Kan de AP een verwerkingsverbod met terugwerkende kracht opleggen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: LinkedIn is inmiddels begonnen met het trainen van AI modellen met data van Europese gebruikers die geen opt-out deden. Ik had gelezen dat de Autoriteit Persoonsgegevens een onderzoek was gestart maar heb daar niets meer over gehoord. Stel nu dat men op zeker moment oordeelt dat deze hele verwerking onrechtmatig was. Dan kunnen ze een verbod opleggen, maar kan dat dan ook met terugwerkende kracht?
Antwoord: Onderzoeken door AVG-toezichthouders kunnen inderdaad rustig langer dan een jaar duren. Daar is weinig aan te doen; grote partijen gebruiken ieder slordigheidje om de boete aan te vechten tot aan het Hof van Justitie. Dus zekerheid over de legaliteit van deze keuze moet helaas nog lang op zich laten wachten.
Als uit het onderzoek blijkt dat de verwerking inderdaad onrechtmatig is, dan heeft de toezichthouder een trits bevoegdheden onder de AVG. Naast boetes is een verwerkingsverbod zeker mogelijk. Dit staat in artikel 58 lid 2 onder f AVG, en direct daarna staat nóg een hele leuke "het rectificeren of wissen van persoonsgegevens of het beperken van verwerking". Wat je in strijd met de wet gebruikt, moet je weggooien.
Specifiek bij AI-modellen is dit een hele venijnige. Waar je in een databank dan het record wist, moet je hier én je model én je trainingsdata ontdoen van die gegevens. Voor trainingsdata is dat nog tot daar aan toe (zeg me dat je data governance praktijken hanteert), maar voor het AI model is de consequentie meestal dat je die geheel van de markt moet halen. Want een model bijstellen zodat deze de persoonsgegevens van Yann of Aleid vergeet, is eigenlijk niet mogelijk.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Leuk idee, zo'n zaak. Paard achter de wagen stellen.
Het is een heel mooi voorbeeld van hoe naïef mensen zijn - die data gewoon beschikbaar stellen.
Leuk idee, zo'n zaak. Paard achter de wagen stellen.
Het is een heel mooi voorbeeld van hoe naïef mensen zijn - die data gewoon beschikbaar stellen.
De term beschikbaar stellen is dubieus voor de situatie waarbij met een opt-out gewerkt wordt. Het wordt genomen, tenzij je dat expliciet weigert. Dat is amper "beschikbaar stellen te noemen", maar eerder "roven, tenzij".
Hetzelfde verhaal met het donorregister wat al net zo'n misdadigheid is...
Hetzelfde verhaal met het donorregister wat al net zo'n misdadigheid is...
Het verschil met een donorregister is dat iedereen door de staat wordt aangemeld, tenzij je voor een OPT-OUT kiest.
M.a.w. de overheid is op je organen uit :-)
(Nu) niet voor financieel gewin, maar om levens te redden.
Maar Linked-In is een commerciele organisatie die jouw gratis je data liet en laat delen met andere deelnemers.
Maar bij gratis ben jij het product. Dat is altijd al zo geweest in een markt econimie. Voor niets gaat de zon op.
Ooit een keer gaan ze dat product vermarkten. In dit geval je data.
Het heeft wat jaartjes geduurd. Maar het gebeurt. Dat zie je wel.
Dan ook niet klagen. Je hebt genoeg jaartjes kunnen genieten van dat "gratis". Nu komt de rekening.
Hetzelfde verhaal met het donorregister wat al net zo'n misdadigheid is...
Het verschil met een donorregister is dat iedereen door de staat wordt aangemeld, tenzij je voor een OPT-OUT kiest.
M.a.w. de overheid is op je organen uit :-)
(Nu) niet voor financieel gewin, maar om levens te redden.
Maar Linked-In is een commerciele organisatie die jouw gratis je data liet en laat delen met andere deelnemers.
Maar bij gratis ben jij het product. Dat is altijd al zo geweest in een markt econimie. Voor niets gaat de zon op.
Ooit een keer gaan ze dat product vermarkten. In dit geval je data.
Het heeft wat jaartjes geduurd. Maar het gebeurt. Dat zie je wel.
Dan ook niet klagen. Je hebt genoeg jaartjes kunnen genieten van dat "gratis". Nu komt de rekening.
Voor de grondslag gerechtvaardigd belang waar ze zich op baseren maakt het niet uit welk belang/doel er wordt gediend. In beide gevallen is het een opt-out, wat betekent dat je hier gewoon keuzes in hebt. Het enige verschil met het donorregister is dat de consequenties pas ingaan na je overlijden en bij LinkedIn al direct en het verdomd lastig is, zoals Arnout ook al schrijft, om dan je gegevens nog te laten wissen.
Hetzelfde verhaal met het donorregister wat al net zo'n misdadigheid is...
Het verschil met een donorregister is dat iedereen door de staat wordt aangemeld, tenzij je voor een OPT-OUT kiest.
M.a.w. de overheid is op je organen uit :-)
(Nu) niet voor financieel gewin, maar om levens te redden.
Maar Linked-In is een commerciele organisatie die jouw gratis je data liet en laat delen met andere deelnemers.
Maar bij gratis ben jij het product. Dat is altijd al zo geweest in een markt econimie. Voor niets gaat de zon op.
Ooit een keer gaan ze dat product vermarkten. In dit geval je data.
Het heeft wat jaartjes geduurd. Maar het gebeurt. Dat zie je wel.
Dan ook niet klagen. Je hebt genoeg jaartjes kunnen genieten van dat "gratis". Nu komt de rekening.
Voor de grondslag gerechtvaardigd belang waar ze zich op baseren maakt het niet uit welk belang/doel er wordt gediend. In beide gevallen is het een opt-out, wat betekent dat je hier gewoon keuzes in hebt. Het enige verschil met het donorregister is dat de consequenties pas ingaan na je overlijden en bij LinkedIn al direct en het verdomd lastig is, zoals Arnout ook al schrijft, om dan je gegevens nog te laten wissen.
Klopt. " Bezint eer gij begint."
Keuzes uit het verleden hebben nu eenmaal consequenties.
Dus leren op tijd de juiste keuzes te maken.
... Maar hoe bedenkt je vooraf wat de juiste keuze is ...
(Mij is dat gelukt, nu jullie nog)
Mijn vermoeden is dat zij gewoon alle data gebruiken om hun AI te trainen net zo lang tot er per ongeluk iemand achter komt dat dit zonder toestemming alsnog hebben gedaan.
De eventuele sanctie die daarop volgt is al ingecalculeerd in de begroting, ze roepen een keer sorry, zand er over en door met de waan van de dag.
Gelukkig heb ik zelf geen LinkedIn.
Mijn vermoeden is dat zij gewoon alle data gebruiken om hun AI te trainen net zo lang tot er per ongeluk iemand achter komt dat dit zonder toestemming alsnog hebben gedaan.
De eventuele sanctie die daarop volgt is al ingecalculeerd in de begroting, ze roepen een keer sorry, zand er over en door met de waan van de dag.
Gelukkig heb ik zelf geen LinkedIn.
Ik vertrouw die opt-out voor secundair gebruik binnen dat nieuwe Europese centrale geneeskundig systeem (EHDS) ook niet. Secundair gebruik zijn onderandere onderzoekslaboratoria op universiteiten die samenwerken met big pharma. In principe gepseudonormiseerde data van alle Europeanen (wanneer men dat filtertje nog moet aanzetten met de toekomstige afschaffing van de avg voor ai systemen) mag zo in ai of bi systemen worden geladen.
Kamer brief van de minister: https://open.overheid.nl/documenten/2efc8606-a4f0-4279-a2d2-2dc4fa31049a/file
Daarbij is er een discussie onder Europarlementariërs over hoeveel jaar na de invoering van EHDS de opt-out moet worden ingevoerd. Ik bespeur hier weer een hele sterke lobby van kapitaalkrachtig big pharma om eerst een paar jaar data te graaien waarna een opt-out voor nieuwe data wordt ingevoerd. Oude data kan dan niet meer verwijderd worden want in het ai systeem verborgen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?