In onze nieuwsbrief van mei vindt u de volgende onderwerpen: |
|
|
|
|
|
Webinar | Datalekken in de praktijk |
Donderdag 18 juni | 10:00 – 10:45 |
Recente incidenten bij onder meer Odido, Rituals, Basic-Fit, en zelfs de Autoriteit Persoonsgegevens laten zien dat organisaties steeds vaker doelwit zijn van cyberaanvallen. De vraag is niet langer óf, maar wanneer een datalek zich voordoet en vooral: hoe u handelt in de cruciale eerste 72 uur.
Tijdens dit webinar neemt het Data & Privacy team van BarentsKrans u mee langs de juridische kaders en praktische stappen bij datalekken, inclusief meldplichten, risicobeoordeling en communicatie.
Deelname is kosteloos. |
|
|
|
|
|
|
|
Europees Parlement en Raad publiceren compromistekst AI-Omnibus |
Op 7 mei hebben het Europees Parlement (het Parlement) en de Raad van de Europese Unie (de Raad) een compromistekst gepubliceerd van het wetsvoorstel voor de AI-Omnibus. De compromistekst is door de Raad bekendgemaakt en maakt deel uit van de bredere EU‑agenda om de uitvoering van het AI‑regelgevingskader werkbaarder te maken, in het bijzonder voor kleinere marktdeelnemers en innovatieve ondernemingen.
De AI-Omnibus is een wijziging van de AI-verordening. Het doel van de AI-Omnibus is om bestaande en aankomende AI‑regels te vereenvoudigen en overlap tussen verplichtingen te beperken, zonder afbreuk te doen aan het beschermingsniveau voor grondrechten, veiligheid en consumenten. De Raad en het Parlement benadrukken ook dat de kernverplichtingen en het risicogebaseerde karakter van dit kader onverkort in stand blijven.
De aanpassingen moeten ertoe leiden dat kleinere partijen eenvoudiger kunnen vaststellen welke verplichtingen op hen van toepassing zijn en hoe zij daaraan kunnen voldoen. De vereenvoudiging ziet met name op administratieve lasten, rapportageverplichtingen en toezichtstructuren die voortvloeien uit de AI‑verordening. De compromistekst verduidelijkt onder meer dat geen specifiek niveau van AI-geletterdheid verwacht mag worden van organisaties die AI ontwikkelen of inzetten. Ook handhaaft de compromistekst het door de Europese Commissie (de Commissie) voorgestelde uitstel van de inwerkingtreding van verplichtingen voor AI-systemen met een hoog risico. Volgens de compromistekst gelden de verplichtingen voor AI-systemen met een hoog risico uit Bijlagen I en II vanaf 2 december 2027 respectievelijk 2 augustus 2028.
Het compromis past binnen de bredere beleidslijn van de EU om de regelgeving flexibel, duurzaam en bestand tegen technologische ontwikkelingen te maken en innovatie te stimuleren, terwijl tegelijkertijd rechtszekerheid wordt geboden aan marktpartijen. Daarbij is expliciet aandacht besteed aan de positie van het mkb en start‑ups.
De compromistekst van de AI-Omnibus moet nog formeel worden goedgekeurd door zowel de Raad als het Parlement. |
|
|
|
| |
|
|
Commissie opent consultatie richtsnoeren transparantieverplichtingen AI-verordening |
Op 8 mei heeft de Commissie concept‑richtsnoeren inzake de transparantieverplichtingen uit de AI-verordening ter openbare consultatie gepubliceerd. Met deze consultatie beoogt de Commissie toelichting te geven op de verplichtingen die gelden voor aanbieders en gebruikers van bepaalde AI‑systemen.
De richtsnoeren zijn bedoeld om een uniforme toepassing van de transparantieverplichtingen voor aanbieders en gebruiksverantwoordelijken van AI-systemen te bevorderen. De richtsnoeren behandelen onder meer de verplichting om individuen te informeren dat zij met een AI-systeem te maken hebben. Daarnaast gaat de Commissie in op de labeling en disclaimers voor door AI gegenereerde of gemanipuleerde content, zoals synthetische beelden, audio en video. Ook worden de transparantieverplichtingen bij het gebruik van emotieherkenningssystemen en biometrische categorisering nader toegelicht.
De Commissie werkt in de richtsnoeren verschillende kernbegrippen nader uit, zoals “interactie met een AI‑systeem”, “door AI gegenereerde content” en “deepfakes”. Daarbij benadrukt de Commissie dat de transparantieverplichtingen contextafhankelijk zijn en dat in bepaalde situaties kan worden volstaan met beperkte of impliciete informatieverstrekking, bijvoorbeeld wanneer het gebruik van AI voor de betrokkene evident is.
Tegelijkertijd benadrukt de Commissie dat transparantie een zelfstandige verplichting vormt, die losstaat van het risiconiveau van het AI‑systeem en dus ook geldt buiten het kader van hoog‑risico AI‑systemen.
