De wetgeving die op u van toepassing is
Agents at Work — CC BY 4.0
De meeste kleine bedrijven die AI gebruiken om persoonsgegevens te verwerken, gaan uit van een geruststellende veronderstelling: er is hier geen AI-wetgeving, dus is er niets om zich zorgen over te maken. Dit is de gevaarlijkste misvatting in deze hele cursus. Er is misschien geen specifieke „AI-wet“ in Nieuw-Zeeland — maar de wetgeving die al bestaat, is van toepassing op wat je agent doet, en „geen AI-specifieke regel“ is niet hetzelfde als „geen regels“. Deze les is de routekaart. Het is algemene voorlichting, geen juridisch advies — het terrein is op sommige punten echt onzeker, en voor uw specifieke situatie verdient u een deskundig advies.
Nieuw-Zeeland — algemeen recht, en dat heeft consequenties
Nieuw-Zeeland kent geen equivalent van de Europese regel inzake geautomatiseerde besluitvorming. De dertien beginselen inzake informatieprivacy van de Privacywet 2020 bevatten helemaal geen bepalingen over AI of geautomatiseerde besluitvorming. (In de vijfjaarlijkse evaluatie van de Privacycommissaris wordt onderzocht of er waarborgen voor geautomatiseerde besluitvorming moeten worden toegevoegd — dit kan dus veranderen; houd het in de gaten.) Wat dat in de praktijk betekent, is dat AI bij werving en bij de verwerking van persoonsgegevens valt onder de algemene privacywetgeving en de antidiscriminatiewetgeving — die op u van toepassing zijn, of iemand nu wel of niet het woord „AI“ noemt.
De principes uit de Privacywet die het meest van toepassing zijn:
- IPP1 — verzamel alleen wat je nodig hebt. Je mag geen identificeerbare gegevens vragen die niet nodig zijn voor het doel. Dit is de juridische grondslag voor ‘identiteitsblindheid’ uit Niveau 2 — het invoeren van een naam, foto of geboortedatum in een systeem dat deze gegevens niet nodig heeft om zijn taak uit te voeren, is in strijd met het beginsel.
- IPP5 — bewaar persoonsgegevens veilig, en dit geldt uitdrukkelijk ook voor wat je in een AI-tool invoert. De Privacycommissaris heeft duidelijk gesteld dat je beveiligingsplicht zich uitstrekt tot de prompt. Het plakken van de gegevens van een klant of sollicitant in een openbaar LLM dat deze gegevens mogelijk opslaat of ermee traint, is geen grijs gebied — het is precies waar dit principe om draait. Dit is het enige feit dat een einde zou moeten maken aan „we hebben de cv’s gewoon in een chatbot geplakt“.
- IPP8 — nauwkeurigheid, en IPP11 — beperkingen op openbaarmaking. Of het doorgeven van persoonsgegevens aan een externe dienst (met name in het buitenland) geldt als een openbaarmaking waarvoor een wettelijke grondslag vereist is, is in Nieuw-Zeeland nog echt onduidelijk — er is nog geen jurisprudentie — en dat is precies de reden waarom je hierover een besluit moet nemen voordat je de agent inschakelt.
De Human Rights Act 1993 — die mensen vaak vergeten. Artikel 21 somt de verboden gronden op (geslacht, leeftijd, etnische of nationale afkomst, handicap, gezinssituatie en meer). Artikel 22 maakt het onwettig om een gekwalificeerde sollicitant af te wijzen op basis van een verboden grond — en artikel 22, lid 2, is uitdrukkelijk van toepassing op recruiters. Cruciaal is dat een resultaatmet ongelijk effect een inbreuk kan vormen, ongeacht de intentie: een selectieprocedure die op het eerste gezicht neutraal is, maar onevenredig zwaar weegt op een beschermde groep, kan onwettig zijn, ook al was het niet de bedoeling om te discrimineren. Daarom is de toetsing op nadelige gevolgen in niveau 3 geen optionele beleefdheid is — het is de manier waarop je erachter komt of je aan de verkeerde kant van deze kwestie staat.
