Regering overweegt verbod op het gebruik van AI-software door ambtenaren

De Nederlandse regering overweegt een verbod op het gebruik van AI-software door ambtenaren vanwege privacy- en auteursrechtenrisico’s. Het voorstel heeft betrekking op niet-gecontracteerde AI-programma’s en is gebaseerd op juridisch advies. Tegelijkertijd zoekt de overheid naar manieren om AI op een veilige manier te gebruiken en overweegt ze training voor ambtenaren en uitgebreidere richtlijnen voor AI-gebruik.

Staatssecretaris Alexandra van Huffelen (Digitale Zaken) heeft plannen aangekondigd om ambtenaren binnen de overheid tijdelijk te verbieden om gebruik te maken van AI-software, zoals Juridische ChatBot, vanwege de huidige risico’s op het gebied van privacy en auteursrechten.

Het voorgenomen verbod heeft betrekking op AI-programma’s die in staat zijn om teksten, afbeeldingen, audio of video’s te genereren, zoals chatbots zoals ChatGPT en Bard, of afbeeldingsgeneratoren zoals Dall-E.

De Autoriteit Persoonsgegevens (AP), concludeert dat “niet-gecontracteerde generatieve AI-toepassingen over het algemeen niet voldoen aan de Nederlandse wetgeving op het gebied van privacy en auteursrecht.”

AI-toepassingen waarbij de overheid wel een contract aangaat met een leverancier zouden niet onder dit brede verbod vallen.

Staatssecretaris Alexandra van Huffelen wijst erop dat het “onduidelijk” is of aanbieders zoals ChatGPT voldoende aandacht besteden aan de rechten van auteurs. De taalmodellen achter programma’s zoals ChatGPT en Bard zijn getraind met grote hoeveelheden teksten, waaronder krantenarchieven en auteursrechtelijk beschermde boeken. Dit geldt ook voor generatieve-AI.

“Transparantie ontbreekt vaak,” zegt de Staatssecretaris over veel aanbieders. Daarnaast ontbreekt er nog een duidelijke juridische uitspraak over het gebruik van openbare internetbronnen voor dit doel.

Privacy

Privacy is ook een zorgpunt: “Een generatieve AI-toepassing kan zeer gevoelige informatie afleiden uit de interactie met de gebruiker.” Tot slot wijst de staatssecretaris op een fundamenteel gevaar dat samenhangt met het gebruik van AI: de antwoorden van een programma zoals ChatGPT “kunnen worden gebruikt om beslissingen over een persoon te nemen.”

De nota zal binnenkort worden besproken in de ministerraad. Als deze wordt goedgekeurd, zal het verbod gelden voor overheidsdiensten en hun leveranciers.

Veilig en verantwoord Tegelijkertijd ziet Van Hees ook mogelijkheden voor het nuttige gebruik van generatieve AI binnen de overheid, maar dan wel op een veilige manier. Dit moet worden bereikt via verschillende experimenten. Deze pilotprojecten moeten halverwege volgend jaar zijn afgerond, waarna er richtlijnen zullen worden opgesteld voor het verantwoorde gebruik van AI door overheidsorganisaties. Daarnaast komt er een opleidingsprogramma voor ambtenaren en een uitgebreidere visie op AI. Deskundigen waarschuwen al geruime tijd dat organisaties vaak te lichtvaardig denken over het gebruik van programma’s zoals ChatGPT. Professionals voeren bijvoorbeeld vertrouwelijke stukken in om deze te laten samenvatten of vertalen, zonder dat altijd duidelijk is wat het techbedrijf precies doet met die informatie. Bij diensten zoals ChatGPT is er ook een extra zorgpunt, aangezien ambtenaren verplicht zijn om in te loggen met hun e-mailadres, waardoor eenvoudig kan worden achterhaald wie vragen stelt aan de systemen.