De richtsnoeren zijn praktisch van belang omdat zij concrete invulling geven aan de inrichting van informatie en communicatieprocessen bij het gebruik en het informeren over de output van AI-systemen.
De consultatie is tot 3 juni open en biedt belanghebbenden de mogelijkheid om input en feedback te geven die meegenomen kan worden in de definitieve richtsnoeren. |
|
|
|
| |
|
|
Commissie opent consultatie concept‑richtsnoeren classificatie hoog-risico AI‑systemen |
Op 19 mei heeft de Commissie concept‑richtsnoeren over de classificatie van AI‑systemen met een hoog risico onder AI-verordening ter consultatie gepubliceerd. Met deze richtsnoeren geeft de Commissie nadere invulling aan de vraag wanneer een AI‑systeem onder het aangescherpte regime voor hoog‑risico toepassingen valt.
De richtsnoeren werken de tweedeling van AI-systemen met een hoog risico concreet uit. Zo kwalificeren AI‑systemen als hoog‑risico indien zij een veiligheidscomponent zijn van een product dat onder bestaande EU‑wetgeving genoemd in bijlage I van de AI-verordening valt en waarvoor een conformiteitsbeoordeling vereist is. Daarnaast zijn er zelfstandige AI‑systemen die worden ingezet voor de in bijlage III genoemde gebruiksdoeleinden, zoals biometrische identificatie, kredietwaardigheidsbeoordeling, werving en selectie, en toegang tot essentiële publieke en private diensten.
De richtsnoeren verduidelijken dat het beoogde gebruik en de feitelijke inzet doorslaggevend zijn voor deze kwalificatie. Het enkele feit dat een AI-systeem binnen de use cases uit bijlage III valt betekent daarmee dus niet dat een AI‑systeem automatisch als hoog‑risico categorie moet worden aangemerkt. Doorslaggevend is of het AI-systeem op basis van diens functionaliteiten en de gebruikscontext een aanzienlijk risico kan opleveren voor de gezondheid, veiligheid of grondrechten van natuurlijke personen. Daarbij wordt expliciet ingegaan op de uitzonderingen voor AI-systemen met een enkel ondersteunend en/of voorbereidend karakter die geen beslissende invloed hebben of rechtsgevolgen in het leven roepen.
Tot slot verduidelijken de richtsnoeren de verantwoordelijkheidsverdeling tussen aanbieders en gebruiksverantwoordelijken. De primaire verplichting om een AI-systeem te classificeren rust op de aanbieder. Indien een gebruiksverantwoordelijke het AI-systeem wezenlijk wijzigt of voor een ander doel inzet, kan deze zelf als aanbieder worden aangemerkt en onder het volledige compliance‑regime voor AI‑systemen met een hoog risico vallen.
De consultatie is tot 23 juni open en biedt belanghebbenden de mogelijkheid om input en feedback te geven die meegenomen kan worden in de definitieve richtsnoeren. |
|
|
|
| |
|
|
AP publiceert besluit op bezwaar tegen boete van € 10 miljoen voor Uber |
Op 8 mei heeft de Autoriteit Persoonsgegevens (AP) het besluit op bezwaar gepubliceerd in de procedure tegen Uber Technologies Inc. en Uber B.V (gezamenlijk Uber). Het besluit betreft de uitkomst van het door Uber ingediende bezwaar tegen de opgelegde boete van € 10 miljoen voor overtredingen door Uber van de AVG op 11 december 2023. De boete heeft betrekking op twee overtredingen.
In de eerste plaats heeft de AP vastgesteld dat Uber het recht op inzage van chauffeurs onvoldoende heeft gefaciliteerd. Uber verstrekte persoonsgegevens uitsluitend in CSV‑bestanden zonder toelichting en instructies op de structuur weergave en daarvan. Daarnaast werden essentiële toelichtingen op de CSV-bestanden (“guidance notes”) uitsluitend in het Engels aangeboden, terwijl de doelgroep (onder andere) Franse chauffeurs voor Uber betrof. Mede gelet op de taalvaardigheid van de betrokken doelgroep voldoet deze informatievoorzieningswijze voldoet niet aan de vereisten dat informatie beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk moet zijn, aldus de AP.
In de tweede plaats concludeert de AP dat Uber haar transparantieverplichtingen niet heeft nageleefd. De privacyverklaringen bevatten onvoldoende concrete informatie over de doorgifte van persoonsgegevens aan derde landen, de bewaartermijnen en het bestaan van het recht op gegevensoverdraagbaarheid. De algemene stelling van Uber dat persoonsgegevens worden bewaard “zolang dit noodzakelijk is voor bepaalde doeleinden” is te vaag en belemmert de betrokkene in de mogelijkheid om de bewaartermijn vast te kunnen stellen of de rechtmatigheid daarvan te toetsen, aldus de AP. Met name het ontbreken van specifieke informatie over de landen van doorgifte en de daarbij behorende waarborgen acht de AP strijdig met het behoorlijkheids‑ en transparantiebeginsel, omdat betrokkenen daardoor geen effectieve controle konden uitoefenen over hun persoonsgegevens. Het verstrekken van informatie over het land waarnaar persoonsgegevens worden doorgegeven is essentieel om de regie over zijn eigen gegevens te behouden en kan zelfs van cruciaal belang zijn voor chauffeurs om veiligheidsrisico’s in specifieke landen te vermijden, aldus de AP.
De AP verwerpt de door Uber aangevoerde bezwaargronden, waaronder het beroep op het lex certa‑beginsel, het ontbreken van verwijtbaarheid en de gestelde onevenredigheid van de boete. Met verwijzing naar artikel 83 AVG en recente rechtspraak van het Hof van Justitie concludeert de AP dat van een professionele, internationaal opererende onderneming als Uber verwacht mag worden dat deze hun gegevensverwerkingen AVG‑conform inrichten. Bij de boetebepaling is uitgegaan van de wereldwijde jaaromzet van Uber als economische eenheid, waarbij de opgelegde boete ruim onder het wettelijke maximum blijft van € 1,19 miljard, ofwel 4 % van de wereldwijde omzet van Uber in 2022.
Het besluit bevestigt dat toezichthouders hoge eisen stellen aan de praktische, duidelijke en begrijpelijke informatievoorziening en het faciliteren van de uitoefening van de rechten door betrokkenen, met name in de context van digitale platformomgevingen. |
|
|
|
| |
|
|
ACM publiceert leidraad “Data delen van verbonden producten en gerelateerde diensten |
Op 15 mei heeft de Autoriteit Consument & Markt (ACM) de leidraad “Data delen van verbonden producten en gerelateerde diensten” gepubliceerd. De leidraad biedt praktische handvatten bij de naleving van de nieuwe regels uit de Dataverordening over toegang tot en hergebruik van data. De ACM richt zich daarbij op fabrikanten van verbonden producten, aanbieders van gerelateerde diensten en partijen die als gegevensontvangers optreden.
De leidraad gaat uitvoerig in op de kernverplichtingen uit de Dataverordening. Centraal staat het recht van gebruikers om toegang te krijgen tot gegevens die genereerd worden door het gebruik van verbonden producten, waaronder slimme apparaten en Internet-of-Things devices, en het recht om deze gegevens te (laten) delen met derden. De ACM licht toe welke gegevens hieronder vallen, waaronder ruwe gebruiksdata, afgeleide data en metadata.
De ACM benadrukt dat contractuele bepalingen die deze rechten beperken in beginsel nietig zijn. Ook wordt aandacht besteed aan de verplichting voor gegevenshouders om gegevens van verbonden producten en/of gerelateerde diensten op eerlijke, redelijke en niet‑discriminerende voorwaarden de gebruikers beschikbaar te stellen. Daarbij besteedt de ACM aandacht aan de samenloop met het mededingingsrecht en het verbod op oneerlijke contractsbepalingen. De ACM waarschuwt dat zij zowel op grond van de Dataverordening als het mededingingsrecht kan handhaven tegen het gebruik van technische of contractuele barrières om gegevensdeling te beperken. Daarmee benadrukt de ACM het belang van tijdige aanpassing van contracten, IT‑architectuur en interne processen.
Daarnaast behandelt de ACM de verhouding tussen de Dataverordening en het gegevensbeschermingsrecht. Als gedeelde productgegevens of gegevens van gerelateerde diensten ook persoonsgegevens bevat blijft de AVG onverkort van toepassing op de verwerking van die gegevens. Dit betekent dat een geldige grondslag noodzakelijk is voor de verwerking van die gegevens en dat beginselen als dataminimalisatie en doelbinding moeten worden nageleefd. Ook wordt ingegaan op de rolverdeling tussen verwerkingsverantwoordelijken en verwerkers bij datadeling op verzoek van de gebruiker van een verbonden product of gerelateerde dienst. |
|
|
|
| |
|
|
|
|
Marc Elshof
advocaat | partner
T: +31 70 376 06 87
M:+31 6 46 37 61 08
marc.elshof@barentskrans.nl
|
|
|
|
|
Lars Groeneveld
advocaat
T: +31 70 376 06 48
M:+31 6 46 11 04 57
lars.groeneveld@barentskrans.nl
|
|
|
|
|
Job Julicher
advocaat
T: +31 70 376 08 10
M:+31 6 27 42 99 77
job.julicher@barentskrans.nl
|
|
|
|
|
Julius Louter
advocaat
T: +31 70 376 06 40
M:+31 6 15 43 37 52
julius.louter@barentskrans.nl
|
|
|
|
|
|
BarentsKrans
Den Haag | Amsterdam
+31 70 376 06 06
communicatie@barentskrans.nl
www.barentskrans.nl |
| |
|
|
| |
|
|
|
