Blog van medewerkers

WP_Query Object
(
    [query] => Array
        (
            [paged] => 2
            [news-type] => blog
        )

    [query_vars] => Array
        (
            [paged] => 2
            [news-type] => blog
            [error] => 
            [m] => 
            [p] => 0
            [post_parent] => 
            [subpost] => 
            [subpost_id] => 
            [attachment] => 
            [attachment_id] => 0
            [name] => 
            [pagename] => 
            [page_id] => 0
            [second] => 
            [minute] => 
            [hour] => 
            [day] => 0
            [monthnum] => 0
            [year] => 0
            [w] => 0
            [category_name] => 
            [tag] => 
            [cat] => 
            [tag_id] => 
            [author] => 
            [author_name] => 
            [feed] => 
            [tb] => 
            [meta_key] => 
            [meta_value] => 
            [preview] => 
            [s] => 
            [sentence] => 
            [title] => 
            [fields] => 
            [menu_order] => 
            [embed] => 
            [category__in] => Array
                (
                )

            [category__not_in] => Array
                (
                )

            [category__and] => Array
                (
                )

            [post__in] => Array
                (
                )

            [post__not_in] => Array
                (
                )

            [post_name__in] => Array
                (
                )

            [tag__in] => Array
                (
                )

            [tag__not_in] => Array
                (
                )

            [tag__and] => Array
                (
                )

            [tag_slug__in] => Array
                (
                )

            [tag_slug__and] => Array
                (
                )

            [post_parent__in] => Array
                (
                )

            [post_parent__not_in] => Array
                (
                )

            [author__in] => Array
                (
                    [0] => 6
                )

            [author__not_in] => Array
                (
                )

            [search_columns] => Array
                (
                )

            [ignore_sticky_posts] => 
            [suppress_filters] => 
            [cache_results] => 1
            [update_post_term_cache] => 1
            [update_menu_item_cache] => 
            [lazy_load_term_meta] => 1
            [update_post_meta_cache] => 1
            [post_type] => 
            [posts_per_page] => 10
            [nopaging] => 
            [comments_per_page] => 50
            [no_found_rows] => 
            [taxonomy] => news-type
            [term] => blog
            [order] => DESC
        )

    [tax_query] => WP_Tax_Query Object
        (
            [queries] => Array
                (
                    [0] => Array
                        (
                            [taxonomy] => news-type
                            [terms] => Array
                                (
                                    [0] => blog
                                )

                            [field] => slug
                            [operator] => IN
                            [include_children] => 1
                        )

                )

            [relation] => AND
            [table_aliases:protected] => Array
                (
                    [0] => wp_term_relationships
                )

            [queried_terms] => Array
                (
                    [news-type] => Array
                        (
                            [terms] => Array
                                (
                                    [0] => blog
                                )

                            [field] => slug
                        )

                )

            [primary_table] => wp_posts
            [primary_id_column] => ID
        )

    [meta_query] => WP_Meta_Query Object
        (
            [queries] => Array
                (
                )

            [relation] => 
            [meta_table] => 
            [meta_id_column] => 
            [primary_table] => 
            [primary_id_column] => 
            [table_aliases:protected] => Array
                (
                )

            [clauses:protected] => Array
                (
                )

            [has_or_relation:protected] => 
        )

    [date_query] => 
    [queried_object] => WP_Term Object
        (
            [term_id] => 56
            [name] => Blog van medewerkers
            [slug] => blog
            [term_group] => 0
            [term_taxonomy_id] => 56
            [taxonomy] => news-type
            [description] => 
            [parent] => 0
            [count] => 1441
            [filter] => raw
        )

    [queried_object_id] => 56
    [request] => SELECT SQL_CALC_FOUND_ROWS  wp_posts.ID
					 FROM wp_posts  LEFT JOIN wp_term_relationships ON (wp_posts.ID = wp_term_relationships.object_id) LEFT  JOIN wp_icl_translations wpml_translations
							ON wp_posts.ID = wpml_translations.element_id
								AND wpml_translations.element_type = CONCAT('post_', wp_posts.post_type) 
					 WHERE 1=1  AND ( 
  wp_term_relationships.term_taxonomy_id IN (56)
) AND wp_posts.post_author IN (6)  AND ((wp_posts.post_type = 'post' AND (wp_posts.post_status = 'publish' OR wp_posts.post_status = 'acf-disabled' OR wp_posts.post_status = 'tribe-ea-success' OR wp_posts.post_status = 'tribe-ea-failed' OR wp_posts.post_status = 'tribe-ea-schedule' OR wp_posts.post_status = 'tribe-ea-pending' OR wp_posts.post_status = 'tribe-ea-draft'))) AND ( ( ( wpml_translations.language_code = 'nl' OR (
					wpml_translations.language_code = 'nl'
					AND wp_posts.post_type IN ( 'attachment' )
					AND ( ( 
			( SELECT COUNT(element_id)
			  FROM wp_icl_translations
			  WHERE trid = wpml_translations.trid
			  AND language_code = 'nl'
			) = 0
			 ) OR ( 
			( SELECT COUNT(element_id)
				FROM wp_icl_translations t2
				JOIN wp_posts p ON p.id = t2.element_id
				WHERE t2.trid = wpml_translations.trid
				AND t2.language_code = 'nl'
                AND (
                    p.post_status = 'publish' OR p.post_status = 'private' OR 
                    ( p.post_type='attachment' AND p.post_status = 'inherit' )
                )
			) = 0 ) ) 
				) ) AND wp_posts.post_type  IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' )  ) OR wp_posts.post_type  NOT  IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' )  )
					 GROUP BY wp_posts.ID
					 ORDER BY wp_posts.menu_order, wp_posts.post_date DESC
					 LIMIT 10, 10
    [posts] => Array
        (
            [0] => WP_Post Object
                (
                    [ID] => 40147
                    [post_author] => 6
                    [post_date] => 2023-12-13 14:05:24
                    [post_date_gmt] => 2023-12-13 13:05:24
                    [post_content] => Het Europees Parlement, de Lidstaten en de Europese Commissie hebben overeenstemming bereikt over de tekst van de nieuwe AI verordening (AI Act).

Wat staat er in de AI Act?

Verboden toepassingen
Een aantal AI toepassingen zijn verboden, zoals

    
 	
  • Het ongericht schrapen van gezichtsbeelden van internet of CCTV-beelden om gezichtsherkenningsdatabases te creëren. Dit omvat dus ook praktijken zoals die van Clearview AI.
    • 
 	
  • Emotieherkenning op de werkvloer en in onderwijsinstellingen. Met uitzonderingen zoals AI systemen die herkennen dat een chauffeur in slaap is gevallen.
    • 
 	
  • AI die wordt gebruikt om de kwetsbaarheden van mensen uit te buiten (vanwege hun leeftijd, handicap, sociale of economische situatie).
    • 
 	
  • AI systemen die op individuele basis het risico voorspellen op het in de toekomst plegen van misdaden (predictive policing software)
    • 
 	
  • Onder strikte voorwaarden wordt het toegestaan dat autoriteiten met realtime gezichtsherkenningssytemen in de publieke ruimte op zoek gaan naar personen. De lijst van misdrijven is groot en omvat terrorisme, mensenhandel, seksuele uitbuiting, moord, ontvoering, verkrachting, gewapende overval, deelname aan een criminele organisatie, milieucriminaliteit.
    • 



Hoog risico AI Act

AI systemen moeten worden ingedeeld in een risico-categorie. Dit zal de leverancier/ontwikkelaar moeten doen op basis van het beoogd gebruik. De AI systemen die als hoog-risico worden geclassificeerd staan op een bijlage bij de AI act. Voor deze AI systemen zal een mensenrechten Impact Assessment (IAMA) verplicht zijn. Deze verplichting geldt alleen voor overheidsinstanties en particuliere entiteiten die diensten van algemeen belang verlenen, zoals ziekenhuizen, scholen, banken en verzekeringsmaatschappijen.

De hoog-risico systemen moeten aan verplichtingen voldoen zoals een risico-management systeem, cyberveiligheid en menselijk toezicht.

Voor de meeste AI systemen zal gelden dat door ‘self-assessment’ moet worden vastgesteld:

    
 	
  • Of een AI systeem valt onder het bereik van de AI verordening
    • 
 	
  • In welke risico-categorie een AI systeem valt
    • 
 	
  • Of een AI systeem voldoet aan de vereisten van die risico-categorie.
    • 


BG.legal werkt in een consortium aangevoerd door LegalAIR, aan een AI Compliance Check. Daarbij maken we ‘vage’ normen toetsbaar en meetbaar. We volgen daarvoor het werk van de standaardisatie instanties die hier aan werken.

General purpose AI systems

Voor deze AI systemen, zoals ChatGPT, geldt dat zij transparant zullen moeten zijn over hoe zij voldoen aan de AI act. Dit omvat het verstrekken van technische documentatie, het respecteren van auteursrecht en het doen van een gedetailleerde opgave van al het materiaal dat is gebruikt voor het trainen van het model. En niet alleen door de provider van het GPAI systeem, maar ook door partijen die ergens in het ontwikkelproces hebben meegewerkt. Dus de hele keten.

AI regulatory sandbox

MKB bedrijven worden ondersteund bij de ontwikkeling van AI systemen die compliant zijn met de AI act. Overheden moeten daarvoor gaan werken met de AI regulatory sandbox. Dit is een afgesloten omgeving waarin (bepaalde aspecten van) een AI systeem, onder toezicht van een toezichthouder, getest kan worden. Een andere vorm is het “real-world-testing”. Noorwegen en de UK kennen dit instrument al. Hoe dit gaat werken moet nog concreet worden ingevuld. Zoals welke AI systemen in aanmerking komen, welke informatie moet worden gedeeld met de toezichthouder, welke informatie wordt later publiek gemaakt, is de toezichthouder bereid om constructief mee te denken om het AI systeem compliant te maken, etc.

Boetes

Aan het handelen in strijd met de AI act zijn hoge boetes verbonden. Er kunnen boetes worden opgelegd tot EUR 35 miljoen of 7% van de wereldwijde omzet.

Wanneer treedt de AI Act in werking?

De definitieve tekst zal nu vertaald moeten worden naar alle EU talen en worden aangenomen door het Europees Parlement. Vervolgens zal de AI Act in werking treden twee jaar na de datum van publicatie. Maar een aantal verplichtingen zal al een jaar eerder van kracht zijn. Zoals verplichtingen voor hoog-risico AI systemen, powerful AI models, de instanties die conformity assessments uitvoeren en het governance hoofdstuk.

Wat betekent dit in de tussentijd?

Het zou niet verstandig zijn om te wachten tot over twee jaar.

