Blog van medewerkers

WP_Query Object
(
    [query] => Array
        (
            [paged] => 5
            [news-type] => blog
        )

    [query_vars] => Array
        (
            [paged] => 5
            [news-type] => blog
            [error] => 
            [m] => 
            [p] => 0
            [post_parent] => 
            [subpost] => 
            [subpost_id] => 
            [attachment] => 
            [attachment_id] => 0
            [name] => 
            [pagename] => 
            [page_id] => 0
            [second] => 
            [minute] => 
            [hour] => 
            [day] => 0
            [monthnum] => 0
            [year] => 0
            [w] => 0
            [category_name] => 
            [tag] => 
            [cat] => 
            [tag_id] => 
            [author] => 
            [author_name] => 
            [feed] => 
            [tb] => 
            [meta_key] => 
            [meta_value] => 
            [preview] => 
            [s] => 
            [sentence] => 
            [title] => 
            [fields] => 
            [menu_order] => 
            [embed] => 
            [category__in] => Array
                (
                )

            [category__not_in] => Array
                (
                )

            [category__and] => Array
                (
                )

            [post__in] => Array
                (
                )

            [post__not_in] => Array
                (
                )

            [post_name__in] => Array
                (
                )

            [tag__in] => Array
                (
                )

            [tag__not_in] => Array
                (
                )

            [tag__and] => Array
                (
                )

            [tag_slug__in] => Array
                (
                )

            [tag_slug__and] => Array
                (
                )

            [post_parent__in] => Array
                (
                )

            [post_parent__not_in] => Array
                (
                )

            [author__in] => Array
                (
                    [0] => 6
                )

            [author__not_in] => Array
                (
                )

            [search_columns] => Array
                (
                )

            [ignore_sticky_posts] => 
            [suppress_filters] => 
            [cache_results] => 1
            [update_post_term_cache] => 1
            [update_menu_item_cache] => 
            [lazy_load_term_meta] => 1
            [update_post_meta_cache] => 1
            [post_type] => 
            [posts_per_page] => 10
            [nopaging] => 
            [comments_per_page] => 50
            [no_found_rows] => 
            [taxonomy] => news-type
            [term] => blog
            [order] => DESC
        )

    [tax_query] => WP_Tax_Query Object
        (
            [queries] => Array
                (
                    [0] => Array
                        (
                            [taxonomy] => news-type
                            [terms] => Array
                                (
                                    [0] => blog
                                )

                            [field] => slug
                            [operator] => IN
                            [include_children] => 1
                        )

                )

            [relation] => AND
            [table_aliases:protected] => Array
                (
                    [0] => wp_term_relationships
                )

            [queried_terms] => Array
                (
                    [news-type] => Array
                        (
                            [terms] => Array
                                (
                                    [0] => blog
                                )

                            [field] => slug
                        )

                )

            [primary_table] => wp_posts
            [primary_id_column] => ID
        )

    [meta_query] => WP_Meta_Query Object
        (
            [queries] => Array
                (
                )

            [relation] => 
            [meta_table] => 
            [meta_id_column] => 
            [primary_table] => 
            [primary_id_column] => 
            [table_aliases:protected] => Array
                (
                )

            [clauses:protected] => Array
                (
                )

            [has_or_relation:protected] => 
        )

    [date_query] => 
    [queried_object] => WP_Term Object
        (
            [term_id] => 56
            [name] => Blog van medewerkers
            [slug] => blog
            [term_group] => 0
            [term_taxonomy_id] => 56
            [taxonomy] => news-type
            [description] => 
            [parent] => 0
            [count] => 1415
            [filter] => raw
        )

    [queried_object_id] => 56
    [request] => SELECT SQL_CALC_FOUND_ROWS  wp_posts.ID
					 FROM wp_posts  LEFT JOIN wp_term_relationships ON (wp_posts.ID = wp_term_relationships.object_id) LEFT  JOIN wp_icl_translations wpml_translations
							ON wp_posts.ID = wpml_translations.element_id
								AND wpml_translations.element_type = CONCAT('post_', wp_posts.post_type) 
					 WHERE 1=1  AND ( 
  wp_term_relationships.term_taxonomy_id IN (56)
) AND wp_posts.post_author IN (6)  AND ((wp_posts.post_type = 'post' AND (wp_posts.post_status = 'publish' OR wp_posts.post_status = 'acf-disabled' OR wp_posts.post_status = 'tribe-ea-success' OR wp_posts.post_status = 'tribe-ea-failed' OR wp_posts.post_status = 'tribe-ea-schedule' OR wp_posts.post_status = 'tribe-ea-pending' OR wp_posts.post_status = 'tribe-ea-draft'))) AND ( ( ( wpml_translations.language_code = 'nl' OR (
					wpml_translations.language_code = 'nl'
					AND wp_posts.post_type IN ( 'attachment' )
					AND ( ( 
			( SELECT COUNT(element_id)
			  FROM wp_icl_translations
			  WHERE trid = wpml_translations.trid
			  AND language_code = 'nl'
			) = 0
			 ) OR ( 
			( SELECT COUNT(element_id)
				FROM wp_icl_translations t2
				JOIN wp_posts p ON p.id = t2.element_id
				WHERE t2.trid = wpml_translations.trid
				AND t2.language_code = 'nl'
                AND (
                    p.post_status = 'publish' OR p.post_status = 'private' OR 
                    ( p.post_type='attachment' AND p.post_status = 'inherit' )
                )
			) = 0 ) ) 
				) ) AND wp_posts.post_type  IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','bwl_advanced_faq','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' )  ) OR wp_posts.post_type  NOT  IN ('post','page','attachment','wp_block','wp_template','wp_template_part','wp_navigation','our_sector','our_rechtsgebieden','acf-field-group','bwl_advanced_faq','tribe_venue','tribe_organizer','tribe_events','mc4wp-form','slider-data','actualiteiten','accordion','failissementens','advocaten','blogs','seminar','juridisch-medewerker','backoffice','rechtsgebied-detail' )  )
					 GROUP BY wp_posts.ID
					 ORDER BY wp_posts.menu_order, wp_posts.post_date DESC
					 LIMIT 40, 10
    [posts] => Array
        (
            [0] => WP_Post Object
                (
                    [ID] => 34977
                    [post_author] => 6
                    [post_date] => 2023-02-16 15:28:59
                    [post_date_gmt] => 2023-02-16 14:28:59
                    [post_content] => Hoewel je AI nodig hebt om AIVD te spellen, denkt men bij de AIVD toch eerder aan spionnen en ongevraagd afluisteren, dan aan AI-systemen. De dienst is er echter wel mee bezig. Niet alleen intern, maar ook in de praktijk. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de AIVD heeft namelijk in februari een brochure gepubliceerd waarin wordt uitgelegd hoe AI-systemen kunnen worden aangevallen en wat men daartegen kan doen.

Typen aanvallen

Het NBV heeft vijf categorieën opgesteld van aanvallen die specifiek op AI-systemen zijn gericht:
  • Poisoning aanvallen: De aanvaller probeert de trainingsdata, het trainingsalgoritme of het model aan te passen, waardoor het AI-systeem niet meer goed werkt.
  • Input (evasion) aanvallen: De aanvaller probeert een normale input zodanig aan te passen, dat het AI-systeem daardoor niet meer goed werkt.
  • Backdoor aanvallen: Een aanvaller met toegang tot een backdoor in het AI-systeem kan hier bepaalde informatie aan toevoegen, waarmee de beslissingen van het model kunnen worden beïnvloed.
  • Model reverse engineering & inversion aanvallen: De aanvaller probeert erachter te komen hoe het onderliggende model werkt, zodat het model kan worden nagemaakt en/of misbruik kan worden gemaakt van bepaalde gebreken.
  • Inference aanvallen: De aanvaller probeert informatie te krijgen over de trainingsdata van het AI-systeem, waarmee hij vervolgens een bestaande dataset kan verrijken.

