Rechten

geralt / Pixabay

Een recente studie van de Universiteit van Cambridge laat zien dat AI software voor werving en selectie vaak “geautomatiseerde pseudowetenschap” is, zo las ik bij The Register. Het gaat om tools zoals de Personality Machine, die mensen scoort op de Big Five persoonlijkheidstheorie – in de HR de “meest gebruikte en best onderzochte persoonlijkheidstheorie.” Uiteraard is het argument dan dat zo’n AI veel objectiever kan scoren, want er leeft dus het idee dat een getal uit een computer “objectief” is en vrij van vooroordelen en dergelijke. Maar het gaat mis op veel simpeler punten. Ik dacht, een leuke voor de aankomende AI Verordening.

De beschrijving van JobPersonality.com over die theorie is veelbelovend: Uit jarenlang en wereldwijd psychologisch onderzoek blijkt dat je iemands persoonlijkheid door middel van vijf dimensies, de zogenaamde Big Five, kunt beschrijven. Deze dimensies zijn extraversie, vriendelijkheid, emotionele stabiliteit, ordelijkheid en openheid. Per dimensie kun je hoog, laag of ergens daar tussenin scoren. Er zijn geen slechte scores. Je moet er alleen voor zorgen dat je een (werk)omgeving vindt of creëert die bij je persoonlijkheid past. Veel persoonlijkheidstests die bij loopbaanadvies worden gebruikt, zijn gebaseerd op de Big Five persoonlijkheidstheorie. Het idee: je scoort mensen op die vijf dimensies en bepaalt dan bij welk werknemersprofiel ze passen. Een zeer introverte, zeer ordelijke gesloten persoonlijkheid moet je niet naast een extroverte supervriendelijke medewerker in de sales neerzetten bijvoorbeeld, maar ik zou die wel als data-jurist bij ons willen hebben. Alleen, hoe bepaal je die scores? Dat is dus mensenwerk en dat is waar het dan mis kan gaan: verhalen te over van HR-medewerkers die op basis van de aanwezigheid van een stropdas iemand hoog op ordelijk scoren of op etnische afkomst en dergelijke iemand als introvert of instabiel aanmerken.

Dat is waar de AI-promoties bij binnenkomen: een AI belooft dat objectief te doen. Die heeft niets met stropdassen maar kijkt naar de inhoud, zo is het verhaal, en daar komt dan dus een veel betere score uit. En ook als iemand in het gesprek een minder moment heeft, zal dat bij een AI er niet toe doen. Dit is het belangrijkste argument waarom AI steeds vaker aangenomen wordt, het elimineren van menselijke tekortkomingen. (De eigenlijke reden is kostenbesparing want goede HR-mensen zijn duurder dan een licentie op zo’n tool.)

Gaat dat nou echt goed? Nou nee, want alles staat of valt met hoe zo’n AI getraind is. Quoth the Raven, pardon the Register: They found the software’s predictions were affected by changes in people’s facial expressions, lighting and backgrounds, as well as their choice of clothing. These features have nothing to do with a jobseeker’s abilities, thus using AI for recruitment purposes is flawed, the researchers argue. Oftewel: de AI is getraind op foto’s van mensen waarbij aangegeven is welke score ze hebben, waarna de AI dingen is gaan zoeken die deze mensen van elkaar onderscheiden. En voor een AI is “lacht klaterend” net zo goed een feature als “heeft goede verlichting” of “heeft een boekenkast op de achtergrond”. Dus als je de extraverten kunt onderscheiden van de introverten door te kijken naar de belichting in de foto, dan is dat helemaal prima.

Het paper gaat nog in op een aanverwant onderwerp, namelijk het elimineren van bias op etnische afkomst of gender. Waarbij de tools enerzijds beloven dat ze niet kijken naar die aspecten bij de beoordeling, maar dat je wel een diversiteits-vlaggetje aan kunt zetten als je extra divers wilt recruiten(?). Men is daar zeer kritisch over: AI hiring firms argue that their tools can increase the diversity of a firm’s incoming workforce in two ways. First, companies such as HireVue suggest that since AI-powered hiring tools can process far larger numbers of applications than human recruiters, it also allows companies to assess a more diverse range of candidates: … . Secondly, AI hiring firms like myInterview and Retorio insist that the removal of bias from the hiring process will naturally result in a more diverse workforce. … While we do not deny that AI-powered tools may help HR professionals recruit more diverse workforces, we also caution that such “diversity tools” may obscure the structural issues within organizations that lead to underrepresentation in workforces and exclusive work cultures. Het introduceren van diversiteit of het sturen op eliminatie van bias is een zeer ingewikkeld concept, niet iets dat je met het uitrollen van een leuke nieuwe AI tool eventjes oplost. Maar dat even terzijde: hoe kijkt de wet hier tegenaan?

