Rechten

Een 44-jarige man heeft een lange tijd meerdere keren ingelogd op de systemen van zijn werkgever, terwijl hij daartoe niet bevoegd (meer) was. Dat las ik in een recent vonnis over een onderwerp dat me steeds meer ergert: computervredebreuk roepen terwijl iemand er wel mág zijn alleen niet om die reden. Ik blijf erbij dat dit fout is. (Oh en Outlook is wel een geautomatiseerd werk.)

Even wat achtergrond uit het vonnis: Verdachte is op 1 juli 2011 in dienst getreden bij het bedrijf [bedrijf benadeelde] B.V. Hij verrichtte werkzaamheden als financieel en juridisch adviseur. Binnen deze organisatie was hij tevens verantwoordelijk voor de ICT-gerelateerde aspecten. In 2015 werd hij ziek, waarna in juni 2018 de arbeidsovereenkomst werd ontbonden (met bekrachtiging in 2019). Dat ging kennelijk niet geheel vrijwillig, getuige wat ik dan lees: Verdachte heeft op zitting verklaard dat hij (ook) in de tenlastegelegde periode van 14 mei 2017 tot en met 29 juni 2018 meerdere malen met zijn eigen inloggegevens en met de inloggegevens van de directeur/eigenaar van het bedrijf, [benadeelde] , heeft ingelogd via een webbrowser op de e-mailaccounts van de web-e-maildienst van [bedrijf benadeelde] B.V .. Hij heeft daarbij meerdere keren schermafbeeldingen van e-mails gemaakt. Hij wilde zich verweren in een civiele zaak, waarin hij op grond van artikel 21 van het Wetboek van Burgerlijke Rechtsvordering verplicht was de waarheid te vertellen. Daarvoor moest hij de waarheid achterhalen, aldus verdachte. Hij vond het niet chique, maar ook niet strafbaar wat hij deed. In die tijd bleek zijn account nog gewoon te werken, inclusief de speciale privileges die hij had vanwege die ICT-taken die hij had. Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel. 

Dit is de discussie die we vaker hebben gehad: je hebt op zich legaal de sleutel/wachtwoord gekregen om ergens in te mogen loggen en dingen te doen. Je doet die dingen, maar met een andere intentie of doel dan waar de verstrekker ze voor gaf. Ik snap dat dat niet mag, en zou dit ook zeker “fout op het werk” of “plichtsverzuim” of “slecht werknemerschap” noemen. Maar computervredebreuk, een ernstig misdrijf waar 4 jaar cel op staat?

Ik blijf hier moeite mee houden. Als een werknemer tegen de instructie in met zijn eigen sleutel ’s avonds naar kantoor gaat en papieren dossiers kopieert, noemen we dat dan inbraak? Voor mij is dat evident onlogisch en blijkt hier weer het “cyber is zo eng” gevoel dat ik helaas nog wel eens bij juristen tegenkom.

De verdediging had nog zeer actueel dat HR-arrest aangedragen, waarin men bepaalde dat “binnendringen in een website” niet strafbaar is omdat een website geen computersysteem is. De rechter schuift dat makkelijk terzijde, want in de tenlastelegging staat computervredebreuk heeft gepleegd door in te loggen in de web e-mailserver van [bedrijf benadeelde] B.V .; Dat woordje ‘server’ leest de rechtbank als het fysieke ding waar alles op gebeurt. Door dus in te loggen op de Outlook webinterface, heb je ingebroken op de hardware. En die hardware was (kennelijk, volgens het dossier) eigendom van het bedrijf zodat de discussie over “de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” niet relevant is.

Arnoud

Het bericht Ik blijf erbij, het is fout om iets computervredebreuk te noemen als je er normaal wél mag zijn verscheen eerst op Ius Mentis.

De wetgever is aan zet, stelt Ahsmann in een artikel in de nieuwste editie van het Nederlands Juristenblad. Ahsmann is emeritus bijzonder hoogleraar rechtspleging aan de Universiteit Leiden en oud-rechter.

De rechter heeft de opdracht om, naast zijn beslissende taak, waar mogelijk te bevorderen dat een procedure door een minnelijke regeling wordt beëindigd. Maar de Nederlandse wetgever heeft de rechter geen enkele structuur of houvast gegeven voor een behoorlijke vervulling van diens schikkingstaak, schrijft Ahsmann. “Anders dan in Duitsland en België is bij ons niet grondig nagedacht over de rol van de rechter bij het schikkingsproces en de relatie tussen mediation en rechtspraak. Aan ‘mediation naast rechtspraak’ ligt nog steeds geen wettelijke regeling ten grondslag.”

Wetsvoorstellen tot bevordering en reglementering van mediation zijn al verschillende malen in de prullenmand beland. Het gevolg van het ontbreken van wetgeving is volgens haar een wildgroei aan ideeën over de beste werkwijze. Daarbij liggen rechtsstatelijke bezwaren op de loer, aldus Ahsmann. Zo botst het wezen van het mediationproces, waarbij partijen zich contractueel tot vertrouwelijkheid verbinden, met de vereiste grondregel van openbaarheid van rechtspraak.

Ahsmann noemt daarnaast enkele andere fundamentele bezwaren. Ze werpt de vraag op of een rechter het zich kan veroorloven om een flink aantal uur te besteden aan een bemiddeling, terwijl hij al onder tijdsdruk werkt en andere zaken zich ophopen. Ze wijst ook op de paradox dat de rechter het traject van geschiloplossing door bemiddeling naar zich toe trekt, terwijl er genoeg mediators zijn, maar er een tekort aan rechters is.

Ahsmann komt tot de conclusie dat de dubbelrol van de bemiddelende rechter innerlijke tegenstrijdigheden en verwarring oplevert en stelt dat het schikkingsproces binnen de rechtspraak niet moet verworden tot een vorm van mediation. “Als probleemoplosser kan de rechter in conflict komen met het geschetste ideaalbeeld van de onpartijdige vakman die zorgvuldig en genuanceerd afwegingen maakt om tot een beslissing te komen.”
Ze vindt dat de wetgever aan zet is. Het bieden van duidelijkheid over de keuze tussen mediation en rechtspraak leidt volgens haar tot een consequentere scheiding tussen een procedure via een mediator en een procedure via de rechter, zodat “de rechter zijn rechterlijke rol volwaardig en niet als een halfbakken mediator hoeft te vervullen.”

Het bericht ‘Wettelijke grondslag vereist voor mediation door de rechter’ verscheen eerst op Mr. Online.

De ambtstermijn van Sacha Prechal, die sinds 2010 als Nederlandse rechter deel uitmaakt van het EU-Hof, eindigt in oktober van dit jaar. Daarom moest Nederland een kandidaat-rechter voordragen die per 7 oktober 2024 voor een periode van zes jaar kan worden benoemd.

Afgelopen november stelde de ministerraad Herke Kranenborg, hoogleraar Europees privacy- en gegevensbeschermingsrecht aan de Universiteit Maastricht en lid van de juridische dienst van de Europese Commissie, voor deze functie voor. Hij trok zijn kandidatuur echter in, waarna een nieuwe kandidaat moest worden gezocht.

Dat is Ben Smulders geworden. Hij is adjunct directeur-generaal van het Directoraat-Generaal Mededinging van de Europese Commissie en gasthoogleraar Internationaal en Europees mededingingsrecht aan de Vrije Universiteit Brussel.

De selectie voor deze functie vindt plaats via een openbare sollicitatieprocedure. Een onafhankelijke aanbevelingscommissie, voorgezeten door de president van de Hoge Raad, brengt een aanbeveling uit aan de ministers van Buitenlandse Zaken en Rechtsbescherming.

Met de voordracht door de ministerraad is Smulders er nog niet: voorafgaand aan de benoeming zal een EU-comité, dat bestaat uit rechters van de hoogste nationale rechtscolleges, oud-rechters van het EU-Hof en rechtsgeleerden, een advies uitbrengen. Het is vervolgens aan de lidstaten van de Europese Unie om hem als rechter te benoemen. De lidstaten besluiten hiertoe met consensus.

Het Hof van Justitie van de Europese Unie is het hoogste rechtsprekende orgaan van de EU en  bestaat uit 27 rechters, één per EU-lidstaat. Het Hof heeft het laatste woord over de interpretatie en de geldigheid van het recht van de EU.

Het bericht Nieuwe voordracht Nederlandse rechter Hof van Justitie van de Europese Unie verscheen eerst op Mr. Online.

Kan de bank je verplichten om afstand te doen van je bitcoins? Die vraag kwam ik tegen op de blog van het AMLC. Het ligt iets juridischer: schiet een bank tekort in haar zorgplicht door een klant mede te delen dat zij de bankrelatie zou beëindigen als deze haar bitcoins niet zou verkopen. Voor iedereen die naar de “Sell”-knop grijpt: het antwoord is negatief.

Het AMLC legt uit: Het gaat om een bedrijf (Decos, AE) dat zich richt op de ontwikkeling van nieuwe technologie, waaronder blockchain. Sinds 2013 kocht en verkocht het bedrijf zo nu en dan bitcoins. Het bedrijf gebruikte haar posities in bitcoin vooral als reserve om liquiditeit aan te vullen. Eens per jaar werden delen verkocht en in het jaar daarop werden bitcoins aangekocht. De Rabobank deed op zeker moment onderzoek naar deze klant van haar, en notdekte “dat de onderneming middels het aan- en verkopen van Bitcoins, alsmede het minen van virtuele valuta, niet voldoet aan het beleid Rabobank virtuele valuta”. Ophouden daarmee dus, of je gaat eruit als klant. Voor een bedrijf een kleine ramp natuurlijk.

Wat was dan de noncompliance, of iets algemener welk beleid heeft de Rabobank? “Het CDD beleid is uitsluitend voor intern gebruik, deze kunnen we helaas niet delen. Dit betekent dat wij ook op onze website geen informatie hebben over ons beleid.” Een bank heeft volgens de wet een zorgplicht, en mag een bancaire relatie daarom niet zonder meer eenzijdig opzeggen op grond van het beleid en/of de eigen algemene voorwaarden. Daar staat tegenover dat een bank ook bepaalde regels moet navolgen, zoals de antiwitwasregels uit de Wwft.

Levert handel in bitcoins een risico rond die regels om? Niet direct: Dat Rabobank strikt beleid hanteert ten aanzien van (de handel) in virtuele valuta door ondernemingen is gelet op de door Rabobank genoemde risico’s niet onbegrijpelijk. Het staat Rabobank in beginsel vrij om dit beleid te voeren. Ook wanneer dit beleid betekent dat zakelijke klanten geen virtuele valuta via Rabobank kunnen verhandelen of aanhouden. De stelling van Rabobank dat de Wwft haar ertoe verplicht dit beleid te voeren, berust echter op een onjuiste interpretatie van de door Rabobank aangehaalde bepalingen uit deze wet. De wet eist immers dat je onderzoek doet bij verdachte transacties, niet dat je de klant eruit gooit als het verdacht riekt.

Dan blijft over de contractsvrijheid: mag Rabobank als private partij ervoor kiezen om strenger beleid te maken dan de wet van haar vergt? Ja, aldus het Gerechtshof. Die contractsvrijheid is er, zolang je er maar netjes mee omgaat. Wederom die zorgplicht. En daar gaat het hier op mis: Op grond van de bancaire zorgplicht is Rabobank verplicht haar klanten te informeren over haar beleid op het moment dat zij daar om vragen. Je moet als zakelijke klant bij een bank weten dat er vast regels zullen zijn over virtuele valuta, maar je hoeft echt niet te weten dat een bank ze wel eens zou kunnen verbieden. Als dát het beleid is, dan moet dat expliciet uitgedragen worden zodat je je keuze voor een bank daarop kunt afstemmen.

De volgende stap is dat je de toepassing van het beleid motiveert. Oftewel: welke risico’s zien we hier. Enkel zeggen “er kúnnen risico’s zijn dus het mag never nooit niet” is niet genoeg: Rabobank heeft echter niet aangevoerd dat zich verhoogde risico’s voordeden bij Decos. Rabobank heeft daarmee haar aanzegging in feite alleen gebaseerd op (categoriale) bezwaren aangaande virtuele valuta. Ten aanzien van de aan- en verkoop van bitcoins door Decos heeft Rabobank op geen enkel moment duidelijk gemaakt op basis waarvan het risico zodanig hoog werd geacht dat er van Decos mocht worden geëist dat zij haar volledige portefeuille binnen drie maanden zou verkopen. Als laatste is die periode van drie maanden ook nog eens onredelijk kort. Gezien de langlopende bancaire relatie, het grote belang dat Decos had bij de voortzetting daarvan en het gegeven dat de mogelijkheid van overstappen naar een andere bank op zijn minst onzeker was en ook meer tijd in beslag zou nemen dan drie maanden, had Rabobank aan haar eisen in elk geval een redelijke(re) termijn moeten verbinden. Alles bij elkaar had de bank dus onrechtmatig gehandeld door deze verplichting af te dwingen. Alleen, wat is de schade? Het bedrijf hanteerde de bitcoins als een soort reservepotje voor als de gewone geldstromen wat krapper werden. Het is dan logisch dat ze normaliter in ieder geval een deel van de bitcoins zouden hebben behouden. Maar welk deel, en of dingen als transactiekosten meewegen, dat moet in een aparte procedure worden bepaald.

Ondertussen lijk ik beleid te ontwaren op de Rabobank-site.

Arnoud

Het bericht Kan de bank je verplichten je bitcoins te verkopen op straffe van verlies bankrekening? verscheen eerst op Ius Mentis.

Facial recognition is a threat to privacy, racial justice, free expression, and information security. EFF supports strict restrictions on face recognition use by private companies, and total bans on government use of the technology. Face recognition in all of its forms, including face scanning and real-time tracking, pose threats to civil liberties and individual privacy. “False positive” error rates are significantly higher for women, children, and people of color, meaning face recognition has an unfair discriminatory impact. Coupled with the fact that cameras are over-deployed in neighborhoods with immigrants and people of color, spying technologies like face surveillance serve to amplify existing disparities in the criminal justice system.

Across the nation local communities from San Francisco to Boston have moved to ban government use of facial recognition. In New York, Electronic Frontier Alliance member Surveillance Technology Oversight Project (S.T.O.P.) is at the forefront of this movement. Recently we got the chance to speak with them about their efforts and what people can do to help advance the cause. S.T.O.P. is a New York-based civil rights and privacy organization that does research, advocacy, and litigation around issues of surveillance technology abuse.

What does “Ban The Scan” mean? 

When we say scan, we are referring to the “face scan” component of facial recognition technology. Surveillance, and more specifically facial recognition, disproportionately targets Black, Brown, Indigenous, and immigrant communities, amplifying the discrimination that has defined New York’s policing for as long as our state has had police. Facial recognition is notoriously biased and often abused by law enforcement. It is a threat to free speech, freedom of association, and other civil liberties. Ban the Scan is a campaign and coalition built around passing two packages of bills that would ban facial recognition in a variety of contexts in New York City and New York State. 

