Mark Jansen schreef voor VAST een artikel getiteld "Credit scoring en geautomatiseerde besluitvorming aan banden gelegd. De wetgever aan zet?" naar aanleiding van de twee Schufa-arresten van het Hof van Justitie
Er is veel te doen over aanstaande AI-wetgeving vanuit Europa. Door alle berichtgeving over nieuwe wetgeving sneeuwt het bestaande kader wel eens wat onder. Want een deel van wat de AI-wetgeving wil bereiken (bescherming tegen de risico's van autonomie digitale systemen) wordt al door bestaande wetgeving afgevangen. De AVG verbiedt (reguleert) immers nu al geautomatiseerde besluitvorming.
Er is veel te doen over het welke schadevergoeding er tegenover een privacyschending zou moeten staan. Hierover wordt steeds meer, en ook steeds vaker collectief, geprocedeerd. Dit verklaart dan ook dat er steeds meer uitspraken verschijnen. Een recente uitspraak van het Hof maakt duidelijk dat de betrokkene niet "zomaar" geld kan claimen: een incident is nog geen bewijs van structurele misstanden en de vermeende schade moet wel echt geleden zijn. Een korte beschouwing.
Op 21 november 2023 heeft de ACM de Marktverkenning ICT in de zorg gepubliceerd die KPMG in 2020 voor haar heeft uitgevoerd. Publicatie heeft even op zich laten wachten omdat Chipsoft (hoger) beroep had ingesteld tegen het besluit om de volledige verkenning te publiceren. Tussen het moment van uitvoering van de marktverkenning en de uiteindelijke publicatie heeft de ACM niet stilgezeten. Een update.
In het kader van het verlenen van ICT-diensten aan financiële entiteiten is er niet zelden sprake van een complexe keten van ICT-uitbesteding waarbij externe ICT-dienstverleners een of meer onderaannemingsovereenkomsten kunnen sluiten met andere externe ICT-dienstverleners. Deze onderuitbesteding van ICT-diensten doet echter niet af aan de verantwoordelijkheden van de financiële entiteiten en hun bestuursorganen om hun risico's te beheren. Vandaar ook dat in artikel 30 lid 2 sub a van de DORA staat dat in IT-contracten met een derde aanbieder van ICT-diensten o.m. worden vastgelegd of onderuitbesteden van ICT-diensten is toegestaan bij kritieke of belangrijke functies. Hierover verscheen onlangs een concept RTS; een document met aanvullende regelgeving. Deze RTS gaat in op de vraag wanneer uitbesteding is toegestaan en waaraan dan voldaan moet worden. Een korte analyse.
Begin december heeft de Europese Unie dan eindelijk een politiek akkoord bereikt over de AI Act. Deze wet zal grote veranderingen met zich brengen voor de toekomst van AI. De AI Act is echter onderdeel van een veel groter pakket aan AI-, data- en cyberwetgeving vanuit de EU. Veel van die wetten zijn minstens net zo interessant als de AI Act. Op welke moet u als bedrijf gaan letten? En op welke regels kunt u zich alvast voorbereiden?
Het Hof van Justitie heeft op 5 december 2023 opnieuw een paar principiële knopen over het privacyrecht doorgehakt. (1) Wie een app laat ontwikkelen is in beginsel verantwoordelijk voor de daarmee verband houdende dataverzameling, ook al ligt de uitvoering bij die ontwikkelaar. (2) Er moet feitelijk worden getoetst of er sprake is van gezamenlijke verantwoordelijkheid, het al dan niet bestaan van de (daarvoor verplichte) contractuele regeling is hiervoor irrelevant. (3) Bij het verwerken van niet-herleidbare persoonsgegevens is de AVG niet meer van toepassing. (4) Voor het opleggen van een boete is enige schuld van de verwerkingsverantwoordelijke vereist, maar dat vergt niet een handelen of wetenschap van de leiding. (5) Een verwerkingsverantwoordelijke kan beboet worden voor gedrag door de verwerker, tenzij die verwerker de opdracht te buiten gaat. Dit levert een paar strategische aandachtspunten op.
In de afgelopen jaren heeft de Europese Unie (EU) zich ingezet voor de regulering van de digitale wereld. Het doel is om burgers meer controle te geven over hun gegevens en om grote bedrijven striktere regels op te leggen. De Data Act geeft nieuwe regels voor de toegang tot data, het opeisen van data door de overheid en het overstappen tussen clouddiensten. Wat houdt deze wet precies in? En misschien nog wel belangrijker: wat betekent dit voor u en uw bedrijf?
Artificial Intelligence (AI) wordt steeds vaker gebruikt en zal de komende jaren een steeds grotere rol krijgen. Programma’s als ChatGPT kunnen scherpe teksten schrijven en software als Power BI analyseert data razendsnel. AI biedt studenten en wetenschappers nieuwe kansen, maar brengt ook grote risico’s mee. Welke regels gelden er voor het gebruik van AI in de wetenschap? En hoe bewaakt u als onderzoeker, onderwijsinstelling of onderzoeksinstelling uw wetenschappelijke integriteit?
Financiele instellingen hebben nog tot 2025 om aan de Digital Operations Resilience Act (DORA) te voldoen. De Autoriteit Financiele Markten (AFM) roept de instellingen op om op tijd te beginnen met de voorbereidingen op deze nieuwe regels over IT-weerbaarheid.
Gisteren heeft de Europese Commissie na 2 jaar onzekerheid besloten dat de Verenigde Staten voldoende waarborgen bieden voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het doorgeven van data naar de VS nu veel gemakkelijker is geworden. Waar komt dit besluit vandaan? En waarom heeft het zo lang geduurd?
Begin juni heeft de Nederlandse privacytoezichthouder aangekondigd dat ze nieuw beleid gaat hanteren voor het berekenen van boetes. Onder deze nieuwe regels kan een boete fors hoger uitvallen dan vroeger. Wat kunnen organisaties nu verwachten bij een schending van de AVG?