Op dit moment is de enige echte regelgeving de AVG, die in artikel 22 bepaalt dat je mensen niet mag onderwerpen aan besluiten die enkel door een computersysteem zijn genomen. Iemand geautomatiseerd afwijzen omdat de Big 5 score uit die tool niet past bij het functieprofiel valt daaronder en mag dus niet. Een recruiter mag de output van de tool wel gebruiken als deel van een evaluatie, mits die meer is dan “computer says no” natuurlijk.

De aankomende AI Act (AI Verordening) is al heel wat strenger over dit soort tools. Overweging 36 zegt expliciet AI-systemen die worden gebruikt op het gebied van werkgelegenheid, personeelsbeheer en toegang tot zelfstandige arbeid, met name voor de aanwerving en selectie van personen, voor het nemen van besluiten over de promotie en het ontslag en voor de toewijzing van taken, de monitoring of de evaluatie van personen in werkgerelateerde contractuele betrekkingen, moeten ook als systemen met een hoog risico worden geclassificeerd, aangezien deze systemen aanzienlijke gevolgen kunnen hebben voor de toekomstige carrièrekansen en het levensonderhoud van deze personen. “Hoog risico” wil hier zeggen dat ze alleen gebruikt mogen worden als aan zeer strenge eisen is voldaan. De kern is dat je een “systeem voor risicobeheer” hebt, waarmee je de relevante risico’s in kaart hebt en kunt bijsturen wanneer deze dreigen zich voor te doen. Ook heb je gewerkt met data die voldoet aan hoge kwaliteitseisen die hoort bij het vakgebied. Als mensen anders scoren op basis van de belichting, dan is dat dus niet in orde bijvoorbeeld. En oh ja, van dit alles heb je schriftelijk bewijs dat het allemaal zo is, én je hebt mensen die meekijken of het systeem echt goed blijft werken.

Dat je het systeem op basis van een mooie glimmende folder en demonstratie in de boardroom (“Even kijken hoe Johan van Finance scoort haha”) hebt aangekocht, is daarbij geen argument: je moet als gebruiker van de tool zélf kunnen aantonen dat deze veilig is. Natuurlijk mag je dan bewijs van de leverancier vragen, maar dat moet dus voldoen aan die wettelijke eisen en het is jouw probleem als de leverancier onvolledig is of liegt over een en ander.

Meelezende HR mensen, hebben jullie ervaring met dergelijke tools en op welke punten in het proces zet je deze in?

Arnoud

Het bericht AI recruitmentsoftware is “automatische pseudowetenschap”, wat zal de wet ervan vinden straks? verscheen eerst op Ius Mentis.

Having a private conversation is a basic human right. Like the rest of our rights, we shouldn’t lose it when we go online. But a new proposal by the European Union could throw our privacy rights out the window. 

LEARN MORE

Tell the European Parliament: Stop Scanning Me

The European Union’s executive body is pushing ahead with a proposal that could lead to mandatory scanning of every private message, photo, and video. The EU Commission’s wants to open the intimate data of our digital lives up to review by government-approved scanning software, and then checked against databases that maintain images of child abuse. 

The tech doesn’t work right. And launching a system of “bugs in our pockets” is just wrong, even when it’s done in the name of protecting children. 

We don’t need government watchers reviewing our private conversations, whether it’s AI, bots, or live police. Adults don’t need it, and children don’t need it either. 

If you’re in one of the EU’s 27 member countries, it’s a good time to contact your Member of European Parliament and let them know you’re opposed to this dangerous proposal. Today, our partners at European Digital Rights (EDRi) launched a website called “Stop Scanning Me,” with more information about the proposal and its problems. It features a detailed legal analysis of the regulation, and a letter co-signed by 118 NGOs that oppose this proposal, including EFF. German speakers may also want to view and share the Chatkontrolle Stoppen! Website run by German civil liberties groups. 

Even if you’re not an EU resident, this regulation should still be of concern to you. Large messaging platforms won’t withdraw from this massive market, even if that means abandoning privacy and security commitments to their users. That will affect users around the globe, even those that don’t regularly communicate with persons in the EU. 

