Juridisch Nieuws nr. 77 – november 2024. 

Kunstmatige intelligentie als werkinstrument: welk raamwerk is nodig?

Het gebruik van AI op de werkvloer neemt tegenwoordig explosief toe, vaak zonder dat er van tevoren over nagedacht is en zonder dat de werkgever precies weet hoe zijn werknemers de nieuwe tools gebruiken.

Of het nu gaat om de inmiddels klassieke taalmodellen zoals ChatGPT, of om tools waarmee je een grafisch ontwerp kunt maken (Canva), gegevens van het web kunt extraheren (Browse AI) of automatisch aantekeningen kunt maken tijdens een vergadering (Fireflies), de mogelijkheden zijn eindeloos.

Volgens een IFOP-studie in opdracht van Learnthings uit december 2023 heeft bijna een op de vier werknemers al eens een tool voor kunstmatige intelligentie gebruikt in een professionele context, en van hen deed meer dan de helft (55%) dit zonder hun manager te informeren.

Het is echter essentieel om te begrijpen hoe deze tools intern worden gebruikt om te voldoen aan het toepasselijke wettelijke kader, en met name aan de Europese regelgeving inzake kunstmatige intelligentie en de AVG.

Verschillende instanties, waaronder ANSSI en CNIL, hebben aanbevelingen gepubliceerd om het bewustzijn onder professionele gebruikers te vergroten. Hieronder volgen de belangrijkste punten:

Implementatie van een AI-handvest binnen het bedrijf om

• Geef een lijst van de toegestane gereedschappen;
• Breng deze instrumenten in kaart op basis van de risico's, in overeenstemming met de AI-regelgeving;
• Het reguleren van systemen met een hoog risico (bijv. beroepsopleiding en werving en selectie, waar het gebruik van AI het risico met zich meebrengt van "automatisering van discriminatie").

Organiseer een sociale dialoog.Raadpleeg de CSE en pas de interne werkregels aan om deze regels intern afdwingbaar te maken.

Het waarborgen van de gegevensbeveiliging Het verstrekken van persoonsgegevens aan een AI-systeem (bijvoorbeeld klant- of werknemersgegevens), of gevoelige of strategische documentatie, kan aanzienlijke gevolgen hebben voor de vertrouwelijkheid.

Bovendien kan het gebruik van een dergelijk systeem de integriteit van het informatiesysteem waarmee het verbonden is, aantasten.

De CNIL adviseert prioriteit te geven aan de implementatie van "on-site" oplossingen die de risico's van gegevensonttrekking door een derde partij beperken.

Hoewel het gebruik van een cloudgebaseerd systeem wellicht voordeliger is, is een onderaannemingsovereenkomst nodig waarin de verschillende verantwoordelijkheden en de geautoriseerde toegang tot de verwerkte gegevens worden gespecificeerd. 

In dit geval wordt aangeraden de verstrekking van persoonsgegevens aan het AI-systeem te beperken.

Om te trainen en het bewustzijn te vergroten. Eindgebruikers dienen deze beste werkwijzen te volgen:

• Verstrek alleen gegevens die u bevoegd bent te delen, in principe met uitzondering van vertrouwelijke gegevens;
• Controleer de nauwkeurigheid en kwaliteit van de door het systeem gegenereerde gegevens, de afwezigheid van plagiaat en het risico op discriminatie;
• Reproduceer de systeemuitvoer niet exact zoals deze is, om een kritische blik te behouden.

Het waarborgen van transparantie in de verwerking.met name die systemen die geautomatiseerde beslissingen genereren met betrekking tot werknemers en derden buiten het bedrijf.

Bestuursstructuur opzetten : wijs de functionaris voor gegevensbescherming (DPO), een commissie of een referent (waarbij ook de CISO betrokken is) aan om eindgebruikers een aanspreekpunt te bieden voor het aankaarten van ethische kwesties of problemen en om te controleren of de regels worden nageleefd.

Naast de sancties die de AVG en de AI-regelgeving voorschrijven, is de vaststelling van een duidelijk kader ook een sociale en ethische kwestie, in het belang van zowel mensen binnen als buiten het bedrijf.

