EU verklaart wanneer een LLM persoonsgegevens mag gebruiken

EU verklaart wanneer een LLM persoonsgegevens mag gebruiken

Het samenwerkingsverband van de nationale Europese privacytoezichthouders, de European Data Protection Board (EDPB) heeft onlangs een gezamenlijk advies aangenomen over het gebruik van persoonsgegevens voor het ontwikkelen en gebruiken van LLM’s. Dit geeft de individuele privacytoezichthouders handvatten om zelf per geval analyses uit te voeren.

Het nu uitgebrachte advies van de EDPB kwam tot stand op verzoek van de Ierse nationale toezichthouder. Het samenwerkingsverband van nationale EU-privacywaakhonden is hierop onderzoek gaan doen. Informatie is onder meer ingewonnen bij de EU AI Office.

Het uiteindelijke advies behandelt een aantal aspecten. In de eerste plaats de vraag wanneer en op welke manier LLM’s anoniem moeten zijn, of en hoe een gerechtvaardigd belang voldoende motivatie kan zijn voor het ontwikkelen en gebruiken van LLM’s en wat er gebeurt als er bij het ontwikkelen van een AI-model persoonsgegevens zijn gebruikt die onrechtmatig zijn verwerkt. Verder geeft het advies aan hoe het zit met het gebruik van zogenoemde ‘first party’ en third party’ data.

Anonimiteit van LLM’s

Wat betreft anonimiteit geeft de EDPB aan dat privacytoezichthouders per geval moeten nagaan of een LLM echt anoniem is. Hierbij moet het zeer onwaarschijnlijk zijn dat de personen waarvan de data is gebruikt om het LLM te maken direct of indirect te identificeren zijn. Daarnaast moeten de personen waarvan de gegevens zijn gebruikt een aanvraag kunnen doen om de data weer uit het LLM te halen zijn.

Gerechtvaardigd belang en onrechtmatig gebruik

Wat betreft gerechtvaardigd belang helpt het advies de toezichthouders en bedrijven te bepalen of dit belang een grondslag is voor het verwerken van persoonsgegevens in een LLM. Dit kan bijvoorbeeld zo zijn als AI wordt ingezet om de online security te verbeteren.

Het advies geeft hierbij aan dat dit alleen kan als de verwerking van de persoonlijke data strikt noodzakelijk is en er een goede belangenafweging heeft plaatsgevonden. Daarnaast moeten personen redelijkerwijs kunnen verwachten dat hun persoonlijke data hiervoor wordt gebruikt.

Verder gaat het advies in op AI-modellen die ontwikkeld zijn met onrechtmatig verwerkte persoonsgegevens. In zo’n geval is het gebruik van het model waarschijnlijk verboden, tenzij het model goed geanonimiseerd is.

Verder onderzoek

Vanwege de snelle ontwikkeling werkt de EDPB de komende tijd verder aan richtlijnen die antwoorden geven over meer specifieke gevallen van het gebruik van persoonsgegevens voor LLM’s. Bijvoorbeeld omtrent scraping van deze gegevens door LLM’s.

Lees ook: OpenAI krijgt boete en moet ChatGPT beter uitleggen