IusMentis

De rechtbank Overijssel heeft besloten dat Unibet een Nederlander zijn gokschulden van ongeveer 8.600 euro moet terugbetalen. Dat meldde Emerce vorige week. Het vonnis zelf is niet direct te vinden: er is alleen een persbericht van de advocaat van de gelukkige gokker. Het lijkt dus een tikje prematuur om te stellen dat iedereen nu zijn geld terug kan krijgen van een illegale goksite, maar er zit meer achter.

De betrokken advocaat doet dit vaker, en met succes. Alle zaken komen min of meer op hetzelfde neer: een Nederlandse consument ging een kansspelovereenkomst aan met een partij die in Nederland geen vergunning heeft. Naar Nederlands recht is zo’n overeenkomst dan nietig/vernietigbaar (strijd met openbare orde, 3:40 BW). Het geld is dan betaald zonder rechtsgrond en moet dan terug.

In al die zaken (lees deze of deze als voorbeeld) zie je dat rechters zich actief sterk maken voor de consument. Het is altijd duidelijk zat dat die sites zich (ook) richten op Nederland, de forumkeuzebedingen gaan linea recta de prullenbank in en ik zie zelfs “litigation bullying” als verwijst naar de goksites als die al te veel processtappen nemen.

De meeste vonnissen zijn tussenvonnissen om punten zoals bevoegdheid of gebondenheid aan Nederland uit te maken. Er zijn ook een paar uitspraken die wel eindvonnis zijn, zoals deze met als terug te betalen bedrag € 128.415,76, dus de nettoschuld die de consument nog had als je zijn winsten van de inleg afhaalt. In deze zaak ging het om € 93.210,71 en dat zijn forse bedragen.

En ja, dit is te verhalen: het casino zit op Curaçao, dat is gewoon deel van hetzelfde Koninkrijk als Nederland. Ook bij een casino in zeg Malta (waar er veel online gevestigd zijn) is dat mogelijk, vanwege Europese regels over tenuitvoerlegging. De enige vraag is of de deurwaarder een bankrekening kunt vinden waar het geld op staat.

Arnoud

Het bericht ‘Nederlanders mogen gokschulden terugvorderen’ verscheen eerst op Ius Mentis.

113 artikelen, 13 bijlagen, 180 overwegingen, verwijzingen naar 27 andere wetten: de AI Act is het meest complexe stuk wetgeving dat ik ooit heb gezien. Mijn nieuwe boek “The Annotated AI Act” verheldert en analyseert de wet in gewone taal. Je kunt nu al voorintekenen!

Op hoofdlijnen is de AI Act vast al bekend. Een risicogebaseerde regulering van AI systemen, met aparte regels voor general-purpose AI en een markeerplicht voor synthetische content. Maar de risicobenadering werkt nét even anders dan bijvoorbeeld de AVG; het gekozen model is dat van productveiligheid en conformeren aan standaarden (CE keurmerk).

Met name in de laatste maanden van 2023 is er veel gebeurd met de tekst. Er moest en zou een regulering van GPAI in komen, maar dat past niet echt bij die productveiligheidsbenadering, en de auteursrechtlobby had zich ook gemeld ondertussen. Dit leidde tot een paar marathonsessies in december, waar uiteindelijk een politiek akkoord uit kwam dat in de maanden daarna uitgewerkt werd.

(Ik ben gaan schrijven toen dat akkoord er was, en moest uiteraard alles omnummeren toen de definitieve tekst werd gedropt want toen werden artikel 29a, overweging 80z+1, het lege artikel 19 en de twee artikelen 54 en nog wat van die missers aangepast.)

De haast heeft helaas een aantal dingen laten we zeggen iets minder optimaal gestructureerd. Het is dus flink zoeken naar het juiste artikel, of de combinatie met andere artikelen. Dat is waar ik dit boek voor geschreven heb: kruisverwijzingen, contrasten en literatuur (100+ referenties) voor meer achtergrond of kritische beschouwing.

Het boek verschijnt in mei wanneer de AI Act gepubliceerd is. Maar je kunt nu al voorintekenen:

Bestel The Annotated AI Act nu!

Arnoud

Het bericht The Annotated AI Act komt eraan verscheen eerst op Ius Mentis.

Een 44-jarige man heeft een lange tijd meerdere keren ingelogd op de systemen van zijn werkgever, terwijl hij daartoe niet bevoegd (meer) was. Dat las ik in een recent vonnis over een onderwerp dat me steeds meer ergert: computervredebreuk roepen terwijl iemand er wel mág zijn alleen niet om die reden. Ik blijf erbij dat dit fout is. (Oh en Outlook is wel een geautomatiseerd werk.)

Even wat achtergrond uit het vonnis: Verdachte is op 1 juli 2011 in dienst getreden bij het bedrijf [bedrijf benadeelde] B.V. Hij verrichtte werkzaamheden als financieel en juridisch adviseur. Binnen deze organisatie was hij tevens verantwoordelijk voor de ICT-gerelateerde aspecten. In 2015 werd hij ziek, waarna in juni 2018 de arbeidsovereenkomst werd ontbonden (met bekrachtiging in 2019). Dat ging kennelijk niet geheel vrijwillig, getuige wat ik dan lees: Verdachte heeft op zitting verklaard dat hij (ook) in de tenlastegelegde periode van 14 mei 2017 tot en met 29 juni 2018 meerdere malen met zijn eigen inloggegevens en met de inloggegevens van de directeur/eigenaar van het bedrijf, [benadeelde] , heeft ingelogd via een webbrowser op de e-mailaccounts van de web-e-maildienst van [bedrijf benadeelde] B.V .. Hij heeft daarbij meerdere keren schermafbeeldingen van e-mails gemaakt. Hij wilde zich verweren in een civiele zaak, waarin hij op grond van artikel 21 van het Wetboek van Burgerlijke Rechtsvordering verplicht was de waarheid te vertellen. Daarvoor moest hij de waarheid achterhalen, aldus verdachte. Hij vond het niet chique, maar ook niet strafbaar wat hij deed. In die tijd bleek zijn account nog gewoon te werken, inclusief de speciale privileges die hij had vanwege die ICT-taken die hij had. Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel. 

Dit is de discussie die we vaker hebben gehad: je hebt op zich legaal de sleutel/wachtwoord gekregen om ergens in te mogen loggen en dingen te doen. Je doet die dingen, maar met een andere intentie of doel dan waar de verstrekker ze voor gaf. Ik snap dat dat niet mag, en zou dit ook zeker “fout op het werk” of “plichtsverzuim” of “slecht werknemerschap” noemen. Maar computervredebreuk, een ernstig misdrijf waar 4 jaar cel op staat?

Ik blijf hier moeite mee houden. Als een werknemer tegen de instructie in met zijn eigen sleutel ’s avonds naar kantoor gaat en papieren dossiers kopieert, noemen we dat dan inbraak? Voor mij is dat evident onlogisch en blijkt hier weer het “cyber is zo eng” gevoel dat ik helaas nog wel eens bij juristen tegenkom.

De verdediging had nog zeer actueel dat HR-arrest aangedragen, waarin men bepaalde dat “binnendringen in een website” niet strafbaar is omdat een website geen computersysteem is. De rechter schuift dat makkelijk terzijde, want in de tenlastelegging staat computervredebreuk heeft gepleegd door in te loggen in de web e-mailserver van [bedrijf benadeelde] B.V .; Dat woordje ‘server’ leest de rechtbank als het fysieke ding waar alles op gebeurt. Door dus in te loggen op de Outlook webinterface, heb je ingebroken op de hardware. En die hardware was (kennelijk, volgens het dossier) eigendom van het bedrijf zodat de discussie over “de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” niet relevant is.

Arnoud

Het bericht Ik blijf erbij, het is fout om iets computervredebreuk te noemen als je er normaal wél mag zijn verscheen eerst op Ius Mentis.

Kan de bank je verplichten om afstand te doen van je bitcoins? Die vraag kwam ik tegen op de blog van het AMLC. Het ligt iets juridischer: schiet een bank tekort in haar zorgplicht door een klant mede te delen dat zij de bankrelatie zou beëindigen als deze haar bitcoins niet zou verkopen. Voor iedereen die naar de “Sell”-knop grijpt: het antwoord is negatief.

