Mirjam Elferink 23 nov. 2022

Digitale transformatie en uw data

Veel partijen zijn momenteel bezig met de digitale transformatie van hun organisatie. Zo worden vele organisaties naast dienstverlener ook ‘databeheerder’. Dergelijke trajecten brengen niet te onderschatten verantwoordelijkheden en risico’s met zich mee. Het is daarbij belangrijk om óók aandacht te hebben voor diverse wet- en regelgeving die van toepassing is op data. De wet- en regelgeving omtrent data is complex en bovendien volop in ontwikkeling. Indien daar in uw organisatie te weinig aandacht voor is, zowel voorafgaand aan de transformatie als tijdens, maar ook daarna, is de kans op mislukking van een dergelijk project groot.

Wet- en regelgeving data

Waar moet u dan aan denken? Denk o.m. aan de Algemene Verordening Persoonsgegevens (AVG), de toekomstige Europese Verordening voor Artificiële Intelligentie (AI), de Wet op de Bedrijfsgeheimen, de Auteurswet voor tekst- en datamining en de Databankenwet. Denk daarnaast ook aan de nieuwe EU-spelregels voor digitale markten, infrastructuur en diensten. Zo is de EU Digital Markets Act per 1 november jl. in werking getreden. Die wet moet de concurrentiepositie van andere bedrijven op de wereldwijd grootste digitale platforms en de bescherming van gebruikers verbeteren. Daarnaast is de EU Digital Services Act per 16 november jl. in werking getreden. Deze Europese wet moet zorgen dat internetdiensten een uitgebreidere bescherming bieden aan consumenten en ondernemers die producten of diensten via een platform of dienst aanbieden of afnemen. Daarbij hoort ook het tegengaan van ‘nepnieuws’.

Welke juridische aspecten spelen een rol?

Veel data bevatten persoonsgegevens. Daar is niet iedereen zich altijd van bewust, omdat sommige data op het eerste oog geen persoonsgegevens lijken te bevatten. Wanneer u met uw organisatie een digitale transformatie start is het echter van groot belang om te constateren of u wel of niet met persoonsgegevens te maken heeft. In dat geval dient u immers te voldoen aan de AVG. Daarnaast doen vrijwel alle ondernemingen, organisaties en overheden tegenwoordig wel iets met kunstmatige intelligentie (AI), variërend van simpele modellen tot complexe systemen met machine learning. Bij de ontwikkeling van nieuwe digitale platformen worden vaak algoritmen ingezet, zonder dat de afnemers hun precieze werking altijd kennen. Bij systemen waarbij AI wordt ingezet zal al snel sprake zijn van de verwerking van persoonsgegevens.

De definitie van persoonsgegevens in de AVG is ruim. Alle gegevens die direct of indirect te herleiden zijn tot een bepaalde natuurlijke persoon, zijn aan te merken als persoonsgegevens. Het gaat dan feitelijk om alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat betekent dat ook gegevens waar niet direct een naam aan gekoppeld is, als persoonsgegevens kunnen worden aangemerkt. Te denken valt aan onder meer NAW-gegevens, telefoonnummers, e-mailadressen, maar ook aan inkomensgegevens of het IP-adres. Overledenen vallen in beginsel niet onder het toepassingsbereik van de AVG. Zij zijn volgens de wet immers geen natuurlijke personen meer. Dat neemt niet weg dat de bescherming van de persoonlijke levenssfeer (zoals voortvloeit uit artikel 8 Europees Verdrag voor de Rechten van de Mens (EVRM) ook in het geval van overledenen nog een rol kan spelen.

Daarnaast zal de toekomstige AI-verordening ook impact gaan hebben op vrijwel iedere organisatie. De concept AI-Verordening stelt strenge eisen aan het bouwen en gebruiken van AI-systemen. Daarin worden verboden toepassingen, en systemen met een hoog en een laag risico voor mens en maatschappij onderscheiden. Als er bovendien sprake is van geautomatiseerde besluitvorming dient men daarnaast rekening te houden met de eisen in artikel 22 van de AVG.

Een van de grote uitdagingen zal dan zijn de samenhang tussen deze AI-verordening en de AVG. Bij AI-systemen zal al snel sprake kunnen zijn van de verwerking van persoonsgegevens. Voor een verantwoorde toepassing zijn dan niet alleen de voorschriften van de AVG relevant, maar ook verplichtingen die voortvloeien uit de AI-Verordening zoals het uitvoeren van risico-analyses en het waarborgen van de representativiteit van data.

Er komt een European Artificial Intelligence Board, maar het toezicht wordt nationaal belegd. In Nederland wordt de Autoriteit Persoonsgegevens (AP) de toezichthouder.

Het kan nog wel enige tijd duren voordat de AI-Verordening in werking treedt, maar de hoofdlijnen zijn bekend. Bereidt u dus nu al goed voor op toekomstige wet- en regelgeving net als u dat deed bij de komst van de AVG.

Verder valt te denken aan regelgeving m.b.t. tekst- en dataminingtechnieken. Dit is het gericht zoeken naar (statistische) verbanden tussen verschillende gegevensverzamelingen met als doel profielen op te stellen voor wetenschappelijk, journalistiek of commercieel gebruik. Om tekst- en datamining te kunnen toepassen op auteursrechtelijk beschermde werken moet u voldoen aan de voorwaarden uit de Auteurswet (art. 15n Aw). Zie onze eerdere blog over tekst- en datamining.

Inventarisatie soorten data/ dataclassificatie

Een eerste stap bij digitale transformatie is inventarisatie van de data. Welke data worden allemaal verzameld en opgeslagen binnen de onderneming? Gaat het daarbij om persoonsgegevens, gevoelige gegevens en/of andersoortige data? Welke data zijn strategisch van belang voor uw onderneming? Welke wettelijke regels zijn van toepassing op de verwerking daarvan? Onderdeel van deze inventarisatie vormt het identificeren van toepasselijke sectorale wet- en regelgeving. Denk aan instanties als de AFM en DNB. Een grondig inzicht in de toepasselijke regels en risico’s is noodzakelijk om een juiste strategie te kunnen kiezen en de juiste beheersmaatregelen te kunnen treffen.

Privacy by design/ privacy by default

Indien systemen en/of nieuwe applicaties worden aangeschaft of ingericht dienen deze te worden ingericht in overeenstemming met de principes privacy by design/ privacy by default. Deze principes houden in dat al bij de ontwikkeling en inrichting van geautomatiseerde systemen privacy-verhogende maatregelen worden genomen en dat een zorgvuldige methode van verwerking van persoonsgegevens technisch wordt afgedwongen. Daarnaast moet in technisch opzicht al rekening worden gehouden met dataminimalisatie. De concept AI-verordening stelt daarbij strenge eisen aan het bouwen en gebruiken van AI-systemen.

Belang van compliancy met privacyregels

Het is van groot belang te voldoen aan de privacyregels. Deze worden steeds strenger (uitgelegd). Niet alleen loopt u anders het risico om een boete van de toezichthouder opgelegd te krijgen, maar ook vanuit het oogpunt van vertrouwen van klanten.

Inventarisatie applicaties en/of systemen

Bij de stap om te transformeren van een applicatie gedreven organisatie naar een data gedreven organisatie is een inventarisatie van de bestaande applicaties van belang. Welke (licentie)voorwaarden zijn van toepassing? Vervolgens zal beoordeeld moeten worden wat de gevolgen zijn van een eventuele beëindiging van deze contracten. Welke opzegtermijnen gelden er? Zijn er afspraken gemaakt over de export van data?

Intellectuele eigendomsrechten

Welke intellectuele eigendomsrechten spelen een rol m.b.t. de data? Hoe verkrijgt u deze rechten? Hoe kunt u deze rechten beschermen? Hoe voorkomt u dat er inbreuk wordt gemaakt op rechten van anderen?

De Wet bescherming bedrijfsgeheimen (Wbb)

In deze wet wordt de "bescherming van niet-openbaargemaakte knowhow en bedrijfsinformatie" geregeld. Op grond hiervan kunnen rechthebbenden optreden tegen derden (concurrenten, handelspartners, werknemers) die knowhow of bedrijfsinformatie op onrechtmatige wijze hebben verkregen, gebruiken of openbaar maken. Bedrijfsgeheimen zijn doorgaans ontzettend waardevol voor bedrijven. Hiermee kan knowhow en bedrijfsinformatie worden beschermen, zodat bedrijven er profijt uit kunnen trekken en hun gedane investeringen (deels) kunnen terugverdienen. Bedrijfsgeheimen kunnen bijvoorbeeld zien op technologische kennis, uitvindingen, recepturen, fabricagemethoden, broncodes, ideeën, informatie over klanten en leveranciers, bedrijfsplannen, marktonderzoek of marktstrategieën. Sommige bedrijfsgeheimen worden beschermd door intellectuele eigendomsrechten zoals het auteursrecht, het octrooirecht of het merkenrecht. Veel bedrijfsgeheimen vallen echter niet (zonder meer) onder een intellectueel eigendomsrecht. Soms is het noodzakelijk dat bedrijfsvertrouwelijke informatie wordt gedeeld met derden, bijvoorbeeld in het kader van contractonderhandelingen, investeringen en overnames. De enige manier om bedrijfsvertrouwelijke informatie dan zo optimaal mogelijk te beschermen, is door geheimhouding af te spreken. Zie voor meer info onze eerdere blog: ”Optimale bescherming van uw (vertrouwelijke) bedrijfsinformatie? Maak handig gebruik van de nieuwe Wet bescherming bedrijfsgeheimen!”

Leg uw rechten en plichten goed vast

Voor een succesvolle digitale transformatie is het van belang om uw rechten en plichten goed contractueel vast te leggen, met een heldere verdeling van de verantwoordelijkheden van de diverse betrokken partijen: wie doet wat en wanneer? Bouw daarbij contractuele ‘tools’ in om grip te kunnen houden op de dienstverlening van de leverancier. Denk aan auditrechten, het contractueel uitsluiten van onderaanneming, dan wel dit onderwerpen aan voorafgaande toestemming, afdwingbare afspraken in Service Level Agreements etc.

Contractbeheer

Na het sluiten van contracten is een goed contractbeheer van belang. Worden afspraken nagekomen? Worden changes op een juiste wijze doorgevoerd? Worden overeengekomen procedures op een juiste wijze doorgevoerd (denk aan procedure meldplicht datalekken) en gedocumenteerd.

Dit is slechts een summier overzicht van diverse juridische aspecten die een rol kunnen spelen bij digitale transformatieprojecten. Wij ondersteunen u graag bij het in kaart brengen van alle juridische aspecten die bij uw digitale transformatie een rol spelen. Wij helpen u graag goed voorbereid op weg.

Mirjam 1

Meer weten over dit onderwerp of een andere vraag?

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring