L’IA dans tous ses états.

AI in al zijn vormen

Juridische Watch nr. 52 – Oktober 2022

Op 17 oktober 2022 heeft de CNIL bevestigde, door het bedrijf Clearview AI een sanctie van 20 miljoen euro te geven, zijn competentie als toezichthouder op het gebied van kunstmatige intelligentie.

Deze sanctie volgt op een formele kennisgeving die onbeantwoord bleef en op het gebrek aan medewerking van het bedrijf tijdens de inspectieprocedure.

Deze maatregel is genomen na een consultatieprocedure op Europees niveau en sluit zich aan bij de sancties die door verschillende andere bedrijven tegen ditzelfde bedrijf zijn opgelegd.

  • De CNIL wijst erop dat er geen wettelijke basis bestaat voor de systematische en grootschalige verzameling van twintig miljard afbeeldingen van gezichten die openbaar toegankelijk zijn op miljoenen websites. Deze afbeeldingen worden door het bedrijf met name aan wetshandhavingsinstanties verkocht.
  • De CNIL is van mening dat de verzameling, gelet op het bijzonder indringende karakter ervan en het biometrische karakter van de gegevens, onderworpen had moeten worden aan de voorafgaande toestemming van de betrokkenen.
  • Tevens wordt opgemerkt dat het bedrijf de rechten op toegang en verwijdering van de betrokken personen niet respecteert.

Deze beslissing komt in een context van steeds nauwkeuriger toezicht op kunstmatige intelligentie op nationaal en internationaal niveau.

De Raad van State heeft daarom eind deze zomer twee documenten aangenomen waarin zij zich uitspreekt over het bestuur van de toekomstige Europese regelgeving inzake AI:

In zijn document van 30 augustus 2022 gaat de Raad van State in op de kwestie van de kwaliteit van de overheidsdienst en legt de basis voor een Franse strategie voor AI.

Het pleit onder andere voor versterking van de bevoegdheden van de CNIL en de formele bevoegdheid van de CNIL om AI-systemen te reguleren.

Hij beveelt daarom een omvorming van de CNIL aan, die dan "de nationale toezichthoudende autoriteit wordt die verantwoordelijk is voor de regulering van AI-systemen, met name openbare systemen, om de dubbele uitdaging van de bescherming van fundamentele rechten en vrijheden enerzijds en innovatie en openbare uitvoering anderzijds te belichamen en te internaliseren."

Op 27 september heeft de Raad van State publiceerde eveneens een studie over het toezicht op sociale netwerken in de context van de ontwikkeling van AI. Daarin worden 17 aanbevelingen gedaan om de krachten te herverdelen ten gunste van de gebruikers, de overheid toe te rusten voor haar rol als toezichthouder en na te denken over de sociale netwerken van morgen.

Van zijn kant, Parlement onderzoekt de kwestie van videobewaking en gezichtsherkenning: op 13 september werd door de Juridische Commissie van de Nationale Assemblee een onderzoeksmissie gelanceerd, toevertrouwd aan Philippe Latombe, parlementslid en lid van het college van de CNIL.

Parlementariërs moeten inzicht krijgen in "de uitdagingen die gepaard gaan met het gebruik van beveiligingsbeelden in het publieke domein om onveiligheid te bestrijden". Zij zullen zich daarbij met name richten op gezichtsherkenning.

Hierbij wordt een inventarisatie gemaakt van recent goedgekeurde apparaten, zoals bodycams en drones, en worden mogelijke ontwikkelingen, zoals augmented cameras, in overweging genomen, met als doel een wetsvoorstel op te stellen.

Laten we ook de opening van onderhandelingen voor een conventie van de Raad van Europa over kunstmatige intelligentie, mensenrechten, democratie en de rechtsstaat.

Het zou het eerste juridisch bindende internationale instrument over kunstmatige intelligentie zijn.

Dit verdrag zou een aanvulling vormen op de door de Europese Commissie voorgestelde verordening inzake kunstmatige intelligentie, door de bescherming van de fundamentele rechten van individuen te versterken.

DE Europese Toezichthouder voor gegevensbescherming verwelkomde dit initiatief, maar herinnerde daarbij aan de AI-systemen die volgens hem onaanvaardbare risico's met zich meebrengen en verboden zouden moeten worden, namelijk:

  • Sociale score,
  • Biometrische identificatie in de openbare ruimte,
  • Categorisering van personen op basis van biometrische gegevens
  • Het categoriseren van individuen op basis van hun waargenomen emoties.

We moeten niet vergeten dat de door de Europese Commissie voorgestelde AI-verordening deze aanpak ondersteunt door de meest ingrijpende AI-technieken te verbieden, zoals technieken die individuen manipuleren of sociale scores mogelijk maken.

Nog steeds onvoldoende voor de verdedigers van de vrijheden, en overdreven voor degenen die de vrijheden bekritiseren.

Opgemerkt moet worden dat de Verenigde Staten eind oktober een non-paper naar verschillende hoofdsteden en de Europese Commissie hebben gestuurd, met als doel hen ervan te overtuigen de reikwijdte van de toekomstige regelgeving te beperken en hun uitzonderingen uit te breiden, zodat er meer flexibiliteit blijft bestaan in de mogelijke toepassingen van kunstmatige intelligentie.

De Verenigde Staten bereiden zelf ook AI-regelgeving voor: op 4 oktober presenteerde president Joe Biden de "AI Bill of Rights", die de vijf garanties beschrijft waarvan Amerikanen zouden moeten profiteren:

  • Veilige en efficiënte systemen,
  • Bescherming tegen algoritmische discriminatie,
  • Vertrouwelijkheid van gegevens,
  • Meldingen en uitleg over hoe de AI werkt,
  • Menselijke alternatieven voor geautomatiseerde beslissingen.

Ten slotte moet worden opgemerkt dat toezichthouders op de gegevensbescherming uit meer dan 120 landen overeenstemming hebben bereikt over een kader voor het gebruik van gezichtsherkenning in de 44e Wereld Privacy Vergadering die eind oktober in Istanbul plaatsvond.

De resolutie vereist dat de entiteit die de technologie gebruikt

  • “Het redelijke, noodzakelijke en proportionele karakter ervan” vaststellen,
  • Beoordeelt het respect voor de rechten van individuen
  • Zorgt voor een naadloos gebruik van technologie.

Er moeten ook duidelijke en effectieve verantwoordingsmechanismen worden opgezet.

En ook

Frankrijk:

Cybercriminaliteit: De gedelegeerde minister voor Digitale Zaken en de minister van Volksgezondheid hebben een budget van 20 miljoen euro aangekondigd ten behoeve van ANSSI. Hiermee wil men de steun aan zorginstellingen die slachtoffer zijn geworden van ransomware versterken.

De CNIL publiceert op haar website educatieve middelen om kinderen van 8 tot 10 jaar beter te beschermen op het internet.

Deze bronnen zijn bedoeld voor ouders, kinderen, leerkrachten en opvoeders.

Op 17 oktober heeft de CNIL haar aanbeveling met betrekking tot wachtwoordauthenticatie bijgewerkt.

In een context van toegenomen bedreigingen voor de online veiligheid ontwikkelt de CNIL met name het nut van sterke of multifactor-authenticatieoplossingen en elektronische certificaten.

Europa:

De Europese Raad voor Gegevensbescherming (EDPB) heeft bijgewerkte richtlijnen aangenomen voor het melden van datalekken, open voor publieke consultatie tot 29-11-2022.

Het bijgewerkte gedeelte betreft de melding van een inbreuk op de beveiliging door een beheerder die buiten de Europese Unie is gevestigd.

Het feit dat deze beheerder een vertegenwoordiger in een van de EU-landen heeft aangewezen, ontslaat hem volgens de EDPB niet van uitgebreide verplichtingen: de tekst specificeert nu dat "de enkele aanwezigheid van een vertegenwoordiger in een lidstaat niet leidt tot de inwerkingtreding van het single window".

Daarom moet de inbreuk worden gemeld bij elke autoriteit waar de betrokkenen in hun lidstaat verblijven.

Het Hof van Justitie van de Europese Unie heeft in een arrest van 20 oktober geoordeeld dat verdere verwerking bestaande uit het creëren, vanuit een bestaande database, van een database om tests uit te voeren en fouten te corrigeren, is toegestaan indien

  1. er is “een concreet, logisch en voldoende nauw verband tussen de doeleinden van de initiële verzameling en de daaropvolgende verwerking”; en
  2. verdere verwerking niet afwijkt van de legitieme verwachtingen van abonnees.

In de onderhavige zaak oordeelde het Hof dat er sprake is van een dergelijke nauwe band. Het herinnert eraan dat de gegevens moeten worden verwijderd zodra het (secundaire) doel van de verwerking is bereikt.

In een vonnis van 27 oktober betreffende het Belgische bedrijf ProximusHet Hof doet uitspraak over de verplichtingen van aanbieders van telefoongidsen wanneer een abonnee zijn toestemming voor de verwerking van zijn gegevens intrekt.

Het Hof is van oordeel dat de gegevensbeschermingsautoriteit van een aanbieder van openbaar toegankelijke telefoongidsen kan verlangen dat hij in zijn hoedanigheid van verwerkingsverantwoordelijke passende maatregelen neemt om andere verwerkingsverantwoordelijken (waaronder de aanbieder van de telecommunicatiedienst waarvan de gegevens zijn verstrekt) op de hoogte te stellen van de intrekking van de toestemming van de abonnee.

De Europese Verordening Digitale Markten (DMA) werd op 12 oktober 2022 gepubliceerd.

Deze tekst, die tot doel heeft "een einde te maken aan de oneerlijke praktijken van bedrijven die als "poortwachters" fungeren in de onlineplatformeconomie", is van toepassing vanaf 2 mei 2023.

Hierin worden grote onlineplatforms gedefinieerd als 'poortwachters' en wordt een lijst met verboden en verplichtingen opgesteld, die bedoeld zijn om 'eerlijke en open digitale markten te garanderen'.

Het voorstel voor een Europese verordening inzake seksueel misbruik van kinderen (CSAR) is het onderwerp van veel kritiek vanuit het maatschappelijk middenveld en de lancering van een “stop met scannen van mij”-campagne.

Volgens de betrokken NGO's dreigt het voorstel, ondanks de lovenswaardige doelstellingen, "de veilige online communicatie fundamenteel in gevaar te brengen en het internet voor iedereen minder veilig te maken."

De politie wil geautomatiseerd online scannen op privécommunicatie om inhoud met betrekking tot seksueel misbruik van kinderen te identificeren.

Uit onderzoek van de Ierse Raad voor Burgerrechten (ICCL) blijkt echter dat de Ierse politie persoonlijke gegevens – e-mailadres, gebruikersnaam, IP-adres – bewaart, zelfs voor valse meldingen.

Het grote aantal vals-positieve resultaten – naar verwachting zijn er minder dan 10 bruikbare %-rapporten – kan de politie er eveneens van weerhouden de kern van het probleem aan te pakken.

De Italiaanse Autoriteit voor gegevensbescherming start een onderzoek naar een applicatie die kunstmatige stemmen genereert (‘deep fake’).

De autoriteit is een onderzoek gestart naar de app Fakeyou, die tekstbestanden zou omzetten in stemmen die lijken op die van beroemde mensen, vooral Italiaanse.

Bovendien oordeelde de Italiaanse autoriteit voor consumentenbescherming dat een bord met daarop een gestileerde camera onvoldoende was om informatie te verstrekken over het gebruik van videobewakingscamera's en legde de verwerkingsverantwoordelijke een boete op van 2.000 euro.

Ierse autoriteit De Autoriteit Persoonsgegevens heeft op haar website een overzicht gepubliceerd van meer dan 30 specifieke casestudies die zij heeft behandeld en die niet in haar jaarverslagen zijn opgenomen. De publicatie biedt een beter inzicht in de aanpak van de autoriteit op onderwerpen zoals werknemersmonitoring, videobewaking, het begrip gerechtvaardigd belang en de verenigbaarheid van verwerkingsdoeleinden.

Het Nederlandse Hof van Beroep te Arnhem-Leeuwarden handhaafde een bevel dat een auteursrechtentoezichthouder een internetprovider niet kan verplichten om waarschuwingsbrieven te sturen naar vermoedelijke inbreukmakers op het auteursrecht: de internetprovider heeft geen wettelijke basis om persoonsgegevens te verwerken die betrekking hebben op strafrechtelijke veroordelingen en overtredingen.

De Britse Gegevensbeschermingsautoriteit (ICO) communiceert over biometrische technologieën, zoals emotie-analysetechnologieën, die volgens de instantie onvolwassen zijn en het risico lopen op discriminatie.

Tot de geïdentificeerde risico's behoren onder meer het monitoren van de fysieke gezondheid van werknemers met behulp van draagbare screeningsinstrumenten en visuele en gedragsobservaties, waaronder lichaamshouding, spraak, oogbewegingen en hoofdbewegingen, om studenten in te schrijven voor examens.

De ICO publiceert ook conceptrichtlijnen over het toezicht op werknemers.

De Commissie wijst in het bijzonder op de groeiende trend om "thuis te werken" en op het probleem van productiviteitsmonitoring. De verwachtingen van werknemers ten aanzien van hun privacy zijn thuis namelijk waarschijnlijk hoger dan op het werk.

De ICO merkt ook op dat "toetsaanslagmonitoring wordt geclassificeerd als gedragsbiometrische gegevens wanneer een werknemer identificeerbaar is op basis van zijn of haar unieke typepatroon en ritme." Het concept ligt ter consultatie tot 11 januari 2023.

Internationaal :

Gegevensoverdracht naar de Verenigde Staten:Op 7 oktober werd een belangrijke mijlpaal bereikt toen president Biden het uitvoerend bevel ondertekende om de waarborgen voor de Amerikaanse signaalinlichtingenactiviteiten te verbeteren.

Dit besluit heeft tot doel de implementatie van een nieuw kader voor gegevensbescherming tussen de Europese Unie en de Verenigde Staten mogelijk te maken, naar aanleiding van de uitspraak in de zaak Schrems II van het HvJ-EU, waardoor het Privacy Shield overbodig werd.

De overeenkomst zou begin 2023 afgerond kunnen worden, na het advies van de Europese Raad voor gegevensbescherming (EDPB) en de goedkeuring van een adequaatheidsbesluit door de Europese Commissie.

De onzekerheid rond de overeenkomst betreft de omvang van de toezichthoudende bevoegdheden van de Amerikaanse autoriteiten en de verhaalmogelijkheden die Europese burgers hebben tegen Amerikaanse maatregelen die tegen hen worden genomen.

We moeten hieraan toevoegen dat dit besluit niet de kracht van een wet heeft en daarom kan worden ingetrokken, hetgeen de rechtsonzekerheid vergroot.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL