Er is veel te doen over aanstaande AI-wetgeving vanuit Europa. Door alle berichtgeving over nieuwe wetgeving sneeuwt het bestaande kader wel eens wat onder. Want een deel van wat de AI-wetgeving wil bereiken (bescherming tegen de risico's van autonomie digitale systemen) wordt al door bestaande wetgeving afgevangen. De AVG verbiedt (reguleert) immers nu al geautomatiseerde besluitvorming.
In het kader van het verlenen van ICT-diensten aan financiële entiteiten is er niet zelden sprake van een complexe keten van ICT-uitbesteding waarbij externe ICT-dienstverleners een of meer onderaannemingsovereenkomsten kunnen sluiten met andere externe ICT-dienstverleners. Deze onderuitbesteding van ICT-diensten doet echter niet af aan de verantwoordelijkheden van de financiële entiteiten en hun bestuursorganen om hun risico's te beheren. Vandaar ook dat in artikel 30 lid 2 sub a van de DORA staat dat in IT-contracten met een derde aanbieder van ICT-diensten o.m. worden vastgelegd of onderuitbesteden van ICT-diensten is toegestaan bij kritieke of belangrijke functies. Hierover verscheen onlangs een concept RTS; een document met aanvullende regelgeving. Deze RTS gaat in op de vraag wanneer uitbesteding is toegestaan en waaraan dan voldaan moet worden. Een korte analyse.
Het Hof van Justitie heeft op 5 december 2023 opnieuw een paar principiële knopen over het privacyrecht doorgehakt. (1) Wie een app laat ontwikkelen is in beginsel verantwoordelijk voor de daarmee verband houdende dataverzameling, ook al ligt de uitvoering bij die ontwikkelaar. (2) Er moet feitelijk worden getoetst of er sprake is van gezamenlijke verantwoordelijkheid, het al dan niet bestaan van de (daarvoor verplichte) contractuele regeling is hiervoor irrelevant. (3) Bij het verwerken van niet-herleidbare persoonsgegevens is de AVG niet meer van toepassing. (4) Voor het opleggen van een boete is enige schuld van de verwerkingsverantwoordelijke vereist, maar dat vergt niet een handelen of wetenschap van de leiding. (5) Een verwerkingsverantwoordelijke kan beboet worden voor gedrag door de verwerker, tenzij die verwerker de opdracht te buiten gaat. Dit levert een paar strategische aandachtspunten op.
Een IT-project tot een goed einde brengen is een hele klus. Veel IT-projecten mislukken nog steeds. Heldere afspraken over en goede uitvoering van het projectmanagement kunnen helpen te voorkomen dat het project ontspoort. In deze blog een paar aandachtspunten vanuit de juridische praktijk.
Het is vaak makkelijk mopperen op een IT-systeem. "Het doet het niet", of "dit werkt toch niet" hoor je dan. Mopperen is echter makkelijk. De vraag is of het systeem niet voldoet aan de gestelde/overeengekomen eisen. Een recente kwestie bij het Gerechtshof Amsterdam over de ontwikkeling van een maatwerk CRM systeem laat mooi zien hoe snel de verwachtingen van partijen uiteen kunnen lopen.
Financiele instellingen hebben nog tot 2025 om aan de Digital Operations Resilience Act (DORA) te voldoen. De Autoriteit Financiele Markten (AFM) roept de instellingen op om op tijd te beginnen met de voorbereidingen op deze nieuwe regels over IT-weerbaarheid.
Gisteren heeft de Europese Commissie na 2 jaar onzekerheid besloten dat de Verenigde Staten voldoende waarborgen bieden voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het doorgeven van data naar de VS nu veel gemakkelijker is geworden. Waar komt dit besluit vandaan? En waarom heeft het zo lang geduurd?
Een verwerker moet openheid van zaken geven bij een datalek. Dat is zo ongeveer de kern van het vonnis in kort geding van 6 april van de Rechtbank Rotterdam inzake een van de grootste datalekken die op dit moment speelt in Nederland. Een korte beschouwing.
Onlangs berichtten we al over de komst van DORA. DORA stelt allerlei eisen aan financiële entiteiten op het gebied digitale operationele weerbaarheid, cyberrisico’s en uitbestedingsrisico’s. Ook IT-contracten moeten straks dankzij DORA aan strenge eisen voldoen. Zowel op financiële entiteiten als IT-bedrijven die daar diensten aan verlenen komt veel af. In deze blog staan we hier alvast bij stil.
De Europese Commissie (EC) heeft op 24 september 2020 een voorstel gepubliceerd voor de verordening digitale operationele veerkracht, in het Engels: Digital Operational Resilience Act ofwel DORA. DORA is na aanpassing van de initiële tekst op 28 november 2022 door de Raad van Europa aangenomen en getekend op 14 december 2022. DORA is gepubliceerd op 27 december 2022 onder het kenmerk EU 2022/2554 en is op 16 januari 2023 in werking getreden. DORA is per 17 januari 2025 van toepassing.
Op 14 december 2022 is de NIS2-richtlijn aangenomen. Deze richtlijn voorziet onder meer in meer coördinatie en samenwerking tussen lidstaten op het gebied van cyberveiligheid. Ook zullen (deels al bestaande) regels over cyberveiligheid op veel meer bedrijven en instellingen van toepassing worden. Wat betekent dit voor u?
Het gebruik van echte persoonsgegevens voor testdoeleinden kan risicovol en soms zelfs verboden zijn, zo schreef ik onlangs al. Tegelijkertijd is de praktijk dat veel bedrijven bij de ontwikkeling en onderhoud van IT werken met verschillende omgevingen (OTAP) en dat daarbinnen regelmatig toch met echte data wordt gewerkt. Zijn de strenge regels met de praktijk te verenigen? In deze blog verken ik dit nader.