Wat de Privacycommissaris verwacht (richtlijnen, geen bindende wetgeving — maar het bepaalt wat „redelijk“ betekent): goedkeuring door het senior management; een privacy-effectbeoordeling voordat je de tool gebruikt; transparantie tegenover de betrokkenen; Māori informeren over de risico’s voor de taonga van hun gegevens; een daadwerkelijke menselijke beoordeling voordat er actie wordt ondernomen; en tools die de gegevens niet bewaren of openbaar maken. De Commissaris wijst erop dat AI-screening van sollicitaties een „niet goede“ staat van dienst heeft, waarschuwt dat een symbolische menselijke tussenkomst de automatiseringsblindheid wellicht niet verhelpt — en zegt, in zoveel woorden: bij twijfel, gebruik geen AI-tools voor de verwerking van persoonsgegevens.
Europa — als je ook maar één kandidaat uit de EU in je bestand hebt
Misschien denk je dat de EU-wetgeving het probleem van iemand anders is. Ze kan een bedrijf in Nieuw- Zeeland via één specifieke weg bereiken: niet waar je bedrijf is gevestigd, maar waar de output wordt gebruikt. Als de beslissing van je agent wordt gebruikt met betrekking tot een persoon die zich in de EU bevindt, kunnen de EU-regels op jou van toepassing zijn.
- Artikel 22 van de AVG — uitsluitend geautomatiseerde beslissingen over een persoon zijn in principe verboden. Een aanwervingsbeslissing die uitsluitend door een machine wordt genomen, is het schoolvoorbeeld hiervan. Wat dit besluit buiten het verbod houdt, is een oprechte, niet-symbolische menselijke betrokkenheid — iemand met de bevoegdheid en informatie om tot een ander antwoord te komen. Als het werkelijk uitsluitend geautomatiseerd is, is het alleen op beperkte gronden rechtmatig en altijd met waarborgen (menselijke tussenkomst, het recht op inzage, een toelichting, het recht om bezwaar te maken en maatregelen tegen vooringenomenheid).
- De EU-AI-wet beschouwt AI voor werving als een hoog risico. Systemen die worden gebruikt voor werving of selectie — om sollicitaties te filteren of kandidaten te beoordelen — worden aangemerkt als hoog risico, wat verplichtingen met zich meebrengt, waaronder zinvol menselijk toezicht. Een systeem dat mensen rangschikt of filtert, ontkomt hier niet aan door te beweren dat het om een „beperkte taak“ gaat. (De verplichtingen van de wet worden geleidelijk ingevoerd volgens een overgangsregeling; controleer de huidige ingangsdata aan de hand van de verordening zelf voordat u uitgaat van een specifieke datum — dit gebied verandert snel.)
Waar het risico ligt
Als je de twee rechtsgebieden samenvoegt, komt uit beide hetzelfde beeld naar voren: beide: een beslissing over een persoon, genomen of sterk beïnvloed door een machine, zonder echt menselijk oordeel en zonder toets op vooringenomenheid, is waar het juridische risico ligt — via discriminatiewetgeving en privacywetgeving hier, en via artikel 22 en de AI-wet als je je op Europa richt. „Er bestaat geen AI-wetgeving“ was nooit een verdedigingsgrond. De richtlijnen uit de eerdere niveaus — minder gegevens verzamelen, bewaren, toetsen op nadelige gevolgen, een daadwerkelijk menselijke beslissing nemen en soms helemaal niet automatiseren — zijn niet alleen goede praktijken. Ze zorgen ervoor dat je aan de juiste kant van de wet blijft die al bestaat.
Denk aan een taak met betrekking tot persoonsgegevens die je aan een agent zou toewijzen. Over welke van de bovenstaande regels zou een advocaat je het liefst vragen stellen — de geplakte prompt (IPP5), de ongelijkwaardige impact (HRA s22) of de ontbrekende menselijke beslissing (Art. 22)? Dat is degene waarover je als eerste advies moet inwinnen.
Vervolgens
De wet noemt één verplichting die tegelijkertijd een waarde is: Māori betrekken bij hun gegevens. Dit verdient een eigen les.
Vrij gedeeld, te goeder trouw. Als je er iets aan hebt gehad, is een koha voor ontwikkelings- en exploitatiekosten van harte welkom.
Laat een koha achter →