Het AMLC legt uit: Het gaat om een bedrijf (Decos, AE) dat zich richt op de ontwikkeling van nieuwe technologie, waaronder blockchain. Sinds 2013 kocht en verkocht het bedrijf zo nu en dan bitcoins. Het bedrijf gebruikte haar posities in bitcoin vooral als reserve om liquiditeit aan te vullen. Eens per jaar werden delen verkocht en in het jaar daarop werden bitcoins aangekocht. De Rabobank deed op zeker moment onderzoek naar deze klant van haar, en notdekte “dat de onderneming middels het aan- en verkopen van Bitcoins, alsmede het minen van virtuele valuta, niet voldoet aan het beleid Rabobank virtuele valuta”. Ophouden daarmee dus, of je gaat eruit als klant. Voor een bedrijf een kleine ramp natuurlijk.

Wat was dan de noncompliance, of iets algemener welk beleid heeft de Rabobank? “Het CDD beleid is uitsluitend voor intern gebruik, deze kunnen we helaas niet delen. Dit betekent dat wij ook op onze website geen informatie hebben over ons beleid.” Een bank heeft volgens de wet een zorgplicht, en mag een bancaire relatie daarom niet zonder meer eenzijdig opzeggen op grond van het beleid en/of de eigen algemene voorwaarden. Daar staat tegenover dat een bank ook bepaalde regels moet navolgen, zoals de antiwitwasregels uit de Wwft.

Levert handel in bitcoins een risico rond die regels om? Niet direct: Dat Rabobank strikt beleid hanteert ten aanzien van (de handel) in virtuele valuta door ondernemingen is gelet op de door Rabobank genoemde risico’s niet onbegrijpelijk. Het staat Rabobank in beginsel vrij om dit beleid te voeren. Ook wanneer dit beleid betekent dat zakelijke klanten geen virtuele valuta via Rabobank kunnen verhandelen of aanhouden. De stelling van Rabobank dat de Wwft haar ertoe verplicht dit beleid te voeren, berust echter op een onjuiste interpretatie van de door Rabobank aangehaalde bepalingen uit deze wet. De wet eist immers dat je onderzoek doet bij verdachte transacties, niet dat je de klant eruit gooit als het verdacht riekt.

Dan blijft over de contractsvrijheid: mag Rabobank als private partij ervoor kiezen om strenger beleid te maken dan de wet van haar vergt? Ja, aldus het Gerechtshof. Die contractsvrijheid is er, zolang je er maar netjes mee omgaat. Wederom die zorgplicht. En daar gaat het hier op mis: Op grond van de bancaire zorgplicht is Rabobank verplicht haar klanten te informeren over haar beleid op het moment dat zij daar om vragen. Je moet als zakelijke klant bij een bank weten dat er vast regels zullen zijn over virtuele valuta, maar je hoeft echt niet te weten dat een bank ze wel eens zou kunnen verbieden. Als dát het beleid is, dan moet dat expliciet uitgedragen worden zodat je je keuze voor een bank daarop kunt afstemmen.

De volgende stap is dat je de toepassing van het beleid motiveert. Oftewel: welke risico’s zien we hier. Enkel zeggen “er kúnnen risico’s zijn dus het mag never nooit niet” is niet genoeg: Rabobank heeft echter niet aangevoerd dat zich verhoogde risico’s voordeden bij Decos. Rabobank heeft daarmee haar aanzegging in feite alleen gebaseerd op (categoriale) bezwaren aangaande virtuele valuta. Ten aanzien van de aan- en verkoop van bitcoins door Decos heeft Rabobank op geen enkel moment duidelijk gemaakt op basis waarvan het risico zodanig hoog werd geacht dat er van Decos mocht worden geëist dat zij haar volledige portefeuille binnen drie maanden zou verkopen. Als laatste is die periode van drie maanden ook nog eens onredelijk kort. Gezien de langlopende bancaire relatie, het grote belang dat Decos had bij de voortzetting daarvan en het gegeven dat de mogelijkheid van overstappen naar een andere bank op zijn minst onzeker was en ook meer tijd in beslag zou nemen dan drie maanden, had Rabobank aan haar eisen in elk geval een redelijke(re) termijn moeten verbinden. Alles bij elkaar had de bank dus onrechtmatig gehandeld door deze verplichting af te dwingen. Alleen, wat is de schade? Het bedrijf hanteerde de bitcoins als een soort reservepotje voor als de gewone geldstromen wat krapper werden. Het is dan logisch dat ze normaliter in ieder geval een deel van de bitcoins zouden hebben behouden. Maar welk deel, en of dingen als transactiekosten meewegen, dat moet in een aparte procedure worden bepaald.

Ondertussen lijk ik beleid te ontwaren op de Rabobank-site.

Arnoud

Het bericht Kan de bank je verplichten je bitcoins te verkopen op straffe van verlies bankrekening? verscheen eerst op Ius Mentis.

Hostingbedrijf Leaseweb weigert na een cyberaanval openheid van zaken te geven aan de Autoriteit Persoonsgegevens, las ik bij NRC. Dit als vervolg op een datalekmelding augustus vorigjaar, Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, als gevolg van een cyberaanval. Dat moet, en je moet dan ook openheid geven van de wet. Dus wat is hier aan de hand?

De zaak kwam aan het licht door een vonnis waarin de rechtbank Midden-Nederland de toezichthouder terugfluit: die had een onderzoeksrapport niet bij de externe deskundige moeten vorderen maar bij Leaseweb zelf. Dat is een beetje een zijsprong, dus laten we even terug naar de basis.

Eind augustus meldde Leaseweb bij een aantal klanten geraakt te zijn door een cyberaanval. Zoals Techzine destijds meldde: Een cyberaanval bij het Nederlandse Leaseweb veroorzaakte een storing in de infrastructuur van het bedrijf. Slechts enkele klanten die gebruikmaken van de cloudhosting-oplossingen van het bedrijf, konden daar last van ondervinden. Om de gevolgen van de aanval zo klein mogelijk te houden, haalde Leaseweb vervolgens kritieke infrastructuur offline. Voor het daarop volgende onderzoek werkte men “nauw samen met een gerespecteerd cyberbeveiligings- en forensisch bedrijf”. En hoewel er naar eigen zeggen “geen ongeoorloofde activiteiten” waren aangetroffen, deed men toch een melding van een datalek. Bij zo’n melding moet je ook opnemen wat je gaat doen om het probleem op te lossen en eventuele nadelige gevolgen te beperken. Dat was dus onder meer dat onderzoek door cybersecuritybedrijf Northwave.

De AP is als toezichthouder bevoegd om “alle voor de uitvoering van haar taken vereiste informatie” op te vorderen (art. 58 AVG en 5:16 Awb). Onder die bevoegdheid eiste men het volledige rapport, omdat Leaseweb dit niet vrijwillig wilde overleggen. In reactie stuurde Leaseweb nog een bijlage, maar meende toen alles te hebben gestuurd. De AP vermoedde van niet, en dan krijg je dit: Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan. “U heeft niet alles gestuurd.” “Welles!” “Nietes, nu sturen of dwangsom en boete.” “Welles!” En wat moet je dan?

De gedachte van de AP was om dan naar Northwave te gaan. Als die dan meer overleggen dan Leaseweb, dan heb je allereerst dus het complete rapport en ten tweede het bewijs dat Leaseweb te weinig had overlegd.

In principe kan dat: art. 5:20 Awb stelt dat Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden. “Iedereen” en “alles”, dus niet “alleen wie mogelijk een wet schendt” en “datgene wat ze zelf relevant vinden”. Dus in theorie kan de AP inderdaad bij een ingeschakeld expertbureau alle stukken vorderen die bij zo’n rapport horen. Maar er zit wel een redelijkerwijstoets, en dat is waar het hier op strandde: Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider. De AP had dus eerst de dwangsom moeten opleggen en dan kijken of Leaseweb toch met meer informatie kwam. Pas als daar niets was uitgekomen én de geur van informatie achterhouden was blijven bestaan, dan had men zich tot andere partijen mogen wenden.

Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Is dat het enkele feit dat er een brief van één kantje (met appendix) werd overlegd in plaats van wat traditioneel een “lijvig rapport” heet? De in NRC geciteerde woordvoerder vind ik niet sterk klinken: „Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.” Arnoud

Het bericht Hostingbedrijf Leaseweb weigert openheid te geven over cyberaanval verscheen eerst op Ius Mentis.

Een Amerikaanse rechter heeft geweigerd dat een video als bewijs wordt gebruik in een rechtszaak vanwege het gebruik van AI-software bij het bewerken van de video. Dat meldde Tweakers vorige week. Door gebruik van de software wilde de aanklager duidelijker maken dat het inderdaad ging om de verdachte.

Wat ging er nou precies mis? De aanklager gebruikte Topaz Video AI om de video te upscalen, meldt NBC News. De software van het Amerikaanse bedrijf herkent gezichten en vult vervolgens details aan die niet in het oorspronkelijke beeld zaten. Dat is problematisch, zo redeneert de rechter, want de software ‘leunt op vage methoden om te bepalen wat het AI-model denkt wat we moeten zien’, aldus de rechtbank. Topaz is videobewerkingssoftware: je kunt er beeld mee opknappen, zoals door het er scherper laten uitzien. Dat is mooi voor die vakantiefoto die niet helemaal goed gelukt is, of voor het aanvullen van beeld voor je reclamecampagne dat nét even iets extra’s nodig heeft.

Specifiek bij bewijs is dat allemaal net iets spannender. Het is natuurlijk prima als het bewijs beter te beoordelen wordt, maar dat moet niet gebeuren door er dingen bij te verzinnen, hoe mathematisch logisch het ook lijkt dat die pixels er tussen moeten.

Het plaatje rechtsboven (van een experiment uit 2020 met hetzelfde doel) laat zien waarom: de dataset daarvan bevatte geen gezichten van kleur, waardoor de bekende foto van president Obama opgewerkt werd tot geheel iemand anders. Een recenter voorbeeld was beeldbewerkingssoftware die ongevraagd acteur Ryan Gosling toevoegde aan een video.

Mag dit nou van de AI Act? Ik zit even te peinzen of dit telt als biometrie, maar interpolatie van pixels kan ik moeilijk gelijk stellen aan analyse van gezichtskenmerken. Op de lijst (Annex III) staan wel diverse vormen van AI-gebruik door wetshandhaving, waar naast de politie ook het OM onder valt:

• AI systemen gebruikt als leugendetector
• AI om de betrouwbaarheid van bewijs te evalueren
• AI om recidivisme in te schatten (waarbij meer dan profiling wordt gebruikt, want anders is het verboden)
• AI voor het profileren van mensen in het kader van opsporing en vervolging

Ook zullen dit soort systemen onder de transparantie-eis van “synthetic output generator” AI vallen. Die moeten zorgen dat hun beeld onzichtbaar en robuust gewatermerkt is zodat andere systemen (zoals het uploadformulier van Facebook) kan signaleren dat er synthetische afbeeldingen worden geupload.

Naar de letter van de wet is zulk beeld zelfs een deepfake: “deepfake”: door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen of andere entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien; Twintig bij twintig pixels uitvergroot en bewerkt zodat je er Ryan Gosling in ziet, lijkt mij wel “een gelijkenis vertonen” waardoor je ten onrechte het beeld voor waarheidsgetrouw aan gaat zien. Dit beeld moet dus expliciet gemarkeerd worden als niet-authentiek.

Is hiermee alle gebruik van beeldbewerking verboden? Nee. Nog even los van dat dit één uitspraak is; de betrouwbaarheid van via ict verkregen bewijs vaststellen is al decennia een aandachtspunt. AI maakt het manipuleren van bewijs eenvoudiger en sneller, maar dat is geen fundamenteel nieuwe kwestie.

Arnoud

Het bericht Amerikaanse rechter weigert video als bewijs vanwege gebruik AI-software verscheen eerst op Ius Mentis.

Wie een pakje sigaretten koopt, komt op steeds meer plekken in Nederland een gezichtsscanner tegen. Dat las ik bij RTL Nieuws onlangs. De scanner schat je leeftijd (25+ of niet) en laat je dan sigaretten kopen (of niet). Enkele rokende lezers stelden me vervolgens de vraag: mag dat eigenlijk wel, inzet van biometrie voor zo’n profileringsdoel? En vooral: wat zegt de aankomende AI Act?

De AI Act is definitief maar nog niet aangenomen (in mijn nieuwe boek lees je alle details). Dat zal in mei gebeuren. Daarna is er twee jaar overgangsrecht, hoewel de zogeheten verboden praktijken al over zes maanden moeten stoppen. En in die lijst (artikel 5) staan de nodige biometrische toepassingen:

• Emotieherkenning op het werk en in het onderwijs, behalve indien noodzakelijk voor veiligheid of medische redenen (art. 5(1)(f)).
• Biometrische categorisatie op bijzondere persoonsgegevens, zoals het afleiden van etnische afkomst of seksuele voorkeur (art. 5(1)(g)).
• Real-time biometrie op afstand in de openbare ruimte voor wetshandhaving (art. 5(1)(h)))

Diverse toepassingen van biometrie zijn als hoogrisico aangemerkt. De AI Act is daar formeel in; iets is hoogrisico als het op de lijst (Annex III) staat, je hoeft geen eigen inschatting te maken van hoe hoog of hoe ernstig het in jouw geval is. Pas je onder een tekst? Dan ben je hoogrisico.

De eerste toepassing is biometrie op afstand. De AI Act gebruikt hierbij niet een criterium uitgedrukt in meters, maar of je meerdere mensen tegelijkertijd scant (overweging 17, artikel 3 lid 41), met “typisch op afstand” als optionele toevoeging.

De tweede toepassing is emotieherkenning (dus niet op werk of school). Dit is niet van toepassing, want leeftijd is geen emotie.

Blijft over biometrische categorisatie op basis van gevoelige of beschermde kenmerken. Dit komt goed in de buurt: de categorieën zijn dan “25 jaar of ouder” versus “jonger dan 25”, en dit gebeurt op basis van gezichtskenmerken die goed ‘gevoelig’ kunnen zijn. Daarmee moet de leverancier aan een hele berg compliance-verplichtingen voldoen.

Die 25 jaar is overigens gekozen om de foutmarge naar 2% terug te dringen: het verschil zien tussen 17 en 19 is te subtiel kennelijk.

Waar ik vooral mee zit: de gezichtsscan duurt zo te zien op het filmpje minstens zo lang als een ID-kaartscan. (De leverancier spreekt van “rap” maar ik zie echt het tijdsverschil niet.) Je ID moet je altijd kunnen laten zien. Wat is dan precies nog het praktische voordeel van deze AI oplossing ten opzichte van altijd ID laten zien?

Arnoud

Het bericht Pakje sigaretten kopen? Eerst even je gezicht scannen, mag dat? verscheen eerst op Ius Mentis.

Justitie heeft een telefoon ontgrendeld en doorzocht van een vreemdeling die in bewaring was gesteld, zonder dat hier toereikende wettelijke grondslag voor was. Dat las ik bij Tweakers vorige week. De Raad van State had namelijk bepaald dat onder de Vreemdelingenwet 2000 ambtenaren niet bevoegd zijn om telefoons te doorzoeken, ondanks dat de wet (art. 59) vrij letterlijk zegt van wel. Wat is hier aan de hand?

Het ging om een Mongoolse vrouw die in vreemdelingenbewaring was gesteld: Een ambtenaar van de Afdeling Vreemdelingenpolitie, Identificatie en Mensenhandel hoopte op haar telefoon foto’s van identiteitsdocumenten te vinden, zodat hij meer informatie kon krijgen over haar identiteit. De vrouw gaf echter geen toestemming voor het ontgrendelen van de telefoon. De ambtenaar hield daarop de telefoon voor haar gezicht, zodat deze alsnog ontgrendelde. Vervolgens heeft de werknemer handmatig de telefoon doorzocht. Het voelt voor mij een tikje dun dat je iemands telefoon zou mogen doorzoeken op basis van de speculatie dat daar wellicht identiteitsdocumenten op staan, maar goed. De ambtenaar meende dat dat mocht, want artikel 59 Vreemdelingenwet 2000 bepaalt immers in lid 8 dat De ambtenaren belast met de grensbewaking en de ambtenaren belast met het toezicht op vreemdelingen zijn bevoegd de in bewaring gestelde persoon aan diens kleding of lichaam te onderzoeken, alsmede zaken van deze persoon te doorzoeken, voor zover dit noodzakelijk is voor het verkrijgen van informatie omtrent de identiteit, nationaliteit en de verblijfsrechtelijke positie van de betreffende vreemdeling. Bij invoering van de wet (Kamerstukken II, 2011/2012, 32 528, nr. 6, blz. 5 en 9) is gezegd dat met ‘zaken’ ook een mobiele telefoon wordt bedoeld. In 2011/12 geen gekke opmerking – dat was gewoon een ding waarmee je kon bellen en sms’jes kon versturen (en soms ook bewaren), maar dat was het wel zo ongeveer.