Are there any differences with the State vs City version?

The City and State packages are largely similar. The main differences are that the State package contains a bill banning law enforcement use of facial recognition, whereas the City package has a bill that bans all government use of the technology (although this bill has yet to be introduced). The State package also contains an additional bill banning facial recognition use in schools, which would codify an existing regulatory ban that currently applies to schools.

What hurdles exist to its passage? 

 For the New York State package, the coalition is newly coming together, so we are still gathering support from legislators and the public. For the City package, we are lucky to have a lot of support already, and we are waiting to have a hearing conducted on the residential ban bills and move them into the next phase of legislation. We are also working to get the bill banning government use introduced at the City level.

What can people do to help this good legislation? How to get involved? 

We recently launched a campaign website for both City and State packages (banthescan.org). If you’re a New York City or State resident, you can look up your legislators (links below!) and contact them to ask them to support these bills or thank them for their support if they are already signed on. We also have social media toolkits with graphics and guidance on how to help spread the word!  

Find your NYS Assemblymember: https://nyassembly.gov/mem/search/ 

Find your NYS Senator: https://www.nysenate.gov/find-my-senator 

Find your NYC Councilmember: https://council.nyc.gov/map-widget/  

Our faces are often exposed and, unlike passwords or pin numbers, cannot be remade. Governments and businesses, often working in partnership, are increasingly using our faces to track our whereabouts, activities, and associations. This is why EFF recently submitted comments to the U.S. Commission on Civil Rights, which is preparing a report on face recognition technology (FRT).   

In our submission, we reiterated our stance that there should be a ban on governmental use of FRT and strict regulations on private use because it: (1) is not reliable enough to be used in determinations affecting constitutional and statutory rights or social benefits; (2) is a menace to social justice as its errors are far more pronounced when applied to people of color, members of the LGBTQ+ community, and other marginalized groups; (3) threatens privacy rights; (4) chills and deters expression; and (5) creates information security risks.

Despite these grave concerns, FRT is being used by the government and law enforcement agencies with increasing frequency, and sometimes with devastating effects. At least one Black woman and five Black men have been wrongfully arrested due to misidentification by FRT: Porcha Woodruff, Michael Oliver, Nijeer Parks, Randal Reid, Alonzo Sawyer, and Robert Williams. And Harvey Murphy Jr., a white man, was wrongfully arrested due to FRT misidentification, and then sexually assaulted while in jail.

Even if FRT was accurate, or at least equally inaccurate across demographics, it would still severely impact our privacy and security. We cannot change our face, and we expose it to the mass surveillance networks already in place every day we go out in public. But doing that should not be license for the government or private entities to make imprints of our face and retain that data, especially when that data may be breached by hostile actors.

The government should ban its own use of FRT, and strictly limit private use, to protect us from the threats posed by FRT. 

We could go on for days talking about all the work EFF does to ensure that technology supports freedom, justice, and innovation for all people of the world. In fact, we DO go on for days talking about it — but we’d rather hear from you. 

What does EFF mean to you? We’d love to know why you support us, how you see our mission, or what issue or area we address that affects your life the most. It’ll help us make sure we keep on being the EFF you want us to be.

So if you’re willing to go on the record, please send us a few sentences, along with your first name and current city of residence, to testimonials@eff.org; we’ll pick some every now and then to share with the world here on our blog, in our emails, and on our social media.

Vandaag is het de laatste dag van notariskantoor Van Pelt (Assen), waar Ellen van Pelt als eenpitter werkt. Ze heeft haar ontslag al bij de koning ingediend. Rust heeft zij nodig, reflectie en heroverweging, en springt daarom op haar gravelbike om drie maanden te toeren, richting de bergen. Na haar tocht gaat ze verder als kandidaat-notaris, wat zij tussen 1991 en 1994 ook was, toen bij notariskantoor Maris in Ridderkerk. In 2002 begon ze haar eigen kantoor (Krijgsheld en Van Pelt), sinds 2016 als eenpitter.

Om in die hoedanigheid alle ballen in de lucht te houden, zo vertelt zij op knb.nl, vond ze soms lastig. Je bent dan notaris én werkgever én ondernemer en in alle posities had ze te maken met veel regelgeving. “Ik heb het met veel plezier 22 jaar gedaan”, zegt zij. “Het notarisvak vind ik ontzettend leuk, maar je bent relatief veel tijd kwijt aan andere zaken. Dan is de balans zoek en ga je op zoek naar oplossingen.”

Van Pelt (55) sloot haar kantoor aan bij Elan Notarissen (een landelijk netwerk met negentien vestigingen, Van Pelt blijft in Assen) om daar aan de slag te gaan als kandidaat-notaris. “Maar je gaat niet vrijdag als notaris naar huis om op maandag als kandidaat binnen te komen.” Daarom een intermezzo: de fietstocht van drie maanden. Waarheen is niet helemaal duidelijk, idee is om ‘richting de Alpen’ te fietsen. Ze wil de rit niet van dag tot dag vooruitplannen. Ze fietst alleen en houdt contact met het thuisfront via Facetime.

Het bericht Notaris wordt kandidaat-notaris, maar eerst een fietstocht van drie maanden verscheen eerst op Mr. Online.

Hostingbedrijf Leaseweb weigert na een cyberaanval openheid van zaken te geven aan de Autoriteit Persoonsgegevens, las ik bij NRC. Dit als vervolg op een datalekmelding augustus vorigjaar, Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, als gevolg van een cyberaanval. Dat moet, en je moet dan ook openheid geven van de wet. Dus wat is hier aan de hand?

De zaak kwam aan het licht door een vonnis waarin de rechtbank Midden-Nederland de toezichthouder terugfluit: die had een onderzoeksrapport niet bij de externe deskundige moeten vorderen maar bij Leaseweb zelf. Dat is een beetje een zijsprong, dus laten we even terug naar de basis.

Eind augustus meldde Leaseweb bij een aantal klanten geraakt te zijn door een cyberaanval. Zoals Techzine destijds meldde: Een cyberaanval bij het Nederlandse Leaseweb veroorzaakte een storing in de infrastructuur van het bedrijf. Slechts enkele klanten die gebruikmaken van de cloudhosting-oplossingen van het bedrijf, konden daar last van ondervinden. Om de gevolgen van de aanval zo klein mogelijk te houden, haalde Leaseweb vervolgens kritieke infrastructuur offline. Voor het daarop volgende onderzoek werkte men “nauw samen met een gerespecteerd cyberbeveiligings- en forensisch bedrijf”. En hoewel er naar eigen zeggen “geen ongeoorloofde activiteiten” waren aangetroffen, deed men toch een melding van een datalek. Bij zo’n melding moet je ook opnemen wat je gaat doen om het probleem op te lossen en eventuele nadelige gevolgen te beperken. Dat was dus onder meer dat onderzoek door cybersecuritybedrijf Northwave.

De AP is als toezichthouder bevoegd om “alle voor de uitvoering van haar taken vereiste informatie” op te vorderen (art. 58 AVG en 5:16 Awb). Onder die bevoegdheid eiste men het volledige rapport, omdat Leaseweb dit niet vrijwillig wilde overleggen. In reactie stuurde Leaseweb nog een bijlage, maar meende toen alles te hebben gestuurd. De AP vermoedde van niet, en dan krijg je dit: Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan. “U heeft niet alles gestuurd.” “Welles!” “Nietes, nu sturen of dwangsom en boete.” “Welles!” En wat moet je dan?

