Legal Design

Aan welke use cases zullen we werken tijdens de legal design workshop?

13.10.2021

Op 23 november organiseert het Kenniscentrum Data & Maatschappij een legal design workshop (praktische informatie vind je hier). We gaan tijdens deze dag aan de slag met vijf verschillende use cases om zo legal design in de praktijk om te zetten. De afgelopen maanden hebben wij deze vijf use cases samengesteld in samenwerking met verschillende stakeholders. Elk van de use cases is gebaseerd op een vraag die daadwerkelijk leeft op de werkvloer binnen organisaties en we hopen met de workshop een eerste stap naar een oplossing te kunnen zetten. In deze blogpost geven we een overzicht van de use cases.

Ondersteuning aan leken die juridische hulp zoeken rond data en/of AI

Hoofdvraag: Hoe personen juridisch hun weg laten vinden bij vragen rond data en/of AI?

Natuurlijke personen worden dagelijks geconfronteerd met AI-ondersteunde systemen die hun persoonsgegevens verwerken. Bijvoorbeeld wanneer ze:

  • iets online zoeken of websites bezoeken

  • hun slimme assistent gebruiken (Siri, Alexa of Google Now)

  • een fototoepassing op een smartphone gebruiken

  • solliciteren

  • een lening aanvragen

  • enz.

Deze toepassingen hebben gevolgen voor de rechten en vrijheden van betrokken personen, maar het is vaak niet duidelijk:

  • of hun gegevens verwerkt worden door AI-ondersteunde systemen en wat de gevolgen daarvan kunnen zijn

  • welke basisrechten ze hebben bij het gebruik van hun persoonsgegevens en/of AI

  • waar ze informatie kunnen vinden over hun rechten

  • bij wie ze daarvoor terecht kunnen

  • enzovoort

Wat alles nog moeilijker maakt: de beschikbare informatie is vaak niet aangepast aan niet-juridisch geschoolde personen en in deze situaties is betalend juridisch advies ook geen optie. Ook organisaties die burgers bijstaan op sociaal-juridisch vlak botsen op deze uitdaging. Deze organisaties beschikken ook niet over de middelen of tijd om zich in bijvoorbeeld AI-regulering en gegevensbescherming in te werken.

Het doel van deze use case is dan ook om een manier te vinden om burgers de weg te wijzen bij de identificatie en uitoefening van hun rechten wanneer gebruik wordt gemaakt van datagedreven en/of AI-ondersteunde systemen, die al dan niet gebruik maken van hun persoonsgegevens. De eindgebruikers aan wie de oplossing ten goede zal moeten komen zijn dus:

  • Natuurlijke personen en rechtzoekenden wiens gegevens verwerkt worden door datagedreven en/of AI-ondersteunde toepassingen.

  • Sociale en middenveldorganisaties die deze gebruikers bijstaan bij het bepalen en ondersteunen van hun rechten.

De meerwaarde van deze use case voor natuurlijke personen zit in een verbeterde toegang tot het recht, liefst zonder kosten of vereiste voorkennis. De voorgestelde oplossing zou op een gebruiksvriendelijke wijze moeten informeren, de weg wijzen in het juridisch kluwen rond AI en data en helpen in het effectief afdwingen van hun rechten. Voor ondersteunende organisaties kan een dergelijke oplossing helpen om op een betrouwbare en kostenefficiënte wijze hun klanten de weg te kunnen wijzen binnen deze materie.

Transparantie over gebruik van persoonsgegevens naar consumenten

Hoofdvraag: Hoe als organisatie transparant zijn ten aanzien van consumenten over de verwerking van hun persoonsgegevens?

Organisaties die persoonsgegevens verwerken van consumenten moeten volgens de AVG en het consumentenrecht deze personen daarover informeren. Dit moet gebeuren op een zo volledig mogelijke, maar ook op een leesbare, toegankelijke, duidelijke én aan het publiek aangepaste manier. Veel organisaties worstelen hiermee en in de praktijk gebeurt de vereiste informatieverstrekking op eerder juridisch-technische wijze, door middel van kennisgevingen en policies, die maar in beperkte mate gelezen (kunnen) worden door consumenten.

De vraag is hoe organisaties op een effectieve wijze kunnen voldoen aan hun informatieplichten voor de verwerking van persoonsgegevens onder het gegevensbeschermingsrecht en het consumentenrecht. De oplossing die zal moeten worden gevonden binnen deze use case, zal zich dus richten tot:

  • Organisaties die persoonsgegevens van consumenten verwerken en daardoor verplicht zijn om hen daarover te informeren. Dit kunnen zowel commerciële ondernemingen, verenigingen of overheidsdiensten zijn. De oplossing moet hen toelaten om aan (bepaalde) transparantievereisten te voldoen.

  • Deze organisaties moeten transparant zijn ten aanzien van consumenten (als ontvangers van de informatie). Alhoewel consumenten dus niet degenen zijn die de oplossing zullen ontplooien, moet de oplossing wel de noden van de (beoogde) consumenten in aanmerking nemen om een degelijke oplossing te zijn.

De meerwaarde waar deze oplossing naar streeft is dat organisaties op kostenefficiënte, wetsconforme en vooral effectieve wijze voldoen aan de transparantievereisten onder het gegevensbeschermingsrecht. Met als uiteindelijk doel dat consumenten daadwerkelijk geïnformeerd worden over de verwerking van hun persoonsgegevens.

Hulp bij contracten en clausules voor AI & datagedreven toepassingen

Hoofdvraag: hoe goed contracteren over AI- en datagedreven toepassingen?

Mede door de recente opkomst en het groeiend gebruik van AI en datagedreven toepassingen, is er een gebrek aan juridische kennis bij het contracteren hierover.

In start-ups is er vaak in het algemeen geen juridische know-how aanwezig en evenmin zicht op de juridische risico’s en vereisten verbonden aan het afnemen of leveren van dergelijke toepassingen.

Veel ondernemingen doen dezelfde oefening steeds opnieuw met een grote onnodige kost, veel tijdverlies en vaak onvoldoende gestoffeerde of onevenwichtige contracten tot gevolg.

Om hieraan tegemoet te komen, kan nagedacht worden over een manier om afnemers en leveranciers te informeren over de juridische aandachtspunten en best practices rond contracteren over AI en datagedreven toepassingen, zo mogelijk aangevuld met gemakkelijk te gebruiken standaard(optie)bepalingen. Deze oplossing en standaardbepalingen moeten ook gebruiksvriendelijk en voldoende inzichtelijk zijn om gebruikt te kunnen worden door niet-juristen.

De beoogde meerwaarde is om innovatieve ondernemingen praktische tools aan te reiken om de juiste juridische aandachtspunten in aanmerking te nemen in hun contracten en daarbij zicht te hebben op wat als evenwichtig beschouwd kan worden.

Data transfers en Schrems II: toegankelijke informatie voor organisaties

Hoofdvraag: Hoe Schrems II-naleving in de praktijk opnemen in bedrijfsprocessen?

Sinds het Schrems II-arrest zitten heel wat organisaties, overheden, etc. met de handen in het haar over de voorwaarden waaronder zij met niet in de EEA gevestigde dienstverleners mogen samenwerken. Dit wordt extra bemoeilijkt omdat er voor bepaalde diensten geen Europese alternatieven bestaan.

Wanneer het betreffende land niet geacht wordt om adequate bescherming van persoonsgegevens te bieden onder de AVG, moet nu ook het recht van dat land in aanmerking worden genomen, door middel van een zogenoemde data transfer impact assessment. Op basis daarvan moet een Vlaamse verantwoordelijke voor verwerking de maatregelen bepalen die een internationale doorgifte van persoonsgegevens kunnen rechtvaardigen (of bepalen dat dergelijke doorgifte niet mogelijk is onder de AVG).