The EU’s proposed Child Sexual Abuse Regulation (CSAR) is a disappointing step backwards. In the past, the EU has taken the lead on privacy legislation that, while not perfect, has moved in the direction of increasing, rather than decreasing, peoples’ privacy, such as the General Data Protection Regulation (GDPR) and the e-Privacy Directive. But the CSA Regulation goes in the opposite direction. It fails to respect the EU Charter of Fundamental Rights and undermines the recently adopted Digital Services Act, which already gives powers to authorities to remove illegal content.

The proposal requires online platforms and messaging service providers to mitigate abusive content and incentivizes general monitoring of user communication. But If “significant” risks of online sexual child abuse remain after these mitigations—and it’s entirely unclear what this means in practice— law enforcement agencies can send “detection orders” to tech platforms. Once a detection order is issued, the company running the platform could be required to scan messages, photos, videos, and other data using software that’s approved by law enforcement. 

With detection orders in place, the platforms won’t be able to host truly private conversations. Whether they’re scanning peoples’ messages on a central server or on their own devices, the CSA regulation simply won’t be compatible with end-to-end encryption. 

Not content with reviewing our data and checking them against government databases of existing child abuse, the proposal authors go much further. The CSAR suggests using algorithms to take guesses at what other images might represent abuse. It even plans to seek out “grooming” by using AI to review peoples’ text messages to try to guess at what communications might suggest future child abuse. 

Large social media companies often can’t even meet the stated promises of their own content moderation policies. It’s incredible that EU lawmakers might now force these companies to use their broken surveillance algorithms to level accusations against their own users of the worst types of crimes. 

It’s difficult to audit the accuracy of the software that’s most commonly used to detect child sexual abuse material (CSAM). But the data that has come out should be sending up red flags, not encouraging lawmakers to move forward. 

• A Facebook study found that 75% of the messages flagged by its scanning system to detect child abuse material were not “malicious,” and included messages like bad jokes and memes.
• LinkedIn reported 75 cases of suspected CSAM to EU authorities in 2021. After manual review, only 31 of those cases—about 41%—involved confirmed CSAM.  
• Newly released data from Ireland, published in a report by our partners at EDRi (see page 34), shows more inaccuracies. In 2020, Irish police received 4,192 reports from the  U.S. National Center for Missing and Exploited Children (NCMEC). Of those, 852 referrals (20.3%) were confirmed as actual CSAM. Of those, 409 referrals (9.7%) were deemed “actionable” and 265 referrals (6.3%) were “completed” by Irish police. 

Despite the insistence of boosters and law enforcement officials that scanning software has magically high levels of accuracy, independent sources make it clear: widespread scanning produces significant numbers of false accusations. Once the EU votes to start running the software on billions more messages, it will lead to millions of more false accusations. These false accusations get forwarded on to law enforcement agencies. At best, they’re wasteful; they also have potential to produce real-world suffering. 

The false positives cause real harm. A recent New York Times story highlighted a faulty Google CSAM scanner that wrongly identified two U.S. fathers of toddlers as being child abusers. In fact, both men had sent medical photos of infections on their children at the request of their pediatricians. Their data was reviewed by local police, and the men were cleared of any wrongdoing. Despite their innocence, Google permanently deleted their accounts, stood by the failed AI system, and defended their opaque human review process. 

With regards to the recently published Irish data, the Irish national police verified that they are currently retaining all personal data forwarded to them by NCMEC—including user names, email addresses, and other data of verified innocent users. 

Child abuse is horrendous. When digital technology is used to exchange images of child sexual abuse, it’s a serious crime that warrants investigation and prosecution. 

That's why we shouldn’t waste efforts on actions that are ineffectual and even harmful. The overwhelming majority of internet interactions aren’t criminal acts. Police investigating online crimes are already in the position of looking for a proverbial “needle in a haystack.” Introducing mandatory scanning of our photos and messages won’t help them narrow in on the target—it will massively expand the “haystack.” 

The EU proposal for a regulation also suggests mandatory age verification as a route to reducing the spread of CSAM. There’s no form of online age verification that doesn’t have negative effects on the human rights of adult speakers. Age verification companies tend to collect (and share) biometric data. The process also interferes with the right of adults to speak anonymously—a right that’s especially vital for dissidents and minorities who may be oppressed, or unsafe. 