Principes voor verdediging

Hoe kun je een AI-systeem beschermen tegen de hiervoor genoemde aanvallen? Allereerst moet de infrastructuur waarin het AI-systeem draait, goed zijn beveiligd. Daarnaast heeft het NBV een aantal kernprincipes uitgewerkt waarin aandachtspunten en mogelijke maatregelen worden omschreven:
  • Houd je datakwaliteit op orde: Weet waar je data vandaan komt en controleer of de data integer is.
  • Zorg voor validatie van je data: Bij data die afkomstig is van derden is het verstandig om die data te valideren. Kijk daarbij naar de wijze waarop de data tot stand is gekomen.
  • Houd rekening met supply chain security: Bij modellen die je niet zelf hebt ontwikkeld, zou er weleens een backdoor aanwezig kunnen zijn. Controleer dan ook de kwaliteit van (aan)geleverde modellen.
  • Maak je model robust tegen aanvallen: Controleer hoe bestendig je model is tegen verkeerde inputs, veranderingen in data of andere pogingen tot misbruik. Je zou bijvoorbeeld een groep programmeurs de opdracht kunnen geven om je AI-systeem aan te vallen (een red team) en te kijken hoe het systeem daarop reageert.
  • Zorg dat je model controleerbaar is: Als je weet hoe een model werkt en dat ook kan uitleggen, dan is dat vaak een teken dat het model robuust is. Kijk daarom of je je model inzichtelijk kan maken tijdens development.

Conclusie

Zeker voor AI-systemen die in cruciale/belangrijke situaties worden gebruikt, is het belangrijk dat deze tegen een stootje kunnen. Het is dan ook verstandig om dit in het achterhoofd te houden gedurende de ontwikkeling van het AI-systeem. Wil je op de hoogte blijven van de meest actuele ontwikkelingen op het gebied van de juridische aspecten van AI? Schrijf je dan in voor onze nieuwsbrief over de AI Act (AI-verordening). Dit kan via het onderstaande contactformulier.

Aanmelding nieuwsbrief AI Act (AI verordening):

Mocht je al vragen hebben over de juridische aspecten van AI, dan kun je uiteraard contact opnemen met  Jos van der Wijst. Jos van der Wijst [post_title] => AIVD publiceert principes voor veilige ontwikkeling van AI-systemen [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => aivd-publiceert-principes-voor-veilige-ontwikkeling-van-ai-systemen [to_ping] => [pinged] => [post_modified] => 2024-07-01 14:56:59 [post_modified_gmt] => 2024-07-01 12:56:59 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34977 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [1] => WP_Post Object ( [ID] => 34854 [post_author] => 6 [post_date] => 2023-02-13 15:14:18 [post_date_gmt] => 2023-02-13 14:14:18 [post_content] => Mag je het merk van een concurrent gebruiken op je website? Mag je in mails of op je website aangeven dat je support en onderhoud levert bij het product van een concurrent? Mag je aangeven dat je gespecialiseerd bent in het systeem van de concurrent? En daarbij natuurlijk dan het merk van de concurrent noemen.

Wat waren de vragen aan de rechter?

In deze zaak gaat het om het merk van een bedrijf dat hard- en software levert ten behoeve van monitorings- en alarmsystemen voor laboratoria (XiltriX). Een ex-werknemer gaat werken bij een bedrijf (Purple Q) dat in uitingen (e-mails en op de website) aangeeft onderhoud en support op XiltriX systemen te bieden en zelfs gespecialiseerd te zijn in XiltriX systemen. XiltriX vordert in kort geding een verbod en rectificatie en baseert deze vordering op merkinbreuk en misleidende/ongeoorloofde reclame.

Merkinbreuk

XiltriX is houder van de merkregistratie XiltriX. Purple Q erkent geen toestemming te hebben voor het merkgebruik. Purple Q heeft de website aangepast maar heeft geweigerd een onthoudingsverklaring te tekenen. En dus is er nog steeds sprake van een dreigende merkinbreuk en spoedeisend belang. De rechtbank overweegt dat geen sprake is van de uitzondering genoemd in art. 2.23 lid 1 sub c BVIE (merkgebruik dat noodzakelijk is om kenmerken van de waar/diensten aan te duiden). Daarvoor moet de informatie juist zijn (zoals opgevat door het relevante publiek). Purple Q blijkt niet alle vormen van onderhoud aan de XiltriX te kunnen leveren. En dus overweegt de rechtbank dat inbreuk is gemaakt op de merkrechten.

Misleidende/ongeoorloofde reclame

De rechtbank overweegt dat een enkele onvolledigheid of onjuistheid onvoldoende is voor misleiding. De mededeling moet het publiek (kunnen) misleiden en het economisch gedrag van het publiek beïnvloeden. De bewijslast dat de gedane mededelingen feitelijk juist zijn, berust bij degene die de uiting heeft gedaan. Purple Q is daar niet in geslaagd. De vorderingen van XiltriX worden in overwegende mate toegewezen. Ook de rectificatie op de aangepaste website. De rechtbank overweegt dat de rectificatie gerechtvaardigd is omdat de onjuiste mededelingen geruime tijd op de website van Purple Q hebben gestaan. De rechtbank spreekt geen hoofdelijke veroordeling uit ten aanzien van de vertrokken medewerker. Alleen Purple Q wordt veroordeeld. Ook in de volledige proceskosten.

Wat betekent dit voor de praktijk:

  • Het algemene uitgangspunt bij reclame is dat de mededelingen feitelijk juist moeten zijn. De bewijslast daarvan ligt bij degene die de uiting doet.
  • Een ander uitgangspunt is dat je alleen met toestemming van een merkhouder een merk mag gebruiken. Dat geldt ook voor verwijzend gebruik.
  • Er is een uitzondering op het verbod. Je mag een merk noemen wanneer dat nodig is om de kenmerken van het product te beschrijven. Wanneer je een auto van het merk A verkoopt dan moet je dat merk kunnen noemen. Het merkgebruik mag dan niet verder gaan dan noodzakelijk is. Zo is het niet nodig of het geregistreerde merk erbij af te beelden. Wel om het merk in letters aan te geven.
Mocht je vragen hebben over het gebruik van een merk, dan kun je contact opnemen met Jos van der Wijst (wijst@bg.legal). [caption id="attachment_29428" align="alignleft" width="200"]Jos van der Wijst Jos van der Wijst[/caption] [post_title] => Merkinbreuk en misleidende/ongeoorloofde reclame [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => merkinbreuk-en-misleidende-ongeoorloofde-reclame [to_ping] => [pinged] => [post_modified] => 2023-02-13 15:14:18 [post_modified_gmt] => 2023-02-13 14:14:18 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34854 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [2] => WP_Post Object ( [ID] => 34709 [post_author] => 6 [post_date] => 2023-02-02 10:27:08 [post_date_gmt] => 2023-02-02 09:27:08 [post_content] => Het schrijven van een scriptie is voor veel studenten een grote opgave, en voor menig werkende een onprettige herinnering aan de studietijd. Maar stel je voor: een systeem dat binnen seconden antwoord geeft op jouw hoofdvraag, met logische argumenten en nette paragrafen. Het klinkt bijna te mooi om waar te zijn. In de blog van mijn collega Britt van 15 december schreef ze over een nieuwe ontwikkeling op het gebied van AI: ChatGPT. Zij legt daarin uit wat deze technologie kan, namelijk volledig en goed geschreven antwoorden formuleren op uiteenlopende en complexe vragen. Afhankelijk van de vraag kan het antwoord bijvoorbeeld uit een essay, code, e-mail of zelfs wetgeving bestaan. In deze blog zal ik ingegaan op de implicaties van deze technologie op het auteursrecht, zowel wat betreft de trainingsdata als het antwoorden van ChatGPT.