 

        

De CNIL publiceert een actieplan ter ondersteuning van de spelers in de Zilveren Economie, een sector die zich richt op activiteiten ten behoeve van senioren.

Ze wijst erop dat er in 2060 naar schatting 24 miljoen senioren in Frankrijk zullen wonen en dat "de aard van de verwerkte gegevens en de targeting op basis van leeftijd aanzienlijke vragen oproept met betrekking tot gegevensbescherming."

Het is de bedoeling om het compliancepakket (factsheets, aanbevelingen, enz.) te actualiseren en stelt een nieuwe "sandbox" voor ter ondersteuning van drie innovatieve projecten in deze sector.

Op 18 november kondigden de CNIL en de DGCCRF de ondertekening aan van een nieuw samenwerkingsprotocol ter actualisering van de overeenkomst uit 2011.

De twee instanties versterken hun samenwerking en ontwikkelen nieuwe mogelijkheden voor het delen van informatie om zich aan te passen aan veranderingen in de wetgeving en de economische uitdagingen van het digitale tijdperk.

In een publicatie van 19 november herhaalt de CNIL de beginselen van gegevensbescherming die van toepassing zijn op het gebruik van camera's in het passagierscompartiment van vrachtwagens en benadrukt zij dat de werkgever alle noodzakelijke maatregelen moet nemen om de naleving van dergelijke camera's te waarborgen vóór de installatie ervan.

Op 25 november publiceerde de CNIL een reeks tips om uw gegevens te beschermen bij interactie met een spraakassistent.

Een werknemer die opdrachten uitvoert die in strijd zijn met de AVG, stelt zich bloot aan strafrechtelijke aansprakelijkheid, zelfs als hij handelt in opdracht van zijn werkgever.

Bij de strafrechtbank in Nantes heeft de officier van justitie een boete van 6.000 euro geëist, waarvan 3.000 euro voorwaardelijk, tegen een medewerker van een IT-onderaannemingsbedrijf. De medewerker wordt ervan beschuldigd in opdracht van zijn baas een afluisterapparaat te hebben geïnstalleerd bij een van zijn klanten.

De officier van justitie eist een voorwaardelijke gevangenisstraf van 9 maanden en een boete van €30.000 voor de baas.

In een uitspraak van 21 november 2024 bekrachtigde het Hof van Beroep van Parijs het vonnis van 23 juli 2021 van de arbeidsrechtbank van Meaux: een privégesprek via Messenger, dat aanvankelijk niet bedoeld was om openbaar te worden gemaakt, kan niet worden beschouwd als een schending van de contractuele verplichtingen van een werknemer en een disciplinair ontslag op dergelijke gronden kan niet rechtmatig worden gerechtvaardigd.

Het Hof baseert zich op een uitspraak van het Hof van Cassatie van 22 december 2023 over hetzelfde onderwerp.

Deze redenering geldt zelfs als, zoals in dit geval, de werkgever niet had geprobeerd toegang te krijgen tot deze informatie: tijdens de afwezigheid van een werknemer had hij haar gevraagd haar identificatiegegevens te verstrekken zodat haar collega's toegang konden krijgen tot haar professionele documenten, en de berichten verschenen toen het gesprek automatisch op het scherm werd geopend.

 

Europese instellingen en organen

Het Europees Comité voor gegevensbescherming (EDPB) roept op tot het indienen van reacties op zijn richtlijnen met betrekking tot artikel 48 van de AVG.

De richtlijnen hebben betrekking op verzoeken om directe samenwerking tussen een overheidsinstantie van een derde land (zoals banktoezichthouders, belastingautoriteiten, wetshandhavingsinstanties of nationale veiligheidsdiensten) en een particuliere entiteit van de Europese Unie (EU).

Reacties kunnen worden ingediend tot en met 27 januari 2025.

Het Europees Comité voor digitale technologie (EDPB) heeft begin december ook een verklaring aangenomen met betrekking tot het tweede rapport van de Europese Commissie over de toepassing van de AVG, waarin het het belang van consistentie tussen digitale wetgeving en de AVG benadrukt.

Het Europees Comité voor gegevensbescherming (EDPB) zal de productie van content voor niet-deskundigen, waaronder kleine en middelgrote ondernemingen, intensiveren en onderstreept de noodzaak van extra financiële en menselijke middelen om gegevensbeschermingsautoriteiten te helpen bij het omgaan met steeds complexere uitdagingen en de behoefte aan nieuwe vaardigheden, waaronder op het gebied van kunstmatige intelligentie (AI).

De overwinning van de anti-EU-oppositiekandidaat in de eerste ronde van de Roemeense presidentsverkiezingen op 24 november heeft gevolgen op Europees niveau.

Hoewel het Constitutioneel Hof van het land deze eerste ronde zojuist ongeldig heeft verklaard na de openbaarmaking van nationale inlichtingendocumenten waaruit een grootschalige operatie op TikTok ten gunste van deze kandidaat bleek, heeft de Europese Commissie op 29 november een officieel informatieverzoek bij het bedrijf ingediend op grond van de Digital Services Act (DSA).

Op 28 november heeft het AI-comité van de Raad van Europa een methodologie (HUDERIA) aangenomen voor het beoordelen van de risico's en gevolgen van AI-systemen vanuit het perspectief van mensenrechten, democratie en de rechtsstaat.

Deze methodologie kan door publieke en private actoren worden gebruikt om deze risico's en gevolgen gedurende de gehele levenscyclus van AI-systemen te identificeren en aan te pakken.

Medio november publiceerde het Digital Freedom Fund, als onderdeel van het digiRISE-project, een uitgebreide database over collectieve rechtsvordering in Europa. Deze database is bedoeld om collectieve actie te bevorderen ter verdediging van digitale rechten onder het Handvest van de grondrechten van de EU.

Het document bevat informatie over hoe tien EU-lidstaten collectieve compensatiemechanismen hebben geïmplementeerd: er zijn nationale rapporten, een vergelijkend rapport en een vergelijkingsinstrument beschikbaar om overeenkomsten en verschillen tussen de onderzochte rechtsgebieden te ontdekken.

Ook op het gebied van collectieve schadevergoeding geeft de ngo NOyB aan dat zij nu erkend is als een "gekwalificeerde entiteit" om collectieve schadevergoedingsprocedures voor te leggen aan EU-gerechtshoven.

Dergelijke actie op grond van Richtlijn (EU) 2020/1828 kan een "bevel" of een "herstelmaatregel" zijn.

Deze wetten bieden duizenden gebruikers de mogelijkheid om vertegenwoordigd te worden en bijvoorbeeld immateriële schadevergoeding te eisen wanneer hun persoonsgegevens onrechtmatig zijn verwerkt.

In tegenstelling tot Amerikaanse collectieve rechtszaken, vereist de Europese wetgeving dat deze rechtszaken worden aangespannen voor niet-winstgevende doeleinden.

Meta herziet opnieuw haar plannen voor de distributie van gepersonaliseerde advertenties in de Europese Unie.

Deze wijziging vloeit voort uit het standpunt van EU-toezichthouders, die van mening waren dat het "toestemming of betaling"-advertentiesysteem dat aan Europese gebruikers van Facebook en Instagram werd aangeboden, in strijd was met de AVG en de Verordening inzake digitale markten (DMA).

Het nieuwe aanbod omvat een advertentievrij abonnement tegen een gereduceerd tarief, en introduceert tevens een gratis model waarbij met toestemming "minder gepersonaliseerde advertenties" worden weergegeven.

Max Schrems, die diverse rechtszaken tegen Meta heeft aangespannen, verklaarde: "Over het algemeen lijkt dit weer een poging om de Europese wetgeving te negeren (...) gebruikers moeten een echte keuze hebben tussen advertenties die hun persoonlijke gegevens gebruiken en advertenties die dat niet doen."

 

Nieuws uit de lidstaten van de Europese Unie.