Bovendien moeten deze principes in de praktijk vaak worden toegepast door de business-afdelingen die met de betreffende leveranciers in contact komen, zonder dat daar noodzakelijk juristen aan te pas komen. Er is dan ook nood aan manieren die niet-juristen toelaten om op een gebruiksvriendelijke manier binnen een normale bedrijfsvoering na te kunnen gaan of persoonsgegevens door een partner buiten de EEA verwerkt mogen worden, of niet.

De doelgroepen waar deze use case zich tot richt zijn bedrijven en overheden die gebruik wensen te maken van dienstenleveranciers van AI- en datagedreven toepassingen die zich buiten de EEA bevinden. Overheden hebben er daarnaast ook alle belang bij om ervoor te zorgen dat bedrijven en andere organisaties deze regels op werkbare wijze kunnen naleven.

De meerwaarde waar we binnen de use case naartoe willen gaan werken is om zowel juristen als niet-juristen binnen de organisatie op de hoogte te laten zijn van wat wel en niet kan onder Schrems II. Dit is zowel van toepassing voor bedrijven als voor overheden.

Stresstest voor bedrijven en overheden bij gebruik van AI en/of datagedreven toepassingen

Hoofdvraag: Waar moet je vanuit juridisch-sociaal oogpunt rekening mee houden wanneer je AI-toepassingen wenst te gebruiken volgens de AI HLEG principes?

Alsmaar meer organisaties maken gebruik van datagedreven en/of AI-gestuurde toepassingen, vaak via leveranciers. Daarbij ontbreekt vaak de nodige kennis aangaande zowel de manier waarop de AI-systemen exact werken, als de ethische, sociale en juridische gevolgen die het gebruik van AI met zich kan meebrengen. Bovendien bestaat er in het veld weinig kennis over de verschillende regulatoire vereisten die het gebruik van data en AI met zich kunnen meebrengen. Evenmin zijn er eenvoudige manieren om de conformiteit van AI hieraan te testen of te verzekeren, bijv. door te kunnen terugvallen op certificatie of standaarden. Dit alles terwijl de hierop toepasselijke principes in omvangrijke, algemene en weinig toegankelijke regels en richtlijnen omschreven zijn, die zelfs voor veel juristen moeilijk hanteerbaar zijn. Een voorbeeld van een dergelijke lijst met principes voor betrouwbare AI zijn de AI HLEG principes die zijn opgesteld door de EU.

Daarom is er nood aan gebruiksvriendelijke toepassingen die aan organisaties die datagedreven toepassingen en/of AI (wensen te) gebruiken toelaten om te testen waaraan zij in hun concrete situatie moeten voldoen op juridisch en sociaal-ethisch vlak volgens de AI HLEG principes.

Deze oplossing richt zich voornamelijk tot bedrijven, organisaties en overheden die wensen om op een verantwoorde manier met datagedreven toepassingen en/of AI aan de slag te gaan, als inkoper van systemen

Deze doelgroepen hebben elk op een eigen manier meerwaarde aan een stresstest. Bedrijven en organisaties hebben meerwaarde om goed ingedekt te staan op juridisch en ethisch-sociaal vlak, hiertoe hebben zij behoefte aan omvattende en toegankelijke informatie en checks over de impact van hun toepassingen. Overheidsinstanties hebben als publieke instantie de taak om eerlijke, inclusieve en degelijke toepassingen aan te bieden, die juridisch en ethisch-sociaal correct zijn. Hiertoe hebben ook zij behoefte aan omvattende en toegankelijke informatie en checks over de impact van hun toepassingen.

Spreken 1 of meerdere use cases jou aan en heb je zin om mee te doen tijdens de workshop op 23 november? Meer informatie over de praktische zaken en inschrijving kan je hier terugvinden.