De gedachte van de AP was om dan naar Northwave te gaan. Als die dan meer overleggen dan Leaseweb, dan heb je allereerst dus het complete rapport en ten tweede het bewijs dat Leaseweb te weinig had overlegd.

In principe kan dat: art. 5:20 Awb stelt dat Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden. “Iedereen” en “alles”, dus niet “alleen wie mogelijk een wet schendt” en “datgene wat ze zelf relevant vinden”. Dus in theorie kan de AP inderdaad bij een ingeschakeld expertbureau alle stukken vorderen die bij zo’n rapport horen. Maar er zit wel een redelijkerwijstoets, en dat is waar het hier op strandde: Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider. De AP had dus eerst de dwangsom moeten opleggen en dan kijken of Leaseweb toch met meer informatie kwam. Pas als daar niets was uitgekomen én de geur van informatie achterhouden was blijven bestaan, dan had men zich tot andere partijen mogen wenden.

Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Is dat het enkele feit dat er een brief van één kantje (met appendix) werd overlegd in plaats van wat traditioneel een “lijvig rapport” heet? De in NRC geciteerde woordvoerder vind ik niet sterk klinken: „Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.” Arnoud

Het bericht Hostingbedrijf Leaseweb weigert openheid te geven over cyberaanval verscheen eerst op Ius Mentis.

Yesterday, the House of Representatives voted against considering a largely bad bill that would have unacceptably expanded the tentacles of Section 702 of the Foreign Intelligence Surveillance Act, along with reauthorizing it and introducing some minor fixes. Section 702 is Big Brother’s favorite mass surveillance law that EFF has been fighting since it was first passed in 2008. The law is currently set to expire on April 19. 

Yesterday’s decision not to decide is good news, at least temporarily. Once again, a bipartisan coalition of law makers—led by Rep. Jim Jordan and Rep. Jerrold Nadler—has staved off the worst outcome of expanding 702 mass surveillance in the guise of “reforming” it. But the fight continues and we need all Americans to make their voices heard. 

Take action

TELL congress: 702 Needs serious reforms

Yesterday’s vote means the House also will not consider amendments to Section 702 surveillance introduced by members of the House Judiciary Committee (HJC) and House Permanent Select Committee on Intelligence (HPSCI). As we discuss below, while the HJC amendments would contain necessary, minimum protections against Section 702’s warrantless surveillance, the HPSCI amendments would impose no meaningful safeguards upon Section 702 and would instead increase the threats Section 702 poses to Americans’ civil liberties.

Section 702 expressly authorizes the government to collect foreign communications inside the U.S. for a wide range of purposes, under the umbrellas of national security and intelligence gathering. While that may sound benign for Americans, foreign communications include a massive amount of Americans’ communications with people (or services) outside the United States. Under the government’s view, intelligence agencies and even domestic law enforcement should have backdoor, warrantless access to these “incidentally collected” communications, instead of having to show a judge there is a reason to query Section 702 databases for a specific American's communications.

Many amendments to Section 702 have recently been introduced. In general, amendments from members of the HJC aim at actual reform (although we would go further in many instances). In contrast, members of HPSCI have proposed bad amendments that would expand Section 702 and undermine necessary oversight. Here is our analysis of both HJC’s decent reform amendments and HPSCI’s bad amendments, as well as the problems the latter might create if they return.

The most important amendment HJC members have introduced would require the government to obtain court approval before querying Section 702 databases for Americans’ communications, with exceptions for exigency, consent, and certain queries involving malware. As we recently wrote regarding a different Section 702 bill, because Section 702’s warrantless surveillance lacks the safeguards of probable cause and particularity, it is essential to require the government to convince a judge that there is a justification before the “separate Fourth Amendment event” of querying for Americans’ communications. This is a necessary, minimum protection and any attempts to renew Section 702 going forward should contain this provision.

Another important amendment would prohibit the NSA from resuming “abouts” collection. Through abouts collection, the NSA collected communications that were neither to nor from a specific surveillance target but merely mentioned the target. While the NSA voluntarily ceased abouts collection following Foreign Intelligence Surveillance Court (FISC) rulings that called into question the surveillance’s lawfulness, the NSA left the door open to resume abouts collection if it felt it could “work that technical solution in a way that generates greater reliability.” Under current law, the NSA need only notify Congress when it resumes collection. This amendment would instead require the NSA to obtain Congress’s express approval before it can resume abouts collection, which―given this surveillance's past abuses—would be notable.

The other HJC amendment Congress should accept would require the FBI to give a quarterly report to Congress of the number of queries it has conducted of Americans’ communications in its Section 702 databases and would also allow high-ranking members of Congress to attend proceedings of the notoriously secretive FISC. More congressional oversight of FBI queries of Americans’ communications and FISC proceedings would be good. That said, even if Congress passes this amendment (which it should), both Congress and the American public deserve much greater transparency about Section 702 surveillance.  

Instead of much-needed reforms, the HPSCI amendments expand Section 702 surveillance.

One HPSCI amendment would add “counternarcotics” to FISA’s definition of “foreign intelligence information,” expanding the scope of mass surveillance even further from the antiterrorism goals that most Americans associate with FISA. In truth, FISA’s definition of “foreign intelligence information” already goes beyond terrorism. But this counternarcotics amendment would further expand “foreign intelligence information” to allow FISA to be used to collect information relating to not only the “international production, distribution, or financing of illicit synthetic drugs, opioids, cocaine, or other drugs driving overdose deaths” but also to any of their precursors. Given the massive amount of Americans’ communications the government already collects under Section 702 and the government’s history of abusing Americans’ civil liberties through searching these communications, the expanded collection this amendment would permit is unacceptable.

Another amendment would authorize using Section 702 to vet immigrants and those seeking asylum. According to a FISC opinion released last year, the government has sought some version of this authority for years, and the FISC repeatedly denied it—finally approving it for the first time in 2023. The FISC opinion is very redacted, which makes it impossible to know either the current scope of immigration and visa-related surveillance under Section 702 or what the intelligence agencies have sought in the past. But regardless, it’s deeply concerning that HPSCI is trying to formally lower Section 702 protections for immigrants and asylum seekers. We’ve already seen the government revoke people’s visas based upon their political opinions—this amendment would put this kind of thing on steroids.

The last HPSCI amendment tries to make more companies subject to Section 702’s required turnover of customer information in more instances. In 2023, the FISC Court of Review rejected the government’s argument that an unknown company was subject to Section 702 for some circumstances. While we don’t know the details of the secret proceedings because the FISC Court of Review opinion is heavily redacted, this is an ominous attempt to increase the scope of providers subject to 702. With this amendment, HPSCI is attempting to legislatively overrule a court already famously friendly to the government. HPSCI Chair Mike Turner acknowledged as much in a House Rules Committee hearing earlier this week, stating that this amendment “responds” to the FISC Court of Review’s decision.

This hearing was unlikely to be the last time Congress considers Section 702 before April 19—we expect another attempt to renew this surveillance authority in the coming days. We’ve been very clear: Section 702 must not be renewed without essential reforms that protect privacy, improve transparency, and keep the program within the confines of the law. 

Take action

TELL congress: 702 Needs serious reforms

Rechters en hun (on)veiligheid, het is een steeds vaker terugkerend onderwerp in de gerechtsgebouwen. Bij het koffieapparaat maar ook in formele overleggen. Dat blijkt uit de interviews die NRC had met drie rechters. En dat bleek ook al uit de uitspraak in het Marengo-proces: tv-camera’s mochten alleen twee handen, een toga en de stem van een mannelijke rechter registreren. In een andere zaak besloot de rechter dat zijn vonnis geheim moest blijven, vanwege ‘een ernstig risico’ op nieuwe ‘aanslagen’ van Ridouan Taghi. De discussie over veiligheid kreeg een enorme impuls op 18 september 2019, toen advocaat en rechter-plaatsvervanger Derk Wiersum werd vermoord.

In Rotterdam, zo zegt rechter Jacco Janssen tegen NRC, hebben de tachtig rechters de afgelopen weken al drie keer overlegd over veiligheid en de beveiliging in zaken met een zeker risico. “Persoonsbeveiliging is ook bij rechters niet uit te sluiten”, zegt Janssen. Elke rechtbank heeft al een veiligheidscoördinator maar welke veiligheidsmaatregelen er precies gelden, wordt niet gedeeld. “Een rechter moet niet zelf gaan speculeren over risico’s”, zegt de Amsterdamse strafrechter Meta Vaandrager, die vooral straf-, fraude- en terrorismezaken behandelt.

De Raad voor de rechtspraak waarschuwde al in het Jaarplan 2024 voor het toenemende gevaar van intimidatie van rechtspraakmedewerkers, en spreekt van ‘structurele dreigingen vanuit criminele organisaties’. Inzet is de weerbaarheid en veiligheid van de medewerkers te vergroten. Onder ‘geweld’ valt ook digitale aanvallen op de servers van de rechtspraak.

Desondanks zegt Vaandrager: “Een rechter mag niet buigen voor dreiging.” Ze zegt nooit een rechtszaak te hebben geweigerd omdat die te gevaarlijk zou zijn. Maar zij bespreekt het wel eens met haar ‘naasten’. “Als je een vermeend lid van een zware criminele organisatie berecht, kan er een veiligheidsrisico ontstaan. Dit kan ook voor hen gelden.” Volgens Janssen behoort een rechter ‘dapper’ te zijn. De cursus ‘Heibel in de rechtszaal’ of andere weerbaarheidstrainingen die rechters kunnen volgen, kunnen daarbij helpen. Ook wordt hen geadviseerd voorzichtig te zijn met het gebruik van sociale media, want anders kunnen ze makkelijker worden gelokaliseerd.

Lees hier het hele NRC-interview.

Het bericht ‘Rechters moeten dapper zijn’ maar hun veiligheid is wel gespreksonderwerp verscheen eerst op Mr. Online.

Published research outputs often end up locked behind paywalls, unavailable to many researchers and the broader public, impeding scientific – and human – progress. Despite progress in the area of open science, research funded by the European public is no exception to this. In many cases, European taxpayers are essentially asked to pay up twice, once for funding the research and again for access to the final publication. One reason for this is the transfer of copyright ownership. To comply with contractual demands, researchers routinely outright transfer their economic exploitation rights to publishers, or fail to retain sufficient rights that would allow them or their funders to republish or reuse their work. This contradicts the primary goal of research, which is to maximise its impact by sharing it as widely as possible in a timely manner.

Today, COMMUNIA is releasing Policy Paper #17 on access to publicly funded research (also available as a PDF file), in which we propose a targeted intervention in European copyright law to improve access to publicly funded research:

We recommend a three-tiered approach to open publicly funded research outputs to the public, immediately upon publication, where a secondary publication obligation co-exists with a secondary publication right. We consider that an obligation by the funding recipients to republish is a more consequential approach to protect the public interest, as it makes Open Access (OA) mandatory, ultimately ensuring that publicly funded research outputs are republished in OA repositories. A right is, however, necessary to ensure that the authors, and subsequently the funding recipients, retain the rights necessary to comply with the obligation. A  right also provides a legal framework for the dissemination in OA repositories of publicly funded research outputs published before the entry into force of a secondary publication obligation.

In addition, we recommend the introduction of a copyright exception for the benefit of knowledge institutions, such as libraries and archives, to further support the task of making available research outputs published before the entry into force of secondary publication rights and obligations.

Resolving these issues would ideally be part of a more comprehensive regulation, a Digital Knowledge Act, which addresses the needs of research organisations and other knowledge institutions in the digital environment more broadly.

The post New policy paper on access to publicly funded research appeared first on COMMUNIA Association.

Dat concludeert persvrijheidsorganisatie Free Press Unlimited (FPU), dat voor haar onderzoek vijftig journalisten, hoofdredacties, media-advocaten (negen in aantal), in-house advocaten en andere partijen sprak. Uit eerder onderzoek bleek al dat bijna 50 procent van de journalisten en meer dan 90 procent van de Nederlandse hoofdredacties weleens te maken had met dreiging van juridische stappen naar aanleiding van een publicatie. Dit wordt ook wel ‘juridisch uitroken’ genoemd.

Media en individuele journalisten kregen te maken met dwangsommen van vele tienduizenden euro’s en dreiging met beslaglegging op het huis van een journalist. Ze moeten tijd investeren in de voorbereiding van procedures, die ook nog eens veel geld kosten. Ook kunnen deze zaken tot psychische problemen bij journalisten. Het gevolg hiervan is vaak: zelfcensuur. Journalisten zwakken verhalen af, laten geverifieerde informatie toch weg om juridische conflicten te vermijden of zetten onderzoeken niet voort. De impact van juridische druk is het sterkst aanwezig bij freelancers, lokale media en kleine titels.

De zwaarste, en meest zorgwekkende vorm van juridische druk zijn zogeheten SLAPPs: Strategic Lawsuits Against Public Participation. Deze rechtszaken worden vaak ingesteld door rijke en machtige actoren tegen journalisten, mensenrechtenverdedigers en maatschappelijke organisaties. Hun doel: intimidatie, onder druk te zetten en het zwijgen opleggen. De Europese Raad tekent deze week de langverwachte Europese richtlijn om journalisten en mensenrechtenverdedigers te beschermen tegen SLAPPs. Deze moet binnen twee jaar omgezet zijn in Nederlandse wetgeving.

Dat is nodig, vinden de onderzoekers, omdat de Nederlandse wetgeving onvoldoende bescherming biedt tegen SLAPP-zaken. In Europa vonden er tussen 2010 en 2022 al zeker 820 SLAPP-zaken plaats, enkele Nederlandse SLAPP-zaken staan ook in het onderzoeksrapport. Het Burgerlijk Wetboek voorziet in misbruik van procesrecht, maar dat biedt in de praktijk geen waarborg tegen SLAPPs. Zij bevelen dan ook aan om een speciale toevoeging te maken tegen misbruik van SLAPPs. De voorgestelde toevoeging is bedoeld om ervoor te zorgen dat dergelijke zaken sneller kunnen worden afgewezen door de rechtbank, waardoor de vrijheid van meningsuiting beter wordt beschermd.

Lees hier het onderzoeksrapport Een onderschat probleem: disproportionele juridische druk op de Nederlandse journalistiek

Het bericht Steeds vaker worden media ‘juridisch uitgerookt’ door machtige partijen verscheen eerst op Mr. Online.

Een Amerikaanse rechter heeft geweigerd dat een video als bewijs wordt gebruik in een rechtszaak vanwege het gebruik van AI-software bij het bewerken van de video. Dat meldde Tweakers vorige week. Door gebruik van de software wilde de aanklager duidelijker maken dat het inderdaad ging om de verdachte.

Wat ging er nou precies mis? De aanklager gebruikte Topaz Video AI om de video te upscalen, meldt NBC News. De software van het Amerikaanse bedrijf herkent gezichten en vult vervolgens details aan die niet in het oorspronkelijke beeld zaten. Dat is problematisch, zo redeneert de rechter, want de software ‘leunt op vage methoden om te bepalen wat het AI-model denkt wat we moeten zien’, aldus de rechtbank. Topaz is videobewerkingssoftware: je kunt er beeld mee opknappen, zoals door het er scherper laten uitzien. Dat is mooi voor die vakantiefoto die niet helemaal goed gelukt is, of voor het aanvullen van beeld voor je reclamecampagne dat nét even iets extra’s nodig heeft.

Specifiek bij bewijs is dat allemaal net iets spannender. Het is natuurlijk prima als het bewijs beter te beoordelen wordt, maar dat moet niet gebeuren door er dingen bij te verzinnen, hoe mathematisch logisch het ook lijkt dat die pixels er tussen moeten.

Het plaatje rechtsboven (van een experiment uit 2020 met hetzelfde doel) laat zien waarom: de dataset daarvan bevatte geen gezichten van kleur, waardoor de bekende foto van president Obama opgewerkt werd tot geheel iemand anders. Een recenter voorbeeld was beeldbewerkingssoftware die ongevraagd acteur Ryan Gosling toevoegde aan een video.

Mag dit nou van de AI Act? Ik zit even te peinzen of dit telt als biometrie, maar interpolatie van pixels kan ik moeilijk gelijk stellen aan analyse van gezichtskenmerken. Op de lijst (Annex III) staan wel diverse vormen van AI-gebruik door wetshandhaving, waar naast de politie ook het OM onder valt:

• AI systemen gebruikt als leugendetector
• AI om de betrouwbaarheid van bewijs te evalueren
• AI om recidivisme in te schatten (waarbij meer dan profiling wordt gebruikt, want anders is het verboden)
• AI voor het profileren van mensen in het kader van opsporing en vervolging

Ook zullen dit soort systemen onder de transparantie-eis van “synthetic output generator” AI vallen. Die moeten zorgen dat hun beeld onzichtbaar en robuust gewatermerkt is zodat andere systemen (zoals het uploadformulier van Facebook) kan signaleren dat er synthetische afbeeldingen worden geupload.

Naar de letter van de wet is zulk beeld zelfs een deepfake: “deepfake”: door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen of andere entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien; Twintig bij twintig pixels uitvergroot en bewerkt zodat je er Ryan Gosling in ziet, lijkt mij wel “een gelijkenis vertonen” waardoor je ten onrechte het beeld voor waarheidsgetrouw aan gaat zien. Dit beeld moet dus expliciet gemarkeerd worden als niet-authentiek.

Is hiermee alle gebruik van beeldbewerking verboden? Nee. Nog even los van dat dit één uitspraak is; de betrouwbaarheid van via ict verkregen bewijs vaststellen is al decennia een aandachtspunt. AI maakt het manipuleren van bewijs eenvoudiger en sneller, maar dat is geen fundamenteel nieuwe kwestie.

Arnoud

Het bericht Amerikaanse rechter weigert video als bewijs vanwege gebruik AI-software verscheen eerst op Ius Mentis.

Sinds 5 februari 2024 is digitaal procederen in gemeenschappelijke echtscheidingsverzoeken bij alle rechtbanken mogelijk. Advocaat en mediator Joan Snikkenburg bij Bernhaege Advocaten gebruikt sindsdien alleen nog het webportaal Mijn Rechtspraak voor deze zaken. ‘Het scheelt zoveel print- en kopieerwerk en posthandelingen. En je hebt direct een bevestiging dat de rechtbank het verzoek heeft ontvangen.’

'Ga het gewoon doen. Het scheelt je veel werk, tijd en geld', moedigt Joan haar collega-advocaten aan om de overstap te maken naar digitaal procederen. 'Mijn Rechtspraak is overzichtelijk en hoe het webportaal werkt, wijst zich vanzelf. Bovendien wordt digitaal procederen op den duur verplicht. Dan kun je er alvast maar aan gewend zijn.' Ook geeft ze aan dat de hele procedure vaak sneller gaat, zeker als er geen kinderen bij betrokken zijn. 'Je ontvangt de echtscheidingsbeschikking direct en hoeft niet een week te wachten voor die per post komt. Dat is ook voor onze cliënt een belangrijk voordeel.'

Als verbeterpunt noemt Joan een koppeling tussen Mijn Rechtspraak en het familiejournaal. 'Nu log je eerst in het familiejournaal in om daar het standaardformulier voor deze zaken in te vullen. Dat upload je dan als apart pdf-bestand bij het indienen van het verzoekschrift waarvoor je weer inlogt in Mijn Rechtspraak. Het zou handiger zijn als dat formulier direct in Mijn Rechtspraak staat. Maar alsnog is indienen via het webportaal veel makkelijker dan het formulier printen en opsturen of mailen. Digitaal procederen mag snel uitgebreid worden naar andere zaken.'

Digitaal procederen in gemeenschappelijke echtscheidingsverzoeken is onderdeel van Digitale Toegang van de Rechtspraak. Hiermee realiseert de Rechtspraak eenvoudige digitale toegang voor alle rechtzoekenden en hun procesvertegenwoordigers in het civiel recht en het bestuursrecht. Digitaal procederen is vooralsnog vrijwillig, maar wordt op enig moment verplicht voor juridische professionals.

When EFF set out to map surveillance technology along the U.S.-Mexico border, we weren't exactly sure how to do it. We started with public records—procurement documents, environmental assessments, and the like—which allowed us to find the GPS coordinates of scores of towers. During a series of in-person trips, we were able to find even more. Yet virtual reality ended up being one of the key tools in not only discovering surveillance at the border, but also in educating people about Customs & Border Protection's so-called "virtual wall" through VR tours.

EFF Director of Investigations Dave Maass recently gave a lightning talk at University of Nevada, Reno's annual XR Meetup explaining how virtual reality, perhaps ironically, has allowed us to better understand the reality of border surveillance.

%3Ciframe%20width%3D%22560%22%20height%3D%22315%22%20src%3D%22https%3A%2F%2Fwww.youtube.com%2Fembed%2FwEolW4-b6Dw%3Fsi%3DfeR80hnnRLET4VpX%26autoplay%3D1%26mute%3D1%22%20title%3D%22YouTube%20video%20player%22%20frameborder%3D%220%22%20allow%3D%22accelerometer%3B%20autoplay%3B%20clipboard-write%3B%20encrypted-media%3B%20gyroscope%3B%20picture-in-picture%3B%20web-share%22%20referrerpolicy%3D%22strict-origin-when-cross-origin%22%20allowfullscreen%3D%22%22%3E%3C%2Fiframe%3E Privacy info. This embed will serve content from youtube.com

Twelve years ago, internet users spoke up with one voice to reject a law that would build censorship into the internet at a fundamental level. This week, the Motion Picture Association (MPA), a group that represents six giant movie and TV studios, announced that it hoped we’d all forgotten how dangerous this idea was. The MPA is wrong. We remember, and the internet remembers.

What the MPA wants is the power to block entire websites, everywhere in the U.S., using the same tools as repressive regimes like China and Russia. To it, instances of possible copyright infringement should be played like a trump card to shut off our access to entire websites, regardless of the other legal speech hosted there. It is not simply calling for the ability to take down instances of infringement—a power they already have, without even having to ask a judge—but for the keys to the internet. Building new architectures of censorship would hurt everyone, and doesn’t help artists.