In Duitsland heeft het Bundesgerichtshof (BGH) een uitspraak van het Oberlandesgericht Keulen gedeeltelijk vernietigd. Het Oberlandesgericht Keulen had een vordering tot vergoeding van immateriële schade onvoldoende onderbouwd geacht.

De zaak betrof een datalek: in april 2021 werden de gegevens van ongeveer 533 miljoen Facebook-gebruikers openbaar gemaakt op internet.

Het Bundesgerichtshof (BGH) benadrukte dat, volgens de jurisprudentie van het Hof van Justitie van de EU, zelfs een eenmalig en tijdelijk verlies van controle over gegevens immateriële schade kan opleveren in de zin van artikel 82, lid 1, van de AVG.

De betrokkene hoeft geen concreet misbruik van zijn of haar persoonsgegevens aan te tonen.

Een Oostenrijkse rechtbank heeft geoordeeld dat een echtscheidingsadvocaat het versturen van videomateriaal waarop de buitenechtelijke affaire van de betrokkene te zien is, per e-mail aan de advocaat van de tegenpartij kan rechtvaardigen op grond van een gerechtvaardigd belang in de zin van artikel 6(1)(f) en 9(2)(f) van de AVG.

Een andere rechtbank oordeelde echter dat het belang van de ene echtgenoot om niet te worden opgenomen tijdens echtelijke ruzies in hun woning zwaarder woog dan het belang van de andere echtgenoot om die opnames te gebruiken in een echtscheidingsprocedure.

In België heeft de APD op 28 november het gebruik van identiteitskaarten als klantenkaarten afgekeurd: het bedrijf Freedelity, gespecialiseerd in het verzamelen van gegevens via elektronische identiteitskaarten (eID), had diverse artikelen van de AVG overtreden met betrekking tot de geldigheid van toestemming, de minimalisering van de gegevensverzameling en de bewaartermijn van gegevens.

Freedelity verzamelt eID-gegevens, met name via terminals die in partnerwinkels zijn geplaatst.

Deze gegevens worden vervolgens gedeeld en gesynchroniseerd met winkels die gebruikmaken van de diensten van de dienst, in geval van een update.

In Spanje kreeg The Phone House SL een boete van 6.500.000 euro van de APD (Autorité des Podemis des Podemis) voor het nemen van ontoereikende beveiligingsmaatregelen die een ransomware-aanval mogelijk maakten.

De aanval trof ongeveer 13 miljoen klanten, waarbij adressen, telefoonnummers, identiteitsdocumenten en bankgegevens openbaar werden gemaakt.

Posti, de Finse postdienst, kreeg op 13 november een boete van 2.400.000 euro opgelegd voor het toewijzen van e-mailaccounts aan klanten zonder hun uitdrukkelijke toestemming.

Klanten die diensten zoals het doorsturen van post aanvraagden, kregen automatisch een e-mailaccount toegewezen zonder de mogelijkheid om zich hiervoor af te melden.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft op 27 november een besluit genomen betreffende een licentieovereenkomst tussen OpenAI en uitgeverij GEDI.

De APD verzet zich tegen het gebruik van gerechtvaardigd belang als wettelijke grondslag voor de verwerking van persoonsgegevens voor AI-trainingsdoeleinden, ongeacht of de verwerking gevoelige gegevens betreft.

Volgens de APD moeten licentieovereenkomsten met betrekking tot redactionele content die wordt gebruikt voor AI-training, garanderen dat bij gebrek aan toestemming alle gebruikte persoonsgegevens worden verwijderd of geanonimiseerd.

Deze beslissing komt enkele weken voordat het Europees Comité voor gegevensbescherming (EDPB) zich over deze kwestie uitspreekt, naar verwachting eind december.

De Italiaanse Autoriteit voor Gegevensbescherming (APD) heeft ook het maaltijdbezorgbedrijf Foodinho, een dochteronderneming van de Glovo-groep, een boete van € 5.000.000 opgelegd vanwege talrijke en voortdurende schendingen van de AVG met betrekking tot de verwerking van persoonsgegevens van haar werknemers, waaronder het continu volgen van hun geolocatie en de geautomatiseerde toewijzing van diensten.