‘Nederland kan achterop raken’
Sander Klous, hoogleraar datatechnologie aan de Universiteit van Amsterdam, erkent de genoemde risico’s in de nota, maar een algeheel verbod gaat hem te ver: “Er zijn zoveel nuances in AI-toepassingen dat het beter is om het gebruik te beperken op basis van reële risico’s in plaats van alles direct te verbieden.” Een breed verbod zou Nederland ook in een achterstandspositie kunnen plaatsen ten opzichte van landen die ruimer gebruikmaken van generatieve AI, waarschuwt de hoogleraar. Een woordvoerder van het ministerie van Binnenlandse Zaken, waar Juridische Zaken onder valt, laat weten dat het ministerie de ontwikkelingen op het gebied van generatieve AI nauwlettend volgt, maar wil geen commentaar geven op het conceptvoorstel en kan ook niet aangeven wanneer dit eventueel in de ministerraad zal worden besproken.

Wilt u meer weten over dit onderwerp, stel een vraag aan advocaten.nl of bel met 0900-advocaten.

€ 750.000 Boete Voor Tiktok Wegens Privacy-Schending Kinderen

Kinderen worden als extra kwetsbare groep gezien in de wetgeving. Zij zijn zich minder bewust van de gevolgen van hun handelen. Juist ook bij de verwerking van hun persoonsgegevens door sociale media. Daarom krijgen kinderen extra bescherming van de privacywet

Enkele miljoenen Nederlanders, de meesten kinderen, gebruiken TikTok. Ze maken korte filmpjes over zichzelf en delen die op het platform van TikTok

De privacywetgeving legt internetplatforms beperkingen op bij het verzamelen en gebruiken van gegevens van de gebruikers. Ze moeten de gebruikers duidelijk en volledig informeren over het gebruik van hun gegevens.

Gebruikers van platforms als TikTok zijn vaak zeer jong (50 procent van de TikTok-gebruikers zijn jonger dan 17), en de wijze van informeren dient te zijn afgestemd op de aard van de gebruikers. Sinds enige informeert het platform gebruikers in de Nederlandse taal, maar voorheen gebeurde dat alleen in de Engelse taal. Omdat er twijfel kan bestaan of kinderen Engels begrijpen was de vraag aan de orde of TikTok daarmee de privacy regels heeft overtreden.

De Autoriteit Persoonsgegevens (AP) startte daarom in 2020 een onderzoek naar de Chinese app, omdat er twijfel was of jonge kinderen begrepen hoe de app hun persoonsgegevens verzamelde, verwerkte en verder gebruikte. Het ging in dit geval dus niet om het verzamelen en gebruiken zelf, maar om de uitleg die daarbij dient te worden verstrekt.

De AP heeft vastgesteld dat in dit specifieke geval voor deze doelgroep een uitleg in de Engels taal onvoldoende is om e voldoen aan de informatieplicht.
“Kinderen worden als extra kwetsbare groep gezien in de wetgeving. Zij zijn zich minder bewust van de gevolgen van hun handelen. Juist ook bij de verwerking van hun persoonsgegevens door sociale media. Daarom krijgen kinderen extra bescherming van de privacywet”: aldus de AP in een bericht van 22 juli 2021.

De AP heeft op grond daarvan een boete van € 750.000,- opgelegd aan TikTok, waartegen beroep is aangetekend. Overigens wordt het onderzoek door de AP van Nederland overgedragen aan Ierland, omdat na de start van het onderzoek het hoofdkantoor in Ierland is gevestigd. Volgens de regels is dan de Ierse privacy autoriteit bevoegd geworden een oordeel te geven.

Ook de Nederlandse Consumentenbond is bezig met een zaak tegen TikTok. Dit betreft dan schending van de privacywetgeving door  onrechtmatig gebruik van gegevens van kinderen, door die te gebruiken om gerichte te adverteren. Dit is in strijd met de Algemene Verordening Gegevensbescherming (AVG) die bepaalt dat kinderen daartegen beschermd dienen te worden. Volgens de Consumentenbond heeft TikTok die wet overtreden, en daarmee veel geld verdiend.

Meer informatie over datalekken en privacyschendingen, mail aan info@advocaten.nl of stel een vraag

Algemene Verordening Gegevensbescherming

De AVG dient ter bescherming van een persoon tegen onnodige opslag en verstrekking van zijn persoonsgegevens door derden, waaronder medische gegevens.