In 2024 is een mobieltje een wezenlijk anders ding: je hele leven staat erop – ik heb ze wel eens privacybommen horen noemen, om die reden. Dat betekent dat je als burger meer bescherming van je persoonlijke levenssfeer mag verwachten als het gaat om dingen aan je telefoon. De Hoge Raad bevestigde dat in een strafzaak in alweer 2017, en daarna is in het strafrecht een getrapt kader ontwikkeld voor doorzoeking aan telefoons van verdachten.

Het gaat hier alleen om vreemdelingenrecht en niet strafrecht, en het is dan geen gegeven dat regels van dat laatste ook gelden. De Raad van State gooit het over een andere boeg: omdat het niet gaat om strafrecht, is gewoon de AVG van toepassing (in plaats van de Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens). Doorzoeken van een telefoon is geautomatiseerd verwerken van persoonsgegevens, soms zelfs van bijzondere gegevens.

Natuurlijk is artikel 59 Vw dan een wettelijke basis, waarmee je komt bij de grondslag van uitoefening van het openbaar gezag (art. 6(1)(e) AVG) uitkomt. Alleen is dat artikel een tikje generiek en open, en dat is een probleem: naarmate de inmenging in een grondrecht ernstiger is, moet de wettelijke grondslag daarvoor nauwkeuriger zijn (vaste EHRM-jurisprudentie). Als de wet dat zelf niet doet, dan zul je op zijn minst een duidelijk afwegingskader moeten hebben waarbinnen de ambtenaren mogen werken: Naar aanleiding van een vraag van de Afdeling op de zitting hoe die afweging er in de praktijk uitziet, heeft de staatssecretaris toegelicht dat in een proces-verbaal wordt vastgelegd wat er wordt uitgevoerd, welke relevante gegevens worden gevonden en waarom die relevant zijn, maar niet op basis waarvan de beslissing om een telefoon te onderzoeken wordt genomen. De staatssecretaris heeft bevestigd dat er geen nader regelgevend kader is aan de hand waarvan ambtenaren hun beslissing om een mobiele telefoon te onderzoeken nemen. Er is niet eens een verslag van de afwegingen of werkwijze bij een specifieke doorzoeking. Dat is alles bij elkaar een werkwijze in strijd met de AVG en meer algemeen een serieuze kans op willekeur – iedereen doet maar wat, en als vreemdeling kun je daar niets tegen doen. Dat maakt dat het doorzoeken niet toegestaan is onder dit artikel.

Arnoud

Het bericht Justitie doorzocht zonder wettelijke grondslag telefoon van vreemdeling verscheen eerst op Ius Mentis.

WhatsApp-gebruikers moeten van de Europese Unie binnenkort kunnen chatten met mensen op andere apps, zoals Signal of Telegram. Dat las ik bij Nu.nl. “De beveiliging loopt wel een deuk op” kwam er achteraan, en dat kostte me een kop koffie. Want hoewel de nuance verderop wel opduikt, versterkt dit toch het PR-blaatpraatje dat interoperabiliteit éigenlijk raar en gevaarlijk is. En het wás al zo’n gedoe, die DMA aannemen.

In januari hadden we het ook over het aan elkaar koppelen van diensten, in dat geval Threads en Mastodon. Zoals ik toen schreef, dit moet van de Digital Markets Act (DMA). Die bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent: Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar. WhatsApp is ook zo’n poortwachtersdienst met “nummeronafhankelijke interpersoonlijke communicatiediensten” (juridisch voor ‘chatdienst’) en moet dus interoperabel zijn met andere diensten zoals Signal of Telegram. Dat gaan ze ook doen, maar toch vond “men” het nodig even wat angst in de markt te zetten: Ook WhatsApp ziet de risico’s. “Zonder eigenaarschap van beide eindpunten kunnen we de veiligheid van berichten die ontvangen of verzonden worden via een andere app niet garanderen”, schrijft de dienst. De bron is het persbericht van Meta, waarin ze nader ingaan op hun “e2ee promise”, oftewel het versleuteld houden van de communicatie tussen twee eindgebruikers. Natuurlijk kan Meta niet zien of andere bedrijven datzelfde doen, en natuurlijk is het mogelijk dat een ander zégt e2ee toe te passen maar toch een achterdeur ingebouwd te hebben. Of gewoon cryptotechnisch prutswerk te hebben geleverd. Alleen: is dat iets waar Meta wat van moet vinden?

De DMA laat zien dat de keuze van de wetgever was om de grote gesloten platforms open te trekken. Dat er daarna meer geregeld moet worden op security-gebied, dat is een apart probleem waar óók de nodige aandacht voor is (NIS2, CRA, AVG/AI Act security). Ik snap dat op de korte termijn dit een probleem is dat schade kan veroorzaken. Maar op de lange termijn is een open ecosysteem beter dan het gesloten model met vijf grote bedrijven dat we nu hebben.

Arnoud

Het bericht WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s verscheen eerst op Ius Mentis.

“Automattic weigerde en stelde dat het vonnis niet op de juiste manier was betekend door eiser en dat de rechtbank niet bevoegd was”, meldde IE-Forum onlangs. De juridische manier om te zeggen “de eigenaar van blogplatform WordPress deed moeilijk toen de rechter zei dat een blog weg moest”. Wat was hier aan de hand?

De kern van de zaak was simpel genoeg. Een meneer werd stevig bedreigd, en een blog gehost bij WordPress was daarbij een belangrijke factor. Kort geding, rechter oordeelt dat de blog als geheel onrechtmatig is en beveelt offline halen daarvan. Uiteraard gaat dat dan op straffe van een dwangsom.

Automattic (de eigenaar van WordPress-het-platform) haalde de blog echter niet offline, en betaalde ook niet de dwangsommen. Daarop stapte de man naar de rechter, waarbij Automattic het verweer opwierp dat hij maar naar Californië moest gaan – de Nederlandse rechter zou onbevoegd zijn. Daar had de rechter weinig moeite mee; zij was wel degelijk bevoegd bij zo’n dwangsom-incasso-procedure (executiegeschil) omdat de rechter van de hoofdzaak dat ook was.

Dan de incasso van inmiddels twee ton aan dwangsommen? Nee, toch niet: nu kwam Automattic met het verhaal dat het vonnis niet juist uitgereikt was (betekend), zodat de startdatum voor de dwangsommen nooit was begonnen te lopen. De personen die de brieven zouden hebben gehad, waren niet bekend en niet bevoegd, de brief naar Amerika was naar het bedrijf zelf gestuurd en niet naar de registered agent, de Engelse vertaling van het exploot miste kerninformatie (45 Rv) – wat cynische ikke dus ‘moeilijk doen’ noemt.

Gelukkig is het recht niet voor één gat te vangen, want het kan niet de bedoeling zijn dat je werkelijk zo moeilijk moes doen om een buitenlands bedrijf aan te spreken. De constructie (art. 54 Rv) is dan ook dat je bij een bedrijf buiten de EU genoeg hebt gedaan als je het vonnis in de Staatscourant hebt gezet en het hebt betekend bij het Nederlands OM (inderdaad, die van de strafzaken).

Dat was hier ook gebeurd en dat was genoeg. Het is dus niét nodig dat je vonnis daadwerkelijk een buitenlandse (niet-EU) partij bereikt heeft, en dat is precies omdat je geen controle hebt over wat er daar gebeurt. Dat de advocaat van Automattic al op 14 april 2022 (een dag na de uitspraak) het vonnis had gehad, is dus niet eens belangrijk.

Blijft over de praktische vraag: wat nu? Want als het bedrijf zich in deze bochten wringt, dan bekruipt mij het gevoel dat ze niet na deze uitspraak ineens heel vriendelijk twee ton overmaken. Maar er zijn meer manieren om aan geld te komen. Met zo’n betekend vonnis kun je namelijk in andere EU-landen beslag laten leggen op geld of rechten die aldaar zijn. Denk aan een rekening waar Europese klanten betalen voor advertenties, de zakenauto van de Europese directeur of de handelsvoorraad ergens in een loods.