Op 11 november publiceerde de Nederlandse Autoriteit Persoonsgegevens (AP) een rapport waarin werd geconcludeerd dat een algoritme dat door het Uitvoerend Agentschap voor Onderwijs (EDA) werd gebruikt om fraude te bestrijden, discriminerend en illegaal was.

Het agentschap gebruikte dit algoritme om te controleren of studenten misbruik maakten van de beurs voor niet-ingezetenen.

Aan studenten werd een "risicoscore" toegekend, waarbij rekening werd gehouden met het type opleiding, de leeftijd en de afstand tussen het adres van de student en dat van hun ouders.

Deze criteria hadden geen objectieve rechtvaardiging en de minister van Onderwijs, Cultuur en Wetenschap die verantwoordelijk was voor het agentschap, gaf uiteindelijk toe dat het algoritme indirect discriminerend was jegens studenten met een migratieachtergrond.

In Polen heeft de APD een gegevensverwerker een boete van 353.589 PLN (€82.000) opgelegd wegens onvoldoende beveiligingsmaatregelen die een ransomware-aanval mogelijk maakten.

De hackers hadden de gegevens van ongeveer 200 klanten en medewerkers versleuteld en ontoegankelijk gemaakt. Een betrokken onderaannemer kreeg een boete van 9.822 PLN (€ 2.200).

 

Eind november heeft de Australische Senaat een wetsvoorstel aangenomen tot wijziging van de privacywetgeving, dat verschillende belangrijke veranderingen bevat:

• De invoering van een strafbaar feit voor ernstige schendingen van de privacy.
• De uitbreiding van de handhavings- en onderzoeksbevoegdheden waarover de APD beschikt.
• Dit biedt de mogelijkheid om een online privacycode voor kinderen te ontwikkelen.
• Een nieuwe mogelijkheid voor de gouverneur-generaal om een "witte lijst" op te stellen van landen die adequate gegevensbescherming bieden.
• De verplichting voor gegevensbeschermingsbeleid om geautomatiseerde besluitvormingssystemen te beschrijven die van invloed kunnen zijn op de rechten of belangen van een individu.

Ook in Australië heeft het parlement op 29 november een controversiële wet aangenomen die de toegang tot sociale media voor kinderen en tieners onder de 16 jaar verbiedt.

De wet specificeert niet hoe platformen de leeftijd van hun bezoekers moeten verifiëren.

Het Braziliaanse Agentschap voor Gegevensbescherming (APD) publiceert een rapport over generatieve AI en gegevensbescherming.

Dit document, oorspronkelijk ontwikkeld ter interne ondersteuning van de APD-teams, behandelt AI-concepten, de relatie ervan met gegevensbescherming, de Braziliaanse context en de vooruitzichten voor AI.

Op 3 december kondigde de Amerikaanse Federal Trade Commission (FTC) de afronding aan van conceptovereenkomsten die erop gericht zijn twee grote datahandelaren, Mobilewalla en Gravy Analytics, te verbieden gevoelige locatiegegevens te verkopen, waaronder bijvoorbeeld aanwezigheid bij kerken, militaire bases, medische praktijken of LGBTQ-bars.

Deze maatregel volgt op acties die eerder dit jaar zijn ondernomen tegen datahandelaren die zich met soortgelijke praktijken bezighouden.

Na de Kamer van Afgevaardigden keurde de Mexicaanse Senaat eind november een ontwerpgrondwet goed dat voorziet in de afschaffing van zeven toezichthoudende instanties, waaronder de autoriteit voor gegevensbescherming en toegang tot administratieve documenten (INAI).

De bevoegdheden van deze autoriteiten zouden worden overgenomen door verschillende ministeries.

De medewerkers van INAI zouden worden overgenomen door het Ministerie van Bestrijding van Corruptie en Goed Bestuur.

Commentatoren zijn van mening dat de ratificatie van het wetsvoorstel door een meerderheid van de wetgevende vergaderingen van de Mexicaanse staten snel zou moeten plaatsvinden, zoals ook met andere hervormingsvoorstellen in de afgelopen maanden is gebeurd.