Voluntary Information Disclosure and Reporting
This new topic is needed to specifically address voluntary notification mechanisms and information disclosure requirements that go beyond mandatory reporting, capturing the proactive communication obligations of AI system operators and providers to relevant authorities and stakeholders.
voluntary disclosure voluntary reporting information disclosure relevant information notification proactive reporting self-reporting voluntary notification information provision
Overview
Legal Framework
The topic of voluntary information disclosure and reporting is primarily governed by Recital 143 of the AI Act (aiact-rec-143-nl) and Recital 39 of the Digital Services Act (DSA) (dsa-rec-39-nl). These recitals establish a foundational expectation for proactive communication. Recital 143 AI Act mandates that Member States develop initiatives, including awareness-raising and information provision, specifically targeted at SMEs and startups that are AI providers or users. This creates a framework encouraging voluntary engagement and disclosure from operators. Recital 39 DSA outlines requirements for information provision about available redress mechanisms, suggesting that digital services coordinators can develop national instruments and guidance, which operators may voluntarily adopt or report against to demonstrate good practice.
Practical Application
While these recitals do not create direct, enforceable obligations for operators, they set a clear regulatory direction and expectation for voluntary cooperation and transparency. The commentary from Tekst & Commentaar on the GDPR, particularly regarding Article 30 on the powers of the European Data Protection Board, illustrates the trend of empowering supervisory bodies with broad advisory and guidance-setting roles. This context is instructive: regulatory authorities are increasingly equipped to foster environments where voluntary disclosure is incentivized. In practice, this means authorities may issue guidelines, codes of practice, or establish sandboxes where operators are expected to proactively share information about system operations, incidents, or compliance approaches beyond strict legal mandates. Such voluntary reporting can be a critical factor in regulatory assessments and enforcement discretion.
Key Considerations
- Strategic Engagement: Organizations, especially SMEs and startups in the AI sector, should proactively monitor and engage with national initiatives and guidance developed under the AI Act's Recital 143. Voluntary participation in awareness programs or sandboxes can be a strategic compliance advantage.
- Beyond Mandatory Redress: For online platforms governed by the DSA, consider implementing and voluntarily disclosing information about redress mechanisms that exceed the baseline requirements of Recital 39. This demonstrates a commitment to user protection and can mitigate regulatory risk.
- Document Voluntary Actions: Any voluntary disclosure, whether to authorities, users, or the public, should be carefully documented. This creates an audit trail that can evidence a culture of transparency and responsible operation, which is increasingly valued by regulators.
Laws (9)
Case Law (7)
Woo. Keuze familienaam als bedrijfsnaam komt voor rekening personen. Dat is geen reden om te lakken bij Woo-verzoek.
Rechtbank
Wet Open overheid, bedrijfs- en fabricagegegevens, persoonlijke levenssfeer, veiligheid, horen in bezwaar, 6:22 Awb
Rechtbank Amsterdam
Rechtbank Amsterdam
Collectieve actie Bureau Clara Wichman. Borstimplantaten. Vervolg op rechtbank Amsterdam 14 februari 2024, ECLI:NL:RBAMS:2024:745 en rechtbank Amsterdam 1 mei 2024, ECLI:NL:RBAMS:2024:2479. Productaansprakelijkheid. Richtlijn 85/374/EEG inzake productaansprakelijkheid. Richtlijn 93/42/EEG betreffende medische hulpmiddelen. Artikel 6:185 e.v. BW, artikel 6:162 BW, artikel 6:193b BW en 6:193d BW. Artikel 843a Rv (oud). Hoge Raad 30 juni 1989, NJ 1990/652 (Halcion). Eindvonnis. Geen gebrekkig product in de zin van artikel 6:186 BW. Producent niet aansprakelijk. De rechtbank wijst de vorderingen in de hoofdzaak en het incident af. Zie voor een samenvatting van het vonnis, het vonnis onder 1. ‘De zaak in het kort’.
Discussie over vraag of inzageverzoek is gedaan. In dit geval niet.
Rechtbank
Besluitbegrip. Is er een AVG-verzoek gedaan?
NCTV onderzoek naar Blauwe Tijger. Berichten van Blauwe Tijger zijn niet ook persoonsgegevens van de bestuurder, ook al is Blauwe Tijger verknocht met de persoon van de bestuurder.
Gerechtshof
Vermelding van een stichting (uitgeverij/journalistiek platform) in rapport DTN53 (Dreigingsbeeld Terrorisme Nederland) van de NCTV is niet onrechtmatig; artikelen 6, 8 en 10 EVRM.
EVR registratie had niet mogen plaatsvinden. IVR registraite wel en duur wordt niet verkort
Rechtbank
Vordering tot verwijdering persoonsgegevens uit externe frauderegistratiesystemen toewijsbaar. Verzekeringsfraude niet voldoende komen vast te staan. Wel voldoende grond voor opname persoonsgegevens in interne frauderegistratiesystemen. Vordering tot schadevergoeding wegens onrechtmatig handelen niet toewijsbaar.
WPG. Zoekslag in het bestreden besluiten onvoldoende inzichtelijk; daarnaast niet volledig op het verzoek om...
Rechtbank
WPG. Zoekslag in het bestreden besluiten onvoldoende inzichtelijk; daarnaast niet volledig op het verzoek om kennisneming beslist. Gebreken hangende het beroep hersteld. Weigeringsgronden goed gemotiveerd met een behoorlijke belangenafweging. Algemene zorgen om de kwaliteit van het informatiebeheer zijn onvoldoende om toelichting op de zoekslag niet geloofwaardig te oordelen. Gegrond, instandhouding rechtsgevolgen.
Artikel :
Raad van State
Bij besluit van 6 september 2019 heeft het college van burgemeester en wethouders van Amsterdam aan [appellante] informatie verstrekt naar aanleiding van een door haar ingediend verzoek tot inzage in haar persoonsgegevens op grond van de artikelen 12 en 15, eerste lid, van de Algemene Verordening Gegevensbescherming (EU) 2016/679. [appellante] heeft het college op 25 juli 2019 verzocht om haar persoonsgegevens in te zien. Zij heeft verzocht om een kopie van de door het college verwerkte persoonsgegevens en in elk geval om een kopie van e-mails, (telefoon)verslagen en Messenger-berichten die betrekking hebben op haar. In een e-mail van 2 augustus 2019 heeft het college [appellante] gevraagd om haar verzoek schriftelijk nader te specificeren. Op deze vraag heeft [appellante] niet gereageerd. Het college heeft vervolgens een algemeen overzicht verstrekt. Dit overzicht bevat de verwerkte persoonsgegevens van [appellante] en aanvullend drie gedeeltelijke geanonimiseerde afschriften van documenten die in vrijwel ieder dossier van tot het Programma Ongedocumenteerden Amsterdam toegelaten ongedocumenteerden voorkomen.
Guidance (8)
Richtsnoeren 05/2020 inzake toestemming overeenkomstig Verordening 2016/679
guidelines toestemming
Richtsnoeren 02/2022 voor de toepassing van artikel 60 AVG
guidelines voor de toepassing van artikel 60 AVG
Een van de belangrijkste innovaties bij de invoering van de AVG was de introductie van het concept 'één-loketmechanisme'. In gevallen van grensoverschrijdende verwerking is de toezichthoudende autoriteit in de lidstaat van de hoofdvestiging van de verwerkingsverantwoordelijke of verwerker de autoriteit die leidinggeeft aan de handhaving van de AVG met betrekking tot de grensoverschrijdende verwerkingsactiviteiten in kwestie. Daarbij wordt samengewerkt met alle autoriteiten die de gevolge...
ARTICLE 29 DATA PROTECTION WORKING PARTY
Guidelines on transparency
Richtsnoeren 01/2020 inzake de verwerking van persoonsgegevens in het kader van verbonden voertuigen en mobiliteitsgerelateerde toepassingen
guidelines connected vehicles
Versiegeschiedenis
guidelines doorgifte van persoonsgegevens tussen overheidsinstanties en -organen binnen en buiten de EER
GROEP GEGEVENSBESCHERMING ARTIKEL 29
guidelines transparantie
Richtsnoeren 9/2020 inzake relevant en gemotiveerd bezwaar overeenkomstig Verordening 2016/679
Toets wijziging Regeling structurele informatieverstrekking bedrijfsvoering WMG
AP
Wetgevingsadvies Toets wijziging Regeling structurele informatieverstrekking bedrijfsvoering WMG
News (3)
Coordinated enforcement framework: The European Data Protection Board will select a topic for enforcement action in 2026.
Brussels, October 14th - During its plenary meeting in October, the European Data Protection Board (EDPB) selected the topic for its fifth coordinated enforcement action. This action will focus on compliance with the obligations regarding transparency and information provision under the General Data Protection Regulation (GDPR). The GDPR ensures that individuals are informed when their data is being processed (as stipulated in Articles 12, 13, and 14). This right to information is a crucial element of transparency and ensures that individuals have more...
Hunton summarises two articles from the new SCCs: the 'local laws and government access' section
Under Clause 14 of the Data Transfer SCCs, the data importer must carry out a transfer risk assessment to verify whether the laws and practices of the receiving third country could prevent the data importer from complying with the Data Transfer SCCs. If the risk assessment shows that the Data Transfer SCCs alone will not ensure an essentially equivalent level of protection for the personal data in the receiving third country, supplementary safeguards will need to be implemented, such as end-to-e
Hunton geeft een samenvatting van twee artikelen uit de nieuwe SCC-richtlijnen: het onderdeel over "lokale wetgeving en toegang tot overheidsinstanties".
Volgens artikel 14 van de Standaard Contractuele Bepalingen (SCC's) voor gegevensuitwisseling, moet de partij die de gegevens importeert een risicoanalyse uitvoeren om te verifiëren of de wet- en regelgeving en praktijken van het ontvangende derde land de mogelijkheid van de gegevensimporteur om te voldoen aan de SCC's voor gegevensuitwisseling, kunnen belemmeren. Indien de risicoanalyse aantoont dat de SCC's voor gegevensuitwisseling op zichzelf niet voldoende zijn om een in wezen gelijkwaardig beschermingsniveau te garanderen voor de persoonsgegevens in het ontvangende derde land, moeten aanvullende waarborgen worden geïmplementeerd, zoals end-to-end-versleuteling.