Nieuwsbrief week 21 2023

Bijna de hele wereld kan Googles chatbot Bard gebruiken behalve Europa

Googles ChatGPT-variant Bard is al in 180 landen en gebieden beschikbaar, maar voorlopig nog niet in Nederland en andere EU-landen. Google houdt zich op de vlakte over de reden, maar het meest waarschijnlijke scenario is dat de techreus er niet zeker van is dat Bard voldoet aan de AVG. Frederik Zuiderveen Borgesius, hoogleraar ict en recht aan de Radboud Universiteit, vermoedt dat dit het geval is. Programma’s als Bard en ChatGPT werken op basis van zogenoemde Large Language Models (LLM’s), die zijn ontworpen om natuurlijke taal te interpreteren en te genereren. Ze zijn getraind met grote hoeveelheden informatie die afkomstig is van het web. Het taalmodel dat Google gebruikt voor Bard (PaLM, Pathways Language Model) is getraind met een gigantische dataset die bestaat uit webpagina’s (bijvoorbeeld nieuwssites), boeken, Wikipedia-artikelen, maar ook blogs en fora. ‘Daar zitten ook persoonsgegevens bij’, zegt Zuiderveen Borgesius in de Volkskrant, ‘maar op zichzelf is dat niet verboden.’ Wat volgens hem wél een probleem kan zijn, is de eis in de wet om transparant te zijn over welke informatie precies is gebruikt.
Eerder trapte de Italiaanse privacytoezichthouder al op de rem en blokkeerde ChatGPT tijdelijk vanwege privacyschendingen, onder andere omdat niet helder was welke persoonsgegevens de chatbot precies voor trainingsdoeleinden verzamelt. Het is goed denkbaar dat Google een dergelijk scenario wil voorkomen, denkt Zuiderveen Borgesius.
Google belooft dat Bard beschikbaar komt in de EU, maar kan niet zeggen wanneer.

Frankrijk geeft groen licht voor biometrisch toezicht

De Franse NGO La Quadrature du Net meldt dat Frankrijk de “eer” te beurt is gevallen om als eerste EU-land biometrische bewaking te legaliseren. Artikel 7 van de wet op de organisatie van de Olympische Spelen is goedgekeurd door de Assemblée Nationale, waarmee de invoering van algoritmische videobewaking in de Franse wetgeving wordt geformaliseerd tot december 2024.
De wetgeving zou alleen zijn bedoeld om extra veiligheid te bieden voor de Olympische Spelen. Veel activisten vrezen echter dat dit het begin van een schadelijke ontwikkeling zal zijn. La Quadrature du Net beschreef algoritmische videobewaking als “een van de gevaarlijkste technologieën ooit”.

ChatGPT weer beschikbaar in Italië na verbod

Italianen kunnen ChatGPT in eigen land weer gebruiken. De Italiaanse toezichthouder Garante had de chatbot eerder verboden omdat deze onrechtmatig persoonsgegevens verzamelde. Ontwikkelaar OpenAI heeft aanpassingen gedaan waardoor het programma niet langer de privacyregels overtreedt, meldt de Garante in een persverklaring.
OpenAI heeft aanvullende informatie beschikbaar gesteld op haar website: welke persoonsgegevens ze verzamelen en hoe ze deze informatie gebruiken om de algoritmen te verbeteren. Gebruikers hebben het recht om deze gegevensverwerking te weigeren. Verder is er een openingsscherm ingevoerd met verwijzingen naar het nieuwe privacybeleid en methoden om de algoritmen te trainen. Daar is tevens een knop te vinden waarmee gebruikers verklaren dat ze meerderjarig zijn. Doen ze dat niet, dan hebben ze niet langer toegang tot de dienst. Italianen die ChatGPT voor de eerste keer gebruiken, moeten hun geboortedatum invullen op het digitale registratieformulier. Een andere mogelijkheid voor minderjarigen om de chatbot te gebruiken, is door aan te geven dat ze toestemming hebben van hun ouders.

