die voldoende zorgvuldig te werk is gegaan, maar ik heb er moeite mee dat daarmee de verwerking van die persoonsgegevens opeens is witgewassen. Zeker omdat naar artikel 5(1)(a) van de AVG wordt verwezen:
Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
Dus als verwerkingsverantwoordelijke B, ondanks voldoende zorgvuldigheid, ten onrechte concludeert dat verwerkingsverantwoordelijke A aan 5(1)(a) heeft voldaan vervallen opeens de rechten van de betrokkene? Dan gaat dus of B
denkt dat aan 5(1)(a) voldaan is boven het
werkelijk voldoen eraan? Dat is volgens mij in strijd met wat in 5(1)(a) staat, daar staat toch echt dat het rechtmatig moet zijn ten aanzien van de betrokkene zelf, en niet ten aanzien van verwerkingsverantwoordelijke B.
Naar mijn mening zitten de toezichthouders hier op een verkeerd spoor. Het gaat om het beschermen van rechten van burgers hier, en die bescherm je niet met dit soort verschuivingen van rechten. Ik zou zeggen dat het wel degelijk onrechtmatig is als blijkt dat er persoonsgegevens in het AI-model zitten die er niet in hadden mogen zitten, en dat partij B dan de schade moet kunnen verhalen op partij A, die de fout heeft gemaakt en de schade heeft veroorzaakt.
Een punt om rekening mee te houden is dat dit een mogelijkheid oplevert voor kwaadwillende partijen om persoonsgegevens wit te wassen, B is op papier zorgvuldig en kan dan zijn gang gaan met de gegevens, en voor A zijn er vast wel trucs te bedenken om erg moeilijk grijpbaar te zijn, vergelijkbaar met hoe bijvoorbeeld BTW-carrouselfraude een rookgordijn produceert.
Een ander punt van kritiek heb ik op de manier van formuleren van AP. "Niet bij voorbaat onrechtmatig" klinkt als "het mag, tenzij" voor wie dat zo lezen wil, en niet als "het mag niet, tenzij". Dat soort formuleringen zijn een uitnodiging voor misbruik. Geen goede beurt, AP!
¹: @redactie: superscript ¹, ² en ³ accepteren jullie wel, waarom niet ook de overige cijfers? Unicode U2070 en U2074 t/m U2079.