Crediteur moet bij schikking zijn positie kunnen bepalen, privacybelang debiteur is niet absoluut

De Europese Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van toepassing. Deze inwerkingtreding heeft terecht veel aandacht gekregen. De AVG dient ter bescherming van een persoon tegen onnodige opslag en verstrekking van zijn persoonsgegevens door derden, waaronder medische gegevens.

Uitzonderingen op de regel
Bij dergelijke bijzondere persoonsgegevens geldt in beginsel een verwerkingsverbod, met een aantal uitzonderingen. Bijvoorbeeld indien de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer doeleinden. Of ook als de verwerking betrekking heeft op persoonsgegevens die door de betrokkene openbaar zijn gemaakt. Verwerking is ook toegestaan indien dat noodzakelijk is voor de uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid.

De casus: een schikkingsaanbod
Dan komt het in een rechtszaak tot een concrete vraag: een crediteur (bank) weigert het aanbod tot schuldregeling van een debiteur. Want de bank kon niet goed beoordelen of het schikkingsaanbod het maximaal haalbare was: de (kennelijk beperkte) verdiencapaciteit van de debiteur werd onderbouwd met medische gegevens die de schuldhulpverleningsorganisatie wel kende, maar weigerde te verstrekken aan de bank met een beroep op de privacy. Pas bij de dwangakkoordzitting bij de rechtbank wordt de informatie verstrekt. Wat oordeelt de Rechtbank?

Persoonlijke afweging schuldenaar: privacybelang en belang akkoord
Als de informatie een medisch karakter heeft, komt het recht op privacy van een schuldenaar in het geding. Zijn gemachtigde moet behoedzaam met de privacybelangen omspringen. Maar een schuldeiser moet wel in staat worden gesteld om een onderbouwde beslissing te nemen op een akkoord. Een schuldeiser mag rekenen op concrete informatie als die dient ter onderbouwing van de stelling dat verdiencapaciteit ontbreekt. Als een schuldenaar een akkoord wenst met zijn schuldeisers, dient hij een persoonlijke afweging te maken of het belang bij een akkoord opweegt tegen zijn belang bij privacy. Meestal zal het niet noodzakelijk zijn dat een schuldenaar een volledig medisch dossier of een rapportage verstrekt. De enkele mededeling dat er medische beperkingen zijn die de arbeidscapaciteit bemoeilijken acht de rechtbank niet voldoende om een schuldeiser te overtuigen dat het akkoord aantrekkelijk is. De gemachtigde zou (met toestemming van een schuldenaar) kunnen volstaan met de vermelding wat de aard van de beperking is, dat de beperking een structureel karakter heeft, hetgeen blijkt uit medische rapportage.

Informatie niet verstrekken heeft consequenties
Een debiteur die dus blijft weigeren om informatie over te leggen met een beroep op privacy staat op zichzelf in zijn recht om die gegevens niet te verstrekken, maar kan zich dus niet erover verbazen dat een crediteur dan weigert om (gebrekkig ingelicht) in te stemmen met een akkoord. Uiteindelijk komt de informatie pas tijdens de zitting. De rechtbank acht voldoende aannemelijk gemaakt dat het voorstel het maximaal haalbare is. De bank heeft ter zitting kennis genomen van de medische achtergrond en heeft verklaard dat de gegevens voldoende onderbouwen dat men kennelijk onvoldoende in staat is om meer te verdienen. De crediteur sluit niet uit dat zij met het akkoord had ingestemd, als de schuldhulpverlener deze informatie eerder had verstrekt. De rechtbank acht aannemelijk dat de schuldeisers meer is aangeboden dan hetgeen zij zonder akkoord op langere termijn zouden kunnen krijgen. Afwijzing van het verzoek zou de overige schuldeisers die reeds hebben ingestemd nadelig treffen in hun financiële belang. Dus dient het belang van de debiteur en dat van de schuldeisers die hebben ingestemd, zwaarder te wegen dan het belang van de bank. De rechtbank beveelt de bank om mee te werken aan het aangeboden akkoord.

