Privacy

Japan gaat all-in, las ik bij diverse tendentieuze AI-nieuwssites: het auteursrecht in dat land geldt niet tegen partijen die massaal beschermde werken kopiëren voor data mining en daar taalmodellen (“AI”) van maken. Men ziet dit als een strategische keuze van het land, want hoe meer data hoe beter je AI en dus hoe sneller je vooruitkomt in de vaart der volkeren. Newsflash: het is niets nieuws.

Het klopt dat de Japanse minister van cultuur, sport en technologie Keiko Nagaoka recent heeft gezegd dat onder het Japans auteursrecht het geen inbreuk is om werken te kopiëren voor data mining: [I]n Japan, whether it is for non-profit purposes, commercial purposes, or acts other than duplication, it is obtained from illegal sites, etc. Minister Nagaoka clarified that the work can be used for information analysis regardless of the method, regardless of the content. Als je dan de wetstekst erbij pakt dan staat in artikel 30-4 inderdaad iets van die strekking: It is permissible to exploit a work, in any way and to the extent considered necessary, … if it is done for use in data analysis (meaning the extraction, comparison,classification, or other statistical analysis of the constituent language, sounds, im-ages, or other elemental data from a large number of works or a large volume of other such data; De minister bevestigt dus dat deze brede tekst inderdaad breed bedoeld is. Dit lijkt op een discussie die in Europa al sinds 2019 woedt, toen in de Auteursrechtrichtlijn (2019/790) ook zoiets in de wet werd gezet: 1. De lidstaten voorzien in een uitzondering op of beperking van de rechten als bedoeld in artikel 5, onder a), en artikel 7, lid 1, van Richtlijn 96/9/EG, artikel 2 van Richtlijn 2001/29/EG, artikel 4, lid 1, onder a) en b), van Richtlijn 2009/24/EG en artikel 15, lid 1, van deze richtlijn voor reproducties en opvragingen van rechtmatig toegankelijke werken en andere materialen met het oog op tekst- en datamining. Hier staat ook geen voorbehoud over al dan niet met commercieel oogmerk, hoewel er wel de beperking geldt dat het werk rechtmatig openbaar maakt moet zijn. Ook is er (niet geciteerd) de optie van een voorbehoud, dat een rechthebbende kan maken in machine-leesbare vorm waarna data miners dat moeten respecteren. Wat dat betreft lijken we dus net zo ver te zijn als Japan, en ik zou niet echt van een auteursrechtelijke “race to the bottom” willen spreken, hoewel het natuurlijk voor de AI-industrie wel goed is dat je in principe mag dataminen in alle openbare bronnen.

Er zit nog een belangrijke angel in deze uitzondering: de zogeheten driestappentoets geldt ook bij de uitleg van deze uitzondering. Deze toets komt uit de Berner Conventie (artikel 9) en het TRIPS verdrag (artikel 13), en komt erop neer dat een uitzondering niet het uitgangspunt van het auteursrecht mag verstoren – je mag niets zonder toestemming. De drie stappen zijn:

1. De beperking mag alleen gelden voor bepaalde bijzondere gevallen.
2. De wettige belangen van de rechthebbende mogen niet onredelijk worden geschaad.
3. Er mag geen afbreuk worden gedaan aan de normale exploitatie van werken of ander materiaal.

Wat levert deze toets op in het geval van deze data mining uitzondering? Het lijkt een bijzonder geval, en de normale exploitatie blijft ook gewoon bestaan. Die wettige belangen is een iets lastigere, er wordt immers geen vergoeding afgedragen. Maar daar staat tegenover dat je als rechthebbende een opt-out kunt doen, zodat je jouw belangen vervolgens zelf kunt behartigen door bijvoorbeeld data mining licenties te verkopen tegen een zelf te kiezen vergoeding.

Omdat Japan ook lid is van de Berner Conventie en de Wereldhandelsorganisatie, geldt deze toets ook voor Japan. Wederom: juridisch gezien dus niets nieuws. Het is vooral opmerkelijk dat in de VS, waar men die driestappentoets voornamelijk negeert en alleen vagelijk wuift naar fair use als het om machine learning gaat, er zo veel wordt gedatamined.

Arnoud

Het bericht Schaft Japan het auteursrecht af om de AI race te winnen? verscheen eerst op Ius Mentis.

This is part four of an ongoing, five-part series. Part one, the introduction, is here. Part two, about breaking up ad-tech companies, is here. Part three, about banning surveillance ads, is here.