Gemeente Amsterdam overtreedt privacywet volgens ombudsman

De gemeente Amsterdam overtreedt de AVG, stelt de Amsterdamse ombudsman Munish Ramlal in een brief aan de gemeente. Dit meldt Het Parool. Op dit moment worden de functies van functionaris gegevensbescherming en privacy officer bij de gemeente door dezelfde persoon vervuld. De ombudsman stelt dat volgens artikel 38 AVG de functies door verschillende mensen uitgevoerd moeten worden. Doordat de functionaris gegevensbescherming óók de privacy officer is, controleert deze persoon bij de gemeente het beleid waar hij zelf mede vorm en uitvoering aan geeft. “Nu moet de functionaris op de ene dag in de week het college adviseren en op de andere dag het college intern controleren. Dat kan leiden tot een belangenconflict,” zegt Ramlal. “Ondanks allerlei werkafspraken die je daarover kunt maken, kan er onduidelijkheid komen over welk belang zwaarder weegt; dat van de organisatie of van de betrokkenen. Bovendien zou de functionaris beïnvloed kunnen worden door de gemeente tijdens het controleren.”
De gemeente laat weten dat er is gekozen voor de combinatie van functies omdat er, door het vertrek van de voormalige functionaris in maart, snel gehandeld moest worden. Volgens de gemeente is de constructie niet verboden, zolang er geen sprake is van belangenverstrengeling in de uitvoer van de werkzaamheden.
De ombudsman heeft een melding gedaan bij de AP.
De gemeente laat weten dat er maatregelen zijn getroffen om de onafhankelijkheid van de tijdelijke functionaris te waarborgen. Zo controleert de tijdelijke functionaris niet zijn eigen werk en houdt een andere collega toezicht. “Desondanks vinden ook wij dat deze situatie zo kort mogelijk moet duren. Per 1 juni aanstaande verwachten we een nieuwe privacy officer aan te stellen. Hiermee wordt de huidige situatie beëindigd. Uiteraard wordt er zo spoedig mogelijk ook een nieuwe FG geworven.”

‘Minister Hoekstra moet naar Autoriteit Persoonsgegevens voor visum-algoritme’

De NOS meldt op basis van berichtgeving in NRC:
De Autoriteit Persoonsgegevens (AP) roept minister Hoekstra van Buitenlandse Zaken op het matje over het gebruik van algoritmen die discriminatie in de hand kunnen werken bij de beoordeling van visumaanvragen. Hoekstra moet het gebruik van profilerende software in persoon verdedigen bij de AP, zegt een woordvoerder naar aanleiding van onderzoek door de krant en journalistieke organisatie Lighthouse Reports. Dit onderzoek gaat over de “problematisch verlopen digitalisering van de verstrekking van Schengenvisa”. Die visa voor 90 dagen zijn verplicht voor inwoners van buiten de Europese Unie die naar Nederland willen.
Het algoritme, ‘Informatie Ondersteund Beslissen’, adviseert Haagse ambtenaren of zij een aanvraag “kort” of “intensief” moeten bestuderen, schrijft NRC. Dat doet het op basis van onder meer nationaliteit, geslacht, leeftijd van de aanvrager en de plaats waar de aanvraag wordt gedaan. Aanvragen die snel moeten worden bekeken, worden veel vaker toegekend dan aanvragen die intensief moeten worden bekeken.”
Vorig jaar adviseerde de FG van Buitenlandse Zaken, die inmiddels is vertrokken, om te stoppen met het “profileren van visumaanvragers”. “We hebben destijds meerdere gesprekken met hem gevoerd en vervolgens stukken gevorderd bij Buitenlandse Zaken”, zegt een woordvoerder van de AP. “Nu hebben we de minister uitgenodigd. Dat is niet vrijblijvend.”

HvJEU: geen “drempel” voor AVG-schade

Op 4 mei heeft het Hof van Justitie van de Europese Unie (HvJEU) het eerste arrest gewezen over immateriële schade onder de AVG, waarin het Hof bevestigt dat de AVG geen “drempel” voor schadevergoeding vereist. Het HvJEU heeft bevestigd dat gebruikers recht hebben op schadevergoeding wanneer hun persoonsgegevens onrechtmatig zijn verwerkt. Zoals bij elke schadevordering vereist het HvJEU dat er sprake is van een schending, schade en causaal verband.
Het betreft Case C-300/21 | Österreichische Post (Non-material damage resulting from unlawful processing of data). De Oostenrijkse postdienst genereerde statistieken over waarschijnlijke politieke voorkeur van miljoenen mensen. De eiser kreeg een waarschijnlijke interesse in de extreem-rechtse “Vrijheidspartij” toegewezen, maar omdat de eiser op een Oostenrijkse opt-out lijst voor postreclame stond, was het onduidelijk of deze informatie ooit aan een derde partij werd bekendgemaakt. De eiser eiste niettemin schadevergoeding voor de onrechtmatige verwerking van zijn gegevens. Het Oostenrijkse Hooggerechtshof verwees de zaak voor een beslissing naar het HvJEU en stelde voor dat het HvJEU een “drempel” voor dergelijke vorderingen zou invoeren en de zaak ook zou inkaderen als een schending zonder werkelijke schade.
Vooral in Duitsland hebben veel leden van de juridische gemeenschap geprobeerd een “drempel” voor GDPR-claims in te voeren, die in het Duitse recht al bestond voordat de GDPR werd ingevoerd. De GDPR voorziet niet in een dergelijke drempel, maar toch hebben veel nationale rechtbanken vorderingen afgewezen op basis van het concept van een “drempel” voor immateriële schade. Dit standpunt is nu verworpen.

Recordboete van 1,2 miljard euro voor Meta

De Ierse privacytoezichthouder DPC heeft op 22 mei de conclusie bekendgemaakt van haar onderzoek naar Meta Platforms Ireland Limited (“Meta Ireland”), waarin werd onderzocht op welke basis Meta Ireland persoonsgegevens doorgeeft van de EU/EER naar de VS in verband met de levering van haar Facebook-dienst.
Hoewel Meta Ireland deze doorgiften uitvoerde op basis van de geüpdatete modelcontractbepalingen (SCC’s) die in 2021 door de Europese Commissie werden vastgesteld, stelt de DPC nu dat deze regelingen geen oplossing bieden voor de risico’s voor de fundamentele rechten en vrijheden van de betrokkenen die het HvJEU in zijn arrest had vastgesteld.

Autoriteit Persoonsgegevens ontving in 2022 minder privacyklachten 

De Autoriteit Persoonsgegevens ontving vorig jaar veel minder privacyklachten dan het jaar ervoor, wat grotendeels kwam doordat de toezichthouder bewust minder goed bereikbaar was. De AP schakelde het aantal telefonisch bereikbare uren terug vanwege onderbezetting. In haar jaarverslag zegt de AP hierover:

“In 2022 ontving de AP wederom een groot aantal klachten, namelijk 12.486. (…) Het aantal bij de AP ontvangen klachten is ongeveer 31% minder dan in 2021. Omdat de AP te weinig capaciteit heeft om alle klachten te behandelen, heeft de AP gerichte maatregelen genomen om de instroom van klachten te beperken. Dat heeft geleid tot een daling van het aantal klachten. Zo staat bij het klachtenformulier vermeld dat het ongeveer 6 maanden duurt voordat een klacht in behandeling wordt genomen. Ook stimuleert de AP burgers steeds meer om, daar waar het kan, zelf actie te ondernemen richting de organisatie waarover de klacht gaat. Verder zijn de openingstijden van het telefonisch spreekuur ten opzichte van vorig jaar met bijna de helft teruggebracht. Dat laatste heeft geleid tot een daling van het aantal ontvangen signalen. Door de grote aantallen ontvangen klachten enerzijds en de beperkte capaciteit om de klachten te behandelen anderzijds, is in de loop van de jaren een behoorlijke werkvoorraad ontstaan. (…) In 2023 zet de AP, naast het behandelen van recent ontvangen klachten, specifiek in op het wegwerken van de achterstand van nog onbehandelde en reeds in behandeling zijnde artikel 77-klachten (1.713). Daarvoor zal tijdelijk extra capaciteit worden ingezet.”

EDPB stelt definitieve versie vast van richtsnoeren gezichtsherkenningstechnologie bij rechtshandhaving

De EDPB heeft definitieve richtsnoeren gepubliceerd over het gebruik van biometrische technologieën door rechtshandhavingsinstanties. Volgens de EDPB mag gezichtsherkenning alleen worden gebruikt in strikte overeenstemming met het Law Enforcement Directive (LED) en “indien noodzakelijk en evenredig” in het kader van het EU-Handvest van de grondrechten. In de richtsnoeren herhaalt de EDPB zijn oproep om het gebruik van gezichtsherkenningstechnologie in bepaalde gevallen te verbieden, zoals ook al gevraagd in het gezamenlijk advies van EDPB en EDPS over het voorstel voor een wet inzake kunstmatige intelligentie.
Na een openbare raadpleging werden de richtsnoeren geactualiseerd en werden verdere verduidelijkingen toegevoegd.

Delen: