Kan de AP een verwerkingsverbod met terugwerkende kracht opleggen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: LinkedIn is inmiddels begonnen met het trainen van AI modellen met data van Europese gebruikers die geen opt-out deden. Ik had gelezen dat de Autoriteit Persoonsgegevens een onderzoek was gestart maar heb daar niets meer over gehoord. Stel nu dat men op zeker moment oordeelt dat deze hele verwerking onrechtmatig was. Dan kunnen ze een verbod opleggen, maar kan dat dan ook met terugwerkende kracht?
Antwoord: Onderzoeken door AVG-toezichthouders kunnen inderdaad rustig langer dan een jaar duren. Daar is weinig aan te doen; grote partijen gebruiken ieder slordigheidje om de boete aan te vechten tot aan het Hof van Justitie. Dus zekerheid over de legaliteit van deze keuze moet helaas nog lang op zich laten wachten.
Als uit het onderzoek blijkt dat de verwerking inderdaad onrechtmatig is, dan heeft de toezichthouder een trits bevoegdheden onder de AVG. Naast boetes is een verwerkingsverbod zeker mogelijk. Dit staat in artikel 58 lid 2 onder f AVG, en direct daarna staat nóg een hele leuke "het rectificeren of wissen van persoonsgegevens of het beperken van verwerking". Wat je in strijd met de wet gebruikt, moet je weggooien.
Specifiek bij AI-modellen is dit een hele venijnige. Waar je in een databank dan het record wist, moet je hier én je model én je trainingsdata ontdoen van die gegevens. Voor trainingsdata is dat nog tot daar aan toe (zeg me dat je data governance praktijken hanteert), maar voor het AI model is de consequentie meestal dat je die geheel van de markt moet halen. Want een model bijstellen zodat deze de persoonsgegevens van Yann of Aleid vergeet, is eigenlijk niet mogelijk.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Leuk idee, zo'n zaak. Paard achter de wagen stellen.
Het is een heel mooi voorbeeld van hoe naïef mensen zijn - die data gewoon beschikbaar stellen.
Leuk idee, zo'n zaak. Paard achter de wagen stellen.
Het is een heel mooi voorbeeld van hoe naïef mensen zijn - die data gewoon beschikbaar stellen.
De term beschikbaar stellen is dubieus voor de situatie waarbij met een opt-out gewerkt wordt. Het wordt genomen, tenzij je dat expliciet weigert. Dat is amper "beschikbaar stellen te noemen", maar eerder "roven, tenzij".
Hetzelfde verhaal met het donorregister wat al net zo'n misdadigheid is...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?