Article 82
Verzoeken om toegangsbeperkingen en samenwerking met nationale rechterlijke instanties
Authority Access Rights to AI Systems and Documentation
This new topic would specifically address the rights and procedures for competent authorities to access AI systems, facilities, documentation, and data during oversight activities, which is a critical component of the cooperation framework but not fully captured by existing topics.
authority access system access documentation access facility access data access authority inspection access access procedures access rights
Overview
Legal Framework
Article 82 of the Digital Services Act (DSA) governs the rights of competent authorities to access data, algorithms, and documentation from providers of Very Large Online Platforms and Search Engines. The provision mandates that these providers must grant access for the sole purpose of monitoring and ensuring compliance with the DSA. Access requests must be reasoned, proportionate, and limited to what is necessary for the authority’s supervisory tasks.
Practical Application
The DSA framework aligns with established principles of administrative law, as reflected in the WORTEN case. This ruling confirms that authorities' access to data for compliance monitoring is lawful if it is necessary and proportionate to a specific legal obligation. Under Article 82 DSA, this means authorities with a valid DSA monitoring mandate can request information, explanations, and access to premises, but their requests must be justified and scoped to their supervisory objective. Providers are obligated to cooperate, but the authority's right is not absolute; it is bounded by the principles of necessity and proportionality, and access is restricted to authorized personnel.
Key Considerations
- Maintain Comprehensive Documentation: Ensure all documentation related to AI system design, risk management, and data processing is organized and readily available to respond efficiently to a reasoned Article 82 request.
- Verify Authority and Scope: Establish a procedure to verify the requesting authority’s mandate under the DSA and to assess the proportionality and specificity of each request before granting access.
Laws (1)
Case Law (2)
Inzage in patiëntendossier van zoon aan vader na overlijden van kind.
Rechtbank
Zonder toestemming van de patiënt mag een ziekhuis aan een externe deskundige geen toegang geven tot een patiëntendossier. Bepalend voor de beantwoording van de vraag of bepaalde gegevens of stukken tot het medische dossier behoren is de aard van de gegevens, in het bijzonder of de gegevens de goede hulpverlening dienen. Daarbij geldt dat de dossierplicht van art. 7:454 lid 1 BW niet meebrengt dat dezelfde gegevens meerdere malen in het medisch dossier moeten worden opgenomen. Vanwege de ‘veilig melden’-regeling van art. 9 lid 6 Wkkgz maakt een calamiteitenrapport geen deel uit van het patiëntendossier. Een DIM-melding behoort wel tot het medisch dossier, voor zover het betreft de aantekeningen over de aard en toedracht van het gemelde incident, het tijdstip waarop het incident heeft plaatsgevonden en de namen van de betrokkenen bij het incident. Omdat de patiënt aan zijn vader toestemming heeft gegeven om zijn medisch dossier in te zien en daarvan een afschrift te ontvangen kan de vader ingevolge het bepaalde in art. 7:458a lid 1 aanhef en onder a BW pro se tegenover het ziekenhuis aanspraak maken op inzage in en afschrift van gegevens uit dat dossier. Uit dat recht volgt niet dat het ziekenhuis aan een partijdeskundige van de vader toegang moet verlenen tot het elektronisch systeem van het ziekenhuis.
WORTEN-EQUIPAMENTOS PARA O LAR SA V. ACT (AUTHORITY FOR WORKING CONDITIONS), 30.5.2013 (“WORTEN”)
Worten
Necessity/proportionality: Collection and processing of personal data contained in the record of working time to ensure compliance with national legislation relating to working conditions is lawful if it is necessary for compliance with a legal obligation to which the controller is subject. Access should be grated only to authorities having powers of monitoring compliance with legal requirements. An obligation to provide immediate access to the record could be necessary if it contributes to the
Guidance (12)
Artikelen
AP
Na een datalek melding op 1 sept 2021 is de Autoriteit Persoonsgegevens onderzoek gaan doen en heeft uiteindelijk 15 dec 2025 een boete opgelegd van EUR 175.000 aan de HAN. De overtredingen zijn (1) Onvoldoende maatregelen tegen SQL-injectie genomen ; (2) Het niet beperken van toegangsrechten van...
Versiegeschiedenis
guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 02/2021 inzake virtuele spraakassistenten
guidelines over virtuele spraakassistenten
Een virtuele spraakassistent ( virtual voice assistant , of VVA) betreft een dienst die spraakgestuurde opdrachten begrijpt en uitvoert, of indien nodig als tussenschakel optreedt naar andere IT-systemen. Tegenwoordig is een VVA als optie beschikbaar op de meeste smartphones, tablets en reguliere computers en sinds enkele jaren zelfs op losse apparaten zoals smartspeakers. Een VVA functioneert als schakel tussen de gebruiker en zijn apparaat of een online dienst zoals een zoekmachine...
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Versiegeschiedenis
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
De AVG bevat geen juridische definitie van het begrip 'doorgifte van persoonsgegevens aan een derde land of aan een internationale organisatie'. Daarom verstrekt de EDPB deze richtsnoeren om te verduidelijken op welke scenario's de voorschriften van hoofdstuk V volgens hem moeten worden toegepast en heeft hij daartoe drie cumulatieve criteria vastgesteld waaraan een verwerkingsactiviteit moet voldoen om als een doorgifte te worden aangemerkt: - 1) Een verwerkingsverantwoord...
Richtsnoeren 01/2021
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Version history
Guidelines on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR
The GDPR does not provide for a legal definition of the notion 'transfer of personal data to a third country or to an international organisation'. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer: - 1) A controller or a processor ('exporter') is subject to the GDPR for the given processing. -...
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
Guidelines 02/2021 on virtual voice assistants
Guidelines on virtual voice assistants
A virtual voice assistant (VVA) is a service that understands voice commands and executes them or mediates with other IT systems if needed. VVAs are currently available on most smartphones and tablets, traditional computers, and, in the latest years, even standalone devices like smart speakers. VVAs act as interface between users and their computing devices and online services such as search engines or online shops. Due to their role, VVAs have access to a huge amount of personal...
Enforcement (1)
News (2)
OLG Bamberg - 10 U 61/25 e
}}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.A court held that the mere automated creation of a score value by a credit information agency does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision concerning the the data subject. == English Summary ==== English Summary == === Facts ====== Fa
OLG Bamberg - 10 U 61/25 e
Holding }}}} The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR|Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject.The court held that the mere automated creation of a score value does not trigger [[Article 22 GDPR]] unless it directly leads to a legally or similarly significant decision about the data subject. == English Summary ==== English Summary == The data subject brought multiple