Of dat er allemaal is bij een internetbedrijf, kun je je afvragen. Maar wat er wel is, is één vermogensrecht en dat is het merk van Automattic, of beter gezegd het merk WordPress. Dat is immers juridisch gezien ook een vermogensrecht, en daar kun je beslag op leggen. Op korte termijn betekent dat dat Automattic er zelf niets meer mee mag doen, en als ze niet snel betalen dan is (in theorie) de mogelijkheid dat de eiser het merk gaat verkopen om zo die twee ton te verdienen. Ik ben benieuwd of Automattic het zó ver gaat laten komen.

Arnoud

Het bericht Hoe krijg je in Nederland een Amerikaans bedrijf zo ver te luisteren naar de rechter? verscheen eerst op Ius Mentis.

“Warning: Vultr (a major cloud provider) is now claiming full perpetual commercial rights over all hosted content”, zo las ik op Reddit. Als je dan meeneemt dat Vultr recent aankondigde een sprint richting AI-clouddiensten te maken, dan snap ik wel dat mensen zich daar zorgen over maken. Is het terecht?

Vultr was er snel bij om de grote klanten gerust te stellen: de betreffende zin eindigt met “for purposes of providing the Services to you”, de standaardfrase waarmee men alle rechten in clouddienstland beperkt tot hetgeen nodig is om de gevraagde dienst te leveren. De “lawyers were overzealous” en het enige doel was indekken “incase we wanted to use it for marketing purposes”.

Dat laatste is eigenlijk altijd het excuusargument geweest: stel we maken een screenshot van onze dienst in een folder en jouw site staat er toevallig op, dan willen we geen claims. Want dat gebeurt immers dagelijks, dat je folders maakt zonder uit te zoeken welke site er in komt. (En dat clouddiensten folders maken.) Ik heb daar nooit echt in geloofd.

Helemaal moeilijk te geloven is dit verhaal wanneer je beseft dat alle data met enige structuur of labeling enorm waardevol is tegenwoordig – de grote AI taalmodellen kunnen maar op één manier concurreren en dat is nóg meer data erin om nóg breder te kunnen papegaaien. Dus als een clouddienst met enorm veel klantdata zichzelf in 2024 een onbeperkt “commercialisatie” recht geeft, dan riekt dat naar “wij verkopen de gehele dataset naar de grote LLM-providers”.

Kennelijk is het een storm in een glas water. Maar stel dat ze wél bedoelden “wij mogen een AI trainen op jouw website”. Had dat dan gemogen? In principe wel: het is een grootzakelijke dienst, en daar gelden vrij weinig juridische beschermingsmaatregelen.

De DSA dan? Die bevat inderdaad enige bepalingen over dienstvoorwaarden. Artikel 14 zegt bijvoorbeeld dat je voorwaarden duidelijk alle beperkingen moeten aangeven waarop je handhaaft. En onder artikel 17 moet je specifiek motiveren op welk artikel je je beroept (en waarom dat opgaat) als je ingrijpt bij content van je klanten. Maar dat gaat allemaal niet over auteursrechten. Ook de DMA verbiedt niet het opeisen van (licenties onder) auteursrecht op materiaal van je klanten.

Blijft over de AVG, ondertussen een beetje het duizenddingendoekje in het recht. Er zitten vast persoonsgegevens van Europeanen in al die data, de grondslag voor gebruik omvat niet het [fictieve] hergebruik van Vult, dus dat is noncompliant. De privacyverklaring van Vult gaat in op de AVG en benoemt onder meer the processing is in our legitimate interests, which are not overridden by your interests and fundamental rights. Our legitimate interests are to use subscriber, Site user, supplier and customer data to conduct and develop our business activities with them and with others while limiting the use of their personal data to purposes that support the conduct and development of our business; or Deze omschrijving is nogal breed, “develop our business” kun je prima lezen als “we verkopen het aan een papegaaienkweker”. Ik denk niet dat dat bedoeld is, maar uitsluiten op basis van de tekst kun je het niet. We komen dan uiteindelijk toch weer bij die vraag of je een AI mag trainen met persoonsgegevens. Die laat ik voor nu even zitten.

Arnoud

Het bericht Wacht, beginnen cloudproviders nu ook al commercialisatierechten te claimen? verscheen eerst op Ius Mentis.

Het gerechtshof in Amsterdam heeft Jort Kelder dinsdag in hoger beroep gelijk gegeven in zijn al vier jaar slepende conflict met Google, zo las ik bij NRC. Zij hadden het vonnis niet: die stond bij het onvolprezen Boek9. Dat schrijft persbureau ANP. Het gaat natuurlijk om die berichten waarin we “afscheid nemen” van Kelder als clickbait om cryptomunten te verkopen, al dan niet in de vorm van flessentrekkerij.

In 2022 stapte Kelder (samen met Alexander Klöpping) naar de rechter hierom, maar zonder succes. Ik blogde toen: De nepadvertenties kennen de meeste mensen wel: een foto van een BN’er met een ietwat cryptische mededeling, zoals “Nederland neemt afscheid van Jort Kelder” of “Klöppings laatste investering jaagt bankiers angst aan” en pas na doorklikken kom je erachter dat het gaat om ‘beleggen’ in cryptovaluta. Waarbij de scam dan is dat je geld betaalt en er niets voor terugkrijgt. De rechtbank wees de eis af, omdat de zorgplicht van Twitter en Google niet zo ver ging dat ze íeder bericht hadden moeten onderscheppen. Je kunt niet makkelijk automatisch zien of Kelder in een advertentie staat, de teksten zijn verhullend en de sites wisselen van inhoud na een paar dagen zodat de controleur niets bijzonders ziet.

Gelukkig voor de jurisprudentie ging Kelder in hoger beroep, zij het in zijn eentje en alleen nog tegen Google. Het verweer van die laatste was natuurlijk dat ze slechts een doorgeefluik zijn: niet aansprakelijk voor andermans content, maar op whack-a-mole basis best bereid individuele dingen weg te halen.

Je zou zeggen dat dat bij advertenties anders is, omdat die worden gescreend. Maar dat zijn allemaal automatische processen, en puur automatische passieve controle is niet genoeg om content van kleur te laten verschieten tot redactionele inhoud. Google bemoeit zich ook niet inhoudelijk met het hoger of prominenter tonen van deze advertenties.

Moet Google meer doen? Het Hof is net als de rechtbank onder de indruk van de vele maatregelen en de ‘holistische’ aanpak van Google om advertenties te betrappen – cynische ikke leest het als een mooi verhaal om maar niet identiteitscontrole aan de poort te hoeven doen, want dat zou de omzet drukken.

Specifiek op gemelde advertenties had Google wél meer moeten doen. Ook hier ging men ‘holistisch’ te werk: In april 2020 heeft zij een internationale multidisciplinaire werkgroep opgezet die versneld technische maatregelen heeft ontwikkeld en geïmplementeerd en in juli 2020 heeft zij celebrity sensationalist ads verboden. Niet valt echter in te zien waarom deze nieuw gevonden manieren van omzeiling in de weg hebben gestaan aan het eerder nemen van effectieve maatregelen door Google, en wel zo spoedig mogelijk na kennisneming van de conceptdagvaarding op 10 januari 2020, dan wel op zijn minst onmiddellijk na het gesprek hierover op 19 februari 2020. Het ging hier namelijk niet om generieke eisen zoals “blokkeer iedere advertentie met mijn gezicht er naast en/of gekoppeld aan mijn naam”. De betreffende advertenties waren simpelweg steeds (vrijwel) dezelfde, op zo’n manier dat een tekstueel filter ze eenvoudig tegen had kunnen houden: Ook als het [door het ad cloaking] niet goed was vast te stellen of de betreffende advertentie doorlinkte naar een landingspagina waarop bitcoin-investeringen werden aangeboden, had het tonen van de advertenties in elk geval voor (menselijke) verificatie kunnen worden opgeschort op basis van de vaststelling dat de advertentie identieke/zeer gelijksoortige elementen bevat als de bitcoin-advertenties waarover Google door Kelder was geïnformeerd. Wat betreft die advertenties is het Hof dan snel klaar: die zijn natuurlijk onrechtmatig, en Google had meer moeten doen om ze tegen te houden, dus is zij aansprakelijk voor de door Kelder geleden schade. Alleen, hoe hoog is die schade? Daarover wordt in een vervolgprocedure (schadestaat) nog nader gepuzzeld.

Arnoud

Het bericht Jort Kelder wint hoger beroep tegen Google over nepadvertenties met zijn beeltenis verscheen eerst op Ius Mentis.

Nee, niet mijn clickbaittitel: “A.I., losgelaten op openbare profielen, kan dan uitkomst bieden” las ik in een advertorial bij Werf&. Velen vroegen mij hoe dat kan, anoniem en AVG-compliant zoeken naar mensen die passen bij je vacature.

De kern, zo legt het bedrijf zelf uit: Steeds meer mensen zetten hun profiel op ‘openbaar’ op platformen zoals LinkedIn, omdat zij zichtbaar willen zijn voor iemand die naar hen op zoek is. Deze informatie kun je geanonimiseerd gebruiken om algoritmes op te trainen. A.I. kan vervolgens suggesties geven voor objectieve en onbevooroordeelde matches, die talentverspilling tegengaan. Dat is een mooie pitch, maar ik hóór collectief de wenkbrauwen omhoog gaan bij alle CAICOs en FGs. Want data echt anonimiseren in de zin van de AVG is niet triviaal. Vrijwel altijd bedoelt men “pseudonimiseren”, oftewel we hebben de direct herleidbare gegevens eruit gehaald en een volgnummertje teruggezet, maar wij kijken heus echt niet naar de bronlijst met volgnummer.

Hoe werkt het hier? Daarom hebben wij alle identificerende data uit de trainingsdata verwijderd. We slaan dus géén persoonsgegevens en potentieel discriminerende informatie (zoals leeftijd en gender) op. Ook bezitten we geen bedrijfsnamen om te voorkomen dat iemand door de functie bij het bedrijf op te zoeken, toch herleidbaar zou zijn. We houden alleen die data over die noodzakelijk zijn om onze op A.I.-gebaseerde matchingtechnologie zo goed mogelijk te kunnen trainen. Kennelijk is het AI systeem gericht op het extraheren van vaardigheden uit profielen, en ik zie wel hoe je persoonsgegevens daar niet bij nodig hebt. Dan zoek je naar beschrijvingen, labels, professionele lidmaatschappen en ga zo maar door. Het zoekproces is dan een stuk gerichter, omdat je dan veel meer vaardigheden (skills) hebt om mee te filteren.

Alleen: hoe krijg je vervolgens de profielen of contactgegevens van die personen te pakken? Dat gaat zo: Vergelijkbaar met de bekende zoekmachines, maar dan gericht op openbare zakelijke profielen. … Hiervoor hebben we een gerichte search engine ontwikkeld, met zo’n 7 miljoen actueel openbaar gedeelde profielen in Nederland. Uniek is dat we daarbij matchen op de waarschijnlijk aanwezige en benodigde skills. … We slaan overigens geen contactgegevens op, zelfs niet indien deze openbaar toegankelijk zijn gemaakt op het profiel. Je kunt dus alleen contact opnemen via het platform waarop het profiel oorspronkelijk openbaar is gedeeld. Dit klinkt als een zoekmachine gebaseerd op netwerksites zoals Linkedin, waar je op basis van skills in zoekt in plaats van trefwoorden. Vervolgens word je met een link naar de bronsite gebracht, waar je dan zelf contact opneemt met de persoon.

De AVG aspecten zitten daarmee enerzijds in het scrapen van die data om daar een AI model mee te trainen, en anderzijds in het doorzoekbaar maken van de data met een skills-zoekmachine.

Dat scrapen (even los van de Linkedin-voorwaarden) is AVG-technisch een verwerking, die je alleen kunt rechtbreien op grond van gerechtvaardigd belang. Ja, direct marketing staat in overweging 47 maar de vraag is of het proportioneel is en opweegt tegen de privacybelangen van de betrokkenen.

Ik zie ergens wel hoe “tot trainingsdata omwerken en daar een AI model van maken” hier in past. Zo’n algemeen zoals hier model raakt jouw privacy niet, en ‘doet’ verder niet direct iets met jouw persoonsgegevens. Zo’n label met een skill is op zich als persoonsgegeven te zien áls het aan een persoon zit, maar het label wordt hier niet op basis van persoonskenmerken gegeven.

Lastiger is het AVG verhaal voor de zoekmachine. Die verwerkt gewoon persoonsgegevens: je krijgt een profiel op basis van opgegeven skills, dat profiel is ook verbonden met zelf afgeleide skills én de link naar de bron (zoals het Linkedinprofiel) staat er bij. Dan voorzie je mensen dus van labels (“is harde werker”, “kennis van ISO42001”) en dát is gewoon waar de AVG voor bedoeld is.

Valt die zoekmachine dan onder een gerechtvaardigd belang? Dat zie ik niet meteen. Het hele idee van deze zoekmachine is mensen vinden op basis van skills, om ze vervolgens te benaderen voor werving en selectie. Vanuit de Telecomwet weten we dat zulke communicatie toestemming vereist, maar iedereen weet ook dat die zelden gezocht wordt. Zo’n zoekmachine zal dat dus aanjagen, en dat maakt de belangenafweging neigen naar “niet proportioneel”.

Daar staat natuurlijk tegenover dat op platforms zoals Linkedin je zelf kiest of je open staat voor communicatie van onbekenden (en/of je 06-nummer onder je naam opneemt), en dat men uiteindelijk via de Linkedin-faciliteiten contact opneemt. Dat kan leiden tot overlast, maar omdat de dienst hier achter een betaalmuur zit en vrij nieuw is, is dat een tikje speculatief.

Arnoud

Het bericht “Zo laat je de data van miljoenen openbare profielen in jouw voordeel werken” verscheen eerst op Ius Mentis.

Spaanse telecombedrijven zijn bezig de chatapp Telegram uit de lucht te halen. Dat meldde RTL Nieuws afgelopen zaterdag. Twee dagen later trok men het bevel in, maar bij velen zat de schrik er goed in: kan dat dan zomaar als een rechter dat wil?

De blokkade is het gevolg van een serie claims van Spaanse rechthebbenden over content die wordt gedeeld op het chatplatform: Judge Santiago Pedraz agreed to temporarily ban the platform after four of the country’s main media groups – Mediaset, Atresmedia, Movistar and Egeda – complained that the app was disseminating content generated by them and protected by copyright without authorisation from the creators. Wie nu denkt: dan doen ze toch een notice&action en dan moet Telegram het weghalen (DSA), zo simpel is het niet. Een “een aanbieder van een onlinedienst voor het delen van content” is niét beschermd als provider, maar wordt zelf gezien als de publicist van gedeelde content (artikel 17 Auteursrechtrichtlijn). Die moet dus toestemming kopen of effectieve blokkades nemen.

Ik zie de discussie wel hoe Telegram onder deze definitie valt: “aanbieder van een onlinedienst voor het delen van content”: een aanbieder van een dienst van de informatiemaatschappij die als belangrijkste of een van de belangrijkste doelstellingen heeft een grote hoeveelheid door de gebruikers van de dienst geüploade auteursrechtelijk beschermde werken of andere beschermde materialen op te slaan en toegankelijk te maken voor het publiek, waarbij hij deze werken en materialen ordent en promoot met een winstoogmerk. Dus ik zie wel hoe de rechthebbenden dit proberen. Ook kunnen ze ‘gewoon’ de insteek nemen dat Telegram te weinig doet om notice&action verzoeken op te volgen. In beide routes kán de ultieme consequentie zijn dat internetproviders de dienst moeten blokkeren. Inderdaad, net zoals The Pirate Bay bij ons.

Bovendien, en dat was hier de kern: Telegram weigerde überhaupt input te geven in de rechtszaak. Wie niet meewerkt, moet de gevolgen daarvan dragen. In Nederland staat zoiets bijvoorbeeld in artikel 21 Rechtsvordering: Partijen zijn verplicht de voor de beslissing van belang zijnde feiten volledig en naar waarheid aan te voeren. Wordt deze verplichting niet nageleefd, dan kan de rechter daaruit de gevolgtrekking maken die hij geraden acht. Als je dus in een civiele zaak (strafrecht is even wat anders) geen uitleg geeft over je handelen, mag de rechter zelf bedenken wat daar achter zit. Is dat onjuist, dan is dat pech voor jou: had je het maar moeten toelichten. Maar de rechter mag meer, ook acties nemen is mogelijk – denk aan het toewijzen van een eis tot ontruiming of teruggave van spullen. Een tijdelijke blokkade van een dienst is dus in principe mogelijk.

Natuurlijk moet de rechter wel redelijk zijn en een proportionele maatregel kiezen. En dat was waar dit misging: de héle applicatie voor álle Spanjaarden blokkeren omdat een relatief klein deel van de gedeelde content inbreukmakend is, dat is een disproportionele reactie. Ook als je boos bent omdat Telegram je hof minacht (zouden de Yanks zeggen).

Arnoud

Het bericht Kan Spanje met gerechtelijk bevel zo Telegram uit de lucht halen? verscheen eerst op Ius Mentis.

De Amerikaanse autoriteiten hebben Google via verschillende gerechtelijke bevelen opgedragen om informatie te verstreken over kijkers van bepaalde YouTube-video’s. Dat las ik bij Security.nl. Dit was weliswaar in het kader van de opsporing van één concrete verdachte, maar het doet toch bepaald griezelig aan.

Het bevel bleek gegeven in de context van een opsporing van een verdachte die wordt verdacht van witwassen door bitcoin voor contant geld te verkopen: Begin januari stuurden undercoveragenten de verdachte een link naar verschillende YouTube-video’s. Vervolgens vroegen ze Google informatie over wie de betreffende video’s had bekeken. Die waren inmiddels al meer dan dertigduizend keer vertoond. Als onderdeel van het gerechtelijk bevel moet Google de namen, adresgegevens, telefoonnummers en alle gebruikersactiviteit van alle Google-accountgebruikers verstrekken die de YouTube-video’s tussen 1 en 8 januari hebben gezien. Daarnaast wil de Amerikaanse overheid ook de ip-adressen van mensen die niet met een Google-account op YouTube waren ingelogd en de video’s hebben bekeken. Het idee zal dan zijn dat wie al die video’s kort achter elkaar had bekeken, dat had gedaan via de gestuurde links, wat het waarschijnlijker maakt dat dit de verdachte was. En omdat je dan diens IP adres hebt, is fysiek opsporen en ondervragen dan een mogelijke volgende stap.

Aardig bedacht, maar de videos waren natuurlijk ondertussen bekeken door dertigduizend mensen en de kans op vals positieven is daardoor reëel. Nog even los van “hoezo mag de politie vragen welke video’s ik kijk”, de term fishing expedition komt direct in mij op.

In Nederland kan de politie bij verdenking van een misdrijf IP-adressen en dergelijke vorderen. Het moet dan alleen wel gaan om de gegevens van de vermoedelijke verdachte. De vraag zoals hier gegeven “welke personen bekeken tussen 1 en 2 maart deze video” is niet geschikt voor zo’n vordering.

Arnoud

Het bericht YouTube opgedragen informatie over kijkers bepaalde video’s te verstrekken verscheen eerst op Ius Mentis.

Het Europese Hof van Justitie heeft geoordeeld dat de wet dat burgers vingerafdrukken moeten toestaan voor identiteitsbewijzen ongeldig is. Dat las ik bij Tweakers. Toch geldt de wet nog steeds, tot een betere wet eind 2026 ingaat. Dit riep vele vragen op, dus laten we even kijken wat hier nu precies aan de hand was.

In 2019 is een Europese Verordening (2019/1157) aangenomen. Deze betrof “de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten”, en bevatte een bepaling over vingerafdrukken (artikel 3 lid 5): De identiteitskaart bevat een opslagmedium dat aan de hoogste veiligheidseisen voldoet en dat een gezichtsopname en twee vingerafdrukbeelden van de houder van de kaart bevat, in een digitaal formaat. Iedereen die zo’n kaart kreeg, was verplicht diens vingerafdrukken af te geven (behalve kinderen onder 6 en mensen bij wie dat fysiek onmogelijk was).

In 2021 moest iemand in Duitsland (Wiesbaden) een nieuwe ID-kaart, maar hij wilde echter niet dat de nieuwe kaart zijn vingerafdrukken zou bevatten. De gemeente zag dat anders: in de wet staat dat dat moet, en hij viel niet onder de uitzonderingen.

Daarop stapte de man naar de rechter. Hij had daarbij zowel inhoudelijke als formele argumenten. De inhoudelijke spreken voor zich, maar de formele hebben wat meer uitleg nodig. Er zijn in de EU verschillende routes om tot een bindende wet te komen. Welke route te nemen, hangt af van het onderwerp en het doel van de regeling. Een regel over consumentenrecht gaat via een heel andere route dan een maatregel ter beveiliging van de gemeenschappelijke grenzen, bijvoorbeeld.

Regels over “reisdocumenten” kunnen worden ingevoerd via artikel 21, lid 2 van het Verdrag betreffende de Werking van de EU (VWEU), dat voorschrijft dat de “gewone wetgevingsprocedure” wordt gebruikt. Maar in artikel 77(3) VWEU staan regels over “paspoorten, identiteitskaarten, verblijfsvergunningen en daarmee gelijkgestelde documenten”, maar die mogen alleen ingevoerd worden via “een bijzondere wetgevingsprocedure”.

Bent u daar nog? In gewone taal: niet Parlement en Raad hadden moeten stemmen (en met 50%+1 stem meerderheid aannemen) over deze wet, maar alleen de Raad (en met unanimiteit) na ‘raadplegen’ van het Parlement. Oftewel, verkeerde regel toegepast bij invoering, en ja dat maakt een wet ongeldig.

Het Hof toetst ook inhoudelijk de bezwaren op grond van AVG en bescherming van persoonlijke levenssfeer, maar concludeert dat deze regeling door de beugel kan. Ook de burger heeft er belang bij dat identiteitskaarten moeilijker na te maken zijn, en twee vingerafdrukken er op zetten helpt daarbij. En omdat de wet de hoogste beveiliging eist én hergebruik verbiedt, is het restrisico op misbruik aanvaardbaar.

In deze situatie vindt het Hof het een té zware maatregel om per direct de wet buiten werking te stellen. Dit zou de beveiliging van identiteitskaarten immers weer omlaag halen, en verplichten dat gemeenten zulke kaarten zonder biometrie gaan afgeven, terwijl daar geen inhoudelijke reden (zoals privacyschending) voor is.

En als je dan meeneemt dat er in 2026 sowieso een nieuwe Verordening hierover komt die ook vingerafdrukken eist, dan zou dat allemaal wel heel veel gedoe zijn. Daarom mag deze wet toch van kracht blijven.

Arnoud

Het bericht Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen verscheen eerst op Ius Mentis.

Een minister voor Digitale Zaken heeft alleen zin als deze minstens evenveel doorzettingsmacht krijgt als de minister van Financiën. Dat las ik in een opinie bij iBestuur van de bekende Bert Hubert. Toevallig kreeg ik ook een aantal vragen hierover, dus laten we eens breder kijken: wat zou het toevoegen, een speciale minister over dit onderwerp?

Het onderwerp lijkt op de agenda te zijn gezet na onder meer een oproep aan informateur Plasterk van het Adviescollege ICT-toetsing. Ik ken de oproep voor een minister van ICT of minister van digitale zaken al langer (zoals deze oproep uit 2000). De onderliggende motivatie is hetzelfde: ICT is enorm belangrijk, er moet expertise en sturing komen dus een gezaghebbende autoriteit op ministerieel niveau is dan nodig.

Mijn voornaamste bezwaar is dat ICT niet een apart ‘ding’ is, zoals Defensie los staat van Infrastructuur en Waterstaat bijvoorbeeld. ICT wordt overal gebruikt, en expertise daarover moet dus overal aanwezig zijn.

In de oproep wordt nader gemotiveerd wat de taak van zo’n minister zou moeten zijn: De minister voert rijksbreed de regie over versterking van de digitale capaciteiten van de overheid. Dit kan bijvoorbeeld door het CIO-stelsel verder te ontwikkelen, samenwerking tussen verschillende overheden te stimuleren, kaders te stellen voor ICT-projecten, het lerend vermogen van de overheid aan te jagen en kwaliteits- en financieringsnormen aan te reiken voor het onderhoud en beheer van ICT-infrastructuur. Interoperabiliteit (technische samenwerking) en coördinatie van werkzaamheden is zeker van belang, en een stevig sturend iemand kan daar zeker het verschil maken. Dat weten we uit alle mogelijke standaardisatiegroepen. Elk ministerie heeft al een Chief Information Officer (CIO), met bindende bevoegdheden. Dat zou al een heel eind moeten helpen, al lijkt dat nog wat tegen te vallen hier en daar.

Hubert ziet één mogelijke oplossing: Een minister van Digitale Zaken kan helpen, maar die moet dan wel evenveel macht hebben als de minister van Financiën. Misschien is het zelfs wel een idee de digitale minister bij dat ministerie onder te brengen, want ze zijn daar al gewend om iedereen stevig achter de broek te zitten. Want inderdaad, als er één ding is waar alle ministeries naar luisteren dan is het wel naar Financiën. Gevoelsmatig vind ik ict niet hetzelfde als het financiële, maar organisatorisch zie ik wel hoe dat zou kunnen werken. Al blijf ik zitten met “MinFin is streng, dus als we de MinICT daar stoppen dan zal deze ook als streng worden ervaren”, wat geen vanzelfsprekendheid is.

Arnoud

Het bericht Wat zou de toegevoegde waarde zijn van een minister van Digitale Zaken? verscheen eerst op Ius Mentis.

De Commissie heeft op grond van de Digital Services Act (DSA) formeel verzoeken om informatie gestuurd naar de grote online zoekmachines en platforms, las ik in hun persbericht van vorige week. Het gaat om uitleg over hoe zij omgaan met de risico’s van generatieve AI, zoals zogenaamde ‘hallucinaties’ waarbij AI valse informatie verstrekt, de virale verspreiding van deepfakes, evenals de geautomatiseerde manipulatie van diensten dat kan kiezers misleiden.

Het is natuurlijk dat laatste dat de directe aanleiding is: de verkiezingen van het Europees Parlement komen eraan, en de vorige keer was er nogal wat ophef over politieke disinformatie op online platforms. Ook het Cambridge Analytica-schandaal heeft veel zorgen gegeven, met name de vraag of met microtargeting mensen gericht zouden kunnen worden beïnvloed (en AI maakt dat massaal mogelijk).

Nergens in de DSA staat expliciet dat je AI hallucinaties, deepfakes of manipulatie van kiezers moet bestrijden. Dit volgt uit de algemene zorgplicht tegen “systeemrisico’s”, brede maatschappelijke risico’s die jij als zeer groot platform (VLOP) of zeer grote zoekmachine (VLOS) veroorzaakt door zo massaal mensen en bots dingen te laten posten.

De organisaties hebben tot 5 april gekregen om te reageren voor wat betreft de verkiezingen, en tot 26 april voor de overige vragen. Toevallig zie ik al een eerste maatregel: YouTube krijgt label als video generatieve AI bevat.

Arnoud

Het bericht Europese Commissie gaat AI-inzet van grote platforms aanpakken verscheen eerst op Ius Mentis.

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost was aangeklaagd is in hoger beroep terecht door het gerechtshof Den Haag vrijgesproken, omdat een website geen geautomatiseerd werk is. Dat las ik bij Security.nl vorige week. De Hoge Raad verwierp met dat argument de door het OM ingestelde cassatie tegen dat arrest. En ik erger me er dood aan.

Zoals ik in 2022 blogde bij het arrest: Na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. Een website is immers niet meer dan een verzameling software en data, en een “inrichting” is een fysiek ding. Zoals mijn oude prof aan de TU altijd zei: hardware is het deel dat wél pijn doet als het op je voet valt.

Ik meende destijds dat de HR een website wél een inrichting vond, afgaande op een arrest over ddos-aanvallen, waarin men “website” zo las dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoorde.

Men ziet het echter anders: Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt. Op zich niet heel raar, als je constateert dat met “website” wordt bedoeld “alleen de software en data” dan moet de conclusie zijn dat er dus niet gezegd is dat men in de “inrichting” (de hardware) is binnengedrongen.

Blijft over het argument dat je bij “website” in het gewone spraakgebruik de hardware meeleest. Maar dat gaat niet op: De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd. Het is kennelijk onder juristen nog niet aanvaard dat als je zegt “website” dat je dan bedoelt “oftewel de daar onder liggende servers”. Dat moet je er dus bij zetten (zoals Michael Berndsen destijds betoogde). Alleen deed het Hof Den Haag daar in 2020 ook weer moeilijk over, omdat de server meestal van iemand anders is dan de website: Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard. Je komt dan uit bij de constructie “er is ingebroken bij de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” en ik heb daar gewoon ontzettend veel moeite mee.

Arnoud

Het bericht Hoge Raad oordeelt dat website geen geautomatiseerd werk is verscheen eerst op Ius Mentis.

Rijkswaterstaat wil weggebruikers stimuleren om het openbaar vervoer te gebruiken tijdens de verbouwing van de A7. Dat las ik bij NH Nieuws vorige week (dank, tipgever). Hiertoe is men begonnen met alle kentekens te scannen die nu op de A7 en de omliggende wegen rijden. Wie ze dan niet zien in de verbouwingsperiode, heeft recht op een cadeaubon. Waarvan je je natuurlijk AVG-technisch en zo kunt afvragen: mag dat?

In april beginnen werkzaamheden aan de brug in de A7 over het Noordhollandsch Kanaal bij Purmerend. Dat gaat een enorme operatie worden, waarbij veel overlast verwacht wordt omdat het verkeer slechts op twee versmalde rijbanen kan rijden: De weg is nu al op vrijwel alle uren van de dag druk en er zijn weinig uitwijkmogelijkheden voor automobilisten. Daarom verwacht Rijkswaterstaat dat bij de start van werkzaamheden er vrijwel de hele dag files zullen staan op de A7 en dat ook de nabije provinciale wegen N246 bij Wormerveer en de N247 langs Volendam zullen dichtslibben en overlast zullen veroorzaken in de dorpen waar deze wegen doorheen lopen. Ik zie dus zo voor me hoe er ergens een brainstorm “Creatieve oplossingen weghouden automobilisten” is geweest waarbij dit idee veel topjes kreeg.

In de basis is het simpel genoeg. Je registreert kentekens van wie langsrijdt, de infrastructuur daarvoor is er al en anders is een daartoe ingericht kastje zo opgehangen. Het enige dat je daarna hoeft te doen, is tijdens de dichtslibperiode ook kentekens te scannen en bij houden wie er niét langskomt uit die eerste set: “Het gaat om frequente weggebruikers”, zegt Harold Hansen van Rijkswaterstaat. Automobilisten die 3 à 4 keer per week in de spits gescand zijn kunnen eind maart controleren of ze in aanmerking komen voor een kortingsbon. “We stoppen alle kentekens in een database. Mensen kunnen dan later deze maand checken of ze aan de eisen voldoen.” Mag dit van de AVG? Want kentekens zijn persoongegevens, ongeacht of jij toegang hebt tot de RDW-databank met kentekenhouders. Ik zal jullie de grondslag-discussie besparen want je komt toch uit bij het eigen gerechtvaardigd belang (van Rijkswaterstaat dus, en eventueel medeweggebruikers die minder file hebben).

Bij de belangenafweging hoort allereerst een rechtens te respecteren belang. Het lijkt me dat het goed laten functioneren van de doorstroming van het verkeer wel een dergelijk (algemeen) belang is. Dan blijft dus over de vraag of dit gebruik van persoonsgegevens daar proportioneel bij is en of er geen andere opties zijn (subsidiariteit).

Ongerichte acties (zoals aandacht in de krant) zie ik genoeg, maar gerichte acties zijn natuurlijk veel effectiever. Ik herinner me van lang geleden een digitaal bord op de High Tech Campus Eindhoven dat je kenteken toonde met daarbij de tekst “Was u bestemmingsverkeer?” als je vrij snel weer de campusgrond verliet.

Hier wordt er eigenlijk niets met de gegevens gedaan, tenzij de kentekenhouder zich meldt om aanspraak te maken op de beloning. Dat is weliswaar geen toestemming in de zin van de AVG maar wel een duidelijke privacyvriendelijke maatregel. Dus ik zie niet zo veel problemen.

Rijkswaterstaat is een overheidsinstelling, en dan is er bij deze grond altijd de complicatie dat er bij staat dat deze niet geldt “voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken”. Dit is volgens mij niet zó breed bedoelt dat ieder handelen van een overheidsinstantie er onder valt. Het belonen van omrijders is geen taak van Rijkswaterstaat, in ieder geval geen wettelijke.

Arnoud

Het bericht Honderdduizenden kentekens gescand op A7 voor korting op OV tijdens werkzaamheden verscheen eerst op Ius Mentis.