Tag Archives: EU

89e FD Column: Afnemer van AI is straks aan de goden overgeleverd

Deze column staat in Het Financieele Dagblad van 12 mei 2021. Volg deze link voor mijn eerdere FD columns.

Bij kunstmatige intelligentie (AI) is de afnemer te afhankelijk van de ontwikkelaar. Die ongelijkheid zal de komende jaren alleen maar toenemen, schrijft informatierecht-expert Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Al decennia geldt in de digitale wereld: afhankelijkheid is onmacht. Een paar weken terug bekende het CIO Platform namens 130 serieuze bedrijven in het FD dat zij nog steeds niet bij machte zijn te voldoen aan de strenge privacywet AVG, die op 25 mei drie jaar van kracht is. Reden: afhankelijkheid van Amerikaanse cloudleveranciers waarvan sommige de regels niet respecteren, maar wel eisen dat hun klanten complexe contracten ondertekenen bij het kruisje, zonder ruimte voor onderhandelen.

Bij grootschalige cybersecurity-incidenten hangen organisaties, net als u en ik thuis bij een falende internetverbinding tijdens het corona-thuiswerken, vaak aan de broekspijp van hun IT-provider: deels wanhopig om de oorzaak, deels vurig hopend op een oplossing. Teleurgesteld, maar afhankelijk, kunnen de afnemers van IT-diensten nauwelijks voldoen aan hun juridische plichten, laat staan opkomen voor hun rechten tegen almachtige IT-leveranciers.

Op 21 april lanceerde de Europese Commissie haar langverwachte wetgevingsvoorstellen voor kunstmatige intelligentie (AI). Zelflerende software zonder directe menselijke controle heeft al een reusachtige impact op ons leven en is overal: in de financiële sector, in het ziekenhuis, in uw zelfrijdende auto, in uw spamfilter en in uw broekzak op uw smartphone. Nog meer dan in conventionele IT, kunnen de meeste bedrijven en instellingen die ‘iets’ met AI willen de kneepjes van het vak niet zelf aanleren, wegens gebrek aan middelen en talent.

Toverkracht
In hun zoektocht naar de toverkracht van AI, verwordt AI dus een dienst die je afneemt, net zoals cloud computing en IT-beveiliging. De fundamentele afhankelijkheid die de digitale wereld nu al kenmerkt, zal in het AI-tijdperk explosief toenemen. Het wordt nagelbijten of de Europese Unie erin slaagt de afnemers van AI adequaat te beschermen tegen de aanbieders. Continue reading 89e FD Column: Afnemer van AI is straks aan de goden overgeleverd

88e FD Column: Nieuwe datawet stelt tegenmacht zwaar op de proef

Deze column staat in Het Financieele Dagblad van 8 april 2021. Volg deze link voor mijn eerdere FD columns.

De Wet gegevensverwerking door samenwerkingsverbanden (WGS) breekt de waarborgen af die de burger beschermen tegen de ongeremde datahonger van de overheid, schrijft Axel Arnbak, advocaat bij De Brauw Blackstone Westbroek.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Pas na ‘Verkennersgate’ heeft Den Haag ineens de mond vol van tegenmacht en herstel van vertrouwen in de politiek. Zelfs de toeslagenaffaire zette de broodnodige herijking van de verhouding tussen overheid en burger nauwelijks in gang. Op dezelfde dag dat een commissie van Kamerleden na maanden van maatschappelijke onrust hun vernietigende rapport daarover publiceerde, 17 december 2020, namen hun collega’s een paar meter verderop een op het oog saaie wet aan, waarover een onderzoekscommissie in 2025 vast zal concluderen dat zij de volgende toeslagenaffaire faciliteerde.

De Wet gegevensverwerking door samenwerkingsverbanden (WGS) schept een algemeen wettelijk kader voor gegevensdeling en -analyse tussen overheidsinstanties onderling én met private partijen als banken, verzekeraars en telecomaanbieders. De WGS doorbreekt daarbij decennialang opgebouwde rechtsstatelijke waarborgen die de burger beschermen tegen de ongeremde datahonger van de instanties en willekeurige machtsuitoefening waarin de menselijke maat zoek is.

