Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Ons aanbod
Blog > ISO 27701 en 42001 als hulpmiddel om GDPR compliant om te gaan met AI
Bart Van den Brande_Sirius Legal Bart Van den Brande

ISO 27701 en 42001 als hulpmiddel om GDPR compliant om te gaan met AI

Leesduur: 5 minuten

Deel dit op sociale media

LinkedIn

Nu de finale goedkeuring en inwerkingtreding van de EU AI Act voor de deur staat, is het tijd voor Europese bedrijven om zich voor te bereiden op een tijd waarin Artificial Intelligence (AI) beter en strenger gereglementeerd zal zijn.  

Over de AI Act en de impact ervan op bedrijven hebben we al heel wat gezegd en geschreven in webinars, opleidingen en blogposts. Wat vaak -en ten onrechte- onderbelicht blijft is het feit dat artificiële intelligentie heel wat meer juridische uitdagingen stelt dan louter compliance aan de AI Act.  Over de impact van AI op intellectuele eigendomsrechten (en omgekeerd de impact van intellectuele eigendomsrechten op met AI gegenereerde content) schreven we al eerder.    

Vandaag hebben we het over een derde aandachtspunt voor wie met AI aan de slag gaat: GDPR compliance.  De integratie van AI brengt immers ook op het vlak van bescherming van persoonsgegevens heel wat uitdagingen met zich mee.  De GDPR stelt strenge regels voor de verwerking van persoonsgegevens, en AI-systemen maken vaak gebruik van zulke data. Dit kan leiden tot complexe compliance-vraagstukken voor organisaties die AI actief gebruiken.

De Franse gegevensbeschermingsautoriteit CNIL (Commission Nationale de l’Informatique et des Libertés) publiceerde zopas richtlijnen over de toepassing van de GDPR op AI-systemen. Hierin benadrukt ze de noodzaak van een robuuste data governance- en security structuur om GDPR-compliance te waarborgen binnen AI-toepassingen. Wat voor veel bedrijven toch interessant is, is dat zij hierin meteen ook de ISO-normen ISO 27701 en 42001 aanbeveelt als een waardevolle oplossing om de GDPR-risico’s binnen AI-gerichte ondernemingen te beheersen. Aangezien heel wat van onze cliënten al ISO-gecertificeerd zijn en wij geregeld vragen krijgen naar GDPR-compliance in de context van deze ISO-certificeringen, leek het ons nuttig om de aanbevelingen van de CNIL even onder de loep te nemen. 

ISO-certificeringen?

ISO-certificeringen zijn internationale normen die de beste practices definiëren voor diverse gebieden, zoals kwaliteitsmanagement, informatiebeveiliging en milieubeheer. Ontwikkeld door de International Organization for Standardization (ISO), streven deze normen ernaar om efficiëntie, veiligheid en consistentie te bevorderen binnen organisaties.

Een ISO-certificering omvat een audit door een onafhankelijke instantie die nagaat of de organisatie voldoet aan de gestelde eisen. Behaalde certificaten bevestigen de betrouwbaarheid en kwaliteit van de organisatie aan klanten, partners en stakeholders. ISO-certificaten tonen aan dat een organisatie gebonden is aan internationale standaarden, wat vertrouwen wekt bij klanten en stakeholders.  Ze zorgen binnen je bedrijf voor duidelijke, sterke processen en dus voor efficiëntieverbeteringen. In sommige sectoren zijn ISO-certificeringen zelfs verplicht om te voldoen aan wet- en regelgeving.

Waarom een ISO-certificering binnen jouw bedrijf?

De implementatie van ISO-normen kan ook jouw bedrijf helpen om beter voorbereid te zijn op GDPR compliance enerzijds en op AI compliance anderzijds.  ISO-certificeringen helpen immers om risico’s te identificeren en om intern de nodige processen en procedures op te zetten die ervoor zorgen dat binnen je bedrijf op langere termijn op een correcte en veilige manier omgegaan wordt met persoonsgegevens, met AI-toepassingen en met de combinatie van beide. 

ISO-certificeringen kunnen meer concreet helpen om:

  • Een systematische aanpak te implementeren voor GDPR-compliance.
  • De risico’s van datalekken en andere incidenten te verminderen.
  • De rechten van betrokkenen te respecteren.
  • Het vertrouwen van klanten en stakeholders te vergroten.
  • Het garanderen van verhoogde transparantie en uitlegbaarheid voor AI-systemen.
  • Minder risico op algoritmische bias bij AI-systemen.
  • Versterkte data governance en security.

De implementatie van de hieronder beschreven ISO 27701 en 42001 kan organisaties met andere woorden helpen om de GDPR-risico’s binnen AI-toepassingen te beheersen en te voldoen aan de eisen van de verordening. De normen bieden een robuust framework voor het ontwikkelen en implementeren van AI-systemen op een manier die transparant, eerlijk en veilig is.

Ben je niet klaar voor een toch behoorlijk zware en dure ISO-certificering?  Dan bieden deze frameworks in elk geval erg veel handige houvast om binnen jouw bedrijf alvast te zorgen voor de juiste context om correct en veilig met persoonsgegevens om te gaan binnen AI.

ISO 27701

Eén specifieke ISO-norm die relevant is binnen de context van AI en gegevensbescherming is ISO 27701.  Deze beschrijft de governance en beveiligingsmaatregelen die moeten worden geïmplementeerd voor de verwerking van persoonsgegevens. 