Trainingsdata

ChatGPT is getraind met behulp van allerlei soorten bronnen, zoals webpagina’s, boeken en gesprekken met mensen. ChatGPT kopieert de teksten uit deze bronnen niet letterlijk of in substantiële mate in de antwoorden, maar maakt gebruik van de documenten om te leren hoe (goede) antwoorden eruit horen te zien. Om een antwoord goed te noemen is misschien wat kort door de bocht, want ook slechte antwoorden op vragen kunnen tot de trainingsdata behoren. ChatGPT leert hoe patronen en structuren in de menselijke taal werken, zodat het lijkt alsof de antwoorden door een mens geschreven zijn. Het trainen van het algoritme moet wel gebeuren aangaande de regels over tekst- en datamining. Dat betekent dat OpenAI bronnen mag gebruiken waar ze rechtmatig toegang toe heeft en waarbij dit niet expliciet is verboden. Als het goed is, heeft OpenAI hier rekening mee gehouden tijdens het verzamelen van haar trainingsbronnen. Dat is op dit moment lastig vast te stellen, omdat we niet de mogelijkheid hebben om onder de motorkap te kijken van ChatGPT. Het antwoord van ChatGPT zelf: “The data that ChatGPT uses is sourced from a variety of publicly available sources and is pre-processed and curated by OpenAI. While the data is not proprietary, it is protected by copyright, trademark, and other intellectual property laws. OpenAI has a license to use the data for the purpose of training and providing the ChatGPT model as a service, but this license does not extend to other uses of the data without permission from the rights holders.” De antwoorden van ChatGPT zijn dus gebaseerd op deze bronnen. Is het gebruik van deze bronnen door ChatGPT een inbreuk op het auteursrecht van, bijvoorbeeld, de auteur van een boek wat wordt gebruikt? Nee, niet zolang de tekst uit de bron niet (direct) wordt gekopieerd in het antwoord. Het is wel mogelijk dat de toestemming van de maker nodig is wanneer specifieke delen worden gekopieerd, zoals passages uit een boek. Hierbij kan de vraag van de gebruiker een groot verschil maken: een samenvatting vragen van een boek leidt niet snel tot inbreuk op het auteursrecht van de maker, maar als de gebruiker vraagt naar een hele pagina uit een boek, dan ligt dit anders. Het hangt dus af van de situatie en zal per geval moeten worden beoordeeld.

De antwoorden

Een andere vraag is of auteursrecht rust op een antwoord van ChatGPT en, zo ja, wie het verkrijgt. Hiervoor is het van belang of een antwoord van ChatGPT een ‘werk’ is in de zin van de Auteurswet. Een werk is een originele expressie afkomstig van een menselijke maker. De maker moet een mens zijn, waardoor ChatGPT geen ‘werk’ in de zin van de Auteurswet kan maken. Als een gebruiker van ChatGPT een mens is, maar het antwoord van ChatGPT alsnog direct kopieert,  dan zijn er geen creatieve keuzes gemaakt waardoor het stuk alsnog geen ‘werk’ is. Dit kan mogelijk anders zijn als de gebruiker het antwoord nog aanpast, hierbij creatieve keuzes maakt en uiteindelijk een origineel werk creëert dat zijn persoonlijke stempel draagt. Dan is de gebruiker de maker van het werk. Ook hier ligt het dus aan de omstandigheden van het geval.

ChatGPT in de praktijk: de student en de werknemer

Dan twee praktische situaties: een student die zijn scriptie laat schrijven door ChatGPT en een werknemer die code laat schrijven door ChatGPT. Welke auteursrechtelijke implicaties komen naar voren in zulke scenario’s? Buiten plagiaat, wat in het ergste geval leidt tot verwijdering van de onderwijsinstelling, kan de student zich mogelijk schuldig maken aan auteursrechtinbreuk. Plagiaat houdt in dat een student werk inlevert wat niet zelf gemaakt is, zonder vermelding van de bron. Dit is een breder begrip dan auteursrechtinbreuk, wat het gebruik van andermans werk is zonder toestemming. Ook bij een scriptie hangt auteursrechtinbreuk af van het antwoord van ChatGPT, zoals hierboven uitgelegd. Om ook zelf een auteursrecht te krijgen op de scriptie, zal de student veranderingen aan de antwoorden van ChatGPT aan moeten brengen. Hiervoor zal de student dus alsnog zelf creatief na moeten denken over het scriptieonderwerp en ook de nodige aanpassingen moeten doen. Het probleem is dat de grens van een nieuw auteursrecht bij dit soort zaken bijzonder vaag is. Desondanks zal voornamelijk plagiaat de crux zijn van deze gevallen, want van een ChatGPT geschreven tekst met terugwerkende kracht de bronnen achterhalen zal nog steeds lastig en tijdrovend zijn (als er al een enkele bron is die feitelijk stelt wat ChatGPT aanlevert!), aangezien ChatGPT zelf niet aangeeft welke bron bij welke zin of paragraaf hoort. En wat als een werknemer een stuk code laat schrijven door ChatGPT, om dit vervolgens in de software van zijn werk te gebruiken? OpenAI geeft aan dat het in het algemeen toegestaan is om de output van ChatGPT commercieel te gebruiken, zolang de gebruiker de benodigde toestemmingen en licenties heeft. Het kan dus nodig zijn om, afhankelijk van de omstandigheden, een licentie van OpenAI of de relevante houders van de IE-rechten te verkrijgen. OpenAI verduidelijkt echter niet wanneer dat dan nodig is. Ook hier ligt het dus aan het antwoord van ChatGPT of er sprake is van auteursrechtinbreuk, en of er toestemming of licentie nodig is van de maker van het werk of van OpenAI zelf. Het moge overigens duidelijk zijn dat in veel gevallen deze vraag ook nu al relevant is, zelfs zonder het gebruik van ChatGPT, aangezien er verschillende hulpmiddelen zijn om software te ontwikkelen, variërend van websites die complete antwoorden bevatten op (veel) gestelde vragen, tot AI-gebaseerde hulpmiddelen die gedurende het schrijven van code direct proberen de code automatisch aan te vullen.

Conclusie

De auteursrechtelijke implicaties van ChatGPT zijn nog niet duidelijk. De antwoorden kunnen inbreuk maken op het auteursrecht van de maker van de bron(nen), indien een stuk tekst wordt gekopieerd, maar dat hoeft lang niet altijd het geval te zijn. ChatGPT heeft in ieder geval geen auteursrecht op de antwoorden die worden gegeven, en ook een gebruiker zal niet automatisch het auteursrecht op een antwoord krijgen. Alleen wanneer een gebruiker nog veranderingen aanbrengt die creatief en origineel zijn en zijn persoonlijke stempel drukken op een antwoord, zal die gebruiker een auteursrecht krijgen. Heeft u vragen? Neem contact op met één van onze specialisten! Jos van der Wijst [post_title] => De auteursrechtelijke implicaties van ChatGPT [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => de-auteursrechtelijke-implicaties-van-chatgpt [to_ping] => [pinged] => [post_modified] => 2024-06-03 10:57:28 [post_modified_gmt] => 2024-06-03 08:57:28 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34709 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [3] => WP_Post Object ( [ID] => 34274 [post_author] => 6 [post_date] => 2023-01-10 16:54:14 [post_date_gmt] => 2023-01-10 15:54:14 [post_content] => Het Europees Parlement wil een verplichte impact assessment mensenrechten voor high risk AI toepassingen invoeren. Het Europees Parlement onderhandelt over aanpassingen op het voorstel voor een AI Act (AI-verordening). In 2021 heeft de Europese Commissie een voorstel hiervoor gedaan. Eind 2022 hebben de Lid-Staten een aangepaste tekst voorgesteld. Nu moet het Europees Parlement met haar voorstel tekst komen. Vervolgens gaan de drie partijen in onderhandeling over een definitieve tekst. Het Europees Parlement stelt voor om het concept van de Commissie op een aantal punten te wijzigen. In het EP voorstel zijn een aantal extra verplichtingen voor de gebruikers van high-risk AI-systemen opgenomen, waaronder de verplichting om een Impact Assessment Mensenrechten en Algoritmes (IAMA) uit te voeren. Het IAMA is ontwikkeld door de Universiteit Utrecht op verzoek van het ministerie van BZK. In 2022 is een Tweede Kamer motie aangenomen waarin wordt voorgesteld om een IAMA voor bepaalde algoritmes verplicht te stellen. In deze blog zullen een aantal van de voorgestelde wijzigingen nader worden toegelicht.