De WGS ligt nu bij de Eerste Kamer, in ons staatsbestel de hoeder van de grondrechten. Als de toeslagenaffaire, rechtsstatelijke zelfreflectie en herstel van vertrouwen de regering en de senaat echt ernst is, zou zij om te beginnen de WGS moeten intrekken, die symbool staat voor de ondermijning van de rechtstaat en een diep wantrouwen van de overheid in haar burgers. Continue reading 88e FD Column: Nieuwe datawet stelt tegenmacht zwaar op de proef

86e FD Column: Privacywet AVG moet ook gelden voor bedrijven onderling

Deze column staat in Het Financieele Dagblad van 15 februari 2021. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor Het Financieele Dagblad

  • Nederland had eerste rechtszaak tussen twee bedrijven op basis van AVG.
  • Schending privacy kan concurrentievervalsend werken.
  • Politiek moet debat starten over verruiming inzet AVG.

Willen we meer of minder privacy? Als we de verkiezingsprogramma’s van de serieuze politieke partijen in Nederland mogen geloven, bestaat er brede politieke consensus om privacy en persoonsgegevens in onze door data gedreven digitale wereld effectiever te beschermen. De spelregels zijn door de Algemene Verordening Gegevensbescherming (AVG) al in 2018 aanzienlijk aangescherpt. Hoewel de bewustwording toeneemt, laat de naleving van privacywet AVG nog veel te wensen over. Dat constateert ook de politiek.

De AVG belast onafhankelijke toezichthouders en de rechter met het toezicht op de datawereld. De slagkracht van die toezichthouders is wereldwijd een bekende bottleneck. Bij privacyperikelen schakelen burgers daarom steeds vaker direct de rechter in voor een onafhankelijk oordeel of de praktijk kan worden voortgezet. Bij vaststelling van onrechtmatigheden kan ook schadevergoeding worden bedongen.

Fascinerend genoeg speelde recent de allereerste datarechtszaak in Nederland tussen bedrijven: twee smartwatchmakers betichten een concurrent van concurrentievervalsing vanwege gebrekkige naleving van de AVG. Hoewel de privacywet natuurlijk in de eerste plaats bedoeld is voor burgers, zou het voor bedrijven die in privacy investeren – en voor databescherming in algemene zin – een goede zaak zijn als ook zij, net als in Duitsland, de naleving van de AVG door concurrenten via de rechter kunnen afdwingen.

Continue reading 86e FD Column: Privacywet AVG moet ook gelden voor bedrijven onderling

84e FD Column: Vergeten grondrechtenverjaardag EU verdient feest

Deze column staat in Het Financieele Dagblad van 11 december 2020. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor Het Financieele Dagblad

In het kort
* Handvest EU-grondrechten bestaat 20 jaar.
* Het jubileum krijgt nauwelijks aandacht.
* Toch heeft het Handvest in de EU een grote en groeiende impact.

Jubilea zijn er om stil te staan bij het werk en leven van de jubilaris. Maar het 20-jarige bestaan van het Handvest van de grondrechten van de Europese Unie gaat aan alles en iedereen voorbij. Toch stond het Handvest in de afgelopen decennia symbool voor de recente Europese geschiedenis. Het groeide bovendien uit van politieke speelbal en schandpaal tot allicht de belangrijkste bron van politieke, economische en sociale vrijheid in de EU.

Dat blijkt niet alleen uit de uitspraken van het Europese Hof van Justitie op basis van het Handvest, die vooral recent aan gezag en tempo winnen. Ook tijdens de intense, maar grotendeels vergeten, debatten over de tekst van het Handvest zijn bestaande rechten versterkt en nieuwe rechten verworven, zoals gendergelijkheid en databescherming. Wie die rijke geschiedenis van het Handvest niet kent of viert, is gedoemd die debatten te herhalen – ook al zijn de rechten die het Handvest biedt gewoon binnen juridisch handbereik. Continue reading 84e FD Column: Vergeten grondrechtenverjaardag EU verdient feest

83e FD Column: Versplintering privacytoezicht vergt sterker Europa

Deze column staat in Het Financieele Dagblad van 13 november 2020 en is een bewerking van mijn opening statement tijdens de hoorzitting “Rondetafelgesprek inzage rapporteurschap AVG” in de Tweede Kamer op 19 november 2020.

Volg deze link voor mijn eerdere FD columns.

81e FD Column: Nederland gaat Verenigde Staten achterna als onveilige datahaven

Deze column was het weekendessay van Het Financieele Dagblad van 18 september 2020. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor het Financieele Dagblad 

In het kort

  • Nederland heeft na rapport CTIVD serieus probleem op juridisch, imago- en politiek vlak.
  • Eerste Kamer kan reparatiewet niet aanpassen.
  • Civiele massaschadeclaim tegen diensten is een mogelijkheid.

