Article 87
Melding van inbreuken en bescherming van melders
Infringement Reporting
This specific topic is needed to comprehensively cover Article 84 of the AI Act, which establishes a dedicated framework for reporting infringements and protecting those who report them, including confidentiality protections and safeguards against retaliation.
infringement reporting reporting persons protection whistleblower safeguards reporting procedures confidentiality protection retaliation protection reporting channels reporting documentation
Overview
Legal Framework
Article 84 of the AI Act establishes the core legal framework for infringement reporting, mandating that providers, deployers, importers, distributors, and product manufacturers of AI systems implement internal channels for reporting breaches of the Regulation. It requires these channels to ensure confidentiality for the reporting person and protect them from retaliation, including suspension, demotion, or other detrimental treatment. This provision is reinforced by Recital 54 of the AI Act, which underscores the importance of safeguarding individuals who report infringements, particularly in high-risk contexts like biometric identification where technical inaccuracies can lead to significant harms.
Practical Application
While specific case law on Article 84 AI Act is not yet established, its interpretation is guided by the general principles of whistleblower protection enshrined in EU law, such as the Whistleblower Protection Directive (Directive (EU) 2019/1937). Organizations must establish secure, confidential reporting procedures that allow employees and other relevant persons to submit reasonable concerns about potential AI Act violations. The obligation extends to all entities in the AI value chain covered by the Regulation. In practice, this means designating a responsible function or team to receive and follow up on reports, ensuring the reporter's identity is kept confidential to the fullest extent possible, and explicitly prohibiting and sanctioning any form of retaliation. The framework operates alongside sector-specific reporting obligations, such as those for cybersecurity incidents under the NIS2 Directive.
Key Considerations
- Implement Structured Channels: Establish and formally communicate a dedicated, secure internal reporting procedure that guarantees confidentiality. This procedure must be accessible to all relevant personnel and should detail the investigation process.
- Prohibit and Prevent Retaliation: Integrate explicit anti-retaliation clauses into employment contracts and internal policies. Training for management is crucial to foster a culture where reporting is encouraged and protected.
- Coordinate with Existing Regimes: Align the AI infringement reporting mechanism with other applicable whistleblower or incident reporting procedures (e.g., for data protection under GDPR or cybersecurity under NIS2) to ensure clarity and avoid duplicate reporting channels.
Laws (33)
View all 33Case Law (3)
Inzage in breed perspectief (AVG, 8 EVRM, maar ook 29, 290, 811 en 843a Rv.
Hoge Raad
"Deze prejudiciële beslissing gaat over de vraag of een gerecht op verzoek inzage moet geven in of afschriften moet verstrekken van stukken uit het dossier van afgesloten civiele familie- en jeugdprocedures, in het bijzonder afgesloten procedures waarin ten aanzien van de verzoeker kinderbescherm...
Meta Platforms and Others v Bundeskartellamt
C-601/21 (Meta Platforms (Bundeskartellamt))
Competition authorities can assess GDPR compliance in context of competition law proceedings.
ECLI:NL:HR:2003:AF0148 Hoge Raad , 24-01-2003 / C01/143HR
Hoge Raad
-
Guidance (16)
Richtsnoeren 06/2020 inzake de wisselwerking tussen de tweede richtlijn betalingsdiensten en de AVG
guidelines wisselwerking toepassing artikel 3 en hoofdstuk V AVG
Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0 Adopted on 20 October 2020
Guidelines on data protection by design and by default
Versiegeschiedenis
guidelines meldplicht datalekken
Guidelines 9/2022 on personal data breach notification under GDPR
Guidelines on personal data breach notification under GDPR
Guidelines 3/2019 on processing of personal data through video devices
Guidelines on processing of personal data through video devices
Version history
Guidelines on the accreditation of certification bodies
Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement
Guidelines on the use of facial recognition technology in the area of law enforcement
More and more law enforcement authorities (LEAs) apply or intend to apply facial recognition technology (FRT). It may be used to authenticate or to identify a person and can be applied on videos (e.g. CCTV) or photographs. It may be used for various purposes, including to search for persons in police watch lists or to monitor a person's movements in the public space. FRT is built on the processing of biometric data , therefore, it encompasses the processing of special categories ...
