AI, data en cyber: Europese wetten om in de gaten te houden

14 december 2023, laatst geüpdatet 11 september 2024
Begin december heeft de Europese Unie dan eindelijk een politiek akkoord bereikt over de AI Act. Deze wet zal grote veranderingen met zich brengen voor de toekomst van AI. De AI Act is echter onderdeel van een veel groter pakket aan AI-, data- en cyberwetgeving vanuit de EU. Veel van die wetten zijn minstens net zo interessant als de AI Act. Op welke moet u als bedrijf gaan letten? En op welke regels kunt u zich alvast voorbereiden?
In dit artikel

Sinds een aantal jaar is de Europese Unie (EU) bezig met haar Digitale Agenda. In dat kader zijn al de AVG, de Digital Markets Act (DMA) en de Digital Services Act (DSA) aangenomen. Het doel is om versnippering te voorkomen, vertrouwen te verbeteren en vendor lock-ins te voorkomen. Dit doet de EU voornamelijk via verordeningen. Dit zijn wetten die rechtstreeks werken, en niet nog door de lidstaten verwerkt te hoeven worden in nationale wetgeving.

Daarnaast worden er 9 “data spaces” opgericht. Hierin wordt data uit 9 verschillende sectoren gebundeld om toegang tot de data en interoperabiliteit te waarborgen. De eerste data space die voorgesteld door de EU is die voor gezondheid. Later volgen nog data spaces voor industrie en fabricage, agricultuur, financiën, mobiliteit, duurzaamheid, energie, openbaar bestuur en vaardigheden.

Het zou te ver gaan om in één blogpost alle wetgeving uit de Digitale Agenda te behandelen. Ik bespreek achtereenvolgens de meest in het oog springende:

  • AI Act
  • AI Liability Directive
  • Data Act
  • Data Governance Act
  • European Health Data Space
  • Cyber Resilience Act (CRA)
  • NIS-2 (Network and Information Security Directive)
  • DORA (Digital Operations and Resilience Act)

Dit blog zal worden aangevuld met nieuwe wetgeving en aanvullende informatie.

De AI Act

De Wet op de Artificiële Intelligentie (2021/0106) streeft ernaar veilige AI-systemen te garanderen die de grondrechten en waarden van de EU respecteren. Op deze manier wenst de EU investeringen en innovatie te vergemakkelijken.

Wat moet ik weten over de inhoud? In de AI Act worden alle AI-toepassingen opgedeeld naar risico. Systemen voor onaanvaardbaar risico, zoals social scoring en real-time gezichtsherkenning, worden verboden. AI-systemen met een hoog risico zijn onder de AI Act toegestaan, maar worden gereguleerd. Zo worden deze systemen onderworpen aan een verplichte conformiteitsbeoordeling, moet de trainingsdata voldoen aan bepaalde kwaliteitseisen en moeten beslissingen van de AI uitlegbaar zijn. Een “hoog risico” hebben AI-systemen die bedoeld zijn om gebruikt te worden als veiligheidscomponent, zoals medische hulpmiddelen, en AI-systemen met implicaties op het gebied van de grondrechten, zoals op het gebied van onderwijs. Voor AI-systemen met een laag of minimaal risico gelden slechts transparantieverplichtingen. Deepfakes moeten daardoor bijvoorbeeld worden aangemerkt als AI-gegenereerd.

Wat betekent dit voor mij? Voor producenten van AI komen er veel nieuwe regels. Voor afnemers komen er weinig nieuwe plichten. De rechten van afnemers worden wel beter geborgd: door meer transparantie- en veiligheidsplichten voor producenten, weten afnemers beter wat ze kopen en/of gebruiken. De afnemer heeft wel de plicht om de AI ook correct te gebruiken, conform de instructies die de producenten verplicht moet aanleveren.

Hoe nu verder? In december 2023 is een politiek akkoord bereikt over de tekst van de wet. Dit betekent niet direct dat de Act ook op korte termijn geldig zal worden; het Europees Parlement moet er namelijk ook nog over stemmen. In de praktijk kan dit lang duren.

Meer weten? Bekijk ook dit blog over de amendementen op de AI Act.

De AI Liability Directive

De Richtlijn inzake niet-contractuele civielrechtelijke aansprakelijkheid aan artificiële intelligentie (2022/0303) is een richtlijn om de aansprakelijkheid van en voor AI vast te leggen. Zo kunnen slachtoffers een schadevergoeding vorderen voor schade die AI-systemen hebben veroorzaakt.

Wat moet ik weten over de inhoud? De AI Liability Directive legt vast dat als er een fout wordt ontdekt die schade veroorzaakt en er een redelijke kans is op een oorzakelijk verband met de AI-activiteiten, de fabrikant (behoudens tegenbewijs) als aansprakelijk wordt beschouwd. Dit hoeft niet meer bewezen te worden door het slachtoffer. Het maakt hierbij niet uit of dit AI-systeem volgens de AI Act een onaanvaardbaar, hoog, beperkt of minimaal risico heeft.
Daarnaast krijgt het slachtoffer het recht om de rechter te verzoeken om informatie te geven over de werking van een AI-systeem. Zo kan het slachtoffer beter beoordelen wie hij aansprakelijk moet stellen. Dit geldt alleen voor AI-systemen met een hoog risico.

Wat betekent dit voor mij? Het vergemakkelijken van moeilijke bewijsposities is voor consumenten positief: de lat om schade vergoed te krijgen wordt lager. Tegelijkertijd wordt er gewaarschuwd voor het chilling effect van de richtlijn: een producent zou misschien minder snel AI gebruiken, uit angst voor een schadeclaim.

Hoe nu verder? Het voorstel voor de AI Liability Directive is in september 2022 bekend gemaakt, maar sindsdien is er nog vrij weinig gerapporteerd over ontwikkelingen. Zelfs als de EU de richtlijn binnen afzienbare tijd aanneemt, moeten de regels ook nog door de lidstaten worden verwerkt in nationale wetten. De totstandkoming van de richtlijn lijkt dus een langetermijnproces.

De Data Act

De Dataverordening (2022/0047) is een zeer uitgebreid voorstel over uiteenlopende onderwerpen. Het geeft transparantierechten en -plichten over de data die een product verzamelt, geeft het recht op overstappen tussen clouddiensten en legt verplichte contractbepalingen op. Deze regels gelden voor ieder bedrijf dat data verzamelt of slimme apparaten verkoopt.

Wat moet ik weten over de inhoud? Onder de Data Act moeten producten zoals slimme koelkasten, telefoons en clouddiensten inzicht gaan bieden in de gegenereerde data. Verkopers hiervan moeten de klant duidelijk voorlichten over deze datastromen. Ook hebben klanten het recht op overstap, zoals van Google Drive naar iCloud.

Wat betekent dit voor mij? Zogeheten vendor lock-ins, waarbij het overstappen naar een andere provider heel moeilijk of niet rendabel is, worden door de Data Act tegengewerkt. Voor consumenten is dat goed nieuws. Voor de fabrikanten, aanbieders en verkopers van technologie komen er wel zeer vérgaande plichten die veel actieve handelingen voorschrijven. Denk bijvoorbeeld aan het opnemen van bepaalde bepalingen in de Algemene Voorwaarden, of het voorlichten van een klant bij de koop van een product.

Hoe nu verder? De Data Act is in werking getreden op 11 januari 2024, en nu is een aanloopperiode gestart van 20 maanden. Op 11 september 2025 moeten bedrijven dus klaar zijn voor de nieuwe regels.

Meer weten? Bekijk ook dit blog over de Data Act.

De Data Governance Act

De Datagovernanceverordening (2020/0340) is net als de Data Act veelomvattend. Allerlei regelingen over toegang tot overheidsdata worden in één verordening gebundeld. Tegelijkertijd worden kaders gesteld voor databrokers en wordt het Europees Comité voor gegevensinnovatie opgericht.

Wat moet ik weten over de inhoud? Overheden mogen onder de Data Governance Act hun data niet exclusief met één partij delen. Data moet in beginsel vrij beschikbaar zijn, zelfs als het om bedrijfsgeheimen of intellectueel eigendom gaat. Mag de data niet gedeeld worden omdat het om persoonsgegevens gaat? Dan is het overheidsorgaan verplicht om hergebruikers bij te staan bij het opvragen van toestemming bij betrokkenen.
Er wordt een centraal informatiepunt opgericht, waarbij ieder overheidsorgaan zijn hergebruikbeleid moet aanmelden. Daarbij staan transparantie en non-discriminatie voorop.
Daarnaast zijn regels gesteld voor databemiddelingsdiensten en erkende organisaties voor data-altruïsme. Het lijkt erop dat dit gaat om organisaties waar mensen vrijwillig gegevens mee kunnen delen, zoals voor onderzoeksdoeleinden. Ook wordt een comité opgericht om hierop toe te zien. Op deze regels bestaat veel kritiek, omdat onduidelijk is om wat voor organisaties dit gaat en in hoeverre er een maatschappelijke behoefte is aan deze organisaties.

Wat betekent dit voor mij? Het opvragen van overheidsdata wordt steeds makkelijker. Met een combinatie van de Wet Open Overheid, de AVG en de Data Governance Act zijn de inzagemogelijkheden ruim. Voor bedrijven en burgers worden eigenlijk geen extra plichten opgelegd. Tegelijkertijd legt de Data Governance Act wel een extra grote last op overheidsorganen: het verstrekken van data kan veel tijd en moeite vergen, en de vergoeding die gevraagd mag worden is vrij gering. Ook betekent de Data Governance Act dat beschermde data van bedrijven ook opgevraagd kan worden, iets waar niet ieder bedrijf onverminderd enthousiast over zal zijn.

Hoe nu verder? De Data Governance Act is op 24 september 2023 in werking getreden en kan dus al benut worden.

De European Health Data Space (EHDS)

De Verordening betreffende de Europese ruimte voor gezondheidsgegevens (2022/0140) heeft als doel om datagebruik in de zorgsector te vergemakkelijken. Dit ziet op twee niveaus: het gebruik door burgers, en het gebruik tussen bedrijven en instellingen onderling. Zo krijgen burgers makkelijk inzage in hun patiëntgegevens, en worden drempels weggenomen voor het doen van onderzoek. Ook worden eisen gesteld aan elektronische patiëntendossiers (EPD’s).

Wat moet ik weten over de inhoud? Voor burgers is de EHDS als het ware een verlengstuk van de AVG. De EHDS creëert een recht op toegang tot persoonlijke elektronische gezondheidsgegevens. Dit moet onmiddellijk, gratis en makkelijk te lezen zijn.
Voor zorginstellingen betekent de EHDS dat zij veel gegevens (al dan niet anoniem) moeten gaan delen. Zo worden wetenschappelijk onderzoek, innovatie en beleidsvorming eenvoudiger. Door een EU-brede infrastructuur voor gezondheidsgegevens, krijgen zorgverleners ook makkelijker toegang tot de zorgdata, bijvoorbeeld als de gegevens uit een ander land komen.
Waar de AVG expliciete toestemming als uitgangspunt neemt, neemt de EHDS uitwisseling als uitgangspunt. Dit zorgt voor een zeker spanningsveld. Ook het medisch beroepsgeheim speelt parten. Het is nog niet geheel duidelijk hoe deze uitgangspunten zich tot elkaar moeten verhouden.
EPD’s moeten gaan voldoen aan certificeringseisen. Zo moeten systemen beter met elkaar gaan communiceren. Ook zaken als wellnessapps en slimme horloges kunnen interoperabel worden gemaakt met EPD’s en hier een label voor krijgen.

Wat betekent dit voor mij? Voor patiënten betekent dit dat toegang tot data makkelijker wordt. Ook kan de patiënt voor sommige zorgverleners de toegang beperken, het dossier aanvullen en de gegevens controleren. Zorgverleners komen in een wat onduidelijker staat terecht: aan de ene kant kunnen zij makkelijker gegevens uitwisselen en onderzoek doen, aan de andere kant komen zij wellicht in de knel met hun beroepsgeheim en kan het verplicht delen van gegevens een grote werklast opleveren. Leveranciers van EPD’s krijgen echter de grootste werklast: zij moeten hun systemen interoperabel maken en toegang door patiënten mogelijk maken. Dit kan tot grote wijzigingen in de systemen leiden.

Hoe nu verder? Het wetgevingstraject van de EHDS is nog niet vergevorderd. Eind 2023 is de EHDS besproken in subcommissies van het Europees Parlement. Daarna moet de EHDS nog plenair worden besproken, en moeten de organen van de EU het eens worden over een tekst. Het kan nog jaren duren voordat de EHDS in werking treedt, en het zal nog een tijd onduidelijk zijn wat de precieze inhoud van de verordening wordt.

De Cyber Resilience Act (CRA)

De Verordening betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen (2022/0272) beoogt producten met digitale elementen beter te beveiligen. Door één geharmoniseerd kader voor cyberveiligheid te creëren, worden de eisen aan software en hardware meer inzichtelijk. Ook wordt de Internet of Things (IoT) gereguleerd.

Wat moet ik weten over de inhoud? De CRA richt zich voornamelijk op de producenten van hardware en software. Het gaat daarbij om ieder product met digitale elementen, met een aantal uitzonderingen voor bijvoorbeeld Software-as-a-Service (SaaS) en medische hulpmiddelen. De CRA geeft minimumeisen aan de cyberbeveiliging van producten, waardoor producten geleverd moeten worden zonder bekende kwetsbaarheden: cybersecurity-by-design. Producenten moeten ook een risicobeoordeling maken voor hun producten. Is er een hoog risico, dan gelden er aanvullende eisen. Na het verkopen van de producten moeten producenten waar nodig beveiligingsupdates uitbrengen.
Importeurs en distributeurs van producten moeten controleren of de fabrikant en de voorafgaande importeurs en distributeurs aan de eisen van de Cyber Resilience Act voldoet en moeten zij contactgegevens aanbrengen op het product of de verpakking daarvan. Kwetsbaarheden moeten worden gemeld aan de fabrikant en aan de toezichthouder. Voldoen bedrijven niet aan de CRA, dan kan de toezichthouder flinke boetes opleggen.

Wat betekent dit voor mij? De CRA is voornamelijk relevant voor fabrikanten, maar op verkopers en importeurs rust ook een zekere verplichting. Controle op elkaars naleving van de CRA betekent dat er goed over en weer gerapporteerd zal moeten worden, en dat ook de importeurs en distributeurs verstand moeten hebben van de CRA en de implicaties daarvan. Zeker voor kleinere bedrijven zonder technici in dienst kan dit ervaren worden als een hoge eis. Ook open source-producenten en startups hebben kritiek geuit op de strenge eisen.

Hoe nu verder? De EU heeft in december 2023 een politiek akkoord bereikt over de CRA. Dit betekent dat de CRA in hetzelfde stadium zit als de AI Act. Het is onbekend wanneer de CRA in werking zal treden, maar dit ligt vermoedelijk in de nabije toekomst.

Network and Information Systems Directive (NIS2)

De Richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (2022/2555) is de opvolger van een richtlijn uit 2016. NIS2 stelt eisen aan de cybersecurity van een grote lijst aan sectoren. Waar de Cyber Resilience Act de producten aanpakt, ziet NIS2 op de diensten. De precieze eisen die worden gesteld zijn nog niet duidelijk, maar het is wel bekend dat organisaties extra beveiligingsmaatregelen moeten nemen, cyberincidenten moeten melden en rapporten moeten schrijven over cyberincidenten en hoe zij deze hebben opgelost.

Wat moet ik weten over de inhoud? NIS2 geldt voor (middel)grote en/of kritieke entiteiten die werkzaam zijn in een sector die genoemd is in de Richtlijn. Het gaat dan bijvoorbeeld om zorg, energie, vervoer, drinkwater en digitale diensten. Er komen 3 grote verplichtingen: een zorgplicht, waardoor organisaties een risicobeoordeling moeten doen en maatregelen treffen om cyberincidenten te voorkomen, een onderwerping aan toezicht van een onafhankelijke toezichthouder en een meldplicht bij deze toezichthouder. De specifieke eisen die worden gesteld worden grotendeels overgelaten aan nationale overheden.

Wat betekent dit voor mij? Bedrijven die onder NIS2 vallen kunnen strengere eisen over cyberveiligheid verwachten. Dat gaat niet alleen over de veiligheid van de systemen die zij gebruiken, maar ook over de interne processen. Zo moet aan risicoanalyse worden gedaan, moeten kwetsbaarheden in beeld worden gebracht en moeten incidenten binnen 24 uur gemeld worden. Dit kan een grote last opleveren, zeker voor bedrijven zonder technici in huis. Bij twijfel is het devies om een expert in te schakelen: de toezichthouder kan flinke boetes opleggen als een bedrijf haar cyberveiligheid niet op orde heeft.

Hoe nu verder? De richtlijn is eind 2022 aangenomen, waarna het aan de lidstaten is om de specifieke regels vast te stellen. Dit moet uiterlijk op 17 oktober 2024 zijn gebeurd. De Nederlandse overheid heeft dit nog niet gedaan, maar adviseert wel om alvast te gaan voldoen aan de Baseline Informatiebeveiliging Overheid (BIO).

Meer weten? Bekijk ook dit blog over NIS2.

Digital Operational Resilience Act (DORA)

De Verordening Digitale operationele veerkracht (2022/2554) is gericht op financiële entiteiten. Kredietinstellingen, handelsplatformen, verzekeraars en andere financiële entiteiten worden verplicht om vérgaande cyberweerbaarheid aan te brengen in hun organisatie.

Wat moet ik weten over de inhoud? De DORA brengt een aantal grote verplichtingen voor financiële entiteiten met zich. Ten eerste moeten entiteiten intern aan de slag: ze moeten aan risicobeheer gaan doen, inclusief risicobeheer voor ICT van derden en ze moeten hun digitale weerbaarheid testen. Daarnaast moet informatie worden uitgewisseld: ICT-incidenten en cyberdreigingen moeten worden gemeld bij de autoriteiten, en entiteiten moeten informatie over cyberdreigingen en cyberkwetsbaarheid uitwisselen. Ten slotte stelt de DORA een aantal eisen aan contracten tussen entiteiten en IT-leveranciers.

Wat betekent dit voor mij? Als financiële instelling is er werk aan de winkel. Niet alleen moet een systeem van risicobeheer, analyse en rapportage worden opgesteld, maar het is ook goed mogelijk dat de contracten met ICT-leveranciers herzien moeten worden. Voor ICT-aanbieders betekent dit dat de lat omhoog gaat. De ICT moet aan hogere standaarden gaan voldoen, en bijvoorbeeld mogelijkheden voor rapportage en testen bieden. Ook kunt u verwachten dat veel klanten nieuwe contracten nodig hebben.

Hoe nu verder? Eind 2022 is de DORA aangenomen. Dat betekent dat de aanloopperiode al is begonnen. Bedrijven moeten op 17 januari 2025 voldoen aan de DORA.

Meer weten? Bekijk ook dit blog over de DORA.

--

De nieuwe Europese digitale wetgeving brengt grote veranderingen met zich. Bent u actief in de ICT-branche en heeft u juridische vragen over de aankomende wetten? Of bent u een verkoper van technische producten en wilt u meer weten over uw rechten en plichten? Neem dan gerust contact op met mij of een van mijn collega’s IT-recht. We denken graag met u mee.

Thijmen van Hoorn, advocaat IT-recht