Na zeven jaar procederen en twee baanbrekende uitspraken van het Europese Hof van Justitie barstte onlangs de Trans-Atlantische databom. In een uitgelekt voorlopig besluit verbiedt de Ierse datatoezichthouder DPC techgigant Facebook om Europese data naar haar thuisbasis in de VS te sturen, omdat het EU-Hof op 16 juli oordeelde dat Amerikaanse wetgeving en inlichtingendiensten het grondrecht op privacy van Europeanen onvoldoende respecteren.

In dezelfde week constateerde de Nederlandse spionnenwaakhond CTIVD in een vernietigend rapport dat de AIVD en MIVD al twee jaar ‘onrechtmatig’ handelen. Zo zouden zij de privacywaarborgen in de Wiv2017, beter bekend als de ‘sleepwet’, doelbewust met ‘kunstgrepen’ omzeilen, om omvangrijke datasets te kunnen delen met andere diensten in andere landen.

Inderdaad, waar Facebook van de DPC twee maanden na de uitspraak van het EU-Hof moet stoppen met intercontinentale data-export binnen hetzelfde bedrijf, constateert de CTIVD dat Nederlandse diensten al ruim twee jaar doelbewust onrechtmatig data delen buiten de organisatie.

Serieus probleem

Nederland propageert wereldwijd een technisch betrouwbaar en juridisch veilige ‘digital mainport’ te zijn, maar heeft nu een serieus imago-, politiek en juridisch probleem. Onze sleepwet zit vol hiaten die het EU Hof in juli ten aanzien van Amerikaanse wetgeving aan flarden schoot.

Ondanks het roemruchte referendum van 2018 over de ‘sleepwet’ heeft de Nederlandse politiek geen enkele verbetering gerealiseerd. En van de controversiële wet worden de waarborgen met voeten getreden. De Eerste Kamer, die zich momenteel buigt over een broodmager reparatiewetje als pleister op de sleepwetwond, kan de geloofwaardigheid, privacy en economische belangen van Nederland niet beschermen: de senaat kan wetgeving niet aanpassen, slechts aannemen of afstemmen. Nederland gaat de VS dus achterna als onveilige datahaven, totdat burgers zelf naar de rechter stappen om hun rechten te beschermen. Continue reading 81e FD Column: Nederland gaat Verenigde Staten achterna als onveilige datahaven

79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

Deze column staat in Het Financieele Dagblad van 23 juli 2020. Volg deze link voor mijn eerdere FD columns.

In de wereld van intercontinentaal dataverkeer heeft de Europese Commissie (EC) al decennia patent op juridische luchtkastelen, dansen op de vulkaan en gezichtsverlies. Het Europees Hof van Justitie (EU-Hof) heeft er schoon genoeg van. Vorige week vernietigde het EU-Hof voor de tweede keer een bilaterale deal (Schrems II) voor datatransport tussen Europa en de Verenigde Staten, het zogenaamde Privacy Shield. Eind 2015 had het EU-Hof de voorloper al verpulverd (Schrems I).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Daarnaast formuleerde het EU-Hof strenge algemene criteria voor alle andere mechanismen, waaronder data-export naar alle andere landen buiten de EU. Bovendien verduidelijkte het Hof dat de datatransporterende organisaties zelf verantwoordelijk – en dus aansprakelijk – zijn wanneer een datatransport niet aan die strenge criteria voldoet.

‘De geopolitieke en economische gevolgen van de uitspraak van het EU-Hof vorige week zijn reusachtig’

Wereldwijd, ook vorige week in het FD, spreken juridische experts de hoop uit dat de EC nu eindelijk burgers en bedrijven te hulp schiet door de Amerikaanse overheid ervan te overtuigen de privacy van Europeanen te respecteren. Die ijdele hoop miskent de decennialange onmacht van de Europese Unie (EU) om ook maar iets betekenisvols af te dwingen in Washington. De Amerikaanse overheid luistert wél naar het Amerikaanse bedrijfsleven. Zonder de door het EU-Hof gevraagde verbeteringen in Amerikaanse wetgeving riskeren zij, en hun Europese zakenpartners, megaboetes en massaschadeclaims vanwege schending van Europese privacywetgeving. Niet de EC, maar het multinationale bedrijfsleven is onze enige kans op respect van de Amerikaanse, Chinese, binnenkort de Britse en welke niet-Europese overheid dan ook voor Europese datagrondrechten. Continue reading 79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

Deze column staat in Het Financieele Dagblad van 28 mei 2020. Volg deze link voor mijn eerdere FD columns.

Wat is twee jaar op een wetgevingsleven? Op de tweede verjaardag van de strenge privacywet AVG (Algemene Verordening Gegevensbescherming) keken toonaangevende media deze week wat somber in de achteruitkijkspiegel. De AVG zou haar belofte van privacybescherming niet waarmaken, vooral omdat megaboetes door onderbezette privacytoezichthouders uitblijven.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Verrassend genoeg kijkt vrijwel niemand door de voorruit naar wat de AVG nog in petto heeft. Toezichthouders beloven dat de megaboetes zullen komen. Het toezicht europeaniseert. Bovendien staan wij aan de vooravond van een fascinerende aardverschuiving. Van onderbezette toezichthouders verplaatst het initiatief zich stilaan naar grote groepen burgers en gretige ondernemers, die via massaschadeclaims bij de rechter hun gram en geld zullen eisen voor schendingen van de AVG. Data-gedreven organisaties schieten zichzelf in de voet als zij na de sombere tussenrapporten van deze week op hun lauweren rusten. Het echte werk begint nu pas. Continue reading 78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

Deze column staat in Het Financieele Dagblad van 1 mei 2020. Volg deze link voor mijn eerdere FD columns.

In hun poging Nederland van het corona-slot te halen en de winkel te openen kregen beleidsmakers er recent een nieuwe kopzorg bij. ‘s Lands hoogste bestuursrechter, de Raad van State, verduidelijkte namelijk dat burgers na privacyschendende overheidsbesluiten schadevergoeding kunnen claimen op grond van de Europese privacywet AVG.

 

Illustratie: Hein de Kort voor het Financieele Dagblad

 

Als daadwerkelijke schade ontstaat door ondoordachte datafantasieën van de staat, bijvoorbeeld omdat miljoenen mensen vanwege een onjuiste immuniteitstest of corona-app ten onrechte inkomsten missen, dan bloedt de overheid niet alleen in de media maar ook in de portemonnee. Waarschijnlijk onbewust creëert de Raad van State hiermee een welkome extra prikkel voor de Nederlandse overheid voor doordacht, zorgvuldig en grondrechten respecterend beleid in dit unieke coronatijdperk waarin een nieuw maatschappelijk schisma zich aftekent.

Immers, naast conventionele sociale scheidslijnen als inkomen, etniciteit en geslacht bepaalt straks immuniteit tegen het coronavirus de economische waarde en sociale kansen van burgers in het maatschappelijk verkeer. Van massaal testen van burgers, via temperatuurmetingen op de werkplek tot ‘immuniteitspaspoorten’, data en technologie helpen binnenkort bepalen wie volledige bewegingsvrijheid krijgt, wie voorzorg moet betrachten en wie zichzelf wekenlang moet opsluiten. Ontstaat zo een nieuwe klassenverdeling in de samenleving, met de Immunen als Übermensch? Continue reading 77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

75e FD Column: Reguleer AI niet als privacy via een algemene wet, maar met contextuele regels en specifiek toezicht

Deze column staat in Het Financieele Dagblad van 6 februari 2020. Volg deze link voor mijn eerdere FD columns.

Net als iedere nieuwe ceo of voetbaltrainer, grossiert de nieuwe Europese Commissie (EC) in grootse ambities. Na klimaatverandering volgt het realiseren van Europese waarden en soevereiniteit in de digitale wereld als het tweede grote voornemen van de nieuwe ploeg, vooral ten aanzien van kunstmatige intelligentie (AI).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Ook al presenteert de Commissie haar concrete AI-plannen tot 2024 pas medio februari, geheel volgens traditie lekten de beleidsplannen recent toch uit. Net Prinsjesdag. De EC promoot ‘menswaardige’ AI, maar wil daartoe geen ‘specifieke resultaatverplichtingen en nieuwe rechten voor burgers’ in het leven roepen. De Commissie zet in op een nieuwe alomvattende AI-wet, naar model van de Europese privacywet AVG.

Menswaardigheid

De AVG is een significant geopolitiek succes, omdat de Europese wet nu wereldwijd wordt gekopieerd – van Brazilië tot India en Japan. Weliswaar vormt de AVG daarom een aantrekkelijk politiek frame voor de Commissie om haar AI-beleid in te gieten, maar geen adequate juridische mal. Door de AVG als blauwdruk te nemen, kan de politiek – net als bij de AVG – mooie sier maken met een ‘nieuwe AI-wet’ en – net als bij privacy – vermoeden dat het daarmee wel geregeld is, terwijl de bescherming van onze menswaardigheid in de praktijk vaak uitblijft. Europa heeft geen algemene AI-wet nodig, maar context-specifieke regels en effectief toezicht om de inbedding van AI in ons dagelijks leven menswaardig te maken. Continue reading 75e FD Column: Reguleer AI niet als privacy via een algemene wet, maar met contextuele regels en specifiek toezicht

73e FD Column: EU moet toezichthouders verplichten tot samenwerking

Deze column staat in Het Financieele Dagblad van 12 december 2019. Volg deze link voor mijn eerdere FD columns.

Tien jaar geleden al waarschuwde toenmalig Eurocommissaris voor Consumentenbescherming Meglena Kuneva in een vaak geciteerde speech dat ‘persoonsgegevens de nieuwe olie, oftewel valuta van de digitale wereld zijn’.

Al gaat de oliemetafoor niet helemaal op, de beschikkingsmacht over persoonsgegevens is inderdaad existentieel voor geopolitieke en economische macht: in 2019 zijn zeven van de acht grootste bedrijven ter wereld (naar marktwaarde) actief in de data-economie.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Gek genoeg kwam het toezicht op die economie in 2019 pas echt op gang, tien jaar – een eeuwigheid in internettijd – na Kuneva’s bezorgde speech. In 2020 zullen toezichthouders over elkaar heen buitelen met de ene na de andere megaboete om die ook door verontrustte burgers gevoelde achterstand in te halen.

Juist in die haast met boete enschuld schuilt een monumentale uitdaging. Toezichthouders van allerlei pluimage uit allerlei landen bekijken de datawereld ieder door hun eigen bril, zoals het borgen van privacy, gezondefinanciële markten, een eerlijke behandeling van consumenten, of concurrentie op een specifieke markt.

Tegelijkertijd scheren activiteiten van ondernemingen dwars door al die conceptuele afbakeningen en landsgrenzen heen. Daarin schuilt een reëel risico voor zowel toezicht als onderneming: enerzijds worden ondernemingen door de verkeerde toezichthouder onrechtmatig bestraft en draait de rechter dat later terug, anderzijds zijn toezichthouders soms te mild in hun beoordeling waar andere waakhonden in hun toets van dezelfde activiteit veel harder zouden doorbijten.

De noodzakelijke Europese wetgeving die toezichthouders dwingt tot samenwerken en delen van competentie en boetebevoegdheden, oftewel van macht en geld voor de staatskas, zal er ook in 2020 niet komen. Rechtsonzekerheid voor ondernemingen en verder wantrouwen van de burger in het beschermingsvermogen van hun overheid in de digitale wereld, zijn het kind van de rekening. Continue reading 73e FD Column: EU moet toezichthouders verplichten tot samenwerking

72e FD Column: Toekomstvisie Autoriteit Persoonsgegevens is nog lege huls zonder slagkracht en gezag

Leave a comment

Deze column staat in Het Financieele Dagblad van 14 november 2019. Volg deze link voor mijn eerdere FD columns.

‘In de beperking toont zich pas de meester’. Misschien wel geïnspireerd door deze beroemde strofe van de Duitse schrijver, staatsman en homo universalis Johann Wolfgang von Goethe, publiceerde privacytoezichthouder Autoriteit Persoonsgegevens (AP) maandag voor het eerst een meerjarenbeleid voor toezicht op onze datasamenleving. Titel van deze strategie: ‘Focus AP 2020-2023’.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Naarmate onze samenleving steeds sneller dataficeert, daagt de privacywet Algemene Verordening Gegevensbescherming (AVG) de structureel onderbezette waakhond AP uit om zo’n beetje alles en iedereen overal en altijd in de gaten te houden. Met haar lezenswaardige strategie en zelfopgelegde focus op ‘datahandel, digitale overheid en artificiële intelligentie & algoritmes’ beperkt de AP zich tot de kern en toont zij een glimp van meesterschap in wording.

Toch heeft de AP de grootste uitdaging nog voor de boeg. Al sinds 1 januari 2016 kan de AP hoge boetes opleggen voor privacyschendingen. Ook is de strenge privacywet AVG sinds 25 mei 2018 in werking. Maar waar andere datawaakhonden in Europa na decennia van doormodderen eindelijk voldoende budget krijgen en stevig doorbijten, houdt de overheid hier de hand ferm op de knip en moet de AP haar tanden nog laten zien. Bovendien weifelt en wankelt de AP inhoudelijk op cruciale thema’s en lijkt zij onwenselijk geobsedeerd door toestemming als de ‘gouden grondslag’ voor dataverwerkingen. Zonder slagkracht en gezag dreigt de lovenswaardige strategie van de AP alsnog te stranden in goede bedoelingen. Continue reading 72e FD Column: Toekomstvisie Autoriteit Persoonsgegevens is nog lege huls zonder slagkracht en gezag

Law and policy at the digital frontier