Op vlak van informatiebeveiliging bestaan al jarenlang van twee erkende internationale normen:

  • ISO 27001, die een “informatiebeveiligings managementsysteem” certificeert;
  • ISO 27002, die de beste praktijken voor de implementatie van vereiste beveiligingsmaatregelen gedetailleerd beschrijft.

Sinds augustus 2019 worden deze specifiek vanuit het oogpunt van de bescherming van persoonsgegevens aangevuld met de norm ISO 27701.  Deze recente norm moet zorgen voor de correcte bescherming van persoonsgegevens, maar het is belangrijk om te noteren dat hij niet specifiek voor Europa geschreven is.  het is een wereldwijde norm, die onder andere rekening houdt met GDPR binnen de EU, maar ook met andere toonaangevende gegevensbeschermingswetgevingen uit bvb Australië, Brazilië, Californië, Canada). 

Specifiek voor wat betreft GDPR compliance voorziet ISO 27701 in een bijlage die de link legt naar GDPR compliance.  Deze laatste stelt een hele reeks eisen aan bedrijven op vlak van data protection, die eigenlijk ook rechtstreeks uit de GDPR volgen en die stuk voor stuk onderdeel zijn van de GDPR compliance audits die ook Sirius Legal aanbiedt:

  • Enerzijds een uitgebreid en gedocumenteerd “privacy managementsysteem” dat de nodige structuren uitzet om correct met persoonsgegevens om te gaan en dat zorgt voor:
    • Duidelijkheid over de rol van de te certificeren organisatie (verwerking verantwoordelijke, verwerker)
    • Een geïntegreerd beheer van IT-risico’s voor de organisatie en privacyrisico’s voor individuen
    • De benoeming van een DPO
    • Bewustmaking van medewerkers, gegevensclassificatie, bescherming van verwijderbare media, toegangsbeheer en gegevensversleuteling, gegevensback-up, logboekregistratie van gebeurtenissen
    • Duidelijk gedocumenteerde processen voor gegevensoverdrachten
    • Data Protection by Design en by Default)
    • Duidelijke en vast processen voor  incidentbeheer
    • Garanties voor de naleving doorheen de tijd van wettelijke en regelgevende vereisten (geregelde audits, DPO, opvolging van nieuwe regelgeving, etc…)
    • ….
  • Daarnaast en anderzijds specifieke maatregelen voor de verwerking van persoonsgegevens, rekening houdend met de rol van de organisatie (verwerking verantwoordelijke, verwerker, onderaannemer van de verwerker):
    • Garanties voor het respecteren van de basisprincipes uit de GDPR: doelgebondenheid, correcte rechtsgronden, toestemming verkrijgen en intrekken, data register, DPIA’s, …
    • Garanties voor de rechten van de betrokkene op informatie, toegang, correctie, verwijdering, geautomatiseerde besluitvorming;
    • Data Protection by Design en by Default) door middel van het consequent toepassen van principes als dataminimalisatie, anonimisering en verwijdering van gegevens, beperking van bewaartermijn, etc…
    • Processen die zorgen voor het consequent tekenen van verwerkersovereenkomsten (data processing agreements) en data sharing agreements

ISO 42001

Naast ISO 27701 op vlak van data protection is er sinds december 2023 een andere,  nieuwe norm ISO 42001.  Die creëert een  “managementsysteem voor kunstmatige intelligentie” voor organisaties die AI-systemen leveren of gebruiken.

Deze nieuwe ISO-norm beschrijft de processen die ervoor moeten zorgen dat bedrijven de risico’s verbonden aan betrouwbaarheid van AI-systemen beter kunnen beheren en beheersen.  De norm integreert daarvoor basisbegrippen die we bijvoorbeeld ook in de AI Act terugvinden, bijvoorbeeld veiligheid, betrouwbaarheid, rechtvaardigheid, transparantie en kwaliteit van gegevens en systemen gedurende de levenscyclus. 

ISO 42001 bevat bovendien een reeks operationele maatregelen die bedrijven moeten implementeren en aanbevelingen om dat ook effectief correct te doen.  Zo voorziet ISO 42001 bijvoorbeeld in processen voor het voeren van Impact Assessments en Risico Assessments op AI-systemen, iets wat in heel wat gevallen ook door de AI Act wordt opgelegd. Die voorafgaande assessments moeten zorgen voor verantwoordelijke ontwikkeling en gebruik, documentatie en monitoring van het AI-systeem.

Vragen over GDPR of AI?

We maken graag tijd voor een kennismaking.  Boek gerust vrijblijvend een videogesprek via de link naast dit artikel of mail naar Bart Van den Brande (bart@siriuslegal.be).

Boek je vrijblijvend kennismakingsgesprek

Naar de agenda van Bart
Relevante tags Privacy en gegevensbescherming Digitaal ondernemen GDPR compliance AI en blockchain
Sirius Shop

Relevante producten in onze webshop

AI Policy
750 excl. btw
  • AI Policy
  • Adviesgesprek via videocall
  • 1 reviewronde

Deze AI policy is een essentieel instrument om je bedrijf veilig doorheen de wondere wereld van Generatieve AI te loodsen.

meer

GDPR Helpdesk
3000 excl. btw
  • GDPR Helpdesk
  • Kickoff meeting of videocall
  • Razendsnel advies binnen de 2 werkdagen

Een permanente hulplijn voor ál je vragen over gegevensbescherming en GDPR door échte specialisten met jarenlange ervaring.

meer

GDPR audit
3000 excl. btw
  • GDPR audit
  • 1 dag ter plaatse
  • Onderbouwd auditverslag

Een pragmatische audit die aangeeft waar je staat op vlak van GDPR compliance, en welke jouw prioritaire to do’s zijn. 

meer