EU states or other Western nations may well be the first nations to ban encryption in order to scan every message. They won’t be the last. Governments around the world have made it clear: they want to read peoples’ encrypted messages. They’ll be happy to highlight terrorism, crimes against children, or other atrocities if it gets their citizens to accept more surveillance. If this regulation passes, authoritarian countries, which often have surveillance regimes already in place, will demand to apply EU-style message scanning in order to find their own “crimes.” The list will likely include governments that attack dissidents and openly criminalize LBGT+ communities. 

LEARN MORE

Tell the European Parliament: Stop Scanning Me

In 2018, Congress gave the Departments of Justice and Homeland Security sweeping new authorities to destroy or commandeer privately-owned drones, as well as intercept the data it sends and receives. EFF objected to The Preventing Emerging Threats Act of 2018 (S. 2836, H.R. 6401) because, among other things, the bill authorized DOJ and DHS to “track,” “disrupt,” “control,” “seize or otherwise confiscate,” “mitigate” or even “destroy” unmanned aircraft that pose a “credible threat” to a “covered facility or asset” in the U.S.—without defining what many of those terms mean.

The definition of “credible threat” was left entirely to the discretion of DOJ and DHS. This means we have no real idea what the threshold would be in order to legally allow authorities to destroy your drone. And the term “covered facility or asset” was defined so broadly it could extend to all federal property. EFF was also concerned that the bill would authorize the government to “intercept” or acquire transmissions to and from the drone, which could be read to include capturing video footage sent from the drone—a major threat to journalists who use this technology.

Unfortunately, with very little public debate, the Preventing Emerging Threats Act of 2018 was included in the FAA Reauthorization Act of 2018 (PL 115-254), which passed Congress and was signed into law that same year. The one bright spot was that the authorities were set to expire in 2022, giving Congress another chance to define the relevant terms, provide transparency in the process, and determine the appropriate, limited authorities for these agencies, as well as their necessary safeguards.

The 2018 law was already too broad, exempting officials from following procedures that ordinarily govern electronic surveillance and hacking, such as the Wiretap Act, Electronic Communications Privacy Act, and the Computer Fraud and Abuse Act.

But somehow, the Administration’s current proposal, introduced in the Senate as “The Safeguarding the Homeland from the Threats Posed by Unmanned Aircraft Systems Act” (S. 4687), is even worse.

The proposal would give long lasting, sweeping surveillance powers to multiple federal agencies, plus certain state and local law enforcement agencies, plus contractors, while also eliminating the limited safeguards that currently exist for electronic surveillance. In other words, the Administration proposes to give itself permanent, unfettered access to the communications of private drones, as well as the drones themselves, without having to get a warrant or explain their actions to the public.

Such vague, unchecked government authority intrudes on the Fourth Amendment right to private electronic communications. It also raises significant First Amendment concerns. Reporters covering police activity or misconduct in an unspecified “public area” could have their footage seized without any due process. Professional photographers or filmmakers who happen to be in the wrong place at the wrong time filming bird migration near the U.S. border or even photographing a wedding close to a government outpost could have their equipment destroyed with no redress.

In some circumstances, the government may have legitimate reasons for engaging drones that pose an actual, imminent, and narrowly defined “threat.” But what the Administration is asking for is beyond reasonable. Whatever threat private drones may pose to public safety does not require handing the government, as well as contractors and private businesses, unfettered authority to destroy, commandeer, or eavesdrop on private drones. 

Spanish Internet Service Providers (ISPs) continue to fall short of robust transparency about their data protection and user privacy practices, with many failing to meet criteria  that directly builds on Spanish and EU data protection regulations.

While highlighting that internet companies in Spain need to step up their user privacy game, Eticas Foundation’s third edition of ¿Quien Defiende Tus Datos? (Who Defends Your Data?) Spain showed that Movistar (Telefónica) maintained a leadership position among companies evaluated, with a total of 18 out of 21 points. The ISP scored well in all evaluated criteria except for user notification. On the other hand, Som Conexión received the lowest score, with just 3.5 points.

All of Spain’s ISPs received credits in the privacy policy category, which covers crucial information companies should provide users about their data processing practices. ISPs made significant strides in this category in Eticas’ last report. Yet, this year's edition shows companies have lost traction, improving in some parameters but losing credit for others. The balance between advances and gaps of Spain’s Internet companies shows there is still plenty of room for progress.

This year, Eticas checked public policies and documents of 15 Internet companies that handle user data in their day-to-day activities, including telecom providers, home sales and rental sites, and apps for selling second-hand goods. Eticas added three new companies to the report: the telecom provider Digi Spain Telecom, the second-hand goods app Vinted, and the startup Trovit.es, which offers deals for selling or renting homes, cars, and other products. Telecom provider Euskatel is no longer in the ranking after its acquisition by MásMóvil.