Impact Assessment Mensenrechten en Algoritmes (IAMA)

De meest opvallende wijziging ten opzichte van het Commissie voorstel, ziet men terug in de nieuwe bepalingen waarin een Fundamental Rights Impact Assessment (ook wel: Impact Assessment Mensenrechten en Algoritmes, “IAMA”) voor de gebruikers van high-risk toepassingen verplicht wordt gesteld. Bij het uitvoeren van een IAMA moet de gebruiker van een high-risk systeem (o.a.) de volgende aspecten in acht nemen: I. het doel waarvoor het systeem wordt gebruikt; II. de geografische reikwijdte en (tijds)duur van het gebruik; III. welke (categorieën van) personen negatieve gevolgen kunnen ondervinden door het gebruik, waarbij in het bijzonder aandacht wordt gevraagd voor gemarginaliseerde groepen; IV. de wijze waarop de negatieve gevolgen voor de grondrechten zullen worden beperkt/gemitigeerd. Gebruikers moeten bovendien de bevoegde nationale autoriteiten informeren over het feit dat zij een IAMA moeten verrichten. Deze instanties krijgen tenminste zes weken de tijd om een eigen oordeel te vormen en/of input te leveren. Tot slot, geldt voor overheidsinstanties de verplichting dat zij het resultaat van de IAMA publiceren in een (centraal) algoritmeregister.

Verplichtingen voor gebruikers van high-risk toepassingen

In het EP voorstel voor de tekst van de AI Act (AI-verordening) wordt niet alleen de IAMA verplicht gesteld: er worden ook nog een aantal andere verplichtingen in het leven geroepen voor de gebruikers van high-risk Ai-systemen. Hierna volgt een korte samenvatting van de meest ingrijpende wijzigingen: I. De gebruikers van high-risk AI-systemen moeten ervoor zorgen dat er adequate cybersecuritymaatregelen zijn getroffen, ten einde de robuustheid van de AI-toepassing te garanderen. Deze maatregelen moeten bovendien periodiek worden geëvalueerd. II. Voor zover de gebruiker controle kan uitoefenen over de high-risk toepassing, dient deze de mogelijke nadelige gevolgen in kaart te brengen en de risicobeperkende maatregelen te beoordelen. III. Indien een gebruiker constateert dat een high-risk toepassing eveneens een risico inhoudt voor de gezondheid of veiligheid van mensen, dan wel voor de bescherming van hun grondrechten, dan moet de distributeur/leverancier van de AI-toepassing én de nationale toezichthouder onmiddellijk daarvan op de hoogte worden gebracht. IV. Gebruikers moeten ervoor zorgen dat – in de gevallen waarin dit door de AI Act (AI-verordening) wordt voorgeschreven – er sprake is van menselijk toezicht. Degene die daarmee zijn belast moeten eveneens over de nodige bekwaamheden beschikken om adequaat toezicht te garanderen. V. Voordat een high-risk toepassing op de werkvloer mag worden ingevoerd, moeten de gebruikers van het AI-systeem eerst in overleg treden met de werknemers en hun vertegenwoordigers. Deze partijen moeten niet alleen toestemming hebben gegeven voorafgaand aan de invoering van het systeem, maar zij moeten ook adequaat zijn geïnformeerd over het soort AI-systeem dat wordt gebruikt, het beoogde doel van het gebruik en welke beslissingen het systeem zal gaan nemen. VI. Gelet op de recente ontwikkelingen omtrent ChatGPT, wordt er nu ook een bepaling aan de AI Act (AI-verordening) toegevoegd die ziet op generatieve AI. Deze systemen kunnen output genereren op basis van menselijke input. De gebruikers van dergelijke systemen moeten voortaan vermelden dat de output/tekst is gegenereerd door een AI-systeem, tenzij de output aan menselijke beoordeling is onderworpen en de uitgever (redactionele) aansprakelijkheid aanvaardt. Wil je op de hoogte blijven van de meest actuele ontwikkelingen op het gebied van de juridische aspecten van AI? Schrijf je dan in voor onze nieuwsbrief over de AI Act (AI-verordening). Dit kan via het onderstaande contactformulier. Mocht je al vragen hebben over de juridische aspecten van AI, neem dan contact op met Jos van der Wijst. [post_title] => Nieuwe compromistekst van AI Act (AI-verordening) maakt IAMA verplicht voor high-risk toepassingen [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => nieuwe-compromistekst-van-ai-verordening-maakt-iama-verplicht-voor-high-risk-toepassingen [to_ping] => [pinged] => [post_modified] => 2024-06-03 14:03:16 [post_modified_gmt] => 2024-06-03 12:03:16 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34274 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [4] => WP_Post Object ( [ID] => 34213 [post_author] => 6 [post_date] => 2023-01-06 15:42:06 [post_date_gmt] => 2023-01-06 14:42:06 [post_content] => Op 20 december 2022 heeft de daartoe bestemde commissie de hernieuwde versie van de Nederlandse Corporate Governance Code (NCGC) gepubliceerd. Deze nieuwste versie vervangt daarmee de versie die reeds in 2016 is opgesteld. In deze blog staan we eerst kort stil bij de Nederlandse Corporate Governance Code, om vervolgens de belangrijkste punten van de hernieuwde versie uiteen te zetten.

Corporate Governance Code

De NCGC is gericht op de governance van beursgenoteerde vennootschappen en geeft daarbij richtlijnen voor effectieve samenwerking en bestuur. De NCGC tracht hiermee met of in relatie tot wet- en regelgeving te bewerkstelligen dat Nederlandse beursgenoteerde vennootschappen gebruikmaken van een deugdelijk en transparant stelsel van checks and balances en het daartoe reguleren van de verhoudingen tussen het bestuur, de raad van commissarissen en de algemene vergadering/aandeelhouders. Hiermee wordt met de NCGC de ‘best practice’ op het gebied van corporate governance weergegeven. Belangrijk daarbij is dat de NCGC op zichzelf staand een verplichting is om aan te voldoen, zij mogen daar echter wel van afwijken mits zij aangeven waarom zij niet de NCGC volgen.

Duurzame lange termijn waardecreatie

Een van de belangrijke wijzigingen in de hernieuwde NCGC is dat het bestuur verantwoordelijk is voor het op duurzame wijze creëren van waarde op de lange termijn. Hierbij dient het bestuur rekening te houden met de effecten van het handelen van de vennootschap en de met haar verbonden onderneming op mens en milieu. Bij het bepalen van de strategie en het nemen van beslissingen staat de houdbaarheid en duurzaamheid daarvan op de lange termijn centraal en worden belangen van stakeholders zorgvuldig gewogen. Deze verantwoordelijkheid gaat echter niet zo ver dat dit ook een resultaatsverplichting inhoudt. Tot de duurzame lange termijn waardecreatie wordt ook gerekend dat de vennootschap beschikt over adequate interne risicobeheersings- en controlesystemen. Het bestuur is verantwoordelijk voor het identificeren en beheersen van de risico’s verbonden aan de strategie en de activiteiten van de vennootschap. Het bestuur legt verantwoording af over de effectiviteit van de opzet en de werking van de interne risicobeheersings- en controlesystemen aan de raad van commissarissen.