The bills known as SOPA/PIPA would have created a new, rapid path for copyright holders like the major studios to use court orders against sites they accuse of infringing copyright. Internet service providers (ISPs) receiving one of those orders would have to block all of their customers from accessing the identified websites. The orders would also apply to domain name registries and registrars, and potentially other companies and organizations that make up the internet’s basic infrastructure. To comply, all of those would have to build new infrastructure dedicated to site-blocking, inviting over-blocking and all kinds of abuse that would censor lawful and important speech.

In other words, the right to choose what websites you visit would be taken away from you and given to giant media companies and ISPs. And the very shape of the internet would have to be changed to allow it.

In 2012, it seemed like SOPA/PIPA, backed by major corporations used to getting what they want from Congress, was on the fast track to becoming law. But a grassroots movement of diverse Internet communities came together to fight it. Digital rights groups like EFF, Public Knowledge, and many more joined with editor communities from sites like Reddit and Wikipedia to speak up. Newly formed grassroots groups like Demand Progress and Fight for the Future added their voices to those calling out the dangers of this new form of censorship. In the final days of the campaign, giant tech companies like Google and Facebook (now Meta) joined in opposition as well.

What resulted was one of the biggest protests ever seen against a piece of legislation. Congress was flooded with calls and emails from ordinary people concerned about this steamroller of censorship. Members of Congress raced one another to withdraw their support for the bills. The bills died, and so did site blocking legislation in the US. It was, all told, a success story for the public interest.

Even the MPA, one of the biggest forces behind SOPA/PIPA, claimed to have moved on. But we never believed it, and they proved us right time and time again. The MPA backed site-blocking laws in other countries. Rightsholders continued to ask US courts for site-blocking orders, often winning them without a new law. Even the lobbying of Congress for a new law never really went away. It’s just that today, with MPA president Charles Rivkin openly calling on Congress “to enact judicial site-blocking legislation here in the United States,” the MPA is taking its mask off.

Things have changed since 2012. Tech platforms that were once seen as innovators have become behemoths, part of the establishment rather than underdogs. The Silicon Valley-based video streamer Netflix illustrated this when it joined MPA in 2019. And the entertainment companies have also tried to pivot into being tech companies. Somehow, they are adopting each other’s worst aspects.

But it’s important not to let those changes hide the fact that those hurt by this proposal are not Big Tech but regular internet users. Internet platforms big and small are still where ordinary users and creators find their voice, connect with audiences, and participate in politics and culture, mostly in legal—and legally protected—ways. Filmmakers who can’t get a distribution deal from a giant movie house still reach audiences on YouTube. Culture critics still reach audiences through zines and newsletters. The typical users of these platforms don’t have the giant megaphones of major studios, record labels, or publishers. Site-blocking legislation, whether called SOPA/PIPA, “no fault injunctions,” or by any other name, still threatens the free expression of all of these citizens and creators.

No matter what the MPA wants to claim, this does not help artists. Artists want their work seen, not locked away for a tax write-off. They wanted a fair deal, not nearly five months of strikes. They want studios to make more small and midsize films and to take a chance on new voices. They have been incredibly clear about what they want, and this is not it.

Even if Rivkin’s claim of an “unflinching commitment to the First Amendment” was credible from a group that seems to think it has a monopoly on free expression—and which just tried to consign the future of its own artists to the gig economy—a site-blocking law would not be used only by Hollywood studios. Anyone with a copyright and the means to hire a lawyer could wield the hammer of site-blocking. And here’s the thing: we already know that copyright claims are used as tools of censorship.

The notice-and-takedown system created by the Digital Millennium Copyright Act, for example, is abused time and again by people who claim to be enforcing their copyrights, and also by folks who simply want to make speech they don’t like disappear from the Internet. Even without a site-blocking law, major record labels and US Immigration and Customs Enforcement shut down a popular hip hop music blog and kept it off the internet for over a year without ever showing that it infringed copyright. And unscrupulous characters use accusations of infringement to extort money from website owners, or even force them into carrying spam links.

This censorious abuse, whether intentional or accidental, is far more damaging when it targets the internet’s infrastructure. Blocking entire websites or groups of websites is imprecise, inevitably bringing down lawful speech along with whatever was targeted. For example, suits by Microsoft intended to shut down malicious botnets caused thousands of legitimate users to lose access to the domain names they depended on. There is, in short, no effective safeguard on a new censorship power that would be the internet’s version of police seizing printing presses.

Even if this didn’t endanger free expression on its own, once new tools exist, they can be used for more than copyright. Just as malfunctioning copyright filters were adapted into the malfunctioning filters used for “adult content” on tumblr, so can means of site blocking. The major companies of a single industry should not get to dictate the future of free speech online.

Why the MPA is announcing this now is anyone’s guess. They might think no one cares anymore. They’re wrong. Internet users rejected site blocking in 2012 and they reject it today.

De Dienst Justitiële Instellingen (DJI) kampt al enige tijd met een tekort aan medewerkers. Een van de plannen van de minister om hier iets aan te doen is om het in de executiefase mogelijk te maken dat meer gedetineerden een deel van hun straf op een Beperkt Beveiligde Afdeling (BBA) ondergaan. Zo kunnen cellen worden vrijgemaakt. Ook moet elektronisch toezicht aan het einde van de detentieperiode in specifieke gevallen mogelijk worden. Deze week debatteert de Kamer over de plannen van de minister.

De Raad voor de rechtspraak stelt dat – ondanks de ‘uitdagingen’ waarvoor het kabinet staat – niet mag worden getornd aan het principiële rechtsstatelijke uitgangspunt dat de straf die de rechter oplegt, ook op die manier moet worden uitgevoerd. Wordt hiervan afgeweken, dan kan dit betekenen dat de opgelegde straf wordt ‘gedenatureerd’: de straf pakt in de praktijk anders uit dan de rechter in zijn vonnis heeft bepaald en bedoeld. Dit ondergraaft het gezag van de rechter, en tast daarmee ook het vertrouwen in de overheid aan.

Ook vreest de Raad voor de rechtspraak dat de voorgestelde maatregelen leiden tot rechtsongelijkheid tussen veroordeelden. Dit gebeurt als een door de rechter opgelegde straf aanzienlijk wordt aangepast door capaciteitsproblemen bij de penitentiaire inrichting waar een gedetineerde is geplaatst, terwijl een andere gedetineerde in een gevangenis met voldoende medewerkers zijn straf volledig moet uitzitten zoals de rechter deze heeft opgelegd.

De Raad voor de rechtspraal ziet veel liever dat de minister kijkt naar structurele oplossingen voor de langere termijn. Daarbij kan worden gedacht aan het opnemen van enkele van de genoemde maatregelen in het Wetboek van Strafrecht, zoals plaatsing in een BBA of elektronische detentie. Op die manier wordt recht gedaan aan het rechtsstatelijke standpunt in onze democratie dat de rechter deze straffen kan opleggen, als deze passend en geboden zijn.

Het bericht ‘Plannen personeelstekort gevangenis ondergraven het gezag van de rechter’ verscheen eerst op Mr. Online.

Wie een pakje sigaretten koopt, komt op steeds meer plekken in Nederland een gezichtsscanner tegen. Dat las ik bij RTL Nieuws onlangs. De scanner schat je leeftijd (25+ of niet) en laat je dan sigaretten kopen (of niet). Enkele rokende lezers stelden me vervolgens de vraag: mag dat eigenlijk wel, inzet van biometrie voor zo’n profileringsdoel? En vooral: wat zegt de aankomende AI Act?

