AI Act in de EU: Biometrische massasurveillance staat voor de deur
Indignatie redactie
12 min. lezen
Wie de netwerkpolitiek in de EU wil begrijpen, moet ook in de richting van Brussel en Straatsburg kijken. Omdat de EU de koers uitzet voor onze digitale toekomst. De vooruitzichten voor het netwerkbeleidsjaar in Europa – en waar problemen op de loer liggen.
Een goede radar voor netwerkbeleidskwesties reikt verder dan Duitsland, omdat er in de Europese Unie veel invloedrijke wetgevingsprojecten worden opgesteld. Enerzijds moet de huidige stoplichtregering hierop reageren. Aan de andere kant kan Duitsland als machtige lidstaat helpen de toon te zetten in EU-onderhandelingen.
Drie netwerkbeleidsprojecten op EU-niveau zijn dit jaar explosief omdat ze grondrechten in twijfel kunnen trekken: chatcontrole, de AI-wet en de eIDAS-verordening. Ook rond de tweelingwetten Wet Digitale Markten en Wet Digitale Diensten wordt het spannend: de basisregelgeving voor online aanbieders wordt nu geïmplementeerd.
Chatbeheer: bewaak privéchatberichten
Als eerste is er het project van de Europese Commissie dat bekend staat als chatcontrole: de verordening ter bestrijding van seksueel misbruik van kinderen. De wet is bedoeld om seksueel geweld tegen kinderen te beteugelen. Voor dit doel zouden online providers zelfs privéchatberichten moeten screenen om relevante informatie te verzamelen. De focus ligt op opnames waarin naaktheid en minderjarigen te zien zijn . De kritiek op het project is deels vernietigend en komt onder meer van kinderbeschermingsverenigingen , burgerrechtenorganisaties en de eigen toezichthoudende autoriteit voor gegevensbescherming van de EU.. Het fundamentele probleem: in plaats van daadwerkelijke bescherming van kinderen, is de grootste dreiging massasurveillance – en de massale opname van intieme opnames die geen enkel geweld vertonen.
Politiek gezien is het project echter nog lang niet van tafel: het is nog maar net begonnen. De twee kamers van de EU, het Parlement en de Raad van Ministers, onderhandelen dit jaar over het voorstel van de Commissie. Tot nu toe heeft alleen Oostenrijk gekozen voor een duidelijk nee met betrekking tot de onderhandelingen in de ministerraad . Buiten het Duitstalige gebied komt het kritische debat nauwelijks op gang . De federale regering had tot eind 2022 moeite om tot een eensgezinde lijn te komen, al suggereert het stoplicht-regeerakkoord een duidelijke afwijzing van chatcontrole.
Het ministerie van Binnenlandse Zaken van Nancy Faeser (SPD) in Duitsland, dat verantwoordelijk is voor de onderhandelingen, trapte op de rem . Wanneer en in welke vorm het project werkelijkheid kan worden, valt nog te bezien. De Europese Commissie zou in ieder geval druk moeten uitoefenen om tot een nieuwe regeling te komen, want een oudere regeling om misbruik tegen te gaan geldt maar tot augustus 2024.
AI Act: Biometrische massasurveillance staat voor de deur
De afgelopen maanden hebben nieuwe tekst-naar- beeldgeneratoren zoals DALL-E-2 en Stable Diffusion furore gemaakt . En momenteel bespreken gebruikers in sociale media intensief de mogelijkheden van de ChatGPT -chattoepassing . Allereerst zijn dit vermakelijke voorbeelden van toepassingen die bekend staan als “kunstmatige intelligentie”. AI brengt echter ook aanzienlijke risico’s met zich mee, bijvoorbeeld door het discrimineren van kwetsbare personen of het in gevaar brengen van de anonimiteit in de openbare ruimte door gezichtsherkenning. De zogenaamde AI-wet van de Europese Unie wil dergelijke problemen aanpakken. De AI-wet moet de eerste wet ter wereld zijn die AI op alle gebieden van het leven reguleert. Begin dit jaar wordt in Brussel het startsein gegeven voor de slotonderhandelingen.