Beleid voor diversiteit en inclusie

Een tweede doelstelling van de NCGC dat sprake is van effectief bestuur en toezicht. De NCGC stelt daaraan als voorwaarde dat het bestuur, de raad van commissarissen en het executive committee (indien aanwezig) zijn samengesteld op een wijze dat sprake is van een voor de vennootschap passende mate van diversiteit op het gebied van deskundigheid, ervaring, competenties, overige persoonlijke kwaliteiten, geslacht of genderidentiteit, leeftijd, nationaliteit en (culturele) achtergrond. De vennootschap dient daartoe te beschikken over een Diversiteit en Inclusie-beleid (D&I-beleid) ten behoeve van de onderneming. Dit D&I-beleid wordt vastgesteld door de raad van commissarissen ten aanzien van de samenstelling van het bestuur en de raad van commissarissen. Het bestuur stelt op haar beurt het D&I-beleid vast voor het executive committee (indien aanwezig), de subtop en het overige werknemersbestand, na voorafgaande goedkeuring door de raad van commissarissen. De verslaggeving over het thema diversiteit en inclusie wordt verwacht uitgebreid te zijn.

Digitalisatie

Naast de maatschappelijke ontwikkelingen op het gebied van duurzaamheid, wordt ook meer aandacht besteed aan de opkomst van technologische ontwikkelingen. Het is nu meer van belang dat vennootschappen bewust zijn van de risico’s op onder meer het gebeid van cybersecurity en daarop kunnen anticiperen. Hiervoor zal het bestuur en de raad van commissarissen moeten beschikken over voldoende kennis en ervaring over de digitalisering. Echter, ondernemingen zouden er ook voor kunnen kiezen om een commissaris met specifieke kennis op dit gebied aan te stellen. Het bestuur zal desalniettemin altijd in een rol blijven spelen in de beoordeling van de risico’s.

De toekomst

De bovenstaande wijzigingen in de NCGC zijn natuurlijk interessant, maar het aantal bedrijven dat ermee te maken krijgt is niet bijzonder groot natuurlijk. Toch geeft ons dit een kijkje in de toekomstige keuken voor niet beursgenoteerde bedrijven. Met name het onderwerp van duurzame lange termijn waardecreatie in combinatie met digitalisatie buitengewoon interessant, omdat het maar weer eens het belang onderstreept van het hebben van voldoende aandacht op digitalisatie. Niet voor niets tonen onderzoeken steeds vaker aan dat het aantal incidenten met cyberveiligheid meer en meer toenemen, terwijl er daarnaast nog te weinig bewustzijn is bij bestuurders op dit vlak. Dat dit ook voor niet beursgenoteerde genoteerde bedrijven belangrijk is zien we ook terug op Europees niveau. Recent is er door de Europese Raad nog de NIS2 richtlijn aangenomen. Hierin worden de eisen voor cyberbeveiliging nog eens opgeschroefd en is deze voor nog meer sectoren van toepassing ten opzichte van de vorige NIS richtlijn. Kortom, tijd om nog eens goed na te denken hoe in 2023 meer aandacht kan worden geschonken aan cyberveiligheid/weerbaarheid. Wij helpen daarbij graag mee om goed voorbereid te zijn op al deze onderwerpen en hoe deze van toepassing zijn op uw organisatie.

Afsluitende opmerkingen

De hernieuwde NCGC treedt in werking vanaf het boekjaar dat op of na 1 januari 2023 begint. De commissie raadt vennootschappen dan ook aan te bekijken of het noodzakelijk is wijzigingen door te voeren in statuten en/of reglementen ten behoeve van de hernieuwde code. Heeft u vragen? Neem contact op met een van onze specialisten. Jos van der Wijst [post_title] => De komst van de hernieuwde Nederlandse Corporate Governance Code [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => de-komst-van-de-hernieuwde-nederlandse-corporate-governance-code [to_ping] => [pinged] => [post_modified] => 2024-06-03 10:57:44 [post_modified_gmt] => 2024-06-03 08:57:44 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34213 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [5] => WP_Post Object ( [ID] => 34066 [post_author] => 6 [post_date] => 2022-12-22 14:42:16 [post_date_gmt] => 2022-12-22 13:42:16 [post_content] => Sinds 21 december 2022 kan iedereen via www.algoritmes.overheid.nl opzoeken welke algoritmes overheidsorganisaties gebruiken in hun werk. Uitgangspunt is dat overheidsorganisaties zelf verantwoordelijk zijn voor het opstellen en het beheer van een algoritmeregister. Dit centrale algoritmeregister zorgt ervoor dat burgers op één plek alle gepubliceerde algoritmes kunnen vinden.

Wat is het doel van het register?

Door middel van dit register wil het kabinet zorgen voor transparantie over algoritmes die door bestuursorganen worden gebruikt en hun toepassing. Hierdoor kan gecontroleerd worden of de algoritmes niet discrimineren of willekeurige beslissingen nemen. Het register stelt de burgers in staat om de overheid kritisch te volgen en te bevragen of zij zich aan de regels houdt. Ook is het register bedoeld om bij te dragen aan het beter uitlegbaar maken van de toepassing en uitkomst van algoritmes. Een kanttekening hierbij is dat het register een eerste versie is en verder moet worden doorontwikkeld. Deze doorontwikkeling houdt in dat de overheid andere overheidsorganisaties stimuleert om algoritmes te publiceren, maar ook de verplichtstelling voor de publicatie voorbereidt. In het kader van de AI Act (AI-verordening) zal de overheid kijken naar die verplichtstelling en verdere eisen, vooral met betrekking tot hoog-risico algoritmes. Wij houden de ontwikkelingen over het algoritmeregister en de AI Act (AI-verordening) nauw in de gaten en zullen hier verder over berichten wanneer er interessante veranderingen plaatsvinden. Mocht je vragen hebben over het algoritmeregister of de juridische aspecten van AI, neem dan contact op met Jos van der Wijst. Jos van der Wijst 1 [post_title] => Algoritmeregister van de Nederlandse overheid [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => algoritmeregister-van-de-nederlandse-overheid [to_ping] => [pinged] => [post_modified] => 2024-06-03 12:31:55 [post_modified_gmt] => 2024-06-03 10:31:55 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34066 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [6] => WP_Post Object ( [ID] => 34004 [post_author] => 6 [post_date] => 2022-12-20 16:29:48 [post_date_gmt] => 2022-12-20 15:29:48 [post_content] => Hoe stel je vast of een AI toepassing voldoet aan wet- en regelgeving? Welke wet- en regelgeving is überhaupt van toepassing op een AI toepassing? BG.legal gaat voor een consortium een Proof of Concept (PoC) ontwikkelen van een AI Compliance Check. Het kennisplatform LegalAIR heeft een consortium verzameld van organisaties die vanuit diverse invalshoeken (ethiek, data science, cyberveiligheid, juridisch) zich bezighouden met data/AI. Dit consortium heeft een subsidie aangevraagd en gekregen van de Metropool Regio Eindhoven voor de ontwikkeling van een AI Compliance Check. Het ultieme doel is een vorm van verificatie en rapportage dat de ontwikkelaar en gebruiker van een AI toepassing het vertrouwen geeft dat een specifieke AI toepassing voldoet aan wet- en regelgeving. Daarbij zal ook gekeken worden naar de komende AI Act (AI verordening).

Wat gaan we doen?

  • Onderzoeken wat een passend assessment is om een uitspraak te kunnen doen over het compliant zijn van een AI toepassing.
  • Een rapportage ontwikkelen die verstrekt kan worden aan de AI ontwikkelaar en/of de gebruiker, nadat een compliance assessment is uitgevoerd.
  • Eén of meerdere pilots uitvoeren. Dit betekent dat we met een concreet algoritme het compliance assessment gaan uitvoeren en kijken tot wat voor rapportage dit leidt.

Wat is de planning?

  • In Q1 van 2023 zullen we werken aan het ontwikkelen van een compliance assessment en rapportage.
  • In Q2 van 2023 willen we een of meerdere pilots uitvoeren.
  • In Q3 van 2023 willen we, op basis van de ervaringen en resultaten van de pilots, het PoC van een AI Compliance Check afronden.
Via onze nieuwsbrief zullen we informatie delen over dit project.

