Innovatie binnen wettelijke kaders
De AI Act, Data Governance Act en Data Act
dr. ir. Linda Terlouw
linda.terlouw@icris.nl
mini-cursus europees recht
Verordening/
Regulation
Kan en mag door lidstaat niet omgezet worden in nationale wet.
Nationale wet
Nieuwe wet of integratie in bijvoorbeeld burgerlijk wetboek of wetboek van strafrecht.
wordt omgezet in
verdragen
De twee verdragen zijn VEU en VWEU en bevatten bevoegdheden van de EU. Deze bevoegdheden kunnnen exclusief voor Unie zijn of gedeeld met lidstaten.
geven bevoegdheden en rechtsgrondslagen voor opstellen
geven bevoegdheden en rechtsgrondslagen voor opstellen
Nationale wet
geeft soms beleidsruimte voor aanvulling met
Wordt vaak aangeduid met "Uitvoeringswet".
AVG
WPG
U-AVG
Richtlijn gegevensbescherming opsporing en vervolging
richtlijn/
DIRECTIVE
Moet door lidstaat omgezet worden in nationale wet.
Europese wetgeving digitale domein (niet compleet!)
CRA
CSA
NIS2
DORA
Cybersecurity
Data Act
Data
Digital Services Act
Digital Markets Act
Data Governance Act
Directive on Open Data and Reuse of
Public-Sector Information
AI Liability Directive
AI Act
AI
Directive Copyright Information Society
Intellectueel "eigendom"
Directive Enforcement Intellectual Property Rights
Directive Copyright in the Digital Single Market
GDPR
Directive Protection Natural Persons Criminal Offences
De Ai act
Het bevorderen van mensgerichte en betrouwbare artificiële intelligentie (AI) en het zorgen voor een hoge mate van bescherming van de gezondheid, de veiligheid en de grondrechten, alsmede het bevorderen van innovatie
〞
– definitie AI-systeem
"een op een machine gebaseerd systeem dat is ontworpen om met verschillende niveaus van autonomie te werken en dat na het inzetten ervan aanpassingsvermogen kan vertonen, en dat, voor expliciete of impliciete doelstellingen, uit de ontvangen input afleidt hoe output te genereren zoals voorspellingen, inhoud, aanbevelingen of beslissingen die van invloed kunnen zijn op fysieke of virtuele omgevingen"
verboden AI-systemen
Misleiden of manipuleren
Uitbuiten kwetsbare mensen
"Minority report"
(profilen zonder feiten)
Scrapen gezichten voor gezichtsherkenning
Emotieherkenning op werk en in onderwijs
Biometrische categorisatie zeer gevoelige onderwerpen
Realtime biometrische identificatie publieke ruimte tbv rechtshandhaving, tenzij...
Social scoring
hoog-risico systemen
Product of veiligheids-
component onder EU-wet
System opgenomen in Annex III, tenzij....
System genereert synthetische audio, beeld of tekst, tenzij
systemen MET transparantierisico
Direct interacteren met natuurlijk personen, tenzij...
Toegestane emotieherkenning en biometrische categorisatie
general purpose
ai
Capaciteiten met een grote impact
Op grond besluit van Europese Commissie
FLOPS > dan 10^25
Let op: Eerst vragen beantwoorden:
- is het een AI-systeem?
- valt het binnen een bovengenoemde categorie?
hoog-risico systemen (annex III)
Uitgezondere realtime biometrische identificatie
Biometrische categorisatie gevoelige onderwerpen
Toegestane emotieherkenning
Kritieke infrastructuur
Diverse situaties onderwijs
Diverse situaties werkplek en toegang tot werk
Diverse situaties toegang publieke diensten en voordelen
Diverse situaties rechtshandhaving
Diverse situaties asiel en migratie
Onderzoeken feiten voor assisteren rechtspraak
Beïnvloeden verkiezingen, tenzij...
Voorbeeld 1
Een chatbot die zich in een computerspel voordoet als mens of een virtuele "dokter"
Voorbeeld 2
Gedragsherkenning in de supermarkt ten behoeve van diefstaldetectie
Voorbeeld 3
Een virtuele recuiter die cv's selecteert of eerste 'gesprekken' voert
-
Risicobeheersysteem
-
Data en data governance
-
Technische documentatie
-
Loggingfaciliteit
-
Transparantie
-
Menselijk toezicht mogelijk
-
Accuraatheid, robuustheid, cybersecurity
Enkele Verplichtingen
hoog-risico AI-SYSTEMEN
-
Kwaliteitsmanagementsysteem
-
Documentatie bewaren voor periode 10 jaar
-
Automatische logging (indien onder beheer provider) voor periode geschikt voor doel of minimaal 6 maanden (met uitzonderingen)
-
Conformity assessment
-
Corrigerende acties en informatieplicht
-
Samenwerking bevoegde autoriteiten
Enkele Verplichtingen
hoog-risico providers
-
Gebruik conform gebruiksinstructies
-
Menselijk toezicht
-
Inputdata relevant en representatief doel AI-systeem
-
Monitoring en provider informeren waar nodig
-
Bewaren logs >= 6 maanden
-
Bij gebruik op werkplek: informeren werknemers(representatie)
-
Fundamental Rights Impact Assessment (FRIA) voor bepaalde typen deployers (overheid, publieke diensten, sommige essentiële diensten, rechtshandhavers real-time biometrie)
Enkele Verplichtingen
hoog-risico deployers
-
Informeren natuurlijke persoon over directe interactie met AI, tenzij overduidelijk nep
-
Markeren output als AI-gegenereerd (bijv. met watermerk), tenzij ondersteunende functie
-
Informeren bij herkennen emoties of biometrische categorisering
Geldt alledrie niet bij detecteren, voorkomen, onderzoeken of vervolgen crimineel delicten
Enkele Verplichtingen
AI-systemen transparantierisico's
1
Voorstel
22 april 2021
2
Publicatie in Official Journal EU
12 juli 2024
3
Inwerkingtreding AI Act
1 augustus 2024
5
Van toepassing GPAI
2 augustus 2025
4
Van toepassing verboden systemen en AI literacy
2 februari 2025
6
Van toepassing hoog-risico systemen Annex III en transparantieverplichtingen
2 augustus 2026
AI ACT-tijdslijnen
7
Van toepassing hoog-risico systemen product of veiligheidscomponent
2 augustus 2027
De data governance act
Het bevorderen en reguleren van betrouwbare uitwisseling van gegevens (voor bepaalde typen organisaties)
-
Regulering van
-
databemiddelingsdiensten
-
organisaties voor 'data-altruisme'
-
hergebruik van gegevens van openbare lichamen (overheid)
-
- Niet van toepassing voor de meeste organisaties
-
Geen verplichting voor normadressaten om data te delen, slechts kaders
-
Rechtstreekse datastroom die niet onder deze act valt is in de praktijk veel belangrijker
Beperkt van betekenis...
1
Voorstel door Europese Commissie
25 november 2020
2
Publicatie in Official Journal EU
3 juni 2022
3
Inwerkingtreding Data Governance Act
23 juni 2022
4
Data Governance Act van toepassing
24 september 2023
Data governance ACT-tijdslijnen
De data act
Het versterken van de interne markt voor data zonder afbreuk te doen aan bescherming persoonsgegevens
iot devices
Verplichting tot beschikbaar maken data uit IoT devices en gerelateerde diensten
Niet alleen de leverancier profiteert meer van de data genereerd door IoT devices en gerelateerde diensten. Gebruikers krijgen zelf toegang.
Delen data b2b
Kaders bij verplichting tot delen data in B2B-scenario's, o.a. redelijke vergoeding.
Het verplicht delen van data verloopt eerlijk, transparant en niet-discriminerend.
Oneerlijke bedingen contract
Beperking contractsvrijheid door opsomming verboden bedingen
Machtige grote bedrijven kunnen niet langer oneerlijke bedingen opdringen. Kleine bedrijven worden hierdoor beter beschermd (eerlijker speelveld).
Wisselen cloud provider
Verplichting tot interoperabiliteit en mogelijk maken overstap cloud provider (dataverwerkingsdienst)
Cloud providers creëren nu bewust lock-in. In een competatieve EU-markt moet het mogelijk zijn naadloos te wisselen van cloud provider.
Toegang door overheid
Verplichting tot delen data met overheid bij uitzonderlijke noodzaak (zoals rampen)
De overheid krijgt (bij uitzonderlijke noodzaak) toegang tot data op een tijdige en betrouwbare wijze, zonder teveel administratieve last voor bedrijven.
Voorkomen ongeoorloofde toegang derden
Verplichting tot inrichting waarborgen voor verzoek tot toegang door buitenlandse overheden tot niet-persoonsgegevens.
Niet-persoonsgegevens in de EU worden beter beschermd tegen buitenlandse overheden.
1
Voorstel door Europese Commissie
24 februari 2022
2
Publicatie in Official Journal EU
22 december 2023
3
Inwerkingtreding Data Act
11 januari 2024
5
Van toepassing delen data IoT en gerelateerde diensten
12 september 2026
4
Data Act vrijwel in geheel van toepassing
12 september 2025
6
Van toepassing geen overstapkosten dataverwerkingsdiensten
12 januari 2027
Data ACT-tijdslijnen
7
Van toepassing oneerlijke bedingen op overeenkomsten
aangegaan voor 12 september 2025
12 september 2027
Vragen of Meer weten?
https://www.icris.nl/
https://www.linkedin.com/in/terlouw/
linda.terlouw@icris.nl
