AI Corrective Actions
This new topic is needed because corrective actions are a specific and distinct obligation under the AI Act that encompasses systematic procedures for addressing identified risks, defects, and incidents in AI systems, requiring dedicated coverage separate from general risk management.
corrective actions corrective measures remedial actions corrective procedures system modification performance correction defect remediation post-market corrections
Overview
Legal Framework
The obligation to implement corrective actions for AI systems is governed by Article 21 of the AI Act, which mandates a post-market monitoring system, and Article 73 of the AI Act, which specifically details the requirements for taking corrective actions. These provisions require providers of high-risk AI systems to establish and document procedures for taking corrective action. This includes actions to bring a non-compliant system into compliance, to prevent its further use, or to withdraw or recall it from the market. The legal text requires these actions to be taken immediately when a provider has reason to believe that a system presents a risk or is not in conformity with the AI Act, and to be proportionate to the nature of the risk.
Practical Application
Corrective actions are a distinct and systematic obligation that goes beyond general risk management. As highlighted in Recital 155, the purpose of post-market monitoring is to allow providers to learn from real-world use to improve systems and to take timely corrective measures. This creates a closed-loop feedback system where monitoring directly informs corrective action. The obligation is triggered not only by a confirmed incident but also when a provider has reason to believe a risk exists, establishing a proactive duty to investigate potential non-conformities. For general-purpose AI models with systemic risk under Recital 115, a similar but heightened obligation exists, requiring immediate action to mitigate a serious incident. The process is formalized: providers must document the corrective actions taken and, for high-risk AI systems, notify their relevant authorities and, in some cases, the AI Office.
Key Considerations
- Establish Formal Procedures: Organizations must develop and integrate documented procedures for initiating, executing, and documenting corrective actions into their quality management and post-market monitoring systems. This is not an ad-hoc process.
- Define Clear Triggers: Internal protocols must define what constitutes "reason to believe" a system presents a risk, using data from post-market monitoring, user feedback, and incident reports to activate the corrective action process promptly.
- Coordinate Notifications: The corrective action process must be linked to incident reporting obligations under Article 73. Taking corrective action may trigger a mandatory report to authorities, and the two processes must be coordinated to ensure timely and compliant communication.
Laws (8)
Case Law (7)
Geen spoedeisend belang bij verzoek om opdragen Autoriteit Persoonsgegevens corrigerende maatregelen te nemen
Rechtbank
Verzoek om voorlopige voorzeining jegens Autoriteit Persoonsgegevens om corrigerende maatregelen te nemen afgewezen. In bezwaar was het gegrond verklaard en heeft er “een interventie plaatsgevonden die ertoe heeft geleid dat de derde-partij alsnog de vereiste aanpassingen heeft gedaan om het came...
AP mocht afzien van handhaving door beroep op prioriteringsbeleid
Raad van State
Betrokkene had drie klachten ingediend bij AP over de verwerking van persoonsgegevens door voormalig werkgever Prime Vision B.V. N.a.v. de eerste twee klachten heeft de AP normoverdragende brieven gestuurd aan Prime Vision, de derde klacht met een verzoek om corrigerende maatregelen zijn afgeweze...
AP hoefde niet handhavend op te treden. Rectificatierecht medische analyses.
Rechtbank
Beroep ongegrond. Wet bescherming persoonsgegevens. Met verweerder is de rechtbank van oordeel dat hoewel medische dossiers persoonsgegevens kunnen bevatten dit niet betekent dat medische analyses waar eiser zich niet mee kan verenigen op zichzelf ook kunnen worden aangemerkt als een persoonsgegeven. De rechtbank is verder van oordeel dat de onjuistheden in de door eiser genoemde informatie niet eenvoudig en objectief zijn vast te stellen. Dit is wel vereist om tot aanpassing dan wel correctie over te gaan.
Besluit op bezwaar van AP rechtmatig. Geen reden tot schadevergoeding.
Raad van State
Bij besluit van 25 maart 2021 heeft de Autoriteit Persoonsgegevens een klacht van [appellant] met een verzoek om corrigerende maatregelen tegen de Belastingdienst afgewezen. Op 23 mei 2020 en op 17 juni 2020 heeft [appellant] via het meldingsformulier klachten een klacht ingediend bij de AP, omdat de Belastingdienst heeft geweigerd op zijn verzoek zijn dossier toe te zenden. In de bij de klacht van 17 juni 2020 bijgevoegde brief (gedateerd 18 juni 2020) heeft [appellant] ook de AP verzocht corrigerende maatregelen te nemen. Op 25 maart 2021 heeft de AP het verzoek om handhaving afgewezen, omdat er na globaal bureauonderzoek onvoldoende feiten zijn om een overtreding van de AVG door de Belastingdienst vast te stellen. Daarvoor is nader onderzoek vereist. Omdat in onvoldoende mate aan de prioriteringscriteria is voldaan, heeft de AP besloten geen nader onderzoek te doen naar de klacht.
Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP.
Rechtbank
Reikwijdte beginselplicht tot handhaving en onderzoeksverplichtingen van de AP. De AP heeft in deze omstandigheden kunnen afzien van een herstelsanctie, boete of berisping naar aanleiding van een overtreding van de AVG. Ook heeft de AP voldaan aan de verplichting van artikel 57 van de AVG om de twee andere klachten in gepaste mate te onderzoeken. De gestelde overtredingen zijn in het globale bureauonderzoek van Fase I niet vast komen te staan. De AP heeft op basis van het prioriteringsbeleid kunnen beslissen na dat globale bureauonderzoek geen nader onderzoek te doen.
Deutsche Wohnen SE v Staatsanwaltschaft Berlin
C-807/21 (Deutsche Wohnen)
Fines can be imposed directly on legal persons without identifying responsible natural person.
HvJ EU: Privacy Shield ongeldig verklaard (Schrems II)
Het Hof van Justitie verklaart het Privacy Shield-akkoord ongeldig wegens onvoldoende waarborgen voor Europese burgers tegen toegang door Amerikaanse inlichtingendiensten.
Guidance (24)
View all 24Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Versiegeschiedenis
Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679
Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte
Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...
Richtsnoeren 01/2021
Guidelines 07/2022 on certification as a tool for transfers
Guidelines on certification and identifying certification criteria
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR). These guidelines provide guidance as to the applicati...
Guidelines 04/2021 on Codes of Conduct as tools for transfers
Guidelines on codes of conduct and monitoring bodies
The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...
Richtsnoeren 07/2022 voor certificering als doorgifte-instrument
guidelines certificering
Op grond van artikel 46 van de algemene verordening gegevensbescherming (AVG) moeten gegevensexporteurs passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die gegevensexporteurs overeenkomstig artikel 46 kunnen gebruiken als kader voor de doorgifte aan derde landen, onder meer door certificering in te voeren als nieuw doorgiftemechanisme (artikel 42, lid 2, en a...
Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG
guidelines voor de toepassing van artikel 60 AVG
Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...
Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679
Guidelines on codes of conduct and monitoring bodies
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Guidelines 09/2020 on relevant and reasoned objection under Regulation 2016/679
Guidelines on relevant and reasoned objection under Regulation 2016/679
Guidelines 10/2020 on restrictions under Article 23 GDPR
Guidelines on restrictions under Article 23 GDPR
Version history
Guidelines on the accreditation of certification bodies
Guidelines 02/2022 on the application of Article 60 GDPR
Guidelines on the application of Article 60 GDPR
With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Versiegeschiedenis
guidelines accreditatie
Enforcement (5)
ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN: Insufficient cooperation with supervisory authority
€750 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA has imposed a fine of EUR 750 on the ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN. The controller failed to certify compliance with the corrective measures imposed by the DPA, resulting in the DPA issuing a fine.
ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN: Onvoldoende samenwerking met de toezichthoudende instantie.
Een boete van €750 - Spaanse Autoriteit voor Gegevensbescherming (AEPD).
De Spaanse gegevensbeschermingsautoriteit (DPA) heeft een boete van 750 euro opgelegd aan de ASOCIACIÓN ESCUELA NACIONAL DE EQUITACIÓN. De verantwoordelijke partij heeft nagelaten om aan te tonen dat aan de door de DPA opgelegde corrigerende maatregelen is voldaan, wat heeft geleid tot het opleggen van de boete.
Hospital: Insufficient technical and organisational measures to ensure information security
€20,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) imposed a fine of EUR 20,000 on a hospital for failing to implement adequate technical and organizational measures to protect personal data in line with Art. 32 (1) (b) and (d), and Art. 32 (2) GDPR. Following a cyberattack, it was revealed that over a period of seven days, at least 3 GB of personal data had been unlawfully copied from the system. The attacker allegedly gained access through social engineering and a VPN connection, exploited an outdated operating system,
GROUPE CANAL +: Insufficient fulfilment of data subjects rights
€600,000 fine - French Data Protection Authority (CNIL)
The French DPA has imposed a fine of EUR 600,000 on GROUPE CANAL+ for multiple violations of the GDPR. The DPA determined that the data controller failed to demonstrate that it had obtained valid prior consent from individuals for sending electronic promotional messages. Additionally, the DPA found that the data controller did not provide adequate information regarding the retention periods of personal data in its privacy statement. Furthermore, the DPA observed that the data controller's proces
TIM (telecommunications operator): Insufficient legal basis for data processing
€27,800,000 fine - Italian Data Protection Authority (Garante)
Between January 2017 and 2019, the data protection authority received hundreds of notifications, in particular concerning the receipt of unsolicited commercial communications made without the consent of the data subjects or despite their registration in the public register of objections. Furthermore, irregularities in data processing in connection with competitions were also complained about. In addition, incorrect and non-transparent information on data processing was provided in Apps provided