Baas mag privécommunicatie medewerkers alleen na melding inzien

Werkgevers mogen de privécommunicatie van hun medewerkers alleen in de gaten houden, als zij hier van tevoren een melding over krijgen.

Dat heeft de Grote Kamer van het Europees Hof voor de Rechten van de Mens (EHRM) recent bepaald. Het Hof doet zijn uitspraak in een langlopende zaak die werd aangespannen door de Roemeen Bogdan Mihai Bărbulescu. Hij werd in 2007 ontslagen, nadat zijn werkgever had opgemerkt dat hij privégesprekken had gevoerd via Yahoo Messenger.

De Roemeen vond dat zijn privacy werd geschonden door de werkgever. Bij nationale rechtbanken kreeg hij echter ongelijk, waarna hij in 2008 naar het EHRM stapte.

Daar ving Bărbulescu in eerste instantie ook bot. Artikel 8 van het Europees Verdrag voor de Rechten van de Mens, dat een recht op respect voor privé- en familieleven garandeert, werd niet geschonden, zo oordeelde het Hof vorig jaar. Het was redelijk dat de werkgever van Bărbulescu privécommunicatie bekeek in de context van een onderzoek naar tijdverspilling op zijn werk, stelden de rechters toen.

Notificatieplicht

In beroep besloot de Grote Kamer van het Hof echter dat de privacy van Bărbulescu wel degelijk is geschonden, omdat hij geen bericht kreeg over het monitoren van zijn privécorrespondentie. Zo’n notificatie is wel verplicht om de privacyschending te rechtvaardigen, stelt het Hof dinsdag. In de Grote Kamer vonden elf rechters dat er sprake was van een ongeoorloofde privacyschending, terwijl zes rechters het daar niet mee eens waren.

In zijn uitspraak bepaalt het Hof verder dat rechtbanken die toetsen of een privacyschending door een werkgever gerechtvaardigd is, moeten onderzoeken of er goede redenen voor de schending waren. Ook moet het duidelijk zijn dat er geen minder indringende maatregelen beschikbaar waren.

Tegen de uitspraak van de Grote Kamer is geen beroep meer mogelijk. Daardoor zullen alle lidstaten van de Raad van Europa, waaronder alle EU-landen, voortaan een notificatieplicht voor het doorzoeken van privécommunicatie door werkgevers moeten handhaven.

Bron: Nu.nl

meldplicht datalekke: wat betekent dit voor u?

Per 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij het College Bescherming Persoonsgegevens (CBP) zodra zij een ernstige datalek hebben.

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie, zonder dat dit de bedoeling is van deze organisatie. Er is sprake van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

Treedt er bij uw organisatie een ernstig datalek op, dan bent u verplicht om een melding te doen bij het CBP. In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Wanneer u ten ontrechte een datalek niet meldt bij het CBP, dan kan het CBP u een boete geven. De maximale boete is € 810.000,-.

U kunt nu al preventieve maatregelen treffen. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. De Wbp geeft aan dat ze hiervoor passende technische en organisatorische maatregelen moeten nemen. Dit houdt in dat organisaties moderne techniek moeten gebruiken om persoonsgegevens te beveiligen. En dat ze niet alleen naar de techniek kijken, maar ook naar hoe ze als organisatie met persoonsgegevens omgaan. Wie heeft er bijvoorbeeld toegang tot welke gegevens?

Daarnaast kunt u bijvoorbeeld:

  • een goed incidentenbeheer inrichten;
  • beslissen wie in de organisatie datalekken gaat beoordelen en melden bij  het CBP;
  • nadenken over hoe u de betrokkenen gaat informeren bij een datalek;
  • nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken;
  • afspraken met uw bewerkers controleren.

