Eind 2022 stuurde de Europese Commissie het voorstel voor de AI Act naar het Europees Parlement. Deze wet legt specifieke verplichtingen op aan AI-makers en -gebruikers en verbiedt bepaalde risicovolle AI-praktijken. Commissies van het Europees Parlement hebben afgelopen week amendementen aangenomen op de AI Act. Wat houden deze amendementen in? En misschien nog wel belangrijker: wat betekent dit voor u en uw bedrijf?
Veel ziekenhuizen en zorginstellingen hanteren bij het sluiten van contracten met leveranciers de Algemene Inkoopvoorwaarden Gezondheidszorg (AIVG). De AIVG zijn opgesteld door diverse brancheverenigingen, waaronder de Nederlandse Vereniging van Ziekenhuizen (NVZ), ActiZ, de Nederlandse Vereniging van Inkoopmanagement (NEVI) en Santeon. Op 14 november 2022 zijn de nieuwe AIVG 2022 gepresenteerd, als opvolger van de AIVG 2017. Het betreft op moment van schrijven enkel het algemene deel van de AIVG 2022. De AIVG 2022 kent net als de AIVG 2017 een modulaire opbouw. De diverse modules, zoals de Module ICT, worden in 2023 verwacht.
De Europese Commissie (EC) heeft op 24 september 2020 een voorstel gepubliceerd voor de verordening digitale operationele veerkracht, in het Engels: Digital Operational Resilience Act ofwel DORA. DORA is na aanpassing van de initiële tekst op 28 november 2022 door de Raad van Europa aangenomen en getekend op 14 december 2022. DORA is gepubliceerd op 27 december 2022 onder het kenmerk EU 2022/2554 en is op 16 januari 2023 in werking getreden. DORA is per 17 januari 2025 van toepassing.
Op 14 december 2022 is de NIS2-richtlijn aangenomen. Deze richtlijn voorziet onder meer in meer coördinatie en samenwerking tussen lidstaten op het gebied van cyberveiligheid. Ook zullen (deels al bestaande) regels over cyberveiligheid op veel meer bedrijven en instellingen van toepassing worden. Wat betekent dit voor u?
Op 21 december 2022 heeft de Autoriteit Persoonsgegevens (AP) een boete van 50.000 euro opgelegd aan de politie. De politie had namelijk camera-auto’s ingezet in Rotterdam, zonder eerst de privacyrisico’s goed in kaart te brengen. Een dergelijke inventarisatie is bij impactvolle gegevensverwerkingen wel verplicht. Wat heeft de AP in haar boetebesluit precies gezegd? En welke lessen kunnen u en uw bedrijf hiervan leren?
De afgelopen maanden lijkt het privacyrechtelijke net te sluiten rond Google Analytics. Toezichthouders in Denemarken, Frankrijk, Italië, Noorwegen en Oostenrijk hebben aangegeven dat de veelgebruikte applicatie in strijd is met privacywetgeving zoals de AVG. Is dit ook een risico in Nederland?
De Autoriteit Persoonsgegevens geeft jaarlijks een totaaloverzicht van alle gemelde datalekken. De ‘Datalekkenrapportage 2021’ is net gepubliceerd en toont een exponentiële stijging van het aantal cyberaanvallen.
Organisaties zijn verplicht om de uitoefening van de rechten van betrokkenen onder de Algemene verordening gegevensbescherming (AVG), zoals het recht op inzage of gegevenswissing, te faciliteren. Bij dergelijke verzoeken geldt een identificatieplicht: verwerkingsverantwoordelijken moeten op grond van de AVG de identiteit van de verzoekende betrokkenen vaststellen. Maar de AVG geeft niet aan hoe een organisatie dat moet doen. Dat deze verplichting niet in alle gevallen ingevuld mag worden met het opvragen van een kopie identiteitsbewijs (paspoort, rijbewijs of ID-kaart) blijkt uit het recente boetebesluit van de Autoriteit Persoonsgegevens aan DPG Media. In dit blog nemen we het besluit onder de loep en beantwoorden wij de vraag hoe aan de identificatieplicht uit de AVG kan worden voldaan.
Inmiddels twee jaar geleden schreven we in eerder blogartikel op onze website al over de uitspraak van de rechtbank Den Haag waarin geoordeeld werd dat de pakjes met voetballers (zgn. packs) in de populaire voetbalgame FIFA kwalificeerden als verboden kansspel. In hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State (‘de Afdeling’) is die uitspraak vernietigd.
In een procedure tussen Uber en een aantal ontslagen chauffeurs, stellen de chauffeurs zich op het standpunt dat daarbij op onrechtmatige wijze gebruik is gemaakt van geautomatiseerde besluitvorming. Zij vorderen (kort samengevat) inzage in het bestaan van geautomatiseerde besluitvorming alsmede in de onderliggende logica, het belang en de verwachte gevolgen daarvan. Daarnaast vorderen zij een schadevergoeding wegens schending van de AVG. De vorderingen worden in een interessant vonnis gemotiveerd afgewezen.
De Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), ofwel de Cybersecuritywet, bevat een nieuwe meldplicht en zorgplicht. Vitale aanbieders en digitaledienstverleners moeten beveiligingsmaatregelen treffen en cyberincidenten melden bij de toezichthouder.
