Verslag Privacy Cafe 6 Februari 2024

Voor het eerst sinds de coronapandemie heropenden we ons Privacy Café in Gent, na sessie in Mechelen, Antwerpen en Waterloo in de afgelopen jaren. Met een opkomst van meer dan 100 personen in de sfeervolle Sphinx Cinema boden we een gevarieerd en diepgaand programma aan, gericht op actuele ontwikkelingen en uitdagingen in data protectie, informatiebeveiliging, en privacy. 

Nieuwigheden: 

• Peter Berghmans trapte af met recente updates, gevolgd door een introductie van de sponsors. 
• Het belang van netwerken onder DPO’s, zoals uitgelicht in recent onderzoek, stond centraal, met als doel het welzijn van DPO’s te verhogen door kennis- en ervaringsuitwisseling. 
• De lancering van een nieuw leertraject binnen Stay Tuned voor DPO’s, gericht op overheidssectoren, en verbeterde toegang tot de Stay Tuned kennisdatabase werden bekendgemaakt. 
• De introductie van een nieuwe, goed bereikbare locatie in Brussel voor Stay Tuned evenementen. 
• Peter introduceerde een nieuwe training: AI voor DPO’s, met focus op de praktijkgerichte uitdagingen en vragen omtrent AI vanuit het perspectief van DPO’s. 
• Het nieuwe initiatief Stay Tuned voor Chief Information Security Officers (CISO’s) werd aangekondigd, gericht op verdieping in thema’s zoals governance en de impact van AI op security architecturen, en de implementatie van NIS2 in België. 

Sessie 1: Privacyrisico’s van AI Modellen 

Andres Algaba van de VUB besprak de risico’s van AI-modellen die gevoelige data uit hun trainingsets kunnen onthouden, inclusief de uitdagingen rond data ‘vergeten’ en de implementatie van differential privacy. 

AI-modellen, vooral die gebaseerd op “Deep Learning”, hebben het vermogen om gevoelige informatie uit hun trainingsdata te memoriseren, wat significante privacy-uitdagingen met zich meebrengt. Dit risico wordt versterkt bij generatieve modellen die in staat zijn specifieke datafragmenten, zoals tekst of afbeeldingen, te reproduceren. Het onderscheid tussen besluitvormende algoritmes, zoals die gebruikt in financiële beslissingen, en generatieve modellen die content kunnen genereren, is cruciaal. De soorten data die worden verwerkt (tabellen, tekst, beelden) en hoe modellen worden getraind met inputkenmerken om voorspellingen te doen, spelen een rol in de mate van risico op datalekken. 

Het verwijderen van data uit de trainingsset van een model, of het model bepaalde data laten “vergeten”, is een complexe uitdaging. Technieken zoals Differential Privacy en methodes om specifieke datapunten te “ontleren” zijn in ontwikkeling, maar vereisen nog veel onderzoek. Deze benaderingen proberen de privacy te verhogen door te zorgen dat individuele datapunten minder herkenbaar of belangrijk zijn voor het model. Dit kan echter de leerprestaties van het model verminderen. Daarnaast is het risico op privacyinbreuken hoger bij open-source modellen door de beschikbaarheid van het model zelf. 

Voor Data Protection Officers (DPO’s) en ontwikkelaars is het van belang strategieën zoals red-teaming, pseudonimisatie, en federated learning te overwegen om de privacyrisico’s te beperken. De EU AI Act benadrukt het belang van dataminimalisatie. Het is cruciaal voor DPO’s om betrokken te zijn bij het ontwerpproces van AI-systemen en vragen te stellen over de veiligheid en privacy van de gebruikte data, vooral in het licht van de toenemende risico’s bij generatieve AI-modellen. 

Sessie 2: Van DPO naar Privacyprofessor 

Griet Verhenneman deelde haar ervaringen als voormalig DPO van UZ Leuven en haar nieuwe rol als Professor Privacyrecht aan de UGent, met een focus op de uitdagingen voor DPO’s in 2024 en de aankomende hervormingen in de GBA wetgeving. 

Op de vraag wat ze zelf zou veranderen aan de GDPR regelgeving, antwoordde Griet Verhenneman dat het gebrek aan een duidelijke definitie van anonimiteit binnen de verordening een absoluut gebrek is, wat leidt tot juridische onzekerheid.  

Haar terugblik op haar rol als DPO bij UZ Leuven was overwegend positief, ondanks de uitdagingen en de constante evolutie van de regelgeving. Verhenneman benadrukte het belang van het combineren van GDPR-expertise met kennis over AI en data governance, een combinatie die vaak verwacht werd van de DPO, een rol die al omvangrijk is. 

Terugblikkend op haar rol als DPO beklemtoont ze dat de veelzijdigheid van een DPO een belangrijke vereiste is, inclusief juridische kennis en inzicht in informatieveiligheid. De noodzaak van specialisatie nam de afgelopen jaren toe. Ze onderstreept het belang van interdisciplinaire samenwerking binnen organisaties, waarbij een mix van achtergronden en expertise cruciaal was tijdens de periode dat ze deze rol waarnam. De interne dynamiek en het begrijpen van de organisatie waren sleutelfactoren voor succes. 

De steun van het management en een duidelijke rapportagelijn waren essentieel voor het functioneren van de DPO, een aspect dat in de loop der tijd evolueerde bij UZ Leuven. Verhenneman deelde anekdotes die de uitdagingen en het unieke karakter van de rol van een DPO illustreerden, van het omgaan met datalekken tijdens de feestdagen tot het vervullen van een brugfunctie tussen het management en de toezichthoudende autoriteiten. Ze benadrukte de constructieve benadering in haar stijl van werken, waarbij pragmatische oplossingen en samenwerking vooropstonden, ondanks de soms zware verwachtingen en de controlerende aspecten die de wetgeving met zich meebracht. 

Beide sessies werden professioneel geleid door Bart van Buitenen. 

Kom naar ons volgende Privacy Café op 19 Maart (Waterloo) 

Gedurende het jaar nodigt DPI professionals uit om hun ervaringen als Data Protection Officer te delen, waarbij ingegaan wordt op best practices, uitdagingen bij het implementeren van privacybeleid, de impact van Europese regelgeving, en een kritische kijk op actuele thema’s. Naast de presentaties is er ruimte voor een netwerkreceptie. 

Om uitgenodigd te worden voor de volgende edities, kan u  zich inschrijven op onze nieuwsbrief. Het volgende Franstalige Privacy Café vindt plaats in Waterloo op 19 maart, met bijdragen van Privanot over de gedragscode voor notarissen en een presentatie vanwege Isabelle Vereecken van de EDPB die het zal hebben over de uitdagingen waarmee DPOs worden geconfronteerd en de nationale en internationale implicaties belichten.