Aanmelding nieuwsbrief AI Act (AI verordening):

Meer informatie

Wanneer u meer informatie wilt over deze AI Compliance Check, of over het compliant zijn van een AI toepassing, dan kunt u contact opnemen met Jos van der Wijst. Jos van der Wijst 2 [post_title] => AI compliance check [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => ai-compliance-check [to_ping] => [pinged] => [post_modified] => 2023-03-08 11:29:21 [post_modified_gmt] => 2023-03-08 10:29:21 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34004 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [7] => WP_Post Object ( [ID] => 33990 [post_author] => 6 [post_date] => 2022-12-20 16:04:38 [post_date_gmt] => 2022-12-20 15:04:38 [post_content] => Vooral na schandalen zoals de toeslagenaffaire bestaat aarzeling bij het inzetten van algoritmes door overheden. Soms zelfs wantrouwen. Om vast te stellen dat het algoritme geen mensenrechten schendt, is het Impact Assessment Mensenrechten en Algoritmes (‘IAMA’) ontwikkeld. Hebben overheden al IAMA’s uitgevoerd? Voor welke algoritmes doen zij dit wel en voor welke niet? Welke overheden hebben al een Algoritmeregister? Welke algoritmes publiceren zij daarin? In een onderzoek onder gemeenten, provincies en waterschappen willen wij hier meer duidelijk over krijgen. Op 5 april 2022 heeft de Tweede Kamer een motie aangenomen waarbij werd opgeroepen een Impact Assessment Mensenrechten en Algoritmes (‘IAMA’) verplicht in te zetten voordat algoritmes worden toegepast bij het evalueren van en nemen van beslissingen over mensen. Overheden zullen - in geval van hoog risico – algoritmes moeten publiceren in een (decentraal) algoritmeregister.

Natuurlijk roept de formulering van de motie vragen op:

  • Wat wordt verstaan onder een algoritme dat wordt “ingezet om evaluaties van of beslissingen over mensen te maken”. Het is duidelijk dat dit ziet op de beslissing over, bijvoorbeeld, of iemand in aanmerking komt voor een toeslag. Maar hoe ruim of krap moet je dit criterium uitleggen?
  • Moet een IAMA eenmalig worden uitgevoerd voorafgaand aan de ingebruikname van een algoritme of moet het worden herhaald tijdens de lifecycle van een algoritme? En op welk moment? En op wiens initiatief (gebruiker of leverancier)?

Ook het algoritmeregister roept nog vragen op:

  • Wie bepaalt welke algoritmes in een algoritmeregister opgenomen moeten worden?
  • Hoeveel informatie moet daarbij worden gegeven over de werking van het algoritme?

In het kader van dit onderzoek hebben wij bij diverse overheden (gemeenten, provincie, waterschappen) verzocht om:

  • een overzicht van alle algoritmes die deze overheid gebruikt bij de dienstverlening;
  • documenten over de algoritmes waaronder handleiding, software, communicatie en e-mails. Daaronder wordt mede verstaan informatie over het gebruik en de werking van algoritmes en/of modellen;
  • informatie en communicatie (IAMA) rapportages over assessments bij het gebruik van algoritmes, indien het algoritme wordt ingezet om evaluatie van of beslissingen over mensen te maken.
Nadat wij deze informatie hebben verzameld, gaan we deze analyseren en onze conclusies/aanbevelingen delen. Wanneer je meer informatie wilt over dit onderzoek naar het gebruik van algoritmes, IAMA’s en algoritmeregister door overheden, dan kun je contact opnemen met Jos van der Wijst. Wilt u graag het gehele onderzoeksrapport ontvangen in uw mailbox? Via deze pagina kunt u het aanvragen. Jos van der Wijst 2 [post_title] => Onderzoek naar gebruik algoritmes door overheden [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => onderzoek-naar-gebruik-algoritmes-door-overheden [to_ping] => [pinged] => [post_modified] => 2023-08-17 11:17:08 [post_modified_gmt] => 2023-08-17 09:17:08 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=33990 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [8] => WP_Post Object ( [ID] => 33980 [post_author] => 6 [post_date] => 2022-12-20 15:02:45 [post_date_gmt] => 2022-12-20 14:02:45 [post_content] => Een werknemer, die wist dat zijn tijdelijke arbeidsovereenkomst niet zou worden verlengd, heeft datasets van zijn werkgever gedownload. De werkgever kwam daar achter en heeft de werknemer vervolgens op staande voet ontslagen. De werknemer vordert een vergoeding voor het op deze wijze beëindigen van het dienstverband. De kantonrechter wijst de vordering van de werknemer af. Deze zaak ging over een werknemer die te horen had gekregen dat zijn tijdelijke dienstverband, dat nog drie maanden zou duren, niet zou worden verlengd. De werknemer vroeg de werkgever het dienstverband met onmiddellijke ingang te beëindigen en de resterende drie maanden loon uit te betalen als vergoeding. Daar zou een vaststellingsovereenkomst voor worden opgesteld. De werknemer heeft vervolgens een buitengewoon grote hoeveelheid datasets gedownload, zonder dat dit downloaden werkgerelateerd was. Hij gaf aan dit te hebben gedaan om het proces van het downloaden in een CSV-bestand onder de knie te krijgen, zodat hij sneller klanten kon werven en zich alsnog jegens de werkgever kon bewijzen. De werkgever kwam hier achter en ontsloeg de werknemer op staande voet. De werknemer start vervolgens een procedure tegen de werkgever. Hij vraagt niet om vernietiging van het ontslag op staande voet. Wel vordert hij een billijke vergoeding ter hoogte van € 40.000,= bruto. De werknemer stelt dat de werkgever het ontslag op staande voet heeft gegeven omdat de werkgever vermoedde dat de werknemer de dataset bij een volgende werkgever zou gaan gebruiken. Echter daarvoor heeft de werkgever geen bewijs geleverd. En dus zou hij ten onrechte op staande voet zijn ontslagen. Volgens de kantonrechter is bewijs van dit vermoeden ook niet vereist voor een dringende reden wat kan leiden tot een ontslag op staande voet. Bij een ontslag op staande voet moet het gaan “om gedragingen van de werknemer die tot gevolg hebben dat van de werkgever redelijkerwijze niet kan worden gevergd de arbeidsovereenkomst te laten voortduren”. De werkgever had volgens de kantonrechter een gegrond vermoeden dat de werknemer de datasets zou (kunnen) gaan gebruiken. De werkgever mocht werknemer daarop ontslaan.

De kantonrechter verwijst daarbij naar de volgende omstandigheden:

  • Al ruim vóór het telefoontje (8 juni 2022) waarin is aangegeven dat het dienstverband niet verlengd zou worden, is de werknemer als zelfstandige een overeenkomst aangegaan met een ander bedrijf (30 maart 2022);
  • Meteen na het telefoontje heeft de werknemer voor het eerst een grote hoeveelheid datasets gedownload;
  • Vervolgens hebben partijen gesproken over een vaststellingsovereenkomst (9 juni 2022).
  • Een paar dagen (14, 15 of 16 juni) na het telefoontje is de werknemer bij het andere bedrijf gestart als corporate ambassador;
  • Vervolgens (20 juni 2022) heeft de werknemer voor de tweede keer een hoeveelheid datasets gedownload;
  • De datasets zijn relevant voor de nieuwe werkgever/opdrachtgever van de werknemer; deze partij is een potentiële klant van de werkgever;
  • De werkgever is er achter gekomen (20 juni 2022) dat de werknemer tweemaal datasets heeft gedownload en heeft de werknemer meteen op staande voet ontslagen (21 juni 2022).
Een ontslag op staande voet moet ‘onverwijld’ worden gegeven. De rechter vindt dat de werkgever voldoende voortvarend heeft gehandeld. De kantonrechter wijst de vorderingen van de werknemer af.

Wat betekent dit voor de praktijk?