Het huidige ontwerp voorziet in maatregelen om een veilig, ethisch en grondrechtenconform gebruik van AI te waarborgen. Concreet is de wet bedoeld om een juridisch kader te creëren voor betrouwbare AI-systemen en uniforme regels voor de ontwikkeling, marketing en het gebruik ervan binnen de EU. Hiervoor zijn vier verschillende risiconiveaus te definiëren: minimaal, beperkt, hoog – en onaanvaardbaar.
De afgelopen onderhandelingen over de AI-wet laten zien hoe controversieel het project is. De Europese Commissie heeft in april 2021 een eerste wetgevingsvoorstel ingediend . Zes maanden later, in oktober 2021, stemde het EU-parlement met een duidelijke meerderheid tegen biometrische massasurveillance in de EU in een niet-bindende resolutie . En in april 2022 presenteerden twee parlementaire rapporteurs een conceptrapport over de AI-wet . De leden van het Europees Parlement stelden vervolgens meer dan 3.000 amendementen op dit rapport samen.
Begin december heeft de Raad van de Europese Unie, de Raad van Ministers voor alle 27 lidstaten, zijn standpunt over de voorgestelde verordening naar voren gebracht, wat op veel verzet stuitte . Bovenal bekritiseren burgerrechtenorganisaties de geplande regelgeving van AI in openbaar toegankelijke ruimtes als onvoldoende – vooral biometrische videobewaking. Daarnaast laat het standpunt van de ministerraad veel ruimte voor staatstoezicht en is daarmee in strijd met het regeerakkoord van het kabinet Ampel. Daar staat dat biometrische herkenning in de openbare ruimte onder Europees recht moet worden uitgesloten.
De komende weken is het aan het EU-parlement om een eigen standpunt over de AI-wet te ontwikkelen. In de daaropvolgende trialoog stemmen de Europese Commissie, het Parlement en de Raad van Ministers over de wetgeving. Volgens de planning zou het onderhandelingsproces in maart afgerond moeten zijn, wat behoorlijk ambitieus is. De verordening zal waarschijnlijk in 2025 geïmplementeerd moeten zijn.
eIDAS: Levenslange code voor alle EU-burgers
Ook de EU-ministerraad heeft begin december een goedkeurend standpunt ingenomen over de hervorming van de eIDAS-verordening. De nieuwe wet is bedoeld om alle EU-lidstaten te verplichten om software genaamd “European Digital Identity Wallet” (ID-Wallet), een soort digitale portemonnee, aan te bieden. Het is bedoeld om uniforme online en offline identificatie van burgers binnen de Unie mogelijk te maken – ongeacht de aanhoudende veiligheidsproblemen van het maatschappelijk middenveld.
Het besluit van de Raad is gebaseerd op een ontwerp van eIDAS 2.0 dat de Europese Commissie in juni 2021 heeft gepresenteerd . Hij gaat een verordening uit 2014 hervormen: de verordening over elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt. De afkorting eIDAS staat voor “Electronic IDentification, Authentication and Trust Services”.
Last but not least voert de voorzitter van de Europese Commissie, Ursula von der Leyen (CDU), campagne voor het project. Ze had eerder de uniforme ID-portemonnee gepromoot in haar State of the Union-adres van 2020 . Het project stuit op grote zorgen van burgerrechtenorganisaties, gegevensbeschermingsdeskundigen en IT-experts. Volgens hen voorziet de nieuwe verordening niet in beschermende maatregelen “tegen misbruik bij tracking, profilering en gerichte reclame”. Ook is onduidelijk hoe lang de verzamelde gegevens in de wallet mogen worden bewaard.
De Commissie streeft ernaar dat in 2030 ongeveer 80 procent van de burgers het systeem gebruikt. Het besluit van het Europees Parlement over zijn standpunt in de komende trialoogonderhandelingen wordt in de komende weken verwacht.
Bij dit alles is ook onduidelijk welke effecten de ontwikkeling van eIDA’s zal hebben op de bestaande systemen van de natiestaten. In dit land werkt het ministerie van Binnenlandse Zaken aan een eigen Smart eID, ook een ID voor smartphones. Volgens een woordvoerster van het ministerie staat de oplevering gepland voor het “tweede kwartaal van 2023”. Er is ook de AusweisApp 2 en de BundesIdent- app .
