Tier 4 · Deploy & answer4.220 min

De wetgeving die op u van toepassing is

A fiery orange-and-pink sunset over a harbour ringed by dark hillsAgents at Work — CC BY 4.0

De meeste kleine bedrijven die AI gebruiken om persoonsgegevens te verwerken, gaan uit van een geruststellende veronderstelling: er is hier geen AI-wetgeving, dus is er niets om zich zorgen over te maken. Dit is de gevaarlijkste misvatting in deze hele cursus. Er is misschien geen specifieke „AI-wet“ in Nieuw-Zeeland — maar de wetgeving die al bestaat, is van toepassing op wat je agent doet, en „geen AI-specifieke regel“ is niet hetzelfde als „geen regels“. Deze les is de routekaart. Het is algemene voorlichting, geen juridisch advies — het terrein is op sommige punten echt onzeker, en voor uw specifieke situatie verdient u een deskundig advies.

Nieuw-Zeeland — algemeen recht, en dat heeft consequenties

Nieuw-Zeeland kent geen equivalent van de Europese regel inzake geautomatiseerde besluitvorming. De dertien beginselen inzake informatieprivacy van de Privacywet 2020 bevatten helemaal geen bepalingen over AI of geautomatiseerde besluitvorming. (In de vijfjaarlijkse evaluatie van de Privacycommissaris wordt onderzocht of er waarborgen voor geautomatiseerde besluitvorming moeten worden toegevoegd — dit kan dus veranderen; houd het in de gaten.) Wat dat in de praktijk betekent, is dat AI bij werving en bij de verwerking van persoonsgegevens valt onder de algemene privacywetgeving en de antidiscriminatiewetgeving — die op u van toepassing zijn, of iemand nu wel of niet het woord „AI“ noemt.

De principes uit de Privacywet die het meest van toepassing zijn:

De Human Rights Act 1993 — die mensen vaak vergeten. Artikel 21 somt de verboden gronden op (geslacht, leeftijd, etnische of nationale afkomst, handicap, gezinssituatie en meer). Artikel 22 maakt het onwettig om een gekwalificeerde sollicitant af te wijzen op basis van een verboden grond — en artikel 22, lid 2, is uitdrukkelijk van toepassing op recruiters. Cruciaal is dat een resultaatmet ongelijk effect een inbreuk kan vormen, ongeacht de intentie: een selectieprocedure die op het eerste gezicht neutraal is, maar onevenredig zwaar weegt op een beschermde groep, kan onwettig zijn, ook al was het niet de bedoeling om te discrimineren. Daarom is de toetsing op nadelige gevolgen in niveau 3 geen optionele beleefdheid is — het is de manier waarop je erachter komt of je aan de verkeerde kant van deze kwestie staat.

Wat de Privacycommissaris verwacht (richtlijnen, geen bindende wetgeving — maar het bepaalt wat „redelijk“ betekent): goedkeuring door het senior management; een privacy-effectbeoordeling voordat je de tool gebruikt; transparantie tegenover de betrokkenen; Māori informeren over de risico’s voor de taonga van hun gegevens; een daadwerkelijke menselijke beoordeling voordat er actie wordt ondernomen; en tools die de gegevens niet bewaren of openbaar maken. De Commissaris wijst erop dat AI-screening van sollicitaties een „niet goede“ staat van dienst heeft, waarschuwt dat een symbolische menselijke tussenkomst de automatiseringsblindheid wellicht niet verhelpt — en zegt, in zoveel woorden: bij twijfel, gebruik geen AI-tools voor de verwerking van persoonsgegevens.

Europa — als je ook maar één kandidaat uit de EU in je bestand hebt

Misschien denk je dat de EU-wetgeving het probleem van iemand anders is. Ze kan een bedrijf in Nieuw- Zeeland via één specifieke weg bereiken: niet waar je bedrijf is gevestigd, maar waar de output wordt gebruikt. Als de beslissing van je agent wordt gebruikt met betrekking tot een persoon die zich in de EU bevindt, kunnen de EU-regels op jou van toepassing zijn.

Waar het risico ligt

Als je de twee rechtsgebieden samenvoegt, komt uit beide hetzelfde beeld naar voren: beide: een beslissing over een persoon, genomen of sterk beïnvloed door een machine, zonder echt menselijk oordeel en zonder toets op vooringenomenheid, is waar het juridische risico ligt — via discriminatiewetgeving en privacywetgeving hier, en via artikel 22 en de AI-wet als je je op Europa richt. „Er bestaat geen AI-wetgeving“ was nooit een verdedigingsgrond. De richtlijnen uit de eerdere niveaus — minder gegevens verzamelen, bewaren, toetsen op nadelige gevolgen, een daadwerkelijk menselijke beslissing nemen en soms helemaal niet automatiseren — zijn niet alleen goede praktijken. Ze zorgen ervoor dat je aan de juiste kant van de wet blijft die al bestaat.

Denk aan een taak met betrekking tot persoonsgegevens die je aan een agent zou toewijzen. Over welke van de bovenstaande regels zou een advocaat je het liefst vragen stellen — de geplakte prompt (IPP5), de ongelijkwaardige impact (HRA s22) of de ontbrekende menselijke beslissing (Art. 22)? Dat is degene waarover je als eerste advies moet inwinnen.

Vervolgens

De wet noemt één verplichting die tegelijkertijd een waarde is: Māori betrekken bij hun gegevens. Dit verdient een eigen les.

Als je deze les als voltooid markeert, wordt je voortgang op dit apparaat opgeslagen — geen account, geen tracking.

Vrij gedeeld, te goeder trouw. Als je er iets aan hebt gehad, is een koha voor ontwikkelings- en exploitatiekosten van harte welkom.

Laat een koha achter →

Nuttig? Deel deze les met een collega.