Wat zouden ontwikkelaars van AI systemen moeten doen:

    
 	
  • Van hun AI systeem beoordelen, op basis van het beoogd gebruik, in welke risico-categorie het AI systeem valt.
    • 
 	
  • Beoordelen of het AI systeem voldoet aan de vereisten van die risico-categorie.
    • 
 	
  • Wanneer discussie mogelijk is over de vraag of het een verboden of hoog-risico categorie AI systeem is, dit laten vaststellen door een derde partij (AI risk assessment).
    • 
 	
  • Wanneer het een hoog-risico AI systeem is, voorbereiden dat het compliant zal zijn met de vereisten die de AI act stelt.
    • 
 	
  • Wanneer onduidelijk is hoe de AI act uitgelegd moet worden voor jouw AI systeem, of een bepaald aspect daarvan, overweeg je te melden voor een AI regulatory sandbox of voor real-world-testing.
    • 


Wat zouden afnemers/gebruikers van AI systemen moeten doen:

    
 	
  • Inventariseer welke AI systemen je organisatie gebruikt. Vraag leveranciers van software of er AI is verwerkt in de software.
    • 
 	
  • Beoordeel vervolgens of AI systemen worden gebruikt die in de verboden of hoog-risico categorie vallen. Vraag zo nodig je leverancier van software om verklaringen/garanties dat er geen verboden en/of hoog-risico AI systemen worden ingezet.
    • 
 	
  • Wanneer je gebruik maakt van een verboden AI systeem, faseer dit uit. Ga op zoek naar alternatieven en beëindig het gebruik van dit AI systeem.
    • 
 	
  • Wanneer je gebruik maakt van een hoog-risico AI systeem, beoordeel of het AI systeem aan de vereisten voldoet. Daar waar het AI systeem niet aan een vereiste voldoet, zet een traject in gang om ervoor te zorgen dat het AI systeem aan de vereisten gaat voldoen. Leg deze verplichting zo mogelijk bij de leverancier van het AI systeem.
    • 
 	
  • Pas je inkoopvoorwaarden aan. Zorg dat een leverancier van hardware/software transparant is over de AI systemen die het wil gaan leveren en de risico-categorie waar het AI systeem in valt. Waarborg ook dat het AI systeem aan de vereisten blijft voldoen. De leverancier zou dit gedurende het gehele gebruik van het AI systeem moeten monitoren (post-market surveillance) en het AI systeem zo nodig aanpassen.
    • 



Hoe kunnen wij hierbij helpen?


    
 	
  • Uitleg
    • 


Binnenkort komt de definitieve tekst beschikbaar van de AI act. Wij kunnen helpen bij de uitleg van de tekst. Wat wordt er bedoeld met ‘human oversight’? Wat valt wel of niet onder de definitie van Artificial Intelligence? Hoe ziet een self assessment eruit?

    
 	
  • AI risk/impact assessment
    • 


Er zijn inmiddels verschillende assessments om de impact van een AI systeem in kaart te brengen. Per use-case, per sector kan een risk/impact assessment er anders uit zien. Zo zal een assessment voor een AI toepassing in de health sector er anders uit zien dan voor een AI toepassing in de vervoerssector. Wij kunnen helpen bij het vinden van een goed toepasbaar assessment. Wij kunnen dit ook helpen uitvoeren. Dat kunnen we doen via het LegalAIR consortium met partners die expert zijn op gebieden zoals data science, cyberveiligheid, data ethiek.

    
 	
  • Impact Assessment Mensenrechten en Algoritme (IAMA)
    • 


Wij hebben ervaring met het uitvoeren van een IAMA. Een organisatie kan zelf een IAMA uitvoeren. De ervaring leert dat het handig is en efficiënter werkt wanneer een IAMA met een externe begeleider wordt uitgevoerd.

    
 	
  • AI policy
    • 


Met de komst van AI tools zoals ChatGPT en Midjourney, is het gebruik van AI toegankelijker en gemakkelijker geworden. Maar wie beslist over welke AI tools gebruikt mogen worden? En heeft een organisatie interne spelregels voor het gebruik mogen maken van dergelijke AI tools? Vraagt inkoop om informatie/garanties over de werking/ontwikkeling/compliance van AI tools?
Deze onderwerpen komen aan de orde in een ‘AI policy’. Dit is een document dat we maatwerk maken voor organisaties zodat er verantwoord gebruik gemaakt kan worden van AI in de organisatie.

    
 	
  • AI audit
    • 


Zoals een organisatie laat beoordelen of de bedrijfsvoering aan bepaalde ISO normen voldoet, zo kan een organisatie ook laten beoordelen of een AI systeem voldoet aan vereisten. Ook nu is er al wet- en regelgeving van toepassing op AI systemen. Denk aan privacy (AVG), mensenrechten (grondwet, Europees Handvest), mededinging, consumentenregelgeving, etc. Daar komt nu dus de AI act bij. Bij het in kaart brengen van risico’s verbonden aan een onderneming, hoort ook een onderzoek naar risico’s verbonden aan het gebruik van bepaalde AI systemen. Bijvoorbeeld in het kader van een due diligence bij een fusie/overname.

Wij bereiden organisaties voor op een AI audit, bijvoorbeeld een audit naar de auditregels van de non-profit organisatie ForHumanity. Jos van der Wijst is FH auditor.

AI Act - BG.legal overview

AI Act - BG overview afbeelding

Voor meer informatie: neem contact op met Jos van der Wijst (wijst@bg.legal).

Jos van der Wijst 2
                    [post_title] => Overeenstemming over de AI Act
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => overeenstemming-over-de-ai-act
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-12-13 15:30:50
                    [post_modified_gmt] => 2023-12-13 14:30:50
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=40147
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [1] => WP_Post Object
                (
                    [ID] => 40067
                    [post_author] => 6
                    [post_date] => 2023-12-05 13:30:15
                    [post_date_gmt] => 2023-12-05 12:30:15
                    [post_content] => Dit was een deel van de tekst die koffieproducent Moyee, samen met een afbeelding van een waardebon, op haar verpakking had staan. Douwe Egberts (hierna: ‘DE’) reageerde als door een wesp gestoken. Moyee kreeg een boze brief van de advocaat van DE. In het FD vertelt Moyee over deze brief. DE stelde dat Moyee inbreuk zou maken op het auteursrecht van DE en dat consumenten zouden worden misleid. Daarbij werd verwezen naar het bijna honderd jaar oude puntenspaarsysteem van DE. Zelfs prinses Beatrix werd erbij gehaald. Door het afbeelden van de waardebon zou inbreuk worden gemaakt op het auteursrecht en merkenrecht van DE. De begeleidende tekst zou zelfs ‘kleinerend, beledigend en schofferend zijn’. Moyee zou, door het gebruik van de afbeelding, ongerechtvaardigd voordeel hebben getrokken uit de reputatie en het prestige van het puntensysteem van DE.

Afbeelding Moyee

Moyee heeft de afbeelding op haar verpakkingen gebruikt zoals hieronder weergegeven:

Afbeelding Moyee

Wordt hiermee inbreuk gemaakt op het auteursrecht en/of de merkrechten van DE? Is dit onrechtmatig?

Hoe zit dit juridisch? 

AI

Moyee gaf aan bij het maken van de afbeelding niet te hebben gekeken naar de afbeelding op de verpakking van DE. Moyee zou AI hebben gebruikt voor het maken van de afbeelding. Daarbij zou de prompt zijn gebruikt: ‘Maak een parodie op een veel gebruikt spaarpuntensysteem’.

DE heeft op haar verpakkingen waardebonnen staan zoals hieronder afgebeeld:

Afbeelding verpakkingen waardebonnen

(Bron: https://voedselbankachterhoek.nl/2020/12/03/koffiepunten-sparen-voor-de-voedselbank/)

De kans dat het gebruik van een AI-tool tot een output leidt die veel lijkt op een bestaand, auteursrechtelijk beschermd ontwerp, is aanwezig. Er kan zelfs een output uitkomen die identiek is aan een afbeelding die bij de training is gebruikt. De kans is dus aanwezig dat er met de gebruikte prompt een afbeelding uit komt die veel lijkt op de afbeelding van de waardebon van DE.

Wie is verantwoordelijk?

Het is en blijft de verantwoordelijkheid, en dus aansprakelijkheid, van degene die de output van een AI-systeem gebruikt, om te waarborgen dat de output geen inbreuk maakt op de (IE-)rechten van een ander. In dit geval is het moeilijk voorstelbaar dat een medewerker van Moyee, die de output van de AI-tool zag, geen verband zou leggen met de waardebon van DE.

Parodie

Het uitgangspunt van de Auteurswet is dat een auteursrechtelijk beschermd werk, zoals een afbeelding, alleen door de maker mag worden gebruikt. De maker mag anderen toestemming verlenen om het werk te gebruiken (‘verveelvoudigen’ en ‘openbaar maken’). Echter, de Auteurswet kent een aantal uitzonderingen op dit exclusieve recht. Zo bepaalt artikel 18b Aw:

“Als inbreuk op het auteursrecht op een werk van letterkunde, wetenschap of kunst wordt niet beschouwd de openbaarmaking of verveelvoudiging ervan in het kader van een karikatuur, parodie of pastiche mits het gebruik in overeenstemming is met hetgeen naar de regels van het maatschappelijk verkeer redelijkerwijs geoorloofd is.”

In de jurisprudentie zijn een aantal richtlijnen ontwikkeld voor wat wel en niet als een ‘parodie’ wordt gezien. Zoals:

    
 	
  • Een parodie mag geen commercieel karakter of concurrentiemotief hebben;
    • 
 	
  • Een nabootsing mag niet verder gaan dan voor de herkenbaarheid van het geparodieerde werk nodig is;
    • 
 	
  • Een parodie mag niet nodeloos afbreuk doen aan het origineel.
    • 


Is de zin ‘Waarom waardeloze punten sparen voor nog waardelozere cadeautjes’ een parodie? Zelf zou ik de zin niet beschouwen als een parodie. Zeker gezien Moyee aangeeft dat er niet gekeken is naar de waardebon van DE. Alhoewel ik dat een ongeloofwaardige stelling vind. In plaats daarvan zou ik een beroep doen op de vrijheid van meningsuiting.

Merkinbreuk

DE heeft een aantal registraties van de waardebon als (Benelux) (beeld)merk. Deze merken zijn geregistreerd voor, o.a., koffieproducten. Zie bijvoorbeeld:

[gallery size="medium" columns="2" ids="40074,40076"]

 

 

 

 

 

 

Deze merkregistraties bieden een solide basis voor het optreden tegen partijen die een vergelijkbare afbeelding gebruiken op of ter promotie van vergelijkbare producten.

Maakt Moyee met haar afbeelding inbreuk op de merkrechten van DE? Het antwoord is altijd een subjectieve beoordeling, waarbij het oordeel van de ene rechter anders kan uitvallen dan het oordeel van een andere rechter. Zelf zie ik wel zodanige overeenkomsten dat de kans zeker aanwezig is dat een rechter dit als inbreuk op het merkrecht van DE zou aanmerken.

