image

AP: ontstaan generatieve AI-modellen vermoedelijk onrechtmatig

vrijdag 23 mei 2025, 12:26 door Redactie, 13 reacties

Veel modellen voor generatieve AI hebben door het gebruik van gigantische hoeveelheden gescrapete informatie en het gebruik van de gegevens die gebruikers zelf invoeren vermoedelijk een onrechtmatige ontstaansgeschiedenis. Dat laat de Autoriteit Persoonsgegevens (AP) vandaag weten bij de presentatie van een visie op verantwoorde ontwikkeling en inzet van generatieve AI.

"De overkoepelende inschatting is dat op basis van de huidige praktijk het overgrote gedeelte van alle generatieve AI-modellen op dit moment tekortschiet qua rechtmatigheid", aldus de privacytoezichthouder in een document genaamd AVG-Randvoorwaarden voor generatieve AI (pdf). Generatieve AI-applicaties maken gebruik van 'foundation modellen'. Voor het trainen van deze modellen is vrijwel alle publiekstoegankelijke data op het internet gescrapet, zo stelt de AP.

Het is aannemelijk dat tussen deze data ook onrechtmatig verzamelde bijzondere persoonsgegevens zitten. "Toch is de verdere inzet van deze foundation modellen door Nederlandse en Europese partijen daardoor niet bij voorbaat onrechtmatig, zoals volgt uit een analyse van de EDPB", voegt de Autoriteit Persoonsgegevens toe. Met de AVG-Randvoorwaarden wil de AP organisaties meer duidelijkheid geven over het gebruik van generatieve AI en aan welke voorwaarden moet worden voldaan.

"De mogelijkheden van generatieve AI blijven verrassen. De technologie kan veel goeds brengen, maar net zo goed zorgen baren. Bovendien gaat generatieve AI hand in hand met massale gegevensopslag. Het is essentieel dat de bescherming van persoonsgegevens ook bij de inzet van generatieve AI op orde is", zegt AP-voorzitter Aleid Wolfsen, die toevoegt dat gegeven de snelle technologische ontwikkelingen achteraf corrigeren niet voldoende is.

Image

Reacties (13)
23-05-2025, 12:46 door Anoniem
ap weet het verhaal te brengen maar wat gaan ap er aan doen..?
23-05-2025, 12:57 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 23-05-2025, 13:30
Het is aannemelijk dat tussen deze data ook onrechtmatig verzamelde bijzondere persoonsgegevens zitten. "Toch is de verdere inzet van deze foundation modellen door Nederlandse en Europese partijen daardoor niet bij voorbaat onrechtmatig, zoals volgt uit een analyse van de EDPB", voegt de Autoriteit Persoonsgegevens toe.

Ziehier de hypocrisie waar de AP en EDPB menen genoodzaakt te zijn om toe over te gaan. Vergelijkbaar met: "De buit van de inbraak is op onrechtmatige wijze in het bezit gekomen van de inbrekers en die hebben met behulp daarvan een apparaat geknutseld. Toch is de verdere inzet van dit apparaat, inclusief de geroofde data, door Nederlandse en Europese inbrekers daardoor niet bij voorbaat onrechtmatig." Stilzwijgende achterliggende gedachten: "Want het lukt ons toch nooit meer om de buit weer uit handen van de inbrekers te verwijderen, vanwege hun overmacht. En bovendien komt het de EU en andere overheden wel goed uit om nu zelf de op misdadige wijze gebouwde apparaten te gaan gebruiken."

Het is op zichzelf goed dat de AP erop wijst wat er in eerste instantie feitelijk heeft plaatsgevonden. Maar door hieraan niet de logische consequentie te verbinden (namelijk dat de misdaad beëindigd en de dief gestraft moet worden), normaliseert en legaliseert de AP hiermee tegelijkterijd de gepleegde dataroof.

Er is op zich niets mis met "AI" (LLM´s) als daarbij alleen data worden verwerkt die door de betreffende natuurlijke personen (datasubjecten) door middel van geïnformeerde toestemming beschikbaar zijn gesteld.

Dat hebben de datarovers in Silicon Valley en elders (bijv. China) echter niet gedaan.

Het ooit met veel fanfare aangekondigde "recht om vergeten te worden" wordt op deze manier door de AP en EDPB impliciet ook het raam uit gegooid. Ze zeggen eigenlijk: "Als bad actors erin slagen om jouw persoonsgegevens te roven, dan is het rechtmatig als diezelfde bad actors vervolgens (met behulp van oprichting van een nieuwe rechtspersoon, die we dan "verwerkingsverantwoordelijke B" noemen), de geroofde gegevens gebruiken om winst te maken op manieren die in de ogen van de door diezelfde bad actors gelobbyde EU en andere overheden nuttig zijn."

Kortom: de AP bepleit hier straffeloosheid, "legalisering" van het recht van de sterkste en het legaal helen van gestolen waar. Deze manier van data roven en vervolgens misbruiken is door Shoshana Zuboff reeds geanalyseerd in haar boek The Age of Surveillance Capitalism (2019).

Een ander fraai staaltje hypocrisie is dat de AP nu beweert dat als het niet om "bijzondere" persoonsgegevens gaat, het niet-anonieme gebruik van de geroofde gegevens opeens niet onrechtmatig hoeft te zijn. De opname van een speciale categorie "bijzondere" persoonsgegevens in de AVG was bedoeld om die gegevens EXTRA te beschermen. Maar nu gebeurt het omgekeerde, namelijk dat alle persoonsgegevens die buiten die speciale categorie vallen, volgens de AP niet adequaat hoeven te worden beschermd.

Er valt hierover nog veel meer te zeggen, maar hier laat ik het even bij.

M.J.

P.S. Een andere parafrasering van de benadering die EDPB en de AP volgen, is de volgende: "Weliswaar zijn de slaven waarschijnlijk op onrechtmatige wijze in het bezit gekomen van de slavenhandelaars, maar het hoeft voor Amerikaanse plantagehouders niet per se onrechtmatig te zijn om die slaven aan te schaffen en te werk te stellen op Amerikaanse plantages, mits de omstandigheden op die plantages menswaardig zijn."
23-05-2025, 13:19 door Anoniem
Nog erger is het vullen van AI modules met gerefereerde info
en het effectief om zeep helpen van het vrije Internet van weleer. AI als '1984'-instigator tool. Waarom is men hier nog niet alert op en wordt deze agenda weggehouden van de massa's?
23-05-2025, 13:54 door Anoniem
Door EersteEnigeEchte M.J. - EEEMJ: .... Het ooit met veel fanfare aangekondigde "recht om vergeten te worden" wordt op deze manier door de AP en EDPB impliciet ook het raam uit gegooid. Ze zeggen eigenlijk: "Als bad actors erin slagen om jouw persoonsgegevens te roven, dan is het rechtmatig als diezelfde bad actors vervolgens (met behulp van oprichting van een nieuwe rechtspersoon, die we dan "verwerkingsverantwoordelijke B" noemen), de geroofde gegevens gebruiken om winst te maken op manieren die in de ogen van de door diezelfde bad actors gelobbyde EU en andere overheden nuttig zijn."

Kortom: de AP bepleit hier straffeloosheid, "legalisering" van het recht van de sterkste en het legaal helen van gestolen waar.

Het verdere gebruik van de behaalde drugswinsten hoeft niet onrechtmatig te zijn als het geld maar op een nette manier wordt witgewassen met behulp van een nieuwe rechtspersoon. Laten we die "belwinkel B" of "kapperszaak B" noemen.
23-05-2025, 14:39 door Anoniem
Dan maken ze het rechtmatig, big tech is vaak krachtiger dan de wet.
En anders krijgen ze een boete van een minimaal percentage van de omzet en zeggen "sorry" voordat ze verder gaan met deze praktijken.
23-05-2025, 15:42 door Anoniem
Door Anoniem: Dan maken ze het rechtmatig, big tech is vaak krachtiger dan de wet.
En anders krijgen ze een boete van een minimaal percentage van de omzet en zeggen "sorry" voordat ze verder gaan met deze praktijken.
Het heeft inderdaad iets weg van een capitulatie van de toezichthouders voor big tech.
Burgemeesters in oorlogstijd, alleen proberen ze te doen alsof ze nog enigszins in control zijn.
Alleen jammer dat daarmee de burgers voor de bus worden gegooid.
(Data)soevereiniteit van de EU kan niet zonder effectieve databescherming van de burgers in de EU.
Dat wordt in Brussel nog niet begrepen of misschien interesseert het de Europese Commissie niet.
Dan mogen de toezichthouders proberen om fictie van rechtmatigheid en de werkelijkheid aan elkaar te praten en krijg je dit soort elastieken noodverbandjes op pdf-formaat.
23-05-2025, 15:44 door Anoniem
Lijkt me een terechte constatering. Zou er een soort van instituut zijn dat hierop zou kunnen gaan handhaven? Iets van een autoriteit ofzo, die als taak heeft om persoonsgegevens te beschermen tegen dit soort BigTech dataroof? Een soort van club die de wettelijke taak heeft om de wet te handhaven? Zouden we zo 'n soort instantie in NL hebben?
23-05-2025, 18:32 door johanw
Laten we hopen dat de AI bedrijven in elk geval de doorgeschoten auteursrecht wetten flink kunnen beteugelen.
23-05-2025, 23:49 door Anoniem
Probeer in ieder geval uw persoonlijke identificeerbare info te redden. Quillbot helpt daarbij (ook parafraseren).
Maar als voor Big Tech overtreding meer oplevert,
blijft men gewoon doorgaan met overtreden.
Ingecalculeerd in het bedrijfsplan. Simpel zat.
24-05-2025, 08:27 door Anoniem
Ik sta, in het schema dat het artikel als illustratie gebruikt, raar te kijken naar de middelste tak: verwerkingsverantwoordelijke A verwerkt onrechtmatig (gewone) persoonsgegevens in een "foundation model", verwerkingsverantwoordelijke B werkt daarmee verder en dat is niet bij voorbaat onrechtmatig. Hoe kan dat nou weer?

De pdf waar het artikel naar linkt zegt daarover op pagina 7:
Wanneer verwerkingsverantwoordelijke A het foundation model niet (aantoonbaar) heeft geanonimiseerd, blijft
de AVG van toepassing.
So far, so good...
De onrechtmatigheid van de verwerking door verwerkingsverantwoordelijke A betekent echter niet dat de uitgevoerde verwerkingen door verwerkingsverantwoordelijke B bij voorbaat ook onrechtmatig zijn.
Dat verrast me dus.
Verwerkingsverantwoordelijke B zal vanuit zijn verantwoordingsplicht een adequate beoordeling moeten uitvoeren voor de ontwikkeling van het model met onrechtmatig verkregen persoonsgegevens door verwerkingsverantwoordelijke A.5
De 5 achteraan verwijst via een voetnoot¹ naar EDPB Opinion 28/2024 on certain data protection aspects related to the
processing of personal data in the context of AI models, paragraaf 129. Die zegt:

SAs should take into account whether the controller deploying the model conducted an appropriate assessment, as part of its accountability obligations 89 to demonstrate compliance with Article 5(1)(a) and Article 6 GDPR, to ascertain that the AI model was not developed by unlawfully processing personal data. Such evaluation by SAs should take into account whether the controller has assessed some non-exhaustive criteria, such as the source of the data and whether the AI model is the result of an infringement of the GDPR, particularly if it was determined by a SA or a court, so that the controller deploying the model could not ignore that the initial processing was unlawful.
https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en

SAs zijn Supervisory Authorities, toezichthoudende autoriteiten, zoals de AP. Daar staat dat partij B zijn huiswerk moet hebben gedaan en beoordeeld moet hebben of partij A niet onrechtmatig persoonsgegevens heeft verwerkt bij het maken van dat "foundation model". Alleen hoeft die beoordeling kennelijk niet feilloos te zijn, want de mogelijkheid wordt open gelaten dat A wel degelijk onrechtmatig persoonsgegevens heeft verwerkt, en B dat ondanks zijn beoordelingsactie niet opmerkt. En kennelijk levert dat dan de situatie op dat B persoonsgegevens die door A onrechtmatig zijn verwerkt zelf toch rechtmatig verwerkt.

Oeps. Ik snap dat B niet schuldig is aan wat er mis is gegaan als die voldoende zorgvuldig te werk is gegaan, maar ik heb er moeite mee dat daarmee de verwerking van die persoonsgegevens opeens is witgewassen. Zeker omdat naar artikel 5(1)(a) van de AVG wordt verwezen:
Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
Dus als verwerkingsverantwoordelijke B, ondanks voldoende zorgvuldigheid, ten onrechte concludeert dat verwerkingsverantwoordelijke A aan 5(1)(a) heeft voldaan vervallen opeens de rechten van de betrokkene? Dan gaat dus of B denkt dat aan 5(1)(a) voldaan is boven het werkelijk voldoen eraan? Dat is volgens mij in strijd met wat in 5(1)(a) staat, daar staat toch echt dat het rechtmatig moet zijn ten aanzien van de betrokkene zelf, en niet ten aanzien van verwerkingsverantwoordelijke B.

Naar mijn mening zitten de toezichthouders hier op een verkeerd spoor. Het gaat om het beschermen van rechten van burgers hier, en die bescherm je niet met dit soort verschuivingen van rechten. Ik zou zeggen dat het wel degelijk onrechtmatig is als blijkt dat er persoonsgegevens in het AI-model zitten die er niet in hadden mogen zitten, en dat partij B dan de schade moet kunnen verhalen op partij A, die de fout heeft gemaakt en de schade heeft veroorzaakt.

Een punt om rekening mee te houden is dat dit een mogelijkheid oplevert voor kwaadwillende partijen om persoonsgegevens wit te wassen, B is op papier zorgvuldig en kan dan zijn gang gaan met de gegevens, en voor A zijn er vast wel trucs te bedenken om erg moeilijk grijpbaar te zijn, vergelijkbaar met hoe bijvoorbeeld BTW-carrouselfraude een rookgordijn produceert.

Een ander punt van kritiek heb ik op de manier van formuleren van AP. "Niet bij voorbaat onrechtmatig" klinkt als "het mag, tenzij" voor wie dat zo lezen wil, en niet als "het mag niet, tenzij". Dat soort formuleringen zijn een uitnodiging voor misbruik. Geen goede beurt, AP!

¹: @redactie: superscript ¹, ² en ³ accepteren jullie wel, waarom niet ook de overige cijfers? Unicode U2070 en U2074 t/m U2079.
@Anoniem op 25-05-2025 om 08:27 uur.

Dank voor je analyse, die overeenkomt met die van mij. Er lijkt hier sprake van een witwasoperatie, op papier gezet door nota bene de toezichthouders in EDPB, in een poging om alsnog weer wat "grip" te krijgen op wat er gebeurt. Dit zou bijvoorbeeld vergelijkbaar zijn met de situatie dat Oekraïne tegen Rusland zegt: "Goed, we staan 45% van ons grondgebied aan jullie af, maar dan willen we wel dat jullie het internationale recht gaan accepteren en dus niet ook nog de resterende 55% van ons gaan afpakken."

De titel van de AP-visie spreekt al boekdelen: "Verantwoord vooruit - AP-visie op generatieve AI". Met andere woorden: "Vooral niet omkijken, het is onverantwoord om géén oogkleppen op te zetten, we moeten nu alleen nog maar naar de toekomst kijken."

Dit is vergelijkbaar met na een genocide zeggen: "Zand erover, het is beter en verantwoorder om nu te vergeten wie de daders zijn en wat ze hebben gedaan, en zo de weg vrij te maken om in de toekomst als daders en slachtoffers weer met een schone lei te beginnen en een beetje fatsoenlijk met elkaar om te gaan."

Probleem is: die lei is helemaal niet schoon, en wat er gebeurd is, zal schadelijke consequenties blijven hebben zolang de waarheid daarover onderdrukt wordt. Met het oog daarop zijn er destijds in diverse landen (waaronder Zuid-Afrika en Rwanda) waarheidscommissies opgericht, om werkelijke verzoening mogelijk te maken.

Als de AP de "visie" zou hebben gehad dat iedereen, en dus ook de makers en gebruikers van generatieve AI, zich aan de wet (de AVG) moeten houden - de logische visie van een toezichthouder - dan zou niemand in Nederland de AP nog serieus hebben genomen.

Dit tekent de huidige gang van zaken en situatie. Het is rechteloosheid alom. Zelfs de beperkingen die worden opgelegd door de schamele wetgeving die er al is (want de AVG is zelf al zo lek als een mandje) worden volstrekt niet serieus genomen - niet door de industrie, niet door de rijksoverheid, en nu dus ook niet door de toezichthouder zelf.

Toch zie ik er ook een positief aspect aan. Want door te benoemen dat de persoonsgegevens ooit onrechtmatig zijn verzameld, doet de toezichthouder al een klein beetje meer dan er totaal over zwijgen. Je kunt deze "visie" daarom ook zien als een klein breekijzertje om een politiek en maatschappelijk taboe te doorbreken.

Dit zou je dan kunnen vergelijken met iemand die rond het jaar 1800, na de Franse Revolutie, bedremmeld zegt: "Tja... ik, toezichthouder op vrijheid, gelijkheid en broederschap, mijn visie is... dat slaven eigenlijk toch ook een beetje een soort van mensen zijn... dat is althans wel mijn visie...als jullie het niet heel erg en onbeschaamd van mij vinden..." Het zou toen nog een flink aantal jaren duren voordat het bezit van slaven in diverse landen werd verboden. Denk bijv. aan de Amerikaanse Burgeroorlog (1860-1864).

Natuurlijk zou ik het zelf verwelkomen als de AP een echte, onafhankelijke toezichthouder en handhaver zou worden, die de zaken eerlijk zou benoemen zoals ze zijn en daar ook naar zou handelen. Dus een organisatie met medewerkers die ruggengraat hebben en tonen, zoals destijds in Italië de maffiabestrijders Giovanni Falcone en Paolo Borsellino. Maar zoveel moed kan je van de huidige leiding van de AP niet verwachten.

Bovendien zouden de AP-bestuurders dan al snel hun positie kwijt raken, omdat de Nederlandse regering en topambtenaren al vrijwel helemaal ingekapseld zijn in een in essentie mafiose manier van denken en handelen, en werkelijke wetshandhaving niet zouden accepteren. Als AP-voorzitter Aleid Wolfsen (die overigens zelf ook uit die bestuurlijk-rechterlijke poldermafia voortkomt) echt gaat toezichthouden, feiten gaat onderzoeken en benoemen en vervolgens handhaven, dan zou hij niet lang AP-voorzitter blijven. We leven niet in een rechtsstaat en de AP is alleen op papier een "zelfstandig" bestuursorgaan.

M.J.
25-05-2025, 18:20 door Anoniem
Ontstaan van de modellen is onrechtmatig. Duh.

AI register omvat al 952 AI, ook enkele die getuigen van volslagen totalitaire idioterie (sentiment-analyse of AI antwoord op voor ambtenaren of aanvraag levensonderhoud onderzoekswaardig is)

Daar zitten er vast wel een heleboel bij waarvan het ontstaan onrechtmatig is. Ik zou zeggen: OM en minister van Justitie doe er wat aan! Daders opsporen, veroordelen, psychiatrisch behandelen en een (levenslang) beroepsverbod.
29-05-2025, 21:51 door Anoniem
Llm Ai is getraind met copyrighted publiek toegankelijke publicaties op websites. Is dan de commerciële aanbieder van deze Llm dan niet gelijkwaardig aan een heler?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.