Notified Body Assessment Procedures
The content extensively covers the operational procedures and methodologies that notified bodies must follow when conducting conformity assessments, which deserves its own dedicated topic.
assessment procedure assessment methodology assessment protocol assessment documentation assessment report assessment findings assessment criteria assessment scope
Overview
Legal Framework
The procedures for Notified Body assessments of high-risk AI systems are governed by the conformity assessment framework established in the AI Act. Specifically, Recital 50 clarifies that AI systems which are safety components of products, or are products themselves, and fall under certain Union harmonisation legislation listed in an Annex, are classified as high-risk if the product undergoes a conformity assessment procedure with a notified body under that relevant legislation. Recital 78 further stipulates that the AI Act's conformity assessment procedure applies to the essential cybersecurity requirements of a product with digital elements that is classified as a high-risk AI system, without lowering the required level of trustworthiness.
Practical Application
The authoritative commentary from Tekst & Commentaar, while focused on Binding Corporate Rules under the GDPR, illustrates the broader principle that legal instruments for transfers or assessments must codify all essential principles and enforceable rights to provide appropriate safeguards. Applied to Notified Body procedures under the AI Act, this means the assessment methodology must be rigorous, standardized, and transparent. The notified body must verify that the high-risk AI system complies with all mandatory requirements, including those for cybersecurity when applicable, ensuring the level of assurance is not diminished by the interaction between different regulatory frameworks (e.g., the AI Act and sectoral product legislation).
Key Considerations
- Identify the Governing Regime: For an AI system that is a product or component under listed harmonisation legislation (e.g., for medical devices, machinery), determine if its conformity assessment pathway under that legislation involves a notified body. If so, it is classified as high-risk under the AI Act and the AI Act's conformity assessment procedure applies.
- Ensure a Comprehensive Assessment: The notified body's assessment must holistically cover all applicable requirements from the AI Act (e.g., data governance, transparency, accuracy) alongside any essential safety and cybersecurity requirements from the relevant sectoral legislation, without allowing gaps between the two regulatory spheres.
- Document the Assessment Logic: Maintain clear documentation demonstrating how the notified body's procedure satisfies the stringent requirements of both the AI Act and the relevant product legislation, particularly where cybersecurity and trustworthiness are concerned, to prove no dilution of standards has occurred.
Laws (15)
Case Law (5)
Rechtbank Amsterdam
Rechtbank Amsterdam
Verzoek afgewezen
Rechtbank Overijssel
Rechtbank Overijssel
De Gemeente heeft een aanbesteding gestart voor de uitvoering van jongeren(welzijns)werk in de Gemeente. Eiser en één andere aanbieder hebben op deze aanbesteding ingeschreven. De Gemeente heeft de opdracht aan de andere inschrijver gegund en eiser komt daar in deze zaak tegenop. Volgens eiser was de beoordelingscommissie van de Gemeente niet objectief en heeft de Gemeente fouten gemaakt bij de beoordeling van haar inschrijving. Die beoordeling was volgens eiser niet overeenkomstig het bestek en/of evident feitelijk onjuist. De voorzieningenrechter wijst de vorderingen van [eiser] af omdat de beoordelingscommissie voldoende objectief heeft gehandeld en er geen sprake is van de door eiser gestelde fouten bij de beoordeling. De gunningsbeslissing is deugdelijk en op transparante wijze gemotiveerd. Deze beslissingen worden hierna gemotiveerd.
AF v Council of the European Union
General Court EU
AF, ambtenaar bij het Secretariaat-Generaal van de Raad, raadpleegde in april 2022 op eigen initiatief de rang (loonschaal) van een collega via het personeelsbeheersysteem Sysper, zonder functionele noodzaak. Dit leidde tot een administratief onderzoek, disciplinaire maatregelen en een waarschuwi...
VB v Natsionalna agentsia za prihodite
C-340/21 (VB v Natsionalna agentsia)
Data breach alone does not establish inadequate security measures. Burden on controller to prove adequacy.
Maximillian Schrems v Data Protection Commissioner
C-362/14 (Schrems I)
Invalidated Safe Harbor adequacy decision. National supervisory authorities can examine adequacy decisions.
Guidance (10)
Guidelines 02/2022 on the application of Article 60 GDPR
Guidelines on the application of Article 60 GDPR
With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments ...
Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG
guidelines berekenen administratieve boetes
Het Europees Comité voor gegevensbescherming (EDPB) heeft deze richtsnoeren vastgesteld met het oog op de harmonisatie van de methode die de toezichthoudende autoriteiten gebruiken om het bedrag van de geldboete te berekenen. Deze richtsnoeren vormen een aanvulling op de eerder vastgestelde Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679 (WP 253), die betrekking hebben op de omstandigheden waarin een geldboete moet worden opg...
Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation
Guidelines on certification and identifying certification criteria
Guidelines 1/2019 on Codes of Conduct and Monitoring Bodies under Regulation 2016/679
Guidelines on codes of conduct and monitoring bodies
Guidelines 04/2022 on the calculation of administrative fines under the GDPR
Guidelines on the calculation of administrative fines under the GDPR
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine. The calculation of the amount of the fine is at the discretion of the supervisory authority, ...
Richtsnoeren van 1/2018 voor certificering en het vaststellen van certificeringscriteria overeenkomstig de artikelen 42 en 43 van de verordening
guidelines certificering
Richtsnoeren 1/2019 voor gedragscodes en toezichthoudende organen in de zin van Verordening 2016/679
guidelines gedragscodes en toezichthoudende organen
Richtsnoeren 04/2021 voor gedragscodes als instrumenten voor doorgifte
Volgens artikel 46 van de AVG moeten verwerkingsverantwoordelijken/verwerkers passende waarborgen bieden voor de doorgifte van persoonsgegevens aan derde landen of internationale organisaties. Daarom worden in de AVG de verschillende passende waarborgen aangegeven die organisaties op grond van artikel 46 kunnen gebruiken voor doorgiften aan derde landen, onder meer door gedragscodes in te voeren als nieuw doorgiftemechanisme (artikel 40, lid 3, en artikel 46, lid 2, punt ...
Guidelines 04/2021 on Codes of Conduct as tools for transfers
Guidelines on codes of conduct and monitoring bodies
The GDPR requires in its Article 46 that controllers/processors shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by organisations under Article 46 for framing transfers to third countries by introducing amongst others, codes of conduct as a new transfer mechanism (articles 40-3 and 46-2-e). In this respect, as provi...
Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG
guidelines voor de toepassing van artikel 60 AVG
Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...
Enforcement (1)
News (5)
ΔΔΚ - 1181/18
Feiten === Feiten ====== Feiten === Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit.
ΔΔΚ - 1181/18
Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke). Een universitair docent (de betrokkene) heeft toegang gevraagd tot de inhoud van beoordelingsrapporten van onafhankelijke beoordelaars en aanbevelingsbrieven die zijn opgesteld tijdens het promotieproces, bij de Universiteit van Cyprus (de verantwoordelijke).
Is the AI Act caging ChatGPT and other General Purpose Artificial Intelligence systems?
> The growth of generative artificial intelligence systems has led EU lawmakers to focus on General Purpose AI in drafting the AI Act, which will set the framework governing artificial intelligence in the European Union. As previously reported, the EU Parliament has already broadened the definition of artificial intelligence for the purposes of the AI Act… The post Is the AI Act caging ChatGPT and other General Purpose Artificial Intelligence systems? appeared first on GamingTechLaw.
“Social media profiles and phone contacts” used as proof of identity for deportations
> Thirteen non-EU countries sometimes accept “social media profiles and phone contacts” as evidence of identity for the purpose of deportations, according to an internal European Commission assessment of third country cooperation on readmission.
HvJ: De PNR-richtlijn is geldig, mits deze beperkt blijft tot wat "strikt noodzakelijk" is.
Op 21 juni 2022 heeft het Gerechtshof van de Europese Unie (Groot Beschouwingscollege) een baanbrekende uitspraak gedaan waarin het het EU-regime voor het verzamelen en gebruiken van gegevens van reizigers bevestigde, mits dit strikt wordt geïnterpreteerd in overeenstemming met de fundamentele rechten van de EU. Bovendien is het zonder onderscheid verwerken van deze gegevens bij vluchten die uitsluitend binnen de EU plaatsvinden verboden, tenzij er een dreiging van terrorisme bestaat. Over het algemeen moeten de gegevens van de passagiers ook binnen zes maanden worden verwijderd.