Elke ondernemer krijgt met deze wet te maken, omdat in elke onderneming of bedrijf data zijn opgeslagen die privacy gevoelig zijn. Denk maar aan personeelsadministratie en ziekteverzuimregistratie. Daarnaast zullen accountants, notarissen, advocaten maar ook medici de komende periode nog kritischer moeten kijken naar de beveiliging van hun netwerk. De gegevens van hun cliënten zijn per definitie privacygevoelig en vallen ook onder het beroepsgeheim. Het hebben van een extern ICT bedrijf dat service en onderhoud verricht, ontslaat de ondernemer niet van zijn verantwoordelijkheid. Het is dus zaak om de overeenkomst met de ICT, inclusief eventueel de algemene voorwaarden, na te kijken op het aspect beveiliging en zo nodig een aanvullende overeenkomst op te stellen, waarin duidelijk staat dat het ICT instaat voor de goede beveiliging van het bedrijfsnetwerk. Daarbij is het gebruik van virusscanner, firewall en regelmatige update van beveiligingssoftware vereist. Een Window XP besturingssysteem is dan ook definitief exit.

Dan zijn we er nog niet. Ook het eigen personeel moet duidelijk worden gemaakt dat recreatief surfen onder werktijd en het klakkeloos gebruik van USB sticks van onbekende herkomst fatale gevolgen kan hebben. En dan gaan we er maar vanuit dat het wachtwoord bij het inloggen ‘sterk’ is en regelmatig wijzigt. Er is nog veel te doen, want er blijken nog genoeg wachtwoorden met Admin, welkom01 of de naam van een huisdier te worden gebruikt.

Bron: Actuele artikelen

oplossing voor cookies die gegevens verzamelen

cookies die gegevens verzamelen

Websites hoeven bezoekers binnenkort geen toestemming meer te vragen voor ‘first party analytische cookies’. Het gaat dan om cookies waarmee uitsluitend anoniem gemaakte gegevens worden verzameld over bezoekers van de eigen website. Minister Kamp van Economische Zaken schrijft in een brief aan de Tweede Kamer dat daarvoor ruimte is binnen de cookiewet. Voorwaarde is wel dat de privacy van bezoekers van websites niet in het geding mag zijn. De via de first party analytische cookies verzamelde gegevens mogen ook niet worden gedeeld met derden.

. . . lees verder op Internet

instemmingsrecht OR wordt vaak omzeild

ondernemingsraad vaak buitenspel

Volgens de Wet op de ondernemingsraden mag een directeur geen personeelsregeling instellen of wijzigen zonder uitdrukkelijke instemming van de ondernemingsraad. Het gaat dan bijvoorbeeld om regelingen op het gebied van vakantie, werktijden, arbeidsomstandigheden, beoordeling, opleidingen en privacy. Uit onderzoek blijkt echter dat bijna 40% van de ondernemingsraden niet alle instemmingsverzoeken krijgt die de raad wel zou moeten krijgen.

Van de gemiddeld zes keer per jaar dat een ondernemingsraad haar instemming zou moeten geven met een wijziging in de personeelsregeling, gebeurt dit slechts vijf keer. Een op de zes keer wordt de OR dus omzeild.

In 2011 heeft 92% van de ondernemingsraden een of meer instemmingsverzoeken gekregen van de bestuurder, 8% van de ondernemingsraden heeft dus geen enkel instemmingsverzoek ontvangen. In kleinere organisaties, tot 100 werknemers, heeft zelfs 17% geen instemmingsverzoek gehad.         

. . . lees verder op Internet

Beelden bewakingscamera’s sneller openbaar

Na aangifte kunnen beelden van bewakingscamera’s straks sneller worden gebruikt voor opsporing. Dit staat in een wetsvoorstel van staatssecretaris Teeven (VenJ) waarmee de ministerraad heeft ingestemd. Nu is voor het openbaar maken van deze beelden nog een langdurige en omslachtige procedure nodig.

Burgers en bedrijven mogen straks, nadat ze aangifte hebben gedaan en na toestemming van justitie, zelf beelden van bewakingscamera’s verspreiden. Openbaarvervoerbedrijven, decentrale overheden en voor het publiek toegankelijke instellingen kunnen de beelden behalve op internet ook op bijvoorbeeld billboards plaatsen.

. . . lees verder op Internet