Conclusie


    
 	
  • Door AI gegenereerde output (afbeeldingen en/of tekst) kunnen inbreuk maken op de (IE-)rechten van andere partijen. Wanneer je zelf een AI-tool gebruikt, dien je de output kritisch te bekijken. Wanneer je een andere partij content laat maken (afbeeldingen en/of tekst) dan zou ik vragen of deze partij kan garanderen dat de content geen inbreuk maakt op rechten van derden;
    • 
 	
  • Een beroep op de ‘parodie’ moet je goed kunnen onderbouwen en slaagt zelden. Zeker in een commerciële context;
    • 
 	
  • Een merkregistratie kan een goede basis bieden om op te treden tegen concurrenten die een identiek of vergelijkbare afbeelding, slogan of naam gebruiken. Wij verzorgen merkregistraties.
    • 


Voor meer informatie kun je contact opnemen met Jos van der Wijst.

Jos van der Wijst 2
                    [post_title] => “Waarom waardeloze punten sparen voor nog waardelozere cadeautjes”
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => waarom-waardeloze-punten-sparen-voor-nog-waardelozere-cadeautjes
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-12-05 14:00:48
                    [post_modified_gmt] => 2023-12-05 13:00:48
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=40067
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [2] => WP_Post Object
                (
                    [ID] => 39821
                    [post_author] => 6
                    [post_date] => 2023-11-15 09:55:14
                    [post_date_gmt] => 2023-11-15 08:55:14
                    [post_content] => In de dynamische wereld van innovatie en ondernemerschap is het beschermen van intellectueel eigendom essentieel voor het behouden van een concurrentievoordeel. Octrooirecht biedt bedrijven de mogelijkheid om hun unieke ideeën en uitvindingen te beschermen, maar het is niet voldoende om alleen octrooien te verkrijgen; voortvarende handhaving is net zo cruciaal. Hier zijn redenen waarom voortvarende handhaving van octrooirechten essentieel is.

1. Bescherming van innovatie

Het octrooirecht beschermt de unieke ideeën en uitvindingen van bedrijven. Een actieve handhaving voorkomt dat anderen ongeoorloofd profiteren van harde arbeid en creativiteit, waardoor bedrijven worden aangemoedigd om te blijven innoveren. Ja, de procedure om een octrooi verleend te krijgen en het onderhouden (taxes) van een octrooi kost geld. Daar staat een monopolie op het exploitatierecht tegenover. De octrooihouder heeft het exclusieve recht om te bepalen wie de geoctrooieerde techniek te gebruiken.

2. Marktvoordeel behouden

Het handhaven van octrooirechten helpt bedrijven hun concurrentiepositie en het exclusieve exploitatierecht, te behouden. Door anderen te beletten producten of diensten aan te bieden die inbreuk maken op het octrooirecht, behouden bedrijven hun unieke positie in de markt.

3. Investeerdersvertrouwen vergroten

Daarnaast fungeren octrooien als een waardevol zakelijk actief. Door actieve handhaving behoudt u niet alleen uw marktpositie, maar vergroot u ook de waarde van uw bedrijf. Investeerders zijn meer geneigd om in een bedrijf te stappen dat een intellectueel eigendomsrecht (ook wel IP genoemd) heeft en het intellectueel eigendomsrecht krachtig beschermt.

4. Juridische zekerheid

Door actief octrooirechten te handhaven, verzekeren bedrijven zich van juridische zekerheid. In geval van geschillen hebben ze een stevig juridisch fundament om hun intellectueel eigendom te verdedigen.

Te lang wachten met actief handhaven kan leiden tot verval van het recht om handhavend op te treden. In een uitspraak van de rechtbank Rotterdam van 7 november 2023 was dit aan de orde. Deze zaak was aanhangig gemaakt door een partij die van de uitvinders een licentie had gekregen op het gebruik van het octrooi. De uitvinders zouden het octrooi, in strijd met de overeenkomst, zijn blijven gebruiken. In maart 2022, tijdens een demonstratiebijeenkomst door de licentiehouder, hadden de uitvinders aan publiek kenbaar gemaakt dat zij rechthebbende waren en niet de licentiehouder. Pas in september 2023 is de licentiehouder een kort geding procedure gestart. In deze procedure wordt een verbod gevorderd om de geoctrooieerde techniek te gebruiken. De kort geding rechter oordeelt dat de licentiehouder te lang gewacht heeft en dus geen spoedeisend belang heeft. Dat is nodig om een verordening in kort geding toegewezen te krijgen. De vorderingen worden daarom afgewezen.

Kortom, voortvarende handhaving van octrooirechten is niet alleen een defensieve zet; het is een strategische beslissing die innovatie stimuleert, marktvoordeel behoudt, het vertrouwen van investeerders vergroot en noodzakelijk is om handhavend te kunnen optreden.

Heb je meer vragen over het handhaven van je octrooirecht, of het verweer voeren tegen een claim op basis van een octrooirecht, neem dan contact op met Jos van der Wijst: wijst@bg.legal.

Jos van der Wijst 1
                    [post_title] => Het belang van voortvarende handhaving van octrooirecht
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => het-belang-van-voortvarende-handhaving-van-octrooirecht
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-11-15 10:33:15
                    [post_modified_gmt] => 2023-11-15 09:33:15
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=39821
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [3] => WP_Post Object
                (
                    [ID] => 38798
                    [post_author] => 6
                    [post_date] => 2023-10-13 09:00:13
                    [post_date_gmt] => 2023-10-13 07:00:13
                    [post_content] => Afgelopen jaren zijn veel processen binnen de zorg gedigitaliseerd. Het merendeel van deze ontwikkelingen is een direct gevolg van de hogere eisen die worden gesteld aan zorginformatiesystemen: niet alleen vanuit de markt, maar ook in sector specifieke wet- en regelgeving wordt de lat hoog gelegd.

Om ervoor te zorgen dat systemen aan de wettelijke vereisten blijven voldoen, zijn zorginstellingen veelal aangewezen op hun ICT-leverancier. Wanneer deze er niet voor zorgt dat de systemen worden doorontwikkeld, dan kan een zorginstelling genoodzaakt zijn om over te stappen naar een andere IT-leverancier. In de praktijk is dit echter niet eenvoudig, aangezien de migratie naar een ander systeem (nadelige) financiële én operationele consequenties kan hebben.

Dit blijkt ook uit een zaak die eerder dit jaar aan de rechtbank Den Haag werd voorgelegd. In het onderstaande artikel lees je meer over de overwegingen van de rechtbank en de wijze waarop afhankelijkheid van een ICT-leverancier (vendor lock-in) contractueel kan worden voorkomen.

Wat ging eraan vooraf?

Medned Information Consultancy (Medned) ontwikkelt en levert een zorginformatiesysteem voor (grote) ziekenhuizen. Het systeem wordt onder andere afgenomen door het Groene Hart Ziekenhuis (GHZ) in Gouda. In de afgelopen jaren worden er echter steeds hogere eisen gesteld aan dit soort systemen, waardoor GHZ genoodzaakt is om over te stappen naar een ander systeem. Om toegang te behouden tot de (oude) patiëntgegevens, neemt GHZ daarom een ‘raadpleegpakket’ af bij Medned. Daarnaast maken zij nog andere contractuele afspraken om de migratie naar het nieuwe systeem en het raadpleegpakket zo soepel mogelijk te laten verlopen.

Nadien is er tussen partijen een conflict ontstaan over de hoogte van de facturen die door Medned zijn verzonden. GHZ stelt namelijk dat Medned misbruik maakt van haar (machts)positie, door onder andere via naheffingen/toeslagen hoge bedragen bij GHZ in rekening te brengen.

Medned is het daar niet mee eens: de hoogte van de facturen zou namelijk deels zijn ingegeven door de – aan GHZ te wijten – vertraagde implementatie van de software.

Fact Friday ict en zorg-informatiesysteem

Oordeel van de rechtbank

Naheffing

De rechtbank constateert allereerst dat er een naheffingsclausule in de licentieovereenkomst is opgenomen. Medned meent dat zij op grond van deze bepaling bij het vroegtijdig beëindigen van de overeenkomst aanspraak kan maken op een naheffing van 20% van de licentiekosten (10% + 10 procentpunten), waar GHZ meent dat de naheffing slechts 11% van de licentiekosten kan bedragen (10% + 10% van de voornoemde 10%).

De rechtbank legt deze bepaling uit aan de hand van de zogeheten Haviltex-maatstaf. Daarbij wordt gekeken naar hetgeen partijen in de gegeven omstandigheden aan de contractsbepaling mochten toekennen en wat zij te dien aanzien redelijkerwijs van elkaar mochten verwachten. De taalkundige uitleg van de bepaling is daarbij niet doorslaggevend, maar kan wel van groot belang zijn, al helemaal wanneer het gaat om twee professionele contractspartijen, zoals hier het geval is.

Wanneer de rechtbank deze maatstaf toepast, komt zij tot de conclusie dat Medned 20% van de licentiekosten als naheffing in rekening mocht brengen. Ter onderbouwing van dit standpunt verwijst de rechtbank naar de overeenkomst, waarin de term ‘procentpunten’ wordt gebruikt, waarmee zowel taal- als rekenkundig een absoluut verschil tussen percentages wordt aangegeven.

GHZ mocht ook niet op grond van een eerdere overeenkomst met Medned – waarbij een lager naheffingstarief werd gehanteerd – verwachten dat een soortgelijk tarief voor deze overeenkomst zou gelden, aangezien de oude overeenkomst (na verlenging) wél tussentijds kon worden beëindigd. In dergelijke gevallen zou de naheffing enkel moeten worden betaald over de periode die nog resteerde, waar de naheffing in de huidige overeenkomst berekend moet worden over de volledige periode waarvoor de licentie zou gelden. De strekking van de bepaling is dus anders, waardoor GHZ daaraan geen verwachtingen kon ontlenen.

Volgens de rechtbank blijkt dus uit de taalkundige uitleg én de omstandigheden van het geval, dat GHZ een naheffing van 20% dient te betalen.

Raadpleegpakket

Partijen verschillen ook van mening over de wijze waarop de overgang naar het raadpleegpakket zou verlopen. Medned meent op basis van hetgeen dat bepaald is in de overeenkomst dat het raadpleegpakket – en het lagere licentietarief – pas zou ingaan, wanneer gedurende één kwartaal niet meer dan vijf (eind)gebruikers het informatiesysteem hebben geraadpleegd. GHZ vindt dit onredelijk, aangezien zij duidelijk had aangegeven dat zij per 1 januari wilde overgaan op het raadpleegpakket en het gebruik van het informatiesysteem wilde staken. Daarnaast heeft zij aangegeven dat zij inmiddels het aantal gebruikers heeft teruggebracht naar vijf, waardoor er onnodig (extra) kosten in rekening zijn gebracht.