When Steve Jobs unveiled the iPad in 2010, he didn’t just usher in a new kind of computing device - the first mainstream touchscreen tablet - he also promised a new model for internet-based publishing: paid subscriptions.

Jobs railed against the world of advertising-supported web publishing, correctly identifying it as the pretense for the creation of a vast, dangerous unaccountable surveillance system that  the private sector would build, but which cops and spies enjoyed unfettered, warrantless access to.

Jobs promised a better internet: he promised publishers that if they expended the capital to build apps for his new tablets, that he would free them from the increasingly concentrated and aggressive surveillance advertising sector. Instead of paying for journalism with ads, Jobs promised that publishers would be able to sign up subscribers who’d pay cash money, breaking the uneasy coalition between surveillance and journalism.

Publishers piled in, spending billions in aggregate to fill Apple’s App Store with apps that let readers pay directly for the news. Readers followed - not in the numbers that Jobs had alluded to, and not for every publisher, but for many publishers, apps were a lifeline.

Apple’s App Store started off with a pretty straightforward proposition: when publishers sold an app to readers, Apple would process the transaction and take a 30 percent cut. After that, publishers could use any payment processor they wanted - including Apple - to handle future purchases, such as per-article fees, recurring subscriptions, or other transactions.

But as the iPad - and other devices that tapped into the App Store, the iPhone and iPod - grew in prominence and became more structurally important to publishers’ businesses, Apple altered the deal. 

In 2011, Apple announced that every in-app transaction had to be processed by Apple, and that Apple would take a 30 percent commission on all revenues generated by every app user. To ensure that publishers didn’t do an end-run around this new deal, Apple banned apps from directing users to the web to process payments.

Google Play, the Android app store, has nearly identical policies. Nominally, users can install third party app stores on their Android phones, but in practice, Google uses a variety of commercial, technical and psychological tricks to prevent this..

The net result of this is that 30 percent of every in-app subscription or micropayment dollar is siphoned off by either Google or Apple. In a world where large merchants can get their payments processed for 2-3 percent, that is a massive cash-grab. 

The fact that Apple and Google charge 1,000% more to process transactions than other payment processors tells us that they do not fear outside competition. The fact that they both charge many publishers the same outrageous commissions tells us that they don’t compete with each other, either.

Competition in mobile app stores would open up competition for mobile payments, and that would drive prices down to the industry norm of 2-3 percent. That means that every news organization that receives subscription payments through an app would see an increase of 25 percent or more for each and every one of those payments (and news companies that don’t accept mobile payments at all because of the high fees could start).

The EU is well on its way to making this a reality. The new Digital Markets Act requires mobile companies to offer simple, secure access to rival app stores. In the USA,, the Open App Markets Act, a Senate bill introduced in the last session, would do the same.

The app store duopoly claims that opening up app stores would necessarily expose users to security risks. This is not true: a thoughtful, careful approach could maintain app store security while liberating the news - and every other app-based business - from the 30 percent commissions claimed by the tech giants.

Wat is een handtekening voor ontvangst juridisch gezien? Gastblogger Alex de Kruijff heeft eerder [link]hier geschreven[/link] en presenteert hieronder een uitgebreide analyse vanuit AVG perspectief.

In een tijdperk waarin digitale communicatie de overhand heeft, worden fysieke poststukken vaak over het hoofd gezien. Toch blijft het verzenden van belangrijke documenten en informatie via de post een veelvoorkomende praktijk. Hierbij is de ondertekening voor ontvangst een cruciaal element, omdat het fungeert als bewijs dat het poststuk daadwerkelijk de geadresseerde heeft bereikt. Het belang van dit bewijs van aflevering kan niet worden onderschat, zowel voor de afzender als voor de geadresseerde. In dit artikel onderzoeken we de vraag of de ondertekening voor ontvangst van een poststuk beschouwd kan worden als een persoonsgegeven van de geadresseerde, en welke implicaties dit heeft voor de bescherming van privacy en juridische aspecten rondom postdiensten. Ga met mij mee op deze verkenning en ontdek de complexiteit van dit ogenschijnlijk alledaagse, maar belangrijke aspect van onze communicatie.

De ondertekening is belangrijk op drie gebieden. Allereerst, de ondertekening fungeert als juridisch bewijs dat het poststuk de geadresseerde daadwerkelijk heeft bereikt. Dit is voornamelijk van belang in situaties waarin de ontvangst van het poststuk wordt betwist. Het bewijs van aflevering helpt bij het vaststellen van verantwoordelijkheden en kan van cruciaal belang zijn in juridische procedures. Ten tweede, de ondertekening geeft het poststuk een zekere authenticiteit, omdat het bevestigt dat het poststuk is ontvangen op het adres waar het naar toe is verzonden en niet is zoekgeraakt of in verkeerde handen is beland. Dit versterkt het vertrouwen tussen de afzender en de geadresseerde bij belangrijke en vertrouwelijke correspondentie. Tot slot, de fysieke ondertekening voor ontvangst is een tastbaar bewijs van communicatie. Het biedt een tastbaar spoor van de uitwisseling van informatie en versterkt de vertrouwelijkheid en integriteit van de communicatie tussen partijen.

Wat zijn persoonsgegevens? Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is te identificeren wanneer je een uniek persoon kunt aanwijzen waar de informatie over gaat. Deze identificatie kan onder meer aan de hand van een naam, locatie, of een ander gegeven dat verbonden is met een persoon. Een ondertekening kan bestaan uit de volledige naam, initialen, of een krabbel die representatief is voor de persoon, en wordt vaak geassocieerd met de persoonlijke identiteit van die persoon.

Het Hof van Justitie van de Europese Unie heeft in het Nowak arrest (r.o. 34 en 35) overwogen dat het begrip persoonsgegevens een ruime betekenis heeft. Het gaat hierbij niet alleen om gevoelige of persoonlijke informatie, maar dat het zich uitstrekt tot elke soort informatie, zowel objectieve en subjectieve informatie onder de vorm van meningen of beoordelingen, mits deze informatie de betrokkene betreft. En dat informatie de betrokkene betreft wanneer deze door zijn inhoud, doel of gevolg verbonden is aan een bepaalde persoon. Met andere woorden informatie is een persoonsgegeven van een persoon, wanneer: (i) de informatie betrekking heeft op die persoon; (ii) het doel van de informatie verband houdt met die persoon; of (iii) wanneer de informatie consequenties of gevolgen heeft voor die persoon.

Is een ondertekening voor ontvangst een persoonsgegeven? Hoewel de Autoriteit Persoonsgegevens (18 februari 2021) en de Rechtbank Midden-Nederland (zaaknr. C/16/513136 / HA RK 20-291) van mening lijken te zijn dat een ondertekening door een ander dan de geadresseerde geen persoonsgegevens is van de geadresseerde, betoog ik hierna dat een ondertekening toch gekwalificeerd moet worden als persoonsgegeven van de geadresseerde, ook als de ondertekening door een ander is gezet.

Beide beschikkingen hebben met elkaar gemeen dat er slechts aan één van de drie toetsingscriteria wordt getoetst. De Autoriteit Persoonsgegevens kijkt enkel naar het doel van de ondertekening. Dat doel van de ondertekening is het leveren van bewijs dat een poststuk is afgeleverd op het daarvoor bestemde adres, maar het begrip persoonsgegevens heeft een bredere reikwijdte. En de Rechtbank Midden-Nederland kijkt enkel naar de inhoud. De rechtbank constateert dat de ondertekening weliswaar een identificator bevat aan de hand waarvan een natuurlijk persoon kan worden geïdentificeerd, maar wederom heeft het begrip persoonsgegevens een bredere reikwijdte. Beiden hanteren dus niet de maatstaf zoals deze door het Hof van Justitie van de Europese Unie uiteen is gezet.

De Hoge Raad heeft in 2013 (r.o. 3.3.2) bepaald dat een poststuk een persoon heeft bereikt wanneer er aan twee criteria is voldaan. Als eerste, dat het poststuk is verzonden naar een adres waarvan de afzender redelijkerwijs mag aannemen dat de geadresseerde op het adres kan worden bereikt. En ten tweede, dat het poststuk op dat adres is aangekomen. Dit betekent dat de ondertekening voor ontvangst een belangrijk element is in het bepalen of het poststuk daadwerkelijk de geadresseerde heeft bereikt. De ondertekening kan dan ook gekwalificeerd worden als een persoonsgegeven van de geadresseerde.

Is de Algemene Verordening Gegevensbescherming (AVG) van toepassing? De AVG is van toepassing wanneer de persoonsgegevens geheel of gedeeltelijk geautomatiseerd worden verwerkt of de persoonsgegevens worden opgenomen in een bestand. Er is sprake van geheel of gedeeltelijk geautomatiseerde verwerking op het moment dat er gebruik wordt gemaakt van computers. En er is sprake van een bestand wanneer de persoonsgegevens zodanig worden opgeslagen dat deze later eenvoudig kunnen worden teruggevonden en gekoppeld aan een uniek persoon.

De grote postdiensten (PostNL, DHL, en DPD) maken allemaal gebruik van computersystemen voor de verwerking van de informatie over verzending, transport, en ontvangst, waaronder ook de ondertekening zoals deze door de ontvanger is gezet. PostNL werkt met een combinatie van een code en de postcode van de geadresseerde, DHL werkt met een URL, en DPD werkt met een nummer. Er is dus sprake van een geheel of gedeeltelijk geautomatiseerde verwerking.

Wat zijn de gevolgen? In de genoemde beschikkingen staat centraal dat de postbode voor ontvangst tekent. In beide beschikkingen werd de ondertekening niet beschouwd als persoonsgegeven van de geadresseerde. De ondertekening kon immers niet worden gebruikt om de geadresseerde te identificeren; het diende alleen als bewijs van aflevering. Hierdoor is de verwerkingsverantwoordelijke niet verplicht om de juistheid van de verwerkte informatie aan te tonen. Dit creëert problemen, omdat de rechtspraak de ondertekening wel accepteert als bewijs dat de geadresseerde het poststuk heeft ontvangen, mits de geadresseerde op het betreffende adres kon worden bereikt.

Dit probleem kan geïllustreerd worden aan de hand van een voorbeeld. Stel dat de postbode op een dag besluit om niet alleen zelf voor ontvangst te tekenen, maar ook het poststuk in de bosjes te dumpen. In dat geval zou er dus bewijs zijn dat de geadresseerde het poststuk heeft ontvangen, en tegelijk zou dat geen informatie zijn die betrekking heeft op de geadresseerde zelf. De geadresseerde moet nu tegenbewijs aanleveren. De enkele stelling dat de ondertekening niet door hem is gezet is onvoldoende. Er moet namelijk bewezen worden dat het poststuk niet is ontvangen en dat is een stevige opgave.

Wat zijn de rechten en plichten van partijen? Als we accepteren dat de ondertekening een persoonsgegeven is van de geadresseerde, zoals ik betoog, dan moet er voldaan worden aan de eisen uit de AVG. De postdiensten mogen de ondertekening alleen verwerken als zij daar een rechtmatige grondslag voor hebben. Daarnaast moet de verwerking plaatsvinden in overeenstemming met de beginselen van doelbinding, rechtmatigheid, juistheid, transparantie en proportionaliteit. De postdiensten moeten technische en organisatorische maatregelen nemen om dit te waarborgen. Tot slot moet de betrokkene zijn rechten op onder meer inzage, rectificatie, en gegevenswissing kunnen uitvoeren.

De rechtmatige grondslag kan gevonden worden in het gerechtvaardigd belang van de verwerkingsverantwoordelijke, maar het gaat fout op het gebied van de maatregelen om onjuiste of onrechtmatige verwerking tegen te gaan en het uitoefenen van de rechten door de betrokkene. Deze aspecten worden heden niet gewaarborgd doordat de postdiensten en de rechtspraak de maatstaf voor persoonsgegevens niet goed toepassen.

Conclusie De ondertekening voor ontvangst van een poststuk kan worden beschouwd als een persoonsgegeven van de geadresseerde, omdat het direct of indirect betrekking heeft op die persoon en gevolgen heeft voor die persoon. Daarnaast is een ondertekening ook een persoonsgegeven van de persoon die deze heeft gezet. De AVG is van toepassing, omdat de postdiensten de ondertekening voor ontvangst elektronisch verwerken. De geadresseerde kan dan ook met een inzageverzoek de ondertekening opvragen.

Het is alleen wel essentieel dat postdiensten en rechters de maatstaf voor persoonsgegevens juist toepassen. Zij zullen zich moeten afvragen of de de informatie betrekking heeft op die persoon, het doel van de informatie verband houdt met die persoon, en of de informatie consequenties of gevolgen heeft voor die persoon. De praktijk laat nu zien dat deze maatstaf niet of onvolledig wordt toegepast.

Alex

Het bericht [gastpost] De ondertekening voor ontvangst, van wie is die? verscheen eerst op Ius Mentis.