VERSIEGESCHIEDENIS
binding corporate rules voor verwerkingsverantwoordelijken
Versiegeschiedenis
guidelines accreditatie
Richtsnoeren 3/2019 inzake de verwerking van persoonsgegevens door middel van videoapparatuur
guidelines cameratoezicht
Richtsnoeren 3/2022 betreffende het herkennen en vermijden van misleidende ontwerppatronen in de interfaces van socialemediaplatforms
guidelines misleidende ontwerppatronen
Deze richtsnoeren bieden praktische aanbevelingen aan aanbieders van sociale media als verwerkingsverantwoordelijken van sociale media, ontwerpers en gebruikers van socialemediaplatforms, over het beoordelen en vermijden van zogenaamde 'misleidende ontwerp patronen' in de interfaces van sociale media die inbreuk maken op de vereisten van de AVG. Daartoe beveelt de EDPB aan dat verwerkingsverantwoordelijken gebruikmaken van interdisciplinaire teams, bestaande uit onder meer ontwerpers, func...
Richtsnoeren 05/2022 voor het gebruik van gezichtsherkenningstechnologie in het kader van rechtshandhaving
guidelines gebruik gezichtsherkenning bij rechtshandhaving
Steeds meer rechtshandhavingsinstanties passen gezichtsherkenningstechnologie toe of zijn voornemens deze toe te passen. De technologie kan worden gebruikt om een persoon te authenticeren of te identificeren en kan voor video's (bijv. CCTV) of foto's worden ingezet, maar ook voor andere doeleinden, waaronder het opzoeken van personen op signaleringslijsten van de politie of het volgen van de bewegingen van een persoon in de openbare ruimte. Gezichtsherkenningstechnologie is gebaseer...
Richtsnoeren 4/2019 inzake artikel 25 Gegevensbescherming door ontwerp en door standaardinstellingen
guidelines privacy by design en default
Versiegeschiedenis
guidelines uitvoeren overeenkomst
Richtsnoeren 07/2020 over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
guidelines over de begrippen 'verwerkingsverantwoordelijke' en 'verwerker' in de AVG
De begrippen 'verwerkingsverantwoordelijke', 'gezamenlijke verwerkingsverantwoordelijke' en 'verwerker' spelen een cruciale rol bij de toepassing van de algemene verordening gegevensbescherming (AVG, Verordening (EU) 2016/679), aangezien ermee wordt bepaald wie verantwoordelijk is voor de naleving van verschillende gegevensbeschermingsregels en op welke wijze betrokkenen hun rechten in de praktijk kunnen uitoefenen. De precieze betekenis van deze begrippen en de criteria voor de jui...
Richtsnoeren 01/2021
Enforcement (5)
Telecommunicatiebedrijf (exploitant van elektronische communicatienetwerken en -diensten): Overtreding van de algemene principes van gegevensverwerking.
Een boete van 4.500.000 euro - opgelegd door de Kroatische Autoriteit voor Gegevensbescherming (AZOP).
Na een onderzoek door de autoriteit, heeft AZOP een telecombedrijf een boete van 4,5 miljoen euro opgelegd vanwege meerdere overtredingen van de AVG. De verantwoordelijke partij heeft klantgegevens overgedragen aan een verwerker in de Republiek Servië (een dochteronderneming die software onderhoudt). Deze overdrachten vonden plaats op basis van standaardcontractuele clausules (SCC's) vanaf 16 april 2020 tot uiterlijk 27 december 2022; daarna zijn de overdrachten doorgegaan zonder SCC's of equivalente waarborgen, ondanks dat Servië niet als voldoende beschermd land wordt beschouwd.
FT Solutions S.r.l.: Non-compliance with general data processing principles
€5,000 fine - Italian Data Protection Authority (Garante)
The Italian DPA has imposed a fine of EUR 5,000 on FT Solutions S.r.l. The fined entity had been active in direct marketing activities as a data processor. During these activities, the processor used personal data for this purpose without sufficient legal basis, obtained from a third party that also collected the data in violation of data protection principles. Furthermore, the processor failed to inform data subjects regarding the processing and to implement adequate data protection measures.
Debt collection company: Insufficient legal basis for data processing
€5,470,000 fine - Croatian Data Protection Authority (azop)
The Croatian DPA (AZOP) has imposed of fine of EUR 5,470,000 to a debt collection company. The investigation was triggered by an anonymous complaint stating that controller unlawfully processed personal data, with USB stick attached to the complaint containing personal data of 181,641 individuals. As a controller, the debt-collection company unlawfully processed sensitive data (health related) of their debtors, as well as the data of individuals who are not in a debtor-creditor relationship, mos
Volkswagen: Insufficient fulfilment of information obligations
€1,100,000 fine - Data Protection Authority of Niedersachsen
The DPA of Lower Saxony has imposed a fine of EUR 1. 1 million on Volkswagen. The company had installed cameras on a test vehicle. The vehicle was being used to test and train the functionality of a driving assistance system to prevent traffic accidents. For this purpose, the traffic around the vehicle was recorded with the cameras. However, Volkswagen failed to provide information in accordance with Art. 13 GDPR about the data processing by the cameras attached to the vehicle. The DPA further f
Agency: Insufficient technical and organisational measures to ensure information security
€1,800 fine - Spanish Data Protection Authority (aepd)
The Spanish DPA (AEPD) has imposed a fine on an agency. The controller had disposed of documents containing personal data of its clients in the garbage. The AEPD considered this to be a lack of security and data protection measures in the sense of Art. 32 GDPR, which states that 'the controller and processor shall implement appropriate technical and organizational measures to ensure an adequate level of security.' The original fine of EUR 3,000 was reduced to EUR 1,800 due to voluntary payment a
News (6)
Europa ondermijnt haar eigen digitale rechten van binnenuit.
De nieuwe "Digital Omnibus" van de Europese Commissie wordt gepresenteerd als een eenvoudige "vereenvoudiging", maar in de praktijk ondermijnt het belangrijke beschermingsmaatregelen in de GDPR, de ePrivacy-regels en de AI-wet. Het zou de toegang tot apparaatgegevens gemakkelijker maken, de beperkingen op geautomatiseerde besluitvorming verzwakken en de bescherming tegen discriminerende AI verminderen. Het artikel "Europa ondermijnt haar digitale rechten van binnenuit" verscheen oorspronkelijk op European Digital Rights (EDRi).
Waarom de "Digital Omnibus" de privacyregels (AVG en ePrivacy) in gevaar brengt.
Op 19 november heeft de Europese Commissie twee zogenaamde "omnibus"-voorstellen gepubliceerd: het ene herziening van belangrijke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-regels, samen met andere wetten met betrekking tot gegevens, en het andere een amendement op de AI-wet. Dit artikel richt zich op het eerste voorstel. Het legt uit hoe de voorgestelde wijzigingen fundamentele rechten op gegevensbescherming en de vertrouwelijkheid van communicatie zouden verzwakken, en waarom het gecombineerde effect het risico loopt om lang bestaande beschermingsmaatregelen voor mensen in de EU te veranderen.
De AI-wet is niet voldoende: we moeten de gevaarlijke hiaten dichten die misbruik mogelijk maken en de rechten van mensen schenden.
Hoewel de AI-wetgeving van de EU tot doel heeft om AI-systemen met een hoog risico te reguleren, wordt deze ondermijnd door belangrijke uitzonderingen die hun ongecontroleerde toepassing mogelijk maken in de context van nationale veiligheid en handhaving van de wet. Deze uitzonderingen riskeren onder meer het mogelijk maken van grootschalige surveillance van protesten en discriminerende migratiepraktijken. Om dit te voorkomen, heeft de EDRi-partner Danes je nov dan aanbevelingen gepubliceerd voor Slovenië om strengere nationale beschermingsmaatregelen en transparante toezichtsmechanismen in te voeren. De post "De AI-wetgeving is niet..."
Can organizations realize efficiencies by combining DPO and whistleblower roles?
> Following the implementation of the EU Whistleblower Directive in 2021, companies' data protection officers were tasked with setting up secure reporting channels. As these data protection and whistleblowing systems are exercised by the same unit, is it reasonable for companies to combine the DPO and whistleblower roles? PBK Technology Compliance and Operational Risk consultant František Nonnemann, CIPP/E, lays out the commonalities between DPOs and whistleblowing officer
Kunnen organisaties efficiëntieverbeteringen realiseren door de functies van Data Protection Officer (DPO) en klokkenluider te combineren?
Na de invoering van de EU-richtlijn inzake klokkenluiders in 2021, kregen de functionarissen voor gegevensbescherming van bedrijven de taak om veilige meldingskanalen op te zetten. Aangezien deze systemen voor gegevensbescherming en het melden van misstanden door dezelfde afdeling worden beheerd, is het dan verstandig voor bedrijven om de functies van gegevensbeschermingsfunctionaris en klokkenluidersfunctionaris te combineren? František Nonnemann, compliance- en operationeel risicobegeleider bij PBK Technology, en gecertificeerd privacyprofessional (CIPP/E), legt de overeenkomsten uit tussen gegevensbeschermingsfunctionarissen en klokkenluidersfunctionarissen.
Europese Commissie presenteert nieuwe regels om seksueel misbruik van kinderen op internet te voorkomen en te bestrijden
The proposed rules would require online service providers to detect, report and remove child sexual abuse material on their services. Those providers must also assess the risk of their services being used to distribute child sexual abuse material. A new European Center on Child Sexual Abuse will provide support to providers, law enforcement and victims.