Ook hier past de rechtbank de Haviltex-maatstaf toe, waarbij wederom – aangezien het om twee professionele contractspartijen gaat – veel waarde wordt gehecht aan de taalkundige uitleg. Volgens de rechtbank dient GHZ alsnog (extra) kosten te betalen, aangezien in de overeenkomst staat dat de overgang naar het raadpleegpakket slechts mogelijk is wanneer gedurende één kwartaal het aantal gebruikers niet meer dan vijf bedraagt. GHZ heeft echter gedurende die periode het aantal gebruikers (ongv. 141) teruggebracht naar vijf, waardoor er wel degelijk meer accounts actief waren gedurende het kwartaal. De kosten die zien op dat kwartaal, komen dus voor rekening van GHZ.

Oudere versie van de software

In de licentieovereenkomst is ook afgesproken dat GHZ een toeslag op de kosten moet betalen wanneer zij gebruik blijft maken van een softwareversie die langer dan zestien maanden geleden is opgeleverd. GHZ voert echter aan dat niet van haar mocht worden verwacht dat zij een nieuwe versie van de software zou installeren, aangezien zij kenbaar had gemaakt dat zij het gebruik van het systeem zou gaan afschalen. Daarnaast stelt GHZ dat Medned onvoldoende heeft gedaan om haar ertoe te bewegen om over te stappen naar een nieuwe versie van het softwarepakket.

De rechtbank maakt wederom gebruik van de Haviltex-maatstaf en komt tot de conclusie dat Medned de toeslag bij GHZ in rekening mocht brengen. Daarbij wordt – naast de tekstuele uitleg – in aanmerking genomen dat Medned meermaals berichten aan GHZ heeft gestuurd, waarin werd gewezen op de beschikbaarheid van een nieuwe versie van het softwarepakket en werd verzocht om deze onverwijld te installeren. GHZ heeft daar echter geen reactie opgegeven en heeft evenmin daarop actie ondernomen, waardoor het volgens de rechtbank niet onredelijk is dat Medned ook de toeslag in rekening brengt.

Geschikte IT-omgeving voor raadpleegpakket

GHZ stelt tot slot dat het raadpleegpakket pas twee jaar na de afgesproken overgangsdatum door Medned is opgeleverd en dat het merendeel van diens hoge facturen direct daaraan zijn te herleiden. GHZ meent dan ook dat de facturen moeten worden gematigd, aangezien het late opleveren niet voor haar rekening en risico behoort te komen. Medned brengt hiertegen in dat zij enkel de verplichting had om de software op te leveren, maar dat GHZ zelf verantwoordelijk was voor het inrichten van een geschikte IT-omgeving waarop de software kon draaien.

De rechtbank volgt het verweer van Medned, aangezien GHZ onvoldoende heeft gesteld/onderbouwd waaruit de tekortkoming van Medned zou blijken. Daarnaast heeft GHZ niet aangegeven welke bedragen onterecht in rekening zijn gebracht, waardoor de vordering onvoldoende bepaald is en niet kan worden toegewezen.

Conclusie en tips voor de praktijk

Alhoewel de taalkundige uitleg van een contract niet doorslaggevend hoeft te zijn, zal men bij twee professionele contractspartijen (i.e. zorginstelling en ICT-leverancier) daar toch veel waarde aan hechten. Het is dan ook verstandig om vooraf met een ICT-leverancier duidelijke afspraken te maken, voor het geval de (op)levering van een zorginformatiesysteem onverhoopt fout loopt. Daarbij kan worden gedacht aan afspraken over:

    
 	
  • Tussentijdse beëindiging en continuïteit (mogelijkheid tot het blijven inzien van gegevens).
    • 
 	
  • Verantwoordelijkheid voor (het installeren van) updates en het beschikbaar stellen van een geschikte IT-omgeving.
    • 
 	
  • Het al dan niet moeten meewerken aan de migratie naar een ander IT-leverancier (e.g. dataportabiliteit).
    • 


Heeft u vragen over het sluiten van IT-contracten en het mitigeren van ‘vendor lock-in’ risico’s binnen de zorg? Neem dan gerust contact op of maak vrijblijvend een afspraak met ons op één van onze vestigingen in ’s-Hertogenbosch, Eindhoven (BIC) en/of Oss (Pivot Park).
                    [post_title] => ICT-contracten in de zorg: voorkom vendor lock-in!
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => ict-contracten-in-de-zorg-voorkom-vendor-lock-in
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-11-03 09:47:45
                    [post_modified_gmt] => 2023-11-03 08:47:45
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=38798
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [4] => WP_Post Object
                (
                    [ID] => 39157
                    [post_author] => 6
                    [post_date] => 2023-10-06 10:34:34
                    [post_date_gmt] => 2023-10-06 08:34:34
                    [post_content] => Iedereen gebruikt dagelijks, bewust of onbewust, verschillende AI toepassingen. AI systemen kunnen veel goeds brengen. Zie bijvoorbeeld de mooie toepassingen in de zorg, mobiliteit en infrastructuur. Maar het gebruik van AI systemen kan ook tot schade leiden voor mensen of het kan mensenrechten schenden. Denk bijvoorbeeld aan de toeslagenaffaire.

Er is al wet- en regelgeving waar AI systemen aan moeten voldoen. Denk bijvoorbeeld aan de grondwet, consumentenregelgeving en de AVG. Daarnaast is er ook sectorspecifieke regelgeving waar AI systemen aan moeten voldoen. En er komt uit Europa nog meer regelgeving die relevant is voor AI systemen, de data die AI systemen kunnen gebruiken en de aansprakelijkheid van (gebruikers van) AI systemen.



Een veel gehoorde vraag is: ‘Waar kan ik een ‘groen vinkje’ / ‘seal of approval’ krijgen voor mijn AI systeem? Dit was voor ons ook aanleiding voor het project ‘AI Compliance Check’.

De vrijwilligers van de non-profit organisatie ForHumanity hebben audit criteria ontwikkeld voor AI systemen. Uitgangspunt van deze criteria zijn het beperken van risico’s van AI systemen op het gebied van ethiek, vooringenomenheid (BIAS), privacy, vertrouwen en cyberbeveiliging. Het is niet een ‘eenvoudige’ checklist. Het voldoen aan een audit criterium moet blijken uit gedocumenteerd bewijs. Bij een audit moet dit worden vastgesteld. Bijvoorbeeld:

Tabel audit

(bron: ForHumanity)

Voor wie is een AI Audit zinvol?


    
 	
  • Ontwikkelaar: wanneer jij een AI systeem hebt ontwikkeld, dan kun je vragen krijgen over het ‘compliant’ zijn met wet- en regelgeving. Vragen zoals: Voldoet dit AI systeem aan alle wettelijke vereisten? Wat voor risico loop ik wanneer ik dit AI systeem ga gebruiken? En is dit AI systeem voorbereid op de AI Act (AI verordening). En het voorbereid zijn op de komende AI Act. Met een audit laat je zien dat het AI systeem voldoet aan de audit criteria van ForHumanity. Dat is een waarborg dat het AI systeem compliant is op het gebied van ethiek, vooringenomenheid (BIAS), privacy, vertrouwen en cyberbeveiliging. Na een geslaagde audit krijg je een ‘certification report’ dat je kunt publiceren en/of naar toezichthouders kunt sturen. Dit draagt bij aan trust/vertrouwen in jouw AI systeem.
    • 
 	
  • Koper/gebruiker/distributeur: wanneer je een AI systeem wil gaan gebruiken dan wil je de risico’s die verband houden met dat AI systeem in kaart hebben gebracht. Dat zou kunnen met een AI risk assessment. Nog beter is het om de leverancier te vragen om een rapport van een succesvol afgeronde AI audit.
    • 



Wat doen wij?

Jos van der Wijst is een door ForHumanity gecertificeerde auditor van AI systemen. Met een team, bestaande uit medewerkers met een juridische en software/data science achtergrond, bereiden wij je voor op een audit van een AI systeem. Wij voeren uit:

Wil je hier meer over weten neem dan contact op met Jos van der Wijst (wijst@bg.legal).

Jos van der Wijst 2
                    [post_title] => Audit van AI systemen
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => audit-van-ai-systemen
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-10-06 10:34:34
                    [post_modified_gmt] => 2023-10-06 08:34:34
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=39157
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [5] => WP_Post Object
                (
                    [ID] => 39075
                    [post_author] => 6
                    [post_date] => 2023-10-04 15:28:37
                    [post_date_gmt] => 2023-10-04 13:28:37
                    [post_content] => Bent u een essentiële of belangrijke entiteit die actief is in de sectoren die onder de NIS2-richtlijn vallen? Of, nog belangrijker, maakt u deel uit van de toeleveringsketen die deze cruciale sectoren bedient? Zo ja, dan kunt u het zich zeker niet veroorloven om te wachten met NIS2-compliance. Als deskundige jurist gespecialiseerd in privacy-, data- en informatietechnologie-wetgeving, wil ik benadrukken dat het dringend noodzakelijk is om u proactief aan te passen aan de NIS2-vereisten. Dit is waarom u nu moet handelen, liever dan later.

Complexiteit en tijdsbesteding om aan NIS2 te voldoen

Ten eerste is het begrijpen en implementeren van de uitputtende lijst met beveiligingsmaatregelen, protocollen voor risicobeheer en rapportagerichtlijnen die in de NIS2-richtlijn worden gespecificeerd, zeker geen klus van één dag. Bovendien vereisen deze complexe vereisten vaak een aanpak op maat. Deze aanpak vereist niet alleen een grondige kennis van de wet, maar ook de genuanceerde toepassing ervan in een technologie gedreven omgeving.

Escalerende kosten van niet-naleving

Ten tweede staan er strenge straffen op niet-naleving van NIS2. Voor essentiële entiteiten kunnen de boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Voor belangrijke entiteiten zijn de bedragen niet veel lager: tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet. Bovendien kan niet-compliance leiden tot reputatieschade en verlies van klanten - kosten die moeilijker te kwantificeren zijn, maar ontegenzeggelijk verwoestend zijn.

Deskundigheid en toewijzing van middelen

Ten derde vereist de NIS2-richtlijn een hoog niveau van deskundigheid op het gebied van cyberbeveiliging, gegevensbescherming en reactie op incidenten. Voor veel bedrijven, met name kleinere, is dit expertiseniveau misschien niet direct intern beschikbaar. Daarom kan samenwerking met een jurist helpen om deze lacunes effectief en efficiënt op te vullen.

Voordelen van vroegtijdige naleving van NIS2

Bovendien is naleving van NIS2 niet alleen bedoeld om boetes te voorkomen; het is een investering in de veiligheid en geloofwaardigheid van uw bedrijf op de lange termijn. Vroegtijdige naleving vergroot de veerkracht van uw organisatie, vermindert de impact van cyberincidenten en kan u zelfs een concurrentievoordeel opleveren. Sterker nog, hoe eerder u de regels naleeft, hoe sneller u uw klanten en partners kunt laten zien dat u zich inzet voor cyberbeveiliging.

