27 september 2024

Ai

Data ethiek

Data

Lopende procedures

Zo startte The New York Times in december 2023 een procedure tegen OpenAI en zijn partner Microsoft omdat OpenAI zonder toestemming miljoenen nieuwsartikelen van The New York Times zou hebben gebruikt om haar AI-systeem te trainen. Ook over de concurrerende AI-tools van Google / Alphabet (Bard, Imagen, MusicLM, Duet AI & Gemini) loopt een vergelijkbare procedure.

Hoe voorkomt u dat uw online content – tegen uw wil in – gebruikt wordt voor AI-trainingsdoeleinden van derden? En mag dat zomaar?

Toepasselijke wetgeving

De nieuwe Europese AI-act benadrukt dat de AI-verordening geen afbreuk doet aan de handhaving van de auteursrechtregels krachtens het Unierecht (overweging 108). Op grond hiervan zou men kunnen denken dat auteursrechtelijk beschermde werken of databases – ook als die online zijn gepubliceerd – dus ook beschermd zijn tegen verveelvoudiging door AI-ontwikkelaars die content “scrapen” van het internet, zolang je als rechthebbende geen toestemming hebt gegeven (“licentie hebt verleend”) om die werken of databases te kopiëren als trainingsmateriaal voor AI-tools. Dit is echter een misvatting; in 2019 is in Europese regelgeving over auteursrechten en naburige rechten in de digitale eengemaakte markt een belangrijke uitzondering op dit oude principe uit het intellectuele eigendomsrecht (IE) gemaakt, namelijk dat (kort gezegd) tekst- en datamining van beschermd materiaal voor commerciële doeleinden is toegestaan, tenzij de rechthebbende op passende wijze een uitdrukkelijk voorbehoud daaromtrent heeft gemaakt. Machinaal leesbare middelen (bijvoorbeeld door voor scraping tools begrijpelijke regels in een robots.txt-bestand op te nemen) worden in dit verband “passend” geacht. Maakt u een dergelijk voorbehoud niet of niet op passende wijze, dan loopt u het risico niet succesvol te kunnen optreden tegen derden die rechtmatig toegang tot uw online content hebben en reproducties van uw content maken voor tekst- en datamining doeleinden.

Web scraping van (ook) persoonsgegevens?

Bij het trainen van AI-systemen is overigens niet alleen het IE-perspectief relevant, ook dient rekening te worden gehouden met privacyrechtelijke beperkingen. Als de betreffende online content tevens persoonsgegevens bevat, is web scraping ook vanuit dat perspectief vaak problematisch. Het is niet voor niets dat de Autoriteit Persoonsgegevens eerder dit jaar schreef dat scraping (lees: van persoonsgegevens) ‘bijna altijd illegaal’ is.

Over de auteurs

  • Lesley Broos

    Lesley Broos is advocaat en partner bij Kienhuis Legal. Zijn specialisme ligt in IT-recht, Cloud contracting, juridische bescherming van software, privacyrecht, SLA's.

    Kienhuis Legal

Gerelateerd nieuws

Persoonsgegevens of anonieme gegevens?

In een recente uitspraak van het Hof van Justitie van de Europese Unie (EDPS v GAR) is een belangrijke stap gezet in de discussie over pseudonieme, anonieme en persoonsgegevens. Het Hof bevestigt wat velen in het veld al langer betoogden: gepseudonimiseerde gegevens kunnen onder bepaalde omstandigheden wél persoonsgegevens zijn voor de verstrekker, maar géén persoonsgegevens zijn voor de ontvanger. De kwalificatie van gegevens hangt af van de concrete omstandigheden en de positie van de ontvanger. Deze benadering wordt ook wel aangeduid als de contextuele benadering en speelt een belangrijke rol bij de vraag: is de AVG van toepassing?

Data & Privacy

Ontslaat het pseudonimiseren van gegevens mijn onderneming van de verplichtingen op grond van de AVG?

Het blijft een uitdaging: welke gegevens worden aangemerkt als persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG)? Onlangs boog de Rechtbank Midden-Nederland zich over dit vraagstuk, specifiek met betrekking tot de zogenoemde HoNOS+-gegevens. Deze gegevens zeggen iets over de geestelijke en sociale toestand van cliënten. Het oordeel van de rechtbank? Deze gegevens zijn géén persoonsgegevens, waarom niet? Lees hieronder de blog van advocaat bij Elferink & Kortier Advocaten, Tom Boitelle.

Data & Privacy

NIS2: risicoanalyse van eigen organisatie helpt om grip te krijgen op leveranciersmanagement

De Europese NIS2-richtlijn heeft als doel de digitale weerbaarheid van organisaties én hun toeleveranciers te versterken. Dat betekent dat bedrijven niet alleen hun eigen cyberrisico’s moeten begrijpen, maar ook die van hun toeleveranciers. Dit roept bij veel organisaties een belangrijke vraag op: wat betekent dit nu voor ons leveranciersmanagement?

Data & Privacy

Wetsvoorstel: meer bevoegdheden voor burgemeester bij online ordeverstoring

Op 4 juli is een wetsvoorstel in consultatie gebracht dat twee nieuwe bevoegdheden aan de burgemeesters toekent. Hiermee kan de politie onder zijn gezag persoonsgegevens uit publiek toegankelijke bronnen vergaren over de dreiging van een ernstige verstoring van de openbare orde. Het doel van het wetsvoorstel is dat de burgemeester en de politie meer zicht krijgen op ernstige verstoringen van de openbare orde en zij op basis daarvan adequater maatregelen kunnen treffen om deze te voorkomen, beletten of te beëindigen.

Data & Privacy

Meer nieuws