Pega-commissie: spionagesoftware gebruiken tegen de eigen burgers
Sinds april doet een commissie in het EU-Parlement onderzoek naar de schandalen rond de handel in en het gebruik van de staatstrojan Pegasus en soortgelijke surveillance en spyware. De commissie wil het misbruik van staatshacking ophelderen en de consequenties uitwerken.
De eerdere bevindingen over Pegasus zijn ronduit schandalig. In totaal heeft of heeft de Israëlische NSO Group, die Pegasus distribueert, zakelijke relaties met 14 EU-landen – meer dan de helft van de lidstaten. In totaal gebruiken ongeveer 50 landen over de hele wereld de staats-trojan. Ook oppositieleden, journalisten en mensenrechtenactivisten zijn het doelwit in Europa. Als u een goed beeld wilt krijgen van het werk van de commissie tot nu toe: we hebben alle hoorzittingen van de Pegasus-commissie opgeschreven en de woordelijke notulen op netzpolitik.org gepubliceerd .
Het officiële eindrapport van de onderzoekscommissie van PEGA wordt in de komende maanden gepubliceerd. De rapporteur van de commissie, Sophie in ’t Veld, publiceerde afgelopen november haar eigen voorlopige eindrapport . Daarin hekelt ze hoe Europa de democratie ondermijnt met spionagesoftware. Ook zal bepalend zijn op welke punten het ambtsbericht van de commissie afwijkt van het voorlopige rapport – en welke consequenties politici zullen trekken uit de opgedane kennis.
Privacy Shield 2.0: nieuwe poging tot gegevensbeschermingsovereenkomst met de VS
Op welke basis kunnen gegevens van EU-burgers in de VS worden verwerkt en hoe moeten deze worden beschermd? De VS, de EU en dataprotectors worstelen al jaren met deze vraag. En nog steeds geen antwoord. Het Europese Hof van Justitie (HvJ) heeft relevante EU-besluiten al twee keer vernietigd: de vorige “Safe Harbor”-verordening in 2015; de laatste regeling “Privacy Shield” dan in juli 2020. De rechters klaagden vooral over de uitgebreide toegangsmogelijkheden van de Amerikaanse geheime diensten.
In oktober vaardigde de Amerikaanse president Joe Biden een decreet uit waarin hij een derde poging deed tot een transatlantische overeenkomst inzake gegevensbescherming. De administratieve regeling voorziet onder meer in het beperken van de toegang tot gegevens van de Amerikaanse geheime diensten tot een niveau dat “noodzakelijk” en “proportioneel” is om de nationale veiligheid te beschermen. De tekst neemt dus termen over uit het Europees recht, meer bepaald uit artikel 52 van het Handvest van de grondrechten . Bovendien introduceert het decreet een mechanisme voor juridische bijstand op twee niveaus waarmee EU-burgers een klacht kunnen indienen over onwettige toegang tot hun gegevens.
Als reactie op de verordening van Biden heeft de Europese Commissie half december een adequaatheidsbesluit aangenomen dat bevestigt dat gegevensbescherming in de VS een “adequaat beschermingsniveau” heeft. Het besluit is bedoeld om de zorgen weg te nemen die het HvJ in het zogenaamde Schrems II-arrest heeft geuit over de beveiliging van transatlantische datastromen.
Vervolgens doorloopt het concept het acceptatieproces, waarbij adviezen worden ingewonnen van de European Data Protection Board (EDPB) en van vertegenwoordigers van de lidstaten. Ook het EU-Parlement heeft een stem. De beslissing zou op zijn vroegst in de zomer van dit jaar in het droge kunnen vallen.
Maar zelfs dan zou er geen rechtszekerheid zijn. De Oostenrijkse advocaat Max Schrems, die de twee eerdere verordeningen naar beneden haalt, heeft de beoordeling van de Commissie al scherp bekritiseerd en aangekondigd dat “95 procent” van hen opnieuw juridische stappen zal ondernemen bij het Hof van Justitie tegen het wettelijk kader voor transatlantisch dataverkeer. Schrems klaagt dat het decreet geen significante verbetering brengt en dat de naleving ervan wettelijk niet afdwingbaar is voor EU-burgers.
DSA en DMA: Twee vuurtorenprojecten worden werkelijkheid
De twee EU-vlaggenschipprojecten die vorig jaar zijn aangenomen, worden nu uitgevoerd : de Digital Services Act (DSA) en de Digital Markets Act (DMA). Ze zullen echter pas stap voor stap van toepassing worden.
Met de DSA moeten online providers voor 17 februari 2023 eerst publiekelijk bekend maken hoeveel actieve gebruikers ze in de EU hebben. Op basis hiervan beslist de Europese Commissie of een aanbieder wordt beschouwd als een zeer groot online platform of zoekmachine; de technische term hiervoor is VLOP (Very Large Online Platform). Dergelijke diensten met meer dan 45 miljoen gebruikers zullen in de toekomst moeten voldoen aan bijzondere eisen en nieuwe due diligence-eisen. Slechts vier maanden na de classificatie door de Commissie moeten ze voldoen aan de nieuwe DSA-regelgeving. Dit omvat een jaarlijkse risicobeoordeling van hun diensten.
Maar totdat alle regels echt van kracht worden, moet elk EU-land de kwestie van het toezicht ophelderen en een coördinator voor digitale diensten aanstellen. Je hebt hiervoor tot 17 februari 2024 de tijd. Samen met een nieuw op te richten “European Digital Services Board” onder leiding van de Europese Commissie moeten de coördinatoren toezien op de naleving van de DSA-regels – en hun best doen om elkaar niet in de weg te staan, zoals blijkt uit het versnipperde toezicht van de Algemene Verordening Gegevensbescherming heeft.
Het Federal Network Agency heeft waarschijnlijk de beste kaarten in dit land, maar de staatsmedia-autoriteiten willen ook inspraak hebben. In de loop van het jaar moet ook een Europees Centrum voor Algoritmische Transparantie (ECAT) worden opgericht. Het moet onder meer de risicobeoordelingen van de online diensten peilen.
Hoewel de DSA als verordening rechtstreeks van toepassing is in de hele EU, kunnen de lidstaten nationale wetten moeten aanpassen. In Duitsland betreft dit in ieder geval de Telemediawet, de Netwerkhandhavingswet en waarschijnlijk ook de Jeugdbeschermingswet. Daarnaast moeten de deelstaten ook tijdig nagaan of aanpassingen aan het Staatsverdrag Media en het Staatsverdrag inzake de bescherming van minderjarigen in de media noodzakelijk zijn.
De DMA, die gericht is op zogenaamde poortwachters, is in principe al van toepassing vanaf 2 mei 2023. Een gevestigde onlinedienst moet een omvang hebben die relevant is voor de interne markt en daarnaast een “centrale platformdienst” aanbieden in ten minste drie EU-landen. Dit omvat bijvoorbeeld controle over de toegangsinterface tussen commerciële en eindgebruikers – bijvoorbeeld Amazon met zijn online marktplaats valt waarschijnlijk onder de regels. Oneerlijke marktpraktijken zoals het geven van voorkeur aan eigen aanbiedingen zouden dan niet meer mogelijk moeten zijn, anders bestaat het risico op hoge boetes.
Potentiële poortwachters moeten uiterlijk op 3 juli 2023 aan de Europese Commissie laten weten of ze aan de criteria voldoen. Brussel heeft tot uiterlijk 6 september 2023 om de classificatie uit te voeren. Poortwachters moeten de DMA-vereisten vervolgens binnen zes maanden implementeren, met als deadline 6 maart 2024. In de tussentijd werkt de Europese Commissie aan een uitvoeringsverordening om meer duidelijkheid te scheppen voor de betrokken bedrijven.
In tegenstelling tot de DSA ligt het toezicht op de DMA uitsluitend bij de Europese Commissie, die nauw wil samenwerken met nationale autoriteiten zoals het Federaal Kartelbureau. De Commissie moet echter eerst de structuren opzetten. Dit nieuwe orgaan zal in de toekomst onder meer marktonderzoeken uitvoeren of structurele maatregelen bestellen bij stelselmatige overtredingen.
Datawet: Reorganisatie van de Europese data-economie
Met de Datawet heeft de Commissie in februari 2022 een ontwerpverordening gepresenteerd die de Europese data-economie moet reguleren. Een van de verklaarde doelen is om meer gegevens bruikbaar te maken voor het algemeen belang. Achter het gordijn lijkt het echter meer op een economisch project. Sindsdien zijn de onderhandelingen tussen de respectieve EU-instellingen navenant zwaar geweest.
Tot nu toe is de Raad van Ministers er niet in geslaagd overeenstemming te bereiken over een gemeenschappelijke lijn voor de EU-landen. Het laatste teken van leven is voorlopig een voortgangsrapportage van het Tsjechisch Raadsvoorzitterschap uit november 2022. Het is daarmee onduidelijk hoe ver de geplande eisen voor interoperabiliteit tussen clouddiensten moeten zijn, om maar een van de vele twistpunten te noemen. .
Op haar beurt is de conservatieve Pilar Del Castillo Vera de onderhandelaar in het EU-parlement – sommigen herinneren zich haar misschien nog als de bedrijfsvriendelijke parlementaire rapporteur over de regels voor netneutraliteit. Hoewel het zijn eerste conceptrapport in september indiende, ontving het meer dan 1.000 amendementen. Dat alleen al laat zien hoe fel competitief dit project nog steeds zal zijn. Een van de huidige breuklijnen in het Parlement is de onenigheid over wat nu eigenlijk ruwe data zijn en of er een gedetailleerd onderscheid moet worden gemaakt tussen bepaalde vormen van data. Het is nog niet te voorspellen wanneer de onderhandelingen tussen de Commissie, de EU-landen en het Parlement zullen beginnen.
Netneutraliteit: Extra inkomsten voor telecombedrijven
Grote telecommunicatiebedrijven als Telekom Deutschland en Telefónica hebben al lang een extra inkomstenbron uit extra vergoedingen op hun verlanglijstje staan. Ze moeten betalen voor online diensten die veel bandbreedte vergen – terwijl gebruikers natuurlijk blijven betalen voor hun internetverbinding. Tot nu toe zijn de telecommunicatiebedrijven altijd afgewezen met deze vraag naar dubbele verzilvering. Niet zo met de huidige EU-commissie: begin 2023 start een consultatie over de geplande wet, die loopt onder de naam Connectivity Infrastructure Act.
De Commissie probeert hier te koorddansen: enerzijds wil ze haar ambitieuze uitbreidingsdoelstellingen tegen 2030 halen en heeft ze de industrie, die klaagt over de hoge investeringskosten, daarvoor nodig. Aan de andere kant benadrukken de verantwoordelijke commissarissen Thierry Breton en Margrethe Vestager bij elke gelegenheid dat ze de EU-regels rond netneutraliteit niet aan het wankelen willen brengen. Extra vergoedingen voor geselecteerde onlinediensten zouden dit beginsel echter ernstig in gevaar brengen.
Ondertussen laten EU-kranten zien hoe de lobbygerelateerde framing van het debat ook in de politiek wortel schiet. Concreet gaat het erom de extra vergoedingen te begrijpen als een “fair share”. Zo vertegenwoordigt het de lobbyorganisatie ETNO. Dienovereenkomstig is er een mogelijk controversieel gedeelte in de meest recente EU-verklaring over digitale grondrechten : het vereist een eerlijke en evenredige kostenverdeling van alle marktdeelnemers die profiteren van digitale verandering. Ook de ministerraad heeft een dergelijke passage opgenomen in zijn standpunt over de digitale doelstellingen van de EU voor 2030 .
In een optimistische interpretatie zou er ook een hernieuwde poging tot een digitale belasting kunnen zijn. Maar voorzichtigheid is geboden. Thierry Breton komt immers uit de industrie als voormalig baas van de ex-monopolist France Télécom – het huidige Orange – en ziet zichzelf vooral als industrieel politicus. Het is waarschijnlijk geen toeval dat uitgerekend Frankrijk, Italië en Spanje het initiatief van de Commissie in een vroeg stadium steunden. Ze maken zich zorgen over hun voormalige en soms worstelende staatsbedrijven en willen dat ze betrokken blijven: op de beurs en op de internationale telecommunicatiemarkten.
Duitsland, waar ook Telekom, een machtige industriële gigant, is gevestigd, gaat een beetje uit de pas. De federale regering wil zich nog niet duidelijk positioneren, alleen al omdat er geen concreet voorstel van de Commissie ligt. Maar het kan sneller komen dan je zou willen.