Praktische stappen om nu te beginnen

Ter verduidelijking volgen hier de stappen die je moet overwegen:

    
 	
  1. Controleer de status van uw organisatie: Bepaal of u direct of indirect wordt beïnvloed door NIS2.
    2. 
 	
  2. Voer een risicobeoordeling uit: Overweeg welke stappen uit Artikel 21 u meteen kunt implementeren.
    3. 
 	
  3. Deskundige hulp zoeken: Hoe eerder u met het proces begint, hoe goedkoper en beter beheersbaar het zal zijn.
    4. 



Wat nu?

Dus u hebt het belang van NIS2-compliance ingezien; de vraag is nu, hoe gaat u verder? Veel van deze stappen, waaronder het navigeren door juridische complexiteiten en het afstemmen van bedrijfsprocessen op de richtlijn, vereisen gespecialiseerde kennis. Daarom zijn onze services speciaal op maat gemaakt om u te helpen NIS2-compliance te bereiken met een minimum aan gedoe en een maximum aan effectiviteit.

Nu actie ondernemen

Kortom, elk moment dat u wacht met de aanpassing aan NIS2 is een gemiste kans om uw bedrijf veilig te stellen en uw concurrentievoordeel te versterken. Zonder voorbehoud raad ik u aan vandaag nog contact met ons op te nemen. Laten we uw organisatie op weg helpen naar robuuste cyberbeveiliging, volledige compliance en zakelijk succes op de lange termijn.

Stel gerust uw vragen of bespreek uw specifieke behoeften. We zijn er om u te helpen door het complexe landschap van NIS2-compliance te navigeren.

Jos van der Wijst
                    [post_title] => NIS2: Handel snel voor naleving. Hoe u boetes en reputatieschade kunt voorkomen
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => nis2-handel-snel-voor-naleving-hoe-u-boetes-en-reputatieschade-kunt-voorkomen
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-06-03 10:38:13
                    [post_modified_gmt] => 2024-06-03 08:38:13
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=39075
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [6] => WP_Post Object
                (
                    [ID] => 38819
                    [post_author] => 6
                    [post_date] => 2023-09-26 14:02:34
                    [post_date_gmt] => 2023-09-26 12:02:34
                    [post_content] => De digitalisering van onze samenleving brengt vele voordelen met zich mee, maar stelt ons ook bloot aan nieuwe risico's en uitdagingen. Een van de belangrijkste instrumenten van de Europese Unie om deze risico's te beheersen is de ‘Directive on Security of Network and Information Systems’ (ook wel de NIS Directive of de ‘NIS-richtlijn’ genoemd). In deze blog duiken we dieper in de juridische aspecten van de NIS-richtlijn en leggen we uit wat deze aspecten betekenen voor zowel ‘operators of essential services’ als ‘digital service providers’.

Wat is de NIS-richtlijn?

De NIS-richtlijn ((EU) 2016/1148) is Europese regelgeving die in 2016 werd aangenomen om een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen binnen de Unie te waarborgen.

Waarom is de NIS-richtlijn belangrijk?

De NIS-richtlijn is van groot belang omdat het zorgt voor een uniform beveiligingskader binnen de EU, wat belangrijk is voor het functioneren van de interne markt en voor de bescherming tegen cyberdreigingen. Het voorkomen van cyberdreigingen is op zichzelf essentieel omdat de impact ervan enorme gevolgen kan hebben, aangezien we steeds meer zaken digitaal regelen en ondernemen. De bescherming van burgers en bedrijven op dit gebied staat daarom hoog op de Europese agenda. Dat blijkt ook uit het feit dat de NIS-richtlijn binnenkort wordt herzien met de NIS2-richtlijn (daarover later meer).

OES en DSP's onder de NIS-richtlijn

De NIS-richtlijn kent twee categorieën van organisaties die aan bepaalde beveiligingseisen moeten voldoen: operators of essential services (‘OES’) en digital service providers (‘DSP's).

OES zijn organisaties die essentiële diensten leveren, zoals energie, water, transport, gezondheidszorg en financiële diensten. Deze diensten zijn van cruciaal belang voor de samenleving en een aanval hierop zou aanzienlijke economische en sociale gevolgen kunnen hebben.

DSP's zijn organisaties die diensten leveren op het gebied van cloud computing, online marktplaatsen en/of zoekmachines. Deze diensten worden steeds belangrijker in ons dagelijks leven en een aanval hierop zou een aanzienlijke impact kunnen hebben op de digitale economie.

De NIS-richtlijn legt aan zowel OES als DSP's een aantal verplichtingen op, op het gebied van:

    
 	
  • Beveiligingsmaatregelen: organisaties moeten passende beveiligingsmaatregelen nemen om geïdentificeerde risico's te beperken; en
    • 
 	
  • Incidentenrapportage: organisaties moeten ernstige incidenten melden aan de bevoegde nationale autoriteiten.
    • 


Het is belangrijk dat zowel OES als DSP's zich bewust zijn van hun juridische verplichtingen onder de NIS-richtlijn. Door deze verplichtingen na te leven kunnen organisaties hun netwerken en informatiesystemen beter beschermen tegen cyberaanvallen.

Wat zijn de belangrijkste juridische aspecten van de NIS-richtlijn?

De juridische verplichtingen voor NIS-organisaties

    
 	
  • Wat zijn de vereisten van de NIS-richtlijn voor NIS-organisaties?
NIS-organisaties moeten voldoen aan een reeks vereisten, waaronder risicobeheer en het toepassen van beveiligingsmaatregelen afgestemd op geïdentificeerde risico's.
    • 



    
 	
  • Wat zijn de sancties voor het niet naleven van de NIS-Richtlijn?
Niet-naleving van de NIS-richtlijn kan leiden tot forse boetes en andere sancties, afhankelijk van de nationale wetgeving van de EU-lidstaat waarin de organisatie actief is.
    • 


De samenloop met gegevensbescherming

    
 	
  • Hoe verhoudt de NIS-richtlijn zich tot andere gegevensbeschermingswetten, zoals de AVG?
Hoewel ze afzonderlijk functioneren, vullen de NIS-richtlijn en de Algemene Verordening Gegevensbescherming (‘AVG’) elkaar aan. Beide wetten behandelen de bescherming van gegevens, maar waar de NIS-richtlijn zich in algemenere zin op de beveiliging van netwerken en informatiesystemen richt, focust de AVG zich specifiek op de bescherming van persoonsgegevens.
    • 



    
 	
  • Wat zijn de vereisten van de NIS-richtlijn voor NIS-organisaties op het gebied van gegevensbescherming?
Net als bij de AVG moeten NIS-organisaties zorgvuldig omgaan met persoonsgegevens en deze adequaat beveiligen tegen ongeoorloofde toegang en datalekken.
    • 


De toekomst van de NIS-richtlijn

    
 	
  • Wat is de NIS2-richtlijn?
De NIS2-Richtlijn is een voorstel voor een herziene versie van de NIS-richtlijn, met als doel het versterken en moderniseren van de cyberbeveiliging in de EU.
    • 



    
 	
  • Wat zijn de belangrijkste veranderingen die worden geïntroduceerd door de NIS2-richtlijn?
De NIS2-richtlijn stelt voor om het toepassingsgebied uit te breiden, de sancties te verhogen, en nieuwe beveiligingseisen in te voeren.
    • 



Conclusie

De NIS-richtlijn is een belangrijk instrument van de EU om een veilige digitale ruimte te waarborgen. Het is van cruciaal belang dat zowel OES als DSP's zich bewust zijn van hun juridische verplichtingen onder deze richtlijn, vooral in het licht van de aankomende NIS2-richtlijn waarbij de verplichting tot gegevensbescherming naar een nog hoger niveau zal worden getild. Hierover in een volgende blog meer! En bij vragen kunt u altijd contact opnemen.

Jos van der Wijst
                    [post_title] => NIS-richtlijn: de juridische aspecten van cybersecurity
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => nis-richtlijn-de-juridische-aspecten-van-cybersecurity
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-06-03 10:38:36
                    [post_modified_gmt] => 2024-06-03 08:38:36
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=38819
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [7] => WP_Post Object
                (
                    [ID] => 38728
                    [post_author] => 6
                    [post_date] => 2023-09-19 16:41:36
                    [post_date_gmt] => 2023-09-19 14:41:36
                    [post_content] => Een uitvinding kan via het octrooirecht maximaal twintig jaar worden beschermd. Voor geneesmiddelen geldt echter een uitzondering: indien een aanvullend beschermingscertificaat (“ABC”) wordt aangevraagd, kan de maximale termijn voor bescherming met vijf jaar worden verlengd. De reden hiervoor is de vergunning die men moet aanvragen, alvorens het geneesmiddel op de markt kan worden gebracht. Het aanvragen van een vergunning gaat dus ten koste van de geldigheidsduur van het octrooi, waardoor het – mede gelet op de vaak hoge ontwikkelingskosten – voor farmaceuten minder aantrekkelijk wordt om nieuwe geneesmiddelen te ontwikkelen. Het ABC tracht dit probleem te verhelpen.

Onlangs heeft de rechtbank Den Haag uitspraak gedaan in een interessante zaak over het verstrekken van ABC’s voor octrooien die zien op stoffen waarvoor al eens eerder een vergunning is verleend. In het onderstaande artikel worden enkele belangrijke overwegingen van de rechtbank nader toegelicht.[1] In het onderstaande artikel worden enkele belangrijke overwegingen van de rechtbank nader toegelicht.



Wat ging eraan vooraf?

Genmab heeft enkele jaren geleden een geneesmiddel ontwikkeld tegen leukemie, waarin de werkbare stof ‘ofatumumab’ werd gebruikt. Naast het octrooi dat zij voor deze stof had aangevraagd, heeft Genmab ook een handelsvergunning aangevraagd bij de Europese Commissie voor het medicijn onder de merknaam ARZERRA. Zowel de handelsvergunning als het octrooi zijn aan Genmab verleend.

Toen de termijn voor het verstrijken van het octrooi naderde, heeft Genmab een ABC aangevraagd bij het Octrooicentrum Nederland (“OCNL”). Dit verzoek werd door OCNL toegewezen. In de jaren die daarop volgden, bleken de commerciële resultaten echter tegen te vallen. Dit heeft Genmab ertoe bewogen om de handelsvergunning in te laten trekken én de nietigheid van het ABC aan te laten tekenen in het daarvoor bestemde register.

Kort daarna heeft Genmab echter een nieuwe (therapie)methode ontwikkeld voor het behandelen van MS, waarbij eveneens de stof ‘ofatumumab’ wordt gebruik. Voor deze toepassing van de stof heeft zij een nieuw octrooi aangevraagd, welke ook door het Europees Octrooibureau is verleend. Hetzelfde geldt voor de handelsvergunning, waarin dezelfde werkzame stof (i.e. ‘ofatumumab’) wordt gebruikt als bij ARZERRA. Dit keer wordt het geneesmiddel echter aangeboden onder de merknaam KESIMPTA.

Genmab heeft voor KESIMPTA opnieuw een ABC aangevraagd. Dit verzoek wordt echter door OCNL afgewezen, aangezien een nieuwe toepassing van een reeds eerder (via een handelsvergunning) op de markt gebrachte stof niet voor een ABC in aanmerking komt. Tegen dit besluit gaat Genmab in beroep bij de bestuursrechter van de rechtbank Den Haag.



Oordeel van de rechtbank

De rechtbank behandelt allereerst de vier cumulatieve voorwaarden die in artikel 3 van de ABC-verordening worden genoemd:[2]

    
 	
  1. Het product moet worden beschermd door een octrooi dat nog van kracht is;
    2. 
 	
  2. Voor het product moet (als geneesmiddel) een handelsvergunning zijn verkregen die nog van kracht is;
    3. 
 	
  3. Voor het product mag nog niet eerder een ABC zijn verkregen; en
    4. 
 	
  4. De handelsvergunning moet de eerste vergunning zijn voor het in de handel brengen van het product als geneesmiddel.
    5. 


In het onderhavige geval staat dus (hoofdzakelijk) ter discussie of al dan niet aan artikel 3 sub d van de ABC-verordening is voldaan (i.e. niet eerder op de markt zijn gebracht op grond van een andere vergunning).

Volgens de rechtbank is niet aan dit vereiste voldaan. Tussen partijen staat namelijk niet in geschil dat de handelsvergunning voor AZERRA en KESIMPTA zien op dezelfde werkzame stof: ‘ofatumumab’.

Daarnaast beoogt de ABC-verordening volgens de rechtbank niet bescherming te bieden aan ieder farmaceutisch onderzoek dat leidt tot een nieuw (geoctrooieerd) geneesmiddel, maar wél aan onderzoeken waardoor (een nieuwe combinatie van) werkzame stoffen voor het eerst op de markt worden gebracht.

Alhoewel in de toelichting op de ABC-verordening eveneens de mogelijkheid wordt geboden voor de bescherming van een nieuwe werkwijze voor de verkrijging/toepassing van een product, ziet deze doelstelling echter niet op het beschermen van een tweede medische indicatie (e.g. een nieuwe therapeutische behandelingsmethode). In een arrest van het Hof van Justitie wordt namelijk aangegeven dat deze doelstelling enkel ziet op situaties waarin de werkzame stof al bekend was, maar nog niet eerder op de markt was gebracht omdat daarvoor nog geen handelsvergunning was verleend.[3] In het onderhavige geval was ‘ofatumumab’ echter al eerder op de markt gebracht op basis van de handelsvergunning voor ARZERRA, waardoor het op grond van artikel 3 sub d ABC-verordening niet langer mogelijk is om een ABC te verkrijgen voor KESIMPTA.

De rechtbank sluit zich dan ook aan bij het standpunt van OCNL en verklaart het beroep van Genmab ongegrond.

Conclusie

Bij het aanvragen van een ABC is (onder meer) het van belang om te kijken of voor de werkzame stof al niet eerder een handelsvergunning is verleend. Mocht dat het geval zijn, dan is het niet langer mogelijk om een ABC te verkrijgen voor het desbetreffende geneesmiddel.

Heeft u vragen over ABC’s en/of octrooirechtelijke bescherming binnen de farmaceutische industrie? Neem dan gerust contact op of maak een afspraak met ons voor een vrijblijvend gesprek. Dit kan op één van onze vestigingen in ’s-Hertogenbosch, Eindhoven (BIC) en/of Oss (Pivot Park).

[1] Rb. Den Haag 29 augustus 2023, zaak nr. SGR 22.6813 OCT95 (Genmab/OCNL)

[2] Verordening (EG) nr. 469.2009 (betreffende het aanvullende beschermingscertificaat voor geneesmiddelen)

[3] HvJEU 9 juli 2020, ECLI:EU:C:2020:531 (Santen)
                    [post_title] => Geen aanvullend beschermingscertificaat bij eerdere vergunning voor dezelfde werkzame stof
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => geen-aanvullend-beschermingscertificaat-bij-eerdere-vergunning-voor-dezelfde-werkzame-stof
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-10-25 12:09:17
                    [post_modified_gmt] => 2023-10-25 10:09:17
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=38728
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [8] => WP_Post Object
                (
                    [ID] => 38664
                    [post_author] => 6
                    [post_date] => 2023-09-14 15:19:51
                    [post_date_gmt] => 2023-09-14 13:19:51
                    [post_content] => De Consumentenbond heeft op 12 september 2023 haar dagvaarding tegen Google uitgebracht, in samenwerking met de Stichting Bescherming Privacybelangen. De partijen stellen dat Google op grote schaal de privacy-rechten van haar Nederlandse gebruikers schendt en niet transparant is over de gegevens die zij verzamelt. Meer specifiek stellen de partijen dat Google:

    
 	
  • Zich niet zou houden aan de principes van dataminimalisatie en privacy by design and default. Google zou meer data verwerken dan noodzakelijk en haar infrastructuur niet hebben ontworpen met het oog op de bescherming van de privacybelangen van haar gebruikers.
    • 
 	
  • Haar gebruikers niet (goed) zou informeren over hoe hun persoonsgegevens worden verwerkt. Gebruikers zouden namelijk niet voldoende op de hoogte zijn van wat Google allemaal verzamelt.
    • 
 	
  • Persoonsgegevens zouden verwerken zonder een geldige verwerkingsgrondslag. De toestemming van gebruikers zou namelijk niet geldig zijn en Google zou ook geen gerechtvaardigd belang hebben.
    • 
 	
  • Bijzondere persoonsgegevens zou verwerken ten behoeve van haar advertentiediensten, hetgeen in strijd zou zijn met het verwerkingsverbod uit artikel 9 AVG. Google zou namelijk bijzondere persoonsgegevens hebben verwerkt zonder daar expliciete toestemming voor te krijgen.
    • 
 	
  • Persoonsgegevens zou doorgeven aan de Verenigde Staten (VS), hetgeen niet is toegestaan op grond van de AVG. Google biedt namelijk geen aanvullende waarborgen voor de gegevens die naar de VS worden verzonden, waardoor zij geen adequaat beschermingsniveau voor haar gebruikers kan garanderen.
    • 
 	
  • Zich schuldig zou maken aan oneerlijke handelspraktijken. Google zou bijvoorbeeld dark patterns gebruiken om haar klanten te misleiden.
    • 


De eis van de partijen is simpel: naast het betalen van een schadevergoeding, willen zij dat Google zich aan de wet gaat houden en de privacy-rechten van haar gebruikers gaat respecteren. De partijen willen dat Google in dat kader haar werkwijze fundamenteel gaat veranderen, door onder andere:

    
 	
  • Haar digitale infrastructuur opnieuw in te richt, waarbij de beginselen van privacy by design and default worden meegenomen.
    • 
 	
  • Haar gebruikers nauwkeuriger te informeren over de data die verwerkt wordt.
    • 
 	
  • Verwerkingsactiviteiten te baseren op rechtmatige verwerkingsgrondslagen.
    • 
 	
  • Te stoppen met het delen van persoonsgegevens met de VS.
    • 



Wat kun je als Google-gebruiker? 

Het is mogelijk om je aan te melden als belanghebbende/gedupeerde bij de Consumentenbond. Mocht de rechter een schadevergoeding toewijzen, dan krijg je als deelnemer +- 75% van het bedrag dat wordt uitgekeerd. Als de rechtszaak geen succes is, dan hoef je niks te betalen. Deze rechtszaak wordt namelijk gefinancierd door een procesfinancier die, als er een schadevergoeding wordt toegewezen, daar een percentage van ontvangt.

Heb je vragen over het gebruik van Google binnen een bedrijf/onderneming en de waarborgen die je daarbij in acht moet nemen? Neem dan gerust contact op.

Jos van der Wijst
                    [post_title] => Consumentenbond start massaclaim tegen Google
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => consumentenbond-start-massaclaim-tegen-google
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2024-07-01 14:52:56
                    [post_modified_gmt] => 2024-07-01 12:52:56
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=38664
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

            [9] => WP_Post Object
                (
                    [ID] => 38534
                    [post_author] => 6
                    [post_date] => 2023-09-07 15:25:05
                    [post_date_gmt] => 2023-09-07 13:25:05
                    [post_content] => Grensoverschrijdend gedrag op de werkvloer blijft een actueel onderwerp. Al eerder schreven wij over de maatregelen die je als werkgever kunt treffen om problematisch gedrag op de werkvloer te voorkomen en/of (tijdig) op te sporen, waaronder het inschakelen van een extern onderzoeksbureau. Wanneer de bevindingen van het onderzoeksbureau leiden tot het ontslag van de werknemer, zou het wel eens kunnen voorkomen dat deze persoon inzage verlangt in het onderzoeksrapport en/of de oorspronkelijke melding op grond van de geldende privacy wet- en regelgeving. In een recente uitspraak van de rechtbank Amsterdam wordt echter bepaald dat een werkgever dit niet altijd hoeft te doen.[1]

Benieuwd naar de redenen? Je leest er meer over in de onderstaande blog.

Wat ging eraan vooraf?

Enkele jaren geleden had een medewerker van een hogeschool melding gemaakt van grensoverschrijdend gedrag. De hogeschool heeft – na in gesprek te zijn gegaan met degene die daarvan werd beschuldigd – een extern bureau ingeschakeld om de melding te onderzoeken. Na afronding van het onderzoek, heeft het bureau een conceptversie van het rapport met de beschuldigde werknemer gedeeld. Deze heeft daar echter niet inhoudelijk op gereageerd.

Kort daarna heeft het onderzoeksbureau de definitieve versie van het rapport met de hogeschool gedeeld, hetgeen uiteindelijk heeft geresulteerd in (het aanhangig maken van) een ontslagprocedure tegen de werknemer.

Verzoekschriftprocedure

In het kader van deze ontslagprocedure, heeft de werknemer (o.a.) een verzoek tot afschrift van (de verwerking van) zijn persoonsgegevens ingediend bij zowel de hogeschool als het onderzoeksbureau. De bestanden en documenten die daaropvolgend zijn verstrekt, waren volgens de werknemer echter onvolledig, aangezien een integraal afschrift van de melding ontbrak. Dit heeft de werknemer er dan ook toe bewogen om een verzoekschrift in te dienen bij de rechtbank Amsterdam. Naast volledige afschriften van de melding én gegevens die betrekking hadden op de ontslagprocedure, verzoekt werknemer in deze procedure tevens de vernietiging van de gegevens, alsook een schadevergoeding van € 35.000,-.

