Nieuwsbrief week 33 2024

EU AI Act treedt in werking: focus op betrouwbare en veilige AI

Op 1 augustus 2024 is de EU AI Act in werking getreden, die de regelgeving voor de ontwikkeling, implementatie en het gebruik van kunstmatige intelligentie (AI) in de Europese Unie vastlegt. Deze wet heeft als doel mensgerichte en betrouwbare AI te bevorderen, terwijl de gezondheid, veiligheid, democratie, rechtstaat en het milieu worden beschermd.

De wet besteedt bijzondere aandacht aan AI-toepassingen met een hoog risico, zoals het gebruik binnen medische hulpmiddelen, biometrische identificatie, het bepalen van toegang tot essentiële diensten (waaronder gezondheidszorg), en de geautomatiseerde verwerking van persoonsgegevens. Emotionele herkenning door AI is in de meeste gevallen verboden, met enkele uitzonderingen voor medische of veiligheidsdoeleinden.

De EU AI Act maakt het trainen van AI-algoritmen op datasets eenvoudiger voor bevoegde autoriteiten. Bedrijven moeten AI-systemen met een hoog risico testen in reële omstandigheden en geïnformeerde toestemming verkrijgen van deelnemers. Ernstige incidenten tijdens het testen moeten worden gerapporteerd aan de markttoezichtautoriteiten.

De wet benadrukt het belang van transparantie en traceerbaarheid bij AI-systemen die interactie hebben met mensen of door AI gegenereerde inhoud produceren. Bedrijven zijn verplicht om vooroordelen in hun AI-toepassingen te voorkomen of te verwijderen.

Onderzoeks- en ontwikkelingsactiviteiten op het gebied van AI worden niet ondermijnd door de EU AI Act, om innovatie niet te belemmeren. De wet streeft ernaar een balans te vinden tussen de bescherming van EU-burgers en het stimuleren van wetenschappelijke vooruitgang op het gebied van AI.

Google zet plannen voor uitfaseren third-party cookies in de ijskast

Google heeft recentelijk aangekondigd dat het bedrijf toch niet doorgaat met het uitfaseren van third-party tracking cookies in Chrome. Eerder dit jaar startte Google met het vragen aan gebruikers om de zogenaamde Privacy Sandbox in te schakelen, een vermeend privacyvriendelijk trackingsysteem. Het idee was dat Google de controle zou nemen en de tracking binnen de Chrome-browser zou doen, in plaats van persoonsgegevens aan honderden externe adverteerders door te geven. Hoewel dit een positieve verandering voor gebruikers had kunnen zijn, wordt het geen realiteit.

De meest waarschijnlijke reden voor deze koerswijziging is dat onderhandelingen met toezichthouders niet succesvol zijn geweest. De vrees bestond dat Google te machtig zou worden als adverteerders uit Chrome zouden worden geweerd. In het verleden hebben deze zorgen ertoe geleid dat Google de implementatie van de Privacy Sandbox meerdere keren heeft uitgesteld voordat het bedrijf zijn plannen volledig heeft laten varen.

Wat er nu gaat gebeuren is onduidelijk, maar een kleine zin in het persbericht van Google zou kunnen wijzen op de volgende stappen van het bedrijf. Google schrijft: “In plaats van third-party cookies af te schaffen, zouden we een nieuwe ervaring in Chrome introduceren waarmee mensen een weloverwogen keuze kunnen maken die van toepassing is op hun webbrowsen.” Dit zou kunnen betekenen dat Google in een vergelijkbare richting wil gaan als Apple met zijn App Tracking Transparency (ATT), waarbij gebruikers expliciet toestemming moeten geven voor tracking door externe partijen.

AP:  gebruik van AI-chatbots kan leiden tot datalekken

De Autoriteit Persoonsgegevens (AP) waarschuwt voor de risico’s van het gebruik van AI-chatbots, zoals ChatGPT en Copilot, op de werkvloer. Hoewel deze digitale assistenten tijdbesparend kunnen zijn, kunnen ze ook leiden tot datalekken wanneer medewerkers er persoonsgegevens van bijvoorbeeld patiënten of klanten in invoeren.

De bedrijven achter de chatbots slaan vaak alle ingevoerde gegevens op, waardoor deze op hun servers terechtkomen zonder medeweten van de betrokkenen. Dit kan een schending van de privacy betekenen, vooral bij gevoelige gegevens zoals medische informatie.

De AP ontving meldingen van datalekken waarbij medewerkers, soms tegen de afspraken in, persoonsgegevens hadden ingevoerd in AI-chatbots. In een geval ging het om een medewerker van een huisartsenpraktijk die medische gegevens van patiënten had ingevoerd in een AI-chatbot. 

Organisaties moeten duidelijke afspraken maken met hun medewerkers over het gebruik van deze tools en aangeven welke gegevens wel en niet mogen worden ingevoerd. Als er toch een datalek ontstaat doordat een medewerker tegen de afspraken in persoonsgegevens lekt via een chatbot, is een melding aan de AP en de betrokkenen vaak verplicht. Organisaties moeten zich bewust zijn van de risico’s en passende maatregelen nemen om de privacy van betrokkenen te beschermen.

Meta onder druk van EC vanwege ‘Pay or OK’-systeem

In een recente ontwikkeling heeft de Europese Commissie de druk op Meta opgevoerd met betrekking tot het controversiële ‘Pay or OK’-systeem. Het Consumer Protection Cooperation Network (CPC) heeft een brief gestuurd aan Meta, waarin bezorgdheid wordt geuit over mogelijke schendingen van de Europese consumentenwetgeving.

Deze actie volgt op eerdere bevindingen van de European Data Protection Board (EDPB) en de Europese commissie, die stelden dat Meta mensen niet kan dwingen een maandelijkse vergoeding te betalen als ze niet willen worden gevolgd en dat het systeem in strijd is met de Digital Markets Act.

Het CPC heeft vier belangrijke praktijken van Meta geïdentificeerd die aanleiding geven tot zorg en mogelijk in strijd zijn met de Unfair Commercial Practices Directive (UCPD) en de Unfair Contract Terms Directive (UCTD). Deze praktijken omvatten het misleiden van consumenten door de term “gratis” te gebruiken voor de op tracking gebaseerde versie van de diensten, het verwarren van gebruikers door een onduidelijke gebruikersinterface, het gebruik van onnauwkeurige termen en taal, en het onder druk zetten van consumenten om onmiddellijk een keuze te maken zonder voldoende tijd en gelegenheid om de gevolgen te beoordelen.

Meta heeft tot 1 september 2024 de tijd om te reageren op de brief en oplossingen voor te stellen. Als het bedrijf niet de nodige stappen onderneemt, kunnen nationale CPC-autoriteiten handhavingsmaatregelen nemen. Deze ontwikkeling onderstreept de toenemende druk op Meta om zijn praktijken met betrekking tot gegevensprivacy en consumentenbescherming te herzien en aan te passen aan de Europese regelgeving.

Privacyproof werken boa-werkgevers verbeterd, maar nog niet op orde

De Autoriteit Persoonsgegevens (AP) heeft voor de tweede keer de rapportages van boa-werkgevers beoordeeld en geconstateerd dat de naleving van de Wet politiegegevens (Wpg) nog niet voldoende op orde is. Toch is er een verbetering te zien vergeleken met vorig jaar. Boa-werkgevers, zoals gemeenten, vervoersbedrijven en natuurbeheerders, zijn verantwoordelijk voor het toezicht op het werk van hun boa’s en moeten elke 4 jaar een externe audit laten uitvoeren.

Het registreren van persoonsgegevens door boa’s kan grote gevolgen hebben voor individuen, zoals het opmaken van een proces-verbaal met speciale bewijskracht in het strafrecht of het beïnvloeden van een aanvraag voor een Verklaring Omtrent het Gedrag (VOG). Onjuiste of onzorgvuldige omgang met deze informatie kan ertoe leiden dat iemand ten onrechte geen VOG kan krijgen.

Eind 2025 vindt de volgende externe audit plaats, waarbij de AP verwacht dat boa-werkgevers volledig conform de Wpg omgaan met persoonsgegevens. Indien organisaties hieraan niet voldoen, kan de AP handhavende maatregelen opleggen. Bestuurslid Katja Mur van de AP benadrukt het belang van vertrouwen in de gegevensverwerking door boa’s en verwacht dat boa-werkgevers bij de volgende audit aantonen dat ze hun zaken volledig op orde hebben.

X onder vuur vanwege gebruik gebruikersdata voor training chatbot Grok

Het socialmediaplatform X heeft in een Ierse rechtbank toegezegd voorlopig geen data van gebruikers in de Europese Unie te gebruiken voor het trainen van zijn AI-chatbot Grok. Deze toezegging geldt voor data verzameld tussen 7 mei en 1 augustus. X wil eerst alle EU-gebruikers de kans geven om toestemming voor het gebruik van hun openbare berichten in te trekken via de privacyinstellingen.

De Ierse Data Protection Commission (DPC) had een rechtszaak aangespannen tegen X, omdat het platform zonder overleg was begonnen met het verzamelen van gebruikersdata voor AI-training. De DPC eiste dat X het verzamelen van data voor dit doel zou beperken of stopzetten. X noemde deze eis ‘onterecht’ en stelde juist ‘transparant’ te zijn geweest over zijn AI-plannen. De rechter merkte op dat X op 7 mei startte met dataverzameling, maar pas vanaf 16 juli geleidelijk een afmeldmogelijkheid aanbood.

Delen: