FEDMA update EU dossiers: AI, een stopknop en stilte rondom e-privacy

E-privacy: trekken aan een dood paard

De laatste vergadering over de inhoud van de E-privacy verordening vond plaats in november vorig jaar. En er is nog geen nieuwe vergadering gepland. Europa komt niet veel verder met de E-privacy verordening met daarin regels voor telemarketing, cookies en e-mail. Hierover wordt al sinds 2021 onderhandeld door de Commissie, het Parlement en de Raad, maar men komt er gewoon niet uit. En dus wordt ingezet op een aantal alternatieven, zoals de zogenaamde cookie-pledges. Dat zijn vrijwillige – maar geen vrijblijvende – afspraken waaraan browserbouwers, website houders en technische platformen zich kunnen verbinden. Op deze manier zou u dan via uw browser kunnen regelen welke cookies u wilt en worden de cookiebanners op de site niet meer nodig. Dat heeft natuurlijk voordelen voor de webbezoeker, hij hoeft niet iedere keer een banner weg te klikken. Het heeft ook nadelen. Zo’n mechanisme kan in het voordeel werken van partijen die geen cookie nodig hebben om mensen te herkennen omdat ze bijvoorbeeld moeten inloggen, denk aan Google en Facebook. Als de cookie pledge een succes blijkt, zouden ook andere onderwerpen op deze manier aangevlogen kunnen worden en de noodzaak voor deze E-privacy Richtlijn verminderen.

De stopknop komt er

Wij berichten er al eerder over: de stopknop. Daarmee kan u online eenvoudig uw overeenkomst herroepen in uw eigen online omgeving. Die knop was bedoeld voor financiële diensten, maar nu wil men een knop voor alle producten en diensten die op afstand worden verkocht. Het is een beetje raar, want die knop staat in een voorstel voor de Richtlijn Koop op Afstand voor financiële diensten. Maar er is EU breed consensus over de stopknop, aldus de FEDMA. Hij komt er maar er is wel ruimte voor uitzonderingen. In de Richtlijn voor Verkoop op Afstand met regels voor overeenkomsten die online, telefonisch of aan de deur worden gesloten, heeft iemand pas bedenktijd bij overeenkomsten boven de €50. Ook zijn sommige diensten uitgezonderd, zoals giften aan goede doelen of loterijverkoop. Of dit soort uitzonderingen ook gelden voor de stopknop is vooralsnog volstrekt onduidelijk, zegt de FEDMA. Maar de politici lijken wel open te staan voor dit soort uitzonderingen.

AI Act: pionieren in het reguleren van AI systemen

De Europese Commissie heeft een voorstel gepresenteerd voor een Verordening die AI moet reguleren. De AI Act is gericht op makers, distributeurs, verkopers en gebruikers van AI. Het is een risico gebaseerde aanpak waarbij onderscheid wordt gemaakt tussen:

1. verboden AI systemen
2. systemen met een hoog risico
3. systemen die mensen kunnen beïnvloeden, denk aan deep fakes en chatbots
4. Gewone AI systemen

De wet kijkt naar een AI-systeem als een product en past hier productvoorschriften en regels voor markttoelating op toe. Zo moet er een bijvoorbeeld een productomschrijving zijn, logging van de aanpassingen, testen en krijgt een systeem dat goedgekeurd is een CE-markering.

1. Verboden AI

Een aantal AI systemen wordt verboden, omdat deze een onacceptabel risico vormen voor de rechten en vrijheden van burgers. Te denken valt aan social scoring, het maken van risicoprofielen van personen op basis van toezicht op hun gedrag, zoals criminele of financiële activiteiten. Ook massa surveillance is verboden. Waarbij u camera’s alles laat opnemen om er een incident uit te kunnen halen.

2. Hoog risico AI

Dit zijn systemen die een hoog – maar acceptabel – risico vormen voor de rechten en vrijheden van burgers, mits die risico’s gemitigeerd worden. Denk aan systemen voor biometrische identificatie, migratie en asiel. Het omvat ook toepassingen die ingezet worden voor screening, beoordeling en selectie in het onderwijs of recruitment. Het gaat daarnaast om producten die onder specifieke EU-wetgeving vallen, zoals de luchtvaart, kritieke infrastructuur en medische apparaten. Voor het aanbieden en inzetten van hoog risico AI moeten de volgende maatregelen worden getroffen:

• Er moet een systeem voor risicobeheer worden geïntroduceerd.
• Er moet beleid zijn op het gebied van data en databeheer; zo moeten ontwikkelaars testdata definiëren, afbakenen en verantwoorden.
• Er moet technische documentatie zijn, een soort product bijsluiter waarin wordt uitgelegd hoe het systeem werkt volgens de regels in de AI Act.
• Acties moeten gelogd worden (registratie).
• Gebruikers moeten geïnformeerd worden over de werking van het systeem op zo’n manier dat zij de output kunnen interpreteren en passend kunnen gebruiken (transparantie).
• De mens moet in staat zijn toezicht uit te oefenen op de werking.
• Het systeem moet veilig en nauwkeurig zijn.

3. Laag risico AI

Dit zijn  systemen die mensen kunnen beïnvloeden, denk aan deep fakes en chatbots. Deze systemen worden geacht een lager risico te vormen voor de rechten en vrijheden. Wel moet u informeren over het gebruik van deze systemen, zodat iemand begrijpt dat hij of zij met een chatbot interacteert.

4. Minimaal risico AI

Hier gaat de EU gedragscodes en zelfregulering stimuleren. Het gaat hier bijvoorbeeld om AI in games, wanneer dit wordt gebruikt om responsief, adaptief of intelligent gedrag te genereren in personages. Of het gaat om het gebruik van spam filters.

Timing

De Ai Act is opgesteld door de Commissie en er is over gesproken in verschillende commissies van het Europees Parlement. Naar verwachting stemt het Parlement deze maand plenair over het conceptvoorstel. Als dit wordt aangenomen wordt het voorstel verder onderhandeld tussen het Europees Parlement, de Europese Raad van Ministers en de Europese Commissie (‘Triloog’) voor de definitieve versie van de AI Act.

De middag is afgesloten met een gezellige borrel waarin nog volop nagepraat werd over deze onderwerpen. Wanneer u vragen of opmerkingen heeft over deze middag, naar aanleiding van deze update of over andere privacy vraagstukken, neem gerust contact met ons op.