  • Het door een werknemer downloaden van grote datasets, zonder dat dit werk gerelateerd was, kan, onder omstandigheden, een reden zijn voor een ontslag op staande voet;
  • Een werkgever moet voortvarend handelen om aan de eis van ‘onverwijld’ te hebben voldaan. Een werkgever mag de tijd nemen voor onderzoek en overleg met een advocaat.
Voor meer informatie kunt u contact opnemen met Marlies Hol of Jos van der Wijst. Rechtbank Gelderland, 22 november 2022, ECLI:NL:RBGEL:2022:6589 Jos van der Wijst 2 [post_title] => Werknemer die datasets heeft gedownload kon op staande voet worden ontslagen [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => werknemer-die-datasets-heeft-gedownload-kon-op-staande-voet-worden-ontslagen [to_ping] => [pinged] => [post_modified] => 2022-12-23 12:14:38 [post_modified_gmt] => 2022-12-23 11:14:38 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=33980 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [9] => WP_Post Object ( [ID] => 33978 [post_author] => 6 [post_date] => 2022-12-20 14:51:55 [post_date_gmt] => 2022-12-20 13:51:55 [post_content] => Deze zaak gaat over twee stichtingen die door Mollie als klant zijn opgezegd. Dit als gevolg van een Wwft cliëntenonderzoek naar de UBO’s van de klanten. Daarbij zou ook gebruik zijn gemaakt van artificiële intelligentie en algoritmes. De klant vermoedt dat sprake is geweest van profilering op basis van onbetrouwbare data. En dus wil de klant inzage in het algoritme en de werking ervan. Betaaldienst Mollie moet een cliëntenonderzoek uitvoeren in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wwft). Daarvoor heeft Mollie gegevens opgevraagd en verkregen over de uiteindelijk belanghebbende (‘Ultimate Beneficial Owner’, hierna: UBO) van een klant. Mollie geeft in haar privacyverklaring aan dat zij gebruik maakt van artificiële intelligentie en algoritmes om het cliëntenonderzoek te verrichten. Mollie heeft, naar aanleiding van een (doorlopend) cliëntenonderzoek, de relatie met een klant opgezegd.

Inzageverzoek ogv AVG

Deze klant stelt, op basis van de AVG, recht te hebben op inzage in persoonsgegevens die zijn verwerkt in het kader van het cliëntenonderzoek en het doorlopende toezicht door Mollie. De klant baseert zijn verzoek op art. 15 lid 1 aanhef en art. 22 AVG (geautomatiseerde besluitvorming en profilering). Mollie stelt dat zij bij het aangaan van de relatie met de klant persoonsgegevens heeft verkregen van de klant zelf en via de KvK. Daarbij gaat het om de geslachtsnaam, voornamen, geboortedatum en een kopie van het identiteitsbewijs. Mollie heeft deze gegevens ook aan de klant verstrekt. In deze procedure gaat het om de vraag of Mollie daarmee aan haar verplichtingen heeft voldaan. De klant stelt dat Mollie meer gegevens moet hebben verzameld. Zo vraagt de klant om inzage in “het opgestelde risicoprofiel, de risicoclassificering en de indeling in segmenten waarbij de persoonsgegevens van de klant zijn betrokken c.q. verwerkt, alsmede de gehanteerde objectieve en subjectieve risicofactoren die zijn gekoppeld aan de klant en die zijn gebruikt voor het opstellen van het risicoprofiel en/of de indeling in risicoclassificaties.”. Mollie betwist dat zij profielen van UBO’s maakt of deze goed- of afkeurt. Zij betwist ook gebruik te maken van volledig geautomatiseerde besluiten. Van profilering is ook geen sprake. De rechtbank overweegt dat er geen aanwijzingen zijn dat Mollie onvolledig is geweest in het verstrekken van de persoonsgegevens die zij in het kader van het cliëntenonderzoek heeft verwerkt. De klant stelt dat Mollie niet aan haar verplichtingen heeft voldaan, omdat de accountgegevens (e-mailadressen, contactgegevens, telefoonnummers, IP-adres etc.) niet zijn verstrekt. De rechtbank verwerpt deze stelling. Immers, het gaat hier om stichtingen en niet om een eenmanszaak, wat betekent dat de genoemde bedrijfsgegevens niet kwalificeren als persoonsgegevens van de klant.

Algoritme

De klant verzoekt inzage in het bestaan van geautomatiseerde besluitvorming, en informatie over – kort gezegd – de verwachte gevolgen van die verwerking voor de klant. Mollie heeft aangegeven artificiële intelligentie en algoritmes te gebruiken om het Wwft cliëntenonderzoek te verrichten. Daarnaast heeft Mollie aangegeven dat besluiten altijd door een mens worden beoordeeld. De klant vindt het niet geloofwaardig dat een betekenisvolle toets van automatisch genomen besluiten door een mens plaatsvindt. Daarom dient Mollie inzicht te geven in de logica en parameters van haar verwerkings- of algoritmeproces. Daarbij zou Mollie geen beroep kunnen doen op haar bedrijfsgeheimen, omdat de klant geen inzage vraagt in de techniek zelf, maar alleen in zijn persoonsgegevens. Mollie stelt dat zij geen gebruik maakt van geautomatiseerde besluitvorming of profilering, en ook niet van geautomatiseerde besluitvorming op basis van profilering. Alle besluiten worden door gespecialiseerde en getrainde medewerkers genomen. De rechtbank overweegt dat op grond van art. 13, 14 en 15 AVG informatie moet worden gegeven over het verwerken van persoonsgegevens in algoritmes. En wanneer sprake is van profilering en/of geautomatiseerde besluitvorming, dan moet dat kenbaar worden gemaakt door de verwerkingsverantwoordelijke. Omdat Mollie heeft betwist dat hier sprake van is, had de klant concrete aanwijzingen moeten geven waaruit het tegendeel blijkt. Dit heeft de klant niet gedaan. Dat derde partijen die Mollie heeft ingeschakeld mogelijk wel gebruik maken van artificiële intelligentie en machine learning, is onvoldoende om aan te nemen dat Mollie een verboden vorm van automatische besluitvorming toepast. De verzoeken van de klant worden afgewezen.

Wat betekent dit voor de praktijk:

  • Wanneer bij het verwerken van persoonsgegevens gebruik wordt gemaakt van artificiële intelligentie en algoritmes, dan heeft een betrokkene het recht om daar informatie over te krijgen.
  • Wanneer gebruikt wordt gemaakt van profilering en/of geautomatiseerde besluitvorming, dan moet dit kenbaar worden gemaakt.
  • Dit gaat niet zover dat informatie moet worden verstrekt over de logica en parameters van haar verwerkings- of algoritmeproces.
  • Dit is mogelijk anders wanneer de betrokkene concrete aanwijzingen kan geven dat er wel degelijk sprake zou zijn van profilering en/of geautomatiseerde besluitvorming. Het zou mij niet verbazen dat een rechter dan de bewijslast van het tegendeel bij de verwerker van de persoonsgegevens legt.
  • Concrete aanwijzingen zijn mogelijk te krijgen door een bewijsbeslag onder de verwerker van de persoonsgegevens. Maar ook voor het verkrijgen van toestemming (van een rechter) om dit bewijsbeslag te lagen leggen, zal een betrokkene concrete aanwijzingen moeten hebben voor profilering en/of geautomatiseerde besluitvorming.
Voor meer informatie over dit onderwerp kun je contact opnemen met Jos van der Wijst. Jos van der Wijst 2 [post_title] => Moet Mollie informatie over algoritme verstrekken? [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => moet-mollie-informatie-over-algoritme-verstrekken [to_ping] => [pinged] => [post_modified] => 2022-12-21 14:35:33 [post_modified_gmt] => 2022-12-21 13:35:33 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=33978 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) ) [post_count] => 10 [current_post] => -1 [before_loop] => 1 [in_the_loop] => [post] => WP_Post Object ( [ID] => 34977 [post_author] => 6 [post_date] => 2023-02-16 15:28:59 [post_date_gmt] => 2023-02-16 14:28:59 [post_content] => Hoewel je AI nodig hebt om AIVD te spellen, denkt men bij de AIVD toch eerder aan spionnen en ongevraagd afluisteren, dan aan AI-systemen. De dienst is er echter wel mee bezig. Niet alleen intern, maar ook in de praktijk. Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de AIVD heeft namelijk in februari een brochure gepubliceerd waarin wordt uitgelegd hoe AI-systemen kunnen worden aangevallen en wat men daartegen kan doen.