Oordeel van de rechtbank

In het vonnis doorloopt de rechtbank stapsgewijs een aantal aspecten die relevant zijn voor het indienen/beoordelen van een AVG-verzoek(schrift). Ieder (deel)onderwerp uit het vonnis zal hierna kort worden toegelicht.

Ontvankelijkheidsperikelen

Wanneer een betrokkene (de werknemer) zijn rechten uit hoofde van de AVG wil uitoefenen, dient deze zich eerst tot de entiteit te wenden die verantwoordelijk is voor de verwerking van zijn gegevens. Deze entiteit dient zo snel mogelijk – doch uiterlijk binnen één maand na ontvangst van het verzoek, behoudens enkele uitzonderingen – een beslissing te nemen op het verzoek. Indien de betrokkene het daarmee oneens is, zal deze binnen zes weken na kennisname van de beslissing een procedure moeten starten bij de rechtbank.

De oud-werknemer was echter – wat betreft de beslissing van het onderzoeksbureau – te laat met het indienen van zijn verzoeken, waardoor deze niet-ontvankelijk werden verklaard.

Het verzoek dat was ingediend tegen de beslissing van de hogeschool was echter wél tijdig ingediend, aangezien deze beslissing iets langer op zich had laten wachten. De werknemer had destijds echter nog niet bij de hogeschool aangegeven dat hij ook vernietiging van zijn gegevens verzocht. Aangezien de hogeschool daarover nog niet een beslissing heeft kunnen nemen, wordt ook dat verzoek niet-ontvankelijk verklaard door de rechtbank.

Wat dan nog overblijft, is het verzoek tot afschrift van de stukken dat gericht is aan de hogeschool, hetgeen door de rechtbank in behandeling wordt genomen.

Recht op inzage/afschrift van de melding?

De hogeschool heeft in haar beslissing aangegeven dat zij enkel de NAW-gegevens van de werknemer met het onderzoeksbureau heeft gedeeld. De daaropvolgende verwerkingsactiviteiten die betrekking hadden op de ontslagprocedure zijn primair verricht door het onderzoeksbureau. Volgens de hogeschool beschikt zij dan ook – naast het onderzoeksrapport, waar de oud-werknemer al over beschikt – niet over documenten waarin de persoonsgegevens van de werknemer worden genoemd, behoudens de oorspronkelijke melding en enkele interne notities. De hogeschool stelt zich echter op het standpunt dat zij deze niet hoeft te delen.

De rechtbank gaat hierin mee: de hogeschool heeft als werkgever namelijk ook de plicht om de rechten en vrijheden van de meldster en andere medewerkers te beschermen. Derhalve was de hogeschool niet gehouden om de inhoud van de melding (integraal) met de werknemer te delen en kon zij volstaan met het delen van de algemene strekking van de melding.

Schadevergoeding

Tot slot, wordt de vordering tot het betalen van schadevergoeding behandeld. Voor toewijzing van deze vordering dient er sprake te zijn van een schending van de AVG, hetgeen onder meer het geval is indien de persoonsgegevens onrechtmatig zijn verwerkt.

De rechtbank constateert echter dat de hogeschool de (persoons)gegevens die zien op de ontslagprocedure rechtmatig heeft verwerkt. Het verwerken van deze gegevens was immers noodzakelijk voor de behartiging van haar gerechtvaardigde belangen als werkgever en die van derden (e.g. de meldster). Deze belangen prevaleren boven het belang van de oud-werknemer, waardoor aan alle vereisten van artikel 6 lid 1 sub f AVG is voldaan. De verwerkingsactiviteiten van de hogeschool zijn dan ook rechtmatig, met als gevolg dat de vordering tot het betalen van een schadevergoeding door de rechtbank wordt afgewezen.

Conclusie en tips voor de praktijk

Als werkgever hoef je niet altijd de inhoud van een melding over grensoverschrijdend gedrag integraal met de beschuldigde werknemer te delen. Gelet op de belangen en rechten van (o.a.) degene die de melding heeft gedaan, kun je ook volstaan met het delen van de algemene strekking van de melding. De wijze waarop dit moet gebeuren, alsook de informatie die daar wel/niet in moet worden genoemd, zal afhankelijk zijn van de specifieke omstandigheden van het geval.

Vragen over (het delen van) meldingen die zien op grensoverschrijdend gedrag van werknemers? Neem dan gerust contact op met Marlies Hol. Wij helpen je graag bij het inventariseren van de risico’s/mogelijkheden.

[1] Rechtbank Amsterdam 3 augustus 2023, ECLI:NL:RBAMS:2023:5257.
                    [post_title] => Mag een werknemer een melding van grensoverschrijdend gedrag inzien?
                    [post_excerpt] => 
                    [post_status] => publish
                    [comment_status] => open
                    [ping_status] => open
                    [post_password] => 
                    [post_name] => mag-een-werknemer-een-melding-van-grensoverschrijdend-gedrag-inzien-2
                    [to_ping] => 
                    [pinged] => 
                    [post_modified] => 2023-10-25 12:09:30
                    [post_modified_gmt] => 2023-10-25 10:09:30
                    [post_content_filtered] => 
                    [post_parent] => 0
                    [guid] => https://bg.legal/?p=38534
                    [menu_order] => 0
                    [post_type] => post
                    [post_mime_type] => 
                    [comment_count] => 0
                    [filter] => raw
                )

        )

    [post_count] => 10
    [current_post] => -1
    [before_loop] => 1
    [in_the_loop] => 
    [post] => WP_Post Object
        (
            [ID] => 40147
            [post_author] => 6
            [post_date] => 2023-12-13 14:05:24
            [post_date_gmt] => 2023-12-13 13:05:24
            [post_content] => Het Europees Parlement, de Lidstaten en de Europese Commissie hebben overeenstemming bereikt over de tekst van de nieuwe AI verordening (AI Act).

Wat staat er in de AI Act?

Verboden toepassingen
Een aantal AI toepassingen zijn verboden, zoals

    
 	
  • Het ongericht schrapen van gezichtsbeelden van internet of CCTV-beelden om gezichtsherkenningsdatabases te creëren. Dit omvat dus ook praktijken zoals die van Clearview AI.
    • 
 	
  • Emotieherkenning op de werkvloer en in onderwijsinstellingen. Met uitzonderingen zoals AI systemen die herkennen dat een chauffeur in slaap is gevallen.
    • 
 	
  • AI die wordt gebruikt om de kwetsbaarheden van mensen uit te buiten (vanwege hun leeftijd, handicap, sociale of economische situatie).
    • 
 	
  • AI systemen die op individuele basis het risico voorspellen op het in de toekomst plegen van misdaden (predictive policing software)
    • 
 	
  • Onder strikte voorwaarden wordt het toegestaan dat autoriteiten met realtime gezichtsherkenningssytemen in de publieke ruimte op zoek gaan naar personen. De lijst van misdrijven is groot en omvat terrorisme, mensenhandel, seksuele uitbuiting, moord, ontvoering, verkrachting, gewapende overval, deelname aan een criminele organisatie, milieucriminaliteit.
    • 



Hoog risico AI Act

AI systemen moeten worden ingedeeld in een risico-categorie. Dit zal de leverancier/ontwikkelaar moeten doen op basis van het beoogd gebruik. De AI systemen die als hoog-risico worden geclassificeerd staan op een bijlage bij de AI act. Voor deze AI systemen zal een mensenrechten Impact Assessment (IAMA) verplicht zijn. Deze verplichting geldt alleen voor overheidsinstanties en particuliere entiteiten die diensten van algemeen belang verlenen, zoals ziekenhuizen, scholen, banken en verzekeringsmaatschappijen.

De hoog-risico systemen moeten aan verplichtingen voldoen zoals een risico-management systeem, cyberveiligheid en menselijk toezicht.

Voor de meeste AI systemen zal gelden dat door ‘self-assessment’ moet worden vastgesteld:

    
 	
  • Of een AI systeem valt onder het bereik van de AI verordening
    • 
 	
  • In welke risico-categorie een AI systeem valt
    • 
 	
  • Of een AI systeem voldoet aan de vereisten van die risico-categorie.
    • 


BG.legal werkt in een consortium aangevoerd door LegalAIR, aan een AI Compliance Check. Daarbij maken we ‘vage’ normen toetsbaar en meetbaar. We volgen daarvoor het werk van de standaardisatie instanties die hier aan werken.

General purpose AI systems

Voor deze AI systemen, zoals ChatGPT, geldt dat zij transparant zullen moeten zijn over hoe zij voldoen aan de AI act. Dit omvat het verstrekken van technische documentatie, het respecteren van auteursrecht en het doen van een gedetailleerde opgave van al het materiaal dat is gebruikt voor het trainen van het model. En niet alleen door de provider van het GPAI systeem, maar ook door partijen die ergens in het ontwikkelproces hebben meegewerkt. Dus de hele keten.

AI regulatory sandbox

MKB bedrijven worden ondersteund bij de ontwikkeling van AI systemen die compliant zijn met de AI act. Overheden moeten daarvoor gaan werken met de AI regulatory sandbox. Dit is een afgesloten omgeving waarin (bepaalde aspecten van) een AI systeem, onder toezicht van een toezichthouder, getest kan worden. Een andere vorm is het “real-world-testing”. Noorwegen en de UK kennen dit instrument al. Hoe dit gaat werken moet nog concreet worden ingevuld. Zoals welke AI systemen in aanmerking komen, welke informatie moet worden gedeeld met de toezichthouder, welke informatie wordt later publiek gemaakt, is de toezichthouder bereid om constructief mee te denken om het AI systeem compliant te maken, etc.

Boetes

Aan het handelen in strijd met de AI act zijn hoge boetes verbonden. Er kunnen boetes worden opgelegd tot EUR 35 miljoen of 7% van de wereldwijde omzet.

Wanneer treedt de AI Act in werking?

De definitieve tekst zal nu vertaald moeten worden naar alle EU talen en worden aangenomen door het Europees Parlement. Vervolgens zal de AI Act in werking treden twee jaar na de datum van publicatie. Maar een aantal verplichtingen zal al een jaar eerder van kracht zijn. Zoals verplichtingen voor hoog-risico AI systemen, powerful AI models, de instanties die conformity assessments uitvoeren en het governance hoofdstuk.

Wat betekent dit in de tussentijd?

Het zou niet verstandig zijn om te wachten tot over twee jaar.

Wat zouden ontwikkelaars van AI systemen moeten doen:

    
 	
  • Van hun AI systeem beoordelen, op basis van het beoogd gebruik, in welke risico-categorie het AI systeem valt.
    • 
 	
  • Beoordelen of het AI systeem voldoet aan de vereisten van die risico-categorie.
    • 
 	
  • Wanneer discussie mogelijk is over de vraag of het een verboden of hoog-risico categorie AI systeem is, dit laten vaststellen door een derde partij (AI risk assessment).
    • 
 	
  • Wanneer het een hoog-risico AI systeem is, voorbereiden dat het compliant zal zijn met de vereisten die de AI act stelt.
    • 
 	
  • Wanneer onduidelijk is hoe de AI act uitgelegd moet worden voor jouw AI systeem, of een bepaald aspect daarvan, overweeg je te melden voor een AI regulatory sandbox of voor real-world-testing.
    • 


Wat zouden afnemers/gebruikers van AI systemen moeten doen:

    
 	
  • Inventariseer welke AI systemen je organisatie gebruikt. Vraag leveranciers van software of er AI is verwerkt in de software.
    • 
 	
  • Beoordeel vervolgens of AI systemen worden gebruikt die in de verboden of hoog-risico categorie vallen. Vraag zo nodig je leverancier van software om verklaringen/garanties dat er geen verboden en/of hoog-risico AI systemen worden ingezet.
    • 
 	
  • Wanneer je gebruik maakt van een verboden AI systeem, faseer dit uit. Ga op zoek naar alternatieven en beëindig het gebruik van dit AI systeem.
    • 
 	
  • Wanneer je gebruik maakt van een hoog-risico AI systeem, beoordeel of het AI systeem aan de vereisten voldoet. Daar waar het AI systeem niet aan een vereiste voldoet, zet een traject in gang om ervoor te zorgen dat het AI systeem aan de vereisten gaat voldoen. Leg deze verplichting zo mogelijk bij de leverancier van het AI systeem.
    • 
 	
  • Pas je inkoopvoorwaarden aan. Zorg dat een leverancier van hardware/software transparant is over de AI systemen die het wil gaan leveren en de risico-categorie waar het AI systeem in valt. Waarborg ook dat het AI systeem aan de vereisten blijft voldoen. De leverancier zou dit gedurende het gehele gebruik van het AI systeem moeten monitoren (post-market surveillance) en het AI systeem zo nodig aanpassen.
    • 



Hoe kunnen wij hierbij helpen?


    
 	
  • Uitleg
    • 


Binnenkort komt de definitieve tekst beschikbaar van de AI act. Wij kunnen helpen bij de uitleg van de tekst. Wat wordt er bedoeld met ‘human oversight’? Wat valt wel of niet onder de definitie van Artificial Intelligence? Hoe ziet een self assessment eruit?

    
 	
  • AI risk/impact assessment
    • 


Er zijn inmiddels verschillende assessments om de impact van een AI systeem in kaart te brengen. Per use-case, per sector kan een risk/impact assessment er anders uit zien. Zo zal een assessment voor een AI toepassing in de health sector er anders uit zien dan voor een AI toepassing in de vervoerssector. Wij kunnen helpen bij het vinden van een goed toepasbaar assessment. Wij kunnen dit ook helpen uitvoeren. Dat kunnen we doen via het LegalAIR consortium met partners die expert zijn op gebieden zoals data science, cyberveiligheid, data ethiek.

    
 	
  • Impact Assessment Mensenrechten en Algoritme (IAMA)
    • 


Wij hebben ervaring met het uitvoeren van een IAMA. Een organisatie kan zelf een IAMA uitvoeren. De ervaring leert dat het handig is en efficiënter werkt wanneer een IAMA met een externe begeleider wordt uitgevoerd.

    
 	
  • AI policy
    • 


Met de komst van AI tools zoals ChatGPT en Midjourney, is het gebruik van AI toegankelijker en gemakkelijker geworden. Maar wie beslist over welke AI tools gebruikt mogen worden? En heeft een organisatie interne spelregels voor het gebruik mogen maken van dergelijke AI tools? Vraagt inkoop om informatie/garanties over de werking/ontwikkeling/compliance van AI tools?
Deze onderwerpen komen aan de orde in een ‘AI policy’. Dit is een document dat we maatwerk maken voor organisaties zodat er verantwoord gebruik gemaakt kan worden van AI in de organisatie.

    
 	
  • AI audit
    • 


Zoals een organisatie laat beoordelen of de bedrijfsvoering aan bepaalde ISO normen voldoet, zo kan een organisatie ook laten beoordelen of een AI systeem voldoet aan vereisten. Ook nu is er al wet- en regelgeving van toepassing op AI systemen. Denk aan privacy (AVG), mensenrechten (grondwet, Europees Handvest), mededinging, consumentenregelgeving, etc. Daar komt nu dus de AI act bij. Bij het in kaart brengen van risico’s verbonden aan een onderneming, hoort ook een onderzoek naar risico’s verbonden aan het gebruik van bepaalde AI systemen. Bijvoorbeeld in het kader van een due diligence bij een fusie/overname.

Wij bereiden organisaties voor op een AI audit, bijvoorbeeld een audit naar de auditregels van de non-profit organisatie ForHumanity. Jos van der Wijst is FH auditor.

AI Act - BG.legal overview

AI Act - BG overview afbeelding

Voor meer informatie: neem contact op met Jos van der Wijst (wijst@bg.legal).

Jos van der Wijst 2
            [post_title] => Overeenstemming over de AI Act
            [post_excerpt] => 
            [post_status] => publish
            [comment_status] => open
            [ping_status] => open
            [post_password] => 
            [post_name] => overeenstemming-over-de-ai-act
            [to_ping] => 
            [pinged] => 
            [post_modified] => 2023-12-13 15:30:50
            [post_modified_gmt] => 2023-12-13 14:30:50
            [post_content_filtered] => 
            [post_parent] => 0
            [guid] => https://bg.legal/?p=40147
            [menu_order] => 0
            [post_type] => post
            [post_mime_type] => 
            [comment_count] => 0
            [filter] => raw
        )

    [comment_count] => 0
    [current_comment] => -1
    [found_posts] => 264
    [max_num_pages] => 27
    [max_num_comment_pages] => 0
    [is_single] => 
    [is_preview] => 
    [is_page] => 
    [is_archive] => 1
    [is_date] => 
    [is_year] => 
    [is_month] => 
    [is_day] => 
    [is_time] => 
    [is_author] => 
    [is_category] => 
    [is_tag] => 
    [is_tax] => 1
    [is_search] => 
    [is_feed] => 
    [is_comment_feed] => 
    [is_trackback] => 
    [is_home] => 
    [is_privacy_policy] => 
    [is_404] => 
    [is_embed] => 
    [is_paged] => 1
    [is_admin] => 
    [is_attachment] => 
    [is_singular] => 
    [is_robots] => 
    [is_favicon] => 
    [is_posts_page] => 
    [is_post_type_archive] => 
    [query_vars_hash:WP_Query:private] => a6fadb3e077c3099e54724a1f9ed99ce
    [query_vars_changed:WP_Query:private] => 1
    [thumbnails_cached] => 
    [allow_query_attachment_by_filename:protected] => 
    [stopwords:WP_Query:private] => 
    [compat_fields:WP_Query:private] => Array
        (
            [0] => query_vars_hash
            [1] => query_vars_changed
        )

    [compat_methods:WP_Query:private] => Array
        (
            [0] => init_query_flags
            [1] => parse_tax_query
        )

    [tribe_is_event] => 
    [tribe_is_multi_posttype] => 
    [tribe_is_event_category] => 
    [tribe_is_event_venue] => 
    [tribe_is_event_organizer] => 
    [tribe_is_event_query] => 
    [tribe_is_past] => 
    [tribe_controller] => Tribe\Events\Views\V2\Query\Event_Query_Controller Object
        (
            [filtering_query:Tribe\Events\Views\V2\Query\Event_Query_Controller:private] => WP_Query Object
 *RECURSION*
        )

)

Overeenstemming over de AI Act
13 dec 2023
Jos van der Wijst
Het Europees Parlement, de Lidstaten en de Europese Commissie hebben overeenstemming bereikt over de tekst van de nieuwe AI verordening (AI Act). Wat staat er in de AI Act? Verboden...
Lees meer

“Waarom waardeloze punten sparen voor nog waardelozere cadeautjes”
05 dec 2023
Jos van der Wijst
Dit was een deel van de tekst die koffieproducent Moyee, samen met een afbeelding van een waardebon, op haar verpakking had staan. Douwe Egberts (hierna: ‘DE’) reageerde als door een...
Lees meer

Het belang van voortvarende handhaving van octrooirecht
15 nov 2023
Jos van der Wijst
In de dynamische wereld van innovatie en ondernemerschap is het beschermen van intellectueel eigendom essentieel voor het behouden van een concurrentievoordeel. Octrooirecht biedt bedrijven de mogelijkheid om hun unieke ideeën...
Lees meer

ICT-contracten in de zorg: voorkom vendor lock-in!
13 okt 2023
Jos van der Wijst
Afgelopen jaren zijn veel processen binnen de zorg gedigitaliseerd. Het merendeel van deze ontwikkelingen is een direct gevolg van de hogere eisen die worden gesteld aan zorginformatiesystemen: niet alleen vanuit...
Lees meer

Audit van AI systemen
06 okt 2023
Jos van der Wijst
Iedereen gebruikt dagelijks, bewust of onbewust, verschillende AI toepassingen. AI systemen kunnen veel goeds brengen. Zie bijvoorbeeld de mooie toepassingen in de zorg, mobiliteit en infrastructuur. Maar het gebruik van...
Lees meer

NIS2: Handel snel voor naleving. Hoe u boetes en reputatieschade kunt voorkomen
04 okt 2023
Jos van der Wijst
Bent u een essentiële of belangrijke entiteit die actief is in de sectoren die onder de NIS2-richtlijn vallen? Of, nog belangrijker, maakt u deel uit van de toeleveringsketen die deze...
Lees meer

NIS-richtlijn: de juridische aspecten van cybersecurity
26 sep 2023
Jos van der Wijst
De digitalisering van onze samenleving brengt vele voordelen met zich mee, maar stelt ons ook bloot aan nieuwe risico’s en uitdagingen. Een van de belangrijkste instrumenten van de Europese Unie...
Lees meer

Geen aanvullend beschermingscertificaat bij eerdere vergunning voor dezelfde werkzame stof
19 sep 2023
Jos van der Wijst
Een uitvinding kan via het octrooirecht maximaal twintig jaar worden beschermd. Voor geneesmiddelen geldt echter een uitzondering: indien een aanvullend beschermingscertificaat (“ABC”) wordt aangevraagd, kan de maximale termijn voor bescherming...
Lees meer

Consumentenbond start massaclaim tegen Google
14 sep 2023
Jos van der Wijst
De Consumentenbond heeft op 12 september 2023 haar dagvaarding tegen Google uitgebracht, in samenwerking met de Stichting Bescherming Privacybelangen. De partijen stellen dat Google op grote schaal de privacy-rechten van...
Lees meer

Mag een werknemer een melding van grensoverschrijdend gedrag inzien?
07 sep 2023
Jos van der Wijst
Grensoverschrijdend gedrag op de werkvloer blijft een actueel onderwerp. Al eerder schreven wij over de maatregelen die je als werkgever kunt treffen om problematisch gedrag op de werkvloer te voorkomen...
Lees meer

Seminar