De AI Act is definitief maar nog niet aangenomen (in mijn nieuwe boek lees je alle details). Dat zal in mei gebeuren. Daarna is er twee jaar overgangsrecht, hoewel de zogeheten verboden praktijken al over zes maanden moeten stoppen. En in die lijst (artikel 5) staan de nodige biometrische toepassingen:

• Emotieherkenning op het werk en in het onderwijs, behalve indien noodzakelijk voor veiligheid of medische redenen (art. 5(1)(f)).
• Biometrische categorisatie op bijzondere persoonsgegevens, zoals het afleiden van etnische afkomst of seksuele voorkeur (art. 5(1)(g)).
• Real-time biometrie op afstand in de openbare ruimte voor wetshandhaving (art. 5(1)(h)))

Diverse toepassingen van biometrie zijn als hoogrisico aangemerkt. De AI Act is daar formeel in; iets is hoogrisico als het op de lijst (Annex III) staat, je hoeft geen eigen inschatting te maken van hoe hoog of hoe ernstig het in jouw geval is. Pas je onder een tekst? Dan ben je hoogrisico.

De eerste toepassing is biometrie op afstand. De AI Act gebruikt hierbij niet een criterium uitgedrukt in meters, maar of je meerdere mensen tegelijkertijd scant (overweging 17, artikel 3 lid 41), met “typisch op afstand” als optionele toevoeging.

De tweede toepassing is emotieherkenning (dus niet op werk of school). Dit is niet van toepassing, want leeftijd is geen emotie.

Blijft over biometrische categorisatie op basis van gevoelige of beschermde kenmerken. Dit komt goed in de buurt: de categorieën zijn dan “25 jaar of ouder” versus “jonger dan 25”, en dit gebeurt op basis van gezichtskenmerken die goed ‘gevoelig’ kunnen zijn. Daarmee moet de leverancier aan een hele berg compliance-verplichtingen voldoen.

Die 25 jaar is overigens gekozen om de foutmarge naar 2% terug te dringen: het verschil zien tussen 17 en 19 is te subtiel kennelijk.

Waar ik vooral mee zit: de gezichtsscan duurt zo te zien op het filmpje minstens zo lang als een ID-kaartscan. (De leverancier spreekt van “rap” maar ik zie echt het tijdsverschil niet.) Je ID moet je altijd kunnen laten zien. Wat is dan precies nog het praktische voordeel van deze AI oplossing ten opzichte van altijd ID laten zien?

Arnoud

Het bericht Pakje sigaretten kopen? Eerst even je gezicht scannen, mag dat? verscheen eerst op Ius Mentis.

Neem de 16- of 17-jarige mbo’er die een paar dagen ziek thuis zit en daardoor lessen mist. De Leerplichtwet stelt dat die student moet zeggen wat hem mankeert om niet te worden vervolgd door de leerplichtambtenaar. Maar het registreren van de aard van de ziekte is in het mbo in zo’n geval in strijd met de privacywet. Als een werknemer kort ziek is, dan behoort de werkgever niet te vragen naar wat er aan de hand is. Dat zou ook moeten gelden bij een onderwijsinstelling, vindt Maud van Erp.

In haar proefschrift onderzoekt Van Erp of de wet- en regelgeving van het middelbaar beroepsonderwijs in overeenstemming is met de Wet bescherming persoonsgegevens en met de AVG. Concreet ging zij na onder welke voorwaarden de bekostigde mbo-instelling de privacy van de (zieke) leerplichtige student mag beperken. Zo mogen het studiekeuzeadvies en intake-gegevens bij de toelating niet worden gevraagd: dan zou de toegankelijkheid van het onderwijs in gevaar komen. Dat geldt ook voor de verwerking van gegevens over het bindend studieadvies en het gegeven of iemand een langstudeerder is – daarvoor ontbreekt een wettelijke grondslag. Zelfs de nationaliteit van de student mag niet worden verwerkt (want dan wordt niet voldaan aan de doeleinden die de AVG aan de verwerking stelt), ook al is dit op grond van onderwijsrecht verplicht. Tot slot mag informatie over de voorafgaande school en gevolgde stages en werk niet van de student worden gevraagd, terwijl dat in de praktijk vermoedelijk wel gebeurt en daaraan behoefte lijkt te zijn.

Gezondheidsgegevens van de student worden al snel als bijzonder aangemerkt en kunnen daardoor rekenen op een verhoogd beschermingsregime onder de AVG. Scholen mogen gezondheidsgegevens verwerken voor zover dat met het oog op de speciale begeleiding of het treffen van bijzondere voorzieningen in verband met de gezondheidstoestand van de student noodzakelijk is. Van Erp ontdekte dat bij de verzuimregistratie uit de Leerplichtwet bijzondere persoonsgegevens worden verwerkt, omdat ook de aard van de ziekte moet worden geregistreerd. Dat is echter niet AVG-proof: deze ziekteverzuimregistratie is bedoeld voor controle en sanctionering van spijbelen. Van Erp vindt het ook ‘twijfelachtig’ of het vernemen van de aard van de ziekte binnen twee dagen na het ontstaan daarvan wel noodzakelijk is. Pas bij langdurig verzuim kan die aard soms bijdragen aan de begeleiding en re-integratie van de student. Ook is de controle van het ziekteverzuim formeel geen taak van de onderwijsinstelling.

Uit Van Erps onderzoek blijkt dat de student in zijn onderwijscarrière diverse inperkingen van zijn privacy moet dulden. Zij noemt de onderwijswetgeving ‘fragmentarisch’, wat ertoe leidt dat de instelling de gronden om een student te weigeren voor een opleiding niet kan effectueren omdat de daarvoor benodigde gegevens ontbreken. Ook bij de intake gaat het mis: de instelling mag wel ‘roddelen’ over de student met de voorgaande school, maar mag de student niet zelf naar bepaalde kwalitatieve gegevens vragen.

Uit Van Erps onderzoek blijkt dat wetgeving op verschillende punten onduidelijk is. Dat kan leiden tot willekeur: gegevens worden mogelijk in de ene stad anders verwerkt dan elders. Verder noemt zij de regelgeving (te) ingewikkeld. “Verouderde onderwijswetten moeten eens kritisch tegen het licht worden gehouden, in relatie tot de strenge privacywet.” Van Erp ontwikkelde een stappenplan voor mbo-instellingen om ze te helpen te beoordelen wanneer ze gegevens mogen registreren en delen.

Van Erp laat zien dat onderwijsinstellingen niet ‘rücksichtslos’ mogen vertrouwen op een onderwijswettelijke plicht. Wettelijke plichten, bijvoorbeeld uit het Burgerlijk Wetboek of onderwijswetgeving, moeten óók in lijn zijn met de AVG. “Daar waar dat niet het geval is, moet een afweging plaatsvinden die ertoe kan leiden dat een wettelijke onderwijsplicht niet wordt uitgevoerd, omdat die strijdig is met privacywetgeving.”

Maud van Erp (1986) promoveerde 8 april aan de Vrije Universiteit op het proefschrift Een privacyrechtelijk perspectief op de (zieke) mbo-student. Zij studeerde in 2008 af in Tilburg, werkte zes jaar als advocaat en acht jaar als bedrijfsjurist. Tegenwoordig is zij als juridisch adviseur en secretaris werkzaam vanuit haar eigen onderneming.

Het bericht Onderwijs- en privacywetten zijn soms met elkaar in conflict, willekeur dreigt verscheen eerst op Mr. Online.