Typen aanvallen

Het NBV heeft vijf categorieën opgesteld van aanvallen die specifiek op AI-systemen zijn gericht:
  • Poisoning aanvallen: De aanvaller probeert de trainingsdata, het trainingsalgoritme of het model aan te passen, waardoor het AI-systeem niet meer goed werkt.
  • Input (evasion) aanvallen: De aanvaller probeert een normale input zodanig aan te passen, dat het AI-systeem daardoor niet meer goed werkt.
  • Backdoor aanvallen: Een aanvaller met toegang tot een backdoor in het AI-systeem kan hier bepaalde informatie aan toevoegen, waarmee de beslissingen van het model kunnen worden beïnvloed.
  • Model reverse engineering & inversion aanvallen: De aanvaller probeert erachter te komen hoe het onderliggende model werkt, zodat het model kan worden nagemaakt en/of misbruik kan worden gemaakt van bepaalde gebreken.
  • Inference aanvallen: De aanvaller probeert informatie te krijgen over de trainingsdata van het AI-systeem, waarmee hij vervolgens een bestaande dataset kan verrijken.

Principes voor verdediging

Hoe kun je een AI-systeem beschermen tegen de hiervoor genoemde aanvallen? Allereerst moet de infrastructuur waarin het AI-systeem draait, goed zijn beveiligd. Daarnaast heeft het NBV een aantal kernprincipes uitgewerkt waarin aandachtspunten en mogelijke maatregelen worden omschreven:
  • Houd je datakwaliteit op orde: Weet waar je data vandaan komt en controleer of de data integer is.
  • Zorg voor validatie van je data: Bij data die afkomstig is van derden is het verstandig om die data te valideren. Kijk daarbij naar de wijze waarop de data tot stand is gekomen.
  • Houd rekening met supply chain security: Bij modellen die je niet zelf hebt ontwikkeld, zou er weleens een backdoor aanwezig kunnen zijn. Controleer dan ook de kwaliteit van (aan)geleverde modellen.
  • Maak je model robust tegen aanvallen: Controleer hoe bestendig je model is tegen verkeerde inputs, veranderingen in data of andere pogingen tot misbruik. Je zou bijvoorbeeld een groep programmeurs de opdracht kunnen geven om je AI-systeem aan te vallen (een red team) en te kijken hoe het systeem daarop reageert.
  • Zorg dat je model controleerbaar is: Als je weet hoe een model werkt en dat ook kan uitleggen, dan is dat vaak een teken dat het model robuust is. Kijk daarom of je je model inzichtelijk kan maken tijdens development.

Conclusie

Zeker voor AI-systemen die in cruciale/belangrijke situaties worden gebruikt, is het belangrijk dat deze tegen een stootje kunnen. Het is dan ook verstandig om dit in het achterhoofd te houden gedurende de ontwikkeling van het AI-systeem. Wil je op de hoogte blijven van de meest actuele ontwikkelingen op het gebied van de juridische aspecten van AI? Schrijf je dan in voor onze nieuwsbrief over de AI Act (AI-verordening). Dit kan via het onderstaande contactformulier.

Aanmelding nieuwsbrief AI Act (AI verordening):

Mocht je al vragen hebben over de juridische aspecten van AI, dan kun je uiteraard contact opnemen met  Jos van der Wijst. Jos van der Wijst [post_title] => AIVD publiceert principes voor veilige ontwikkeling van AI-systemen [post_excerpt] => [post_status] => publish [comment_status] => open [ping_status] => open [post_password] => [post_name] => aivd-publiceert-principes-voor-veilige-ontwikkeling-van-ai-systemen [to_ping] => [pinged] => [post_modified] => 2024-07-01 14:56:59 [post_modified_gmt] => 2024-07-01 12:56:59 [post_content_filtered] => [post_parent] => 0 [guid] => https://bg.legal/?p=34977 [menu_order] => 0 [post_type] => post [post_mime_type] => [comment_count] => 0 [filter] => raw ) [comment_count] => 0 [current_comment] => -1 [found_posts] => 263 [max_num_pages] => 27 [max_num_comment_pages] => 0 [is_single] => [is_preview] => [is_page] => [is_archive] => 1 [is_date] => [is_year] => [is_month] => [is_day] => [is_time] => [is_author] => [is_category] => [is_tag] => [is_tax] => 1 [is_search] => [is_feed] => [is_comment_feed] => [is_trackback] => [is_home] => [is_privacy_policy] => [is_404] => [is_embed] => [is_paged] => 1 [is_admin] => [is_attachment] => [is_singular] => [is_robots] => [is_favicon] => [is_posts_page] => [is_post_type_archive] => [query_vars_hash:WP_Query:private] => cbe3a5374a71dbb27cf2a66f50dacd77 [query_vars_changed:WP_Query:private] => 1 [thumbnails_cached] => [allow_query_attachment_by_filename:protected] => [stopwords:WP_Query:private] => [compat_fields:WP_Query:private] => Array ( [0] => query_vars_hash [1] => query_vars_changed ) [compat_methods:WP_Query:private] => Array ( [0] => init_query_flags [1] => parse_tax_query ) [tribe_is_event] => [tribe_is_multi_posttype] => [tribe_is_event_category] => [tribe_is_event_venue] => [tribe_is_event_organizer] => [tribe_is_event_query] => [tribe_is_past] => [tribe_controller] => Tribe\Events\Views\V2\Query\Event_Query_Controller Object ( [filtering_query:Tribe\Events\Views\V2\Query\Event_Query_Controller:private] => WP_Query Object *RECURSION* ) )
Hoewel je AI nodig hebt om AIVD te spellen, denkt men bij de AIVD toch eerder aan spionnen en ongevraagd afluisteren, dan aan AI-systemen. De dienst is er echter wel...
Lees meer
Mag je het merk van een concurrent gebruiken op je website? Mag je in mails of op je website aangeven dat je support en onderhoud levert bij het product van...
Lees meer
Het schrijven van een scriptie is voor veel studenten een grote opgave, en voor menig werkende een onprettige herinnering aan de studietijd. Maar stel je voor: een systeem dat binnen...
Lees meer
Het Europees Parlement wil een verplichte impact assessment mensenrechten voor high risk AI toepassingen invoeren. Het Europees Parlement onderhandelt over aanpassingen op het voorstel voor een AI Act (AI-verordening). In...
Lees meer
Op 20 december 2022 heeft de daartoe bestemde commissie de hernieuwde versie van de Nederlandse Corporate Governance Code (NCGC) gepubliceerd. Deze nieuwste versie vervangt daarmee de versie die reeds in...
Lees meer
Sinds 21 december 2022 kan iedereen via www.algoritmes.overheid.nl opzoeken welke algoritmes overheidsorganisaties gebruiken in hun werk. Uitgangspunt is dat overheidsorganisaties zelf verantwoordelijk zijn voor het opstellen en het beheer van...
Lees meer
Hoe stel je vast of een AI toepassing voldoet aan wet- en regelgeving? Welke wet- en regelgeving is überhaupt van toepassing op een AI toepassing? BG.legal gaat voor een consortium...
Lees meer
Vooral na schandalen zoals de toeslagenaffaire bestaat aarzeling bij het inzetten van algoritmes door overheden. Soms zelfs wantrouwen. Om vast te stellen dat het algoritme geen mensenrechten schendt, is het...
Lees meer
Een werknemer, die wist dat zijn tijdelijke arbeidsovereenkomst niet zou worden verlengd, heeft datasets van zijn werkgever gedownload. De werkgever kwam daar achter en heeft de werknemer vervolgens op staande...
Lees meer
Deze zaak gaat over twee stichtingen die door Mollie als klant zijn opgezegd. Dit als gevolg van een Wwft cliëntenonderzoek naar de UBO’s van de klanten. Daarbij zou ook gebruik...
Lees meer