This year’s study has also introduced new criteria. To earn a full star, companies’ privacy policies must state why and through which channels they collect user data. Considering the context of the COVID-19 pandemic and policies to combat the spread of the virus that involve mass collection of user data, Eticas pushed companies to commit to only sharing anonymized and aggregate data for policy, rather than law enforcement, purposes. The new report introduced a special red star to indicate whether ISPs went public with any specific data protection measure related to the pandemic. 

Vodafone was the only service provider to receive credit for both COVID-related data collection categories. The ISP published a specific data protection policy regarding data-sharing for COVID-19 control actions. The policy includes important safeguards, such as only sharing aggregate and anonymized data and respecting principles of

proportionality and purpose limitation. The policy’s disclosure about data security, however, only mentions that Vodafone has put “adequate and appropriate security measures” in place, without providing details. The company should include more detail on the type of measures taken and their efficacy in preserving data privacy and security.

The summary of results is below.

Movistar, Orange, and Vodafone were the only service providers  credited for parameters beyond their privacy policies. Movistar and Vodafone earned scores for disclosing information on the legal framework authorities must follow to request user data, and which competent authorities can request access to users’ communications content and metadata. The three ISPs also received credit for carrying out initiatives promoting user privacy, like the Telecommunications Industry Dialogue and the Global Network Initiative. Disappointingly, Movistar remains the only company that publishes periodic transparency reports with statistical information about government data requests. And Orange, which stood out in previous editions for committing to notify users about data requests, lost this credit in the new edition.

When it comes to ISPs’ privacy policies, there are ups and downs. Almost half of the 15 companies evaluated did not provide information about profiling and automated decision-making, failing to comply with disclosure standards set forth in Spain’s data protection legislation (which incorporates GDPR obligations). They have also fallen short of other parameters that build on GDPR's transparency rules for user data processing. For example, almost one-third of featured companies did not disclose how long they store user data. Almost half of them failed to commit to notifying users about changes in their policies, disclosing information about international data transfers, and enabling users to consent or opt-out to such transfers. On the upside, all service providers share contact information for their officers in charge of compliance with data protection rules, and most of them let users know they can opt out of certain uses of their data.

Eticas’ report also highlights cases where the Spanish Data Protection Authority (AEPD) punished ISPs for mishandling user data. As the most notable example, the AEPD imposed a cumulative fine of EUR 8.5 million to Vodafone for several breaches of data protection and other regulations.

Companies must commit to robust data privacy policies, and be held accountable in their practices for protecting the data their customers have entrusted them with. This new report  shows Spanish Internet companies still need  to improve their public commitments to user privacy. 

Eticas’ study is part of a series of reports across Latin America and Spain holding ISPs accountable to their users, and pushing companies to adopt policies and practices that provide solid data privacy safeguards.  

We remain gravely concerned about the deteriorating health of Alaa Abd El Fattah, the British-Egyptian activist, technologist, 2022 EFF Award winner, and Amnesty Prisoner of Conscience. Alaa has now been on hunger strike at Wadi el Natrun Prison in Egypt for more than 200 days, and was reported this week as being “at death’s door” by the UK’s Independent.

World leaders, including UK Prime Minister Liz Truss, are set to gather soon in Egypt for the COP27 climate summit, despite the country’s ongoing crackdown on civil society, which UN experts have criticized as potentially jeopardizing “safety and full participation” at the summit.

Meanwhile, Alaa remains in prison, only able to communicate with his family through letters and monthly twenty-minute visits. A recent Facebook post from his sister Mona details the government’s petty and biased treatment of Alaa, such as withholding a radio that every other prisoner on his block was allowed, and confiscating a letter to his mother. He remains a scapegoat—a symbol to deter others from fighting for their basic rights.

The Egyptian government is ultimately responsible for setting Alaa free. But Alaa is a British citizen and the UK government should also intervene, immediately, to do everything it can to uphold Alaa’s human rights and secure his freedom. In her last days as foreign secretary, now-PM Liz Truss called Alaa’s case a “high priority” and affirmed a commitment to secure his release.

As COP27 draws nearer, Alaa’s sister has initiated a sit-in outside of the UK foreign office, with organizations including Reporters Without Borders and English PEN demonstrating their support. Meanwhile, the campaign to free Alaa continues to call on British citizens to write to their MPs and urge them to call for his release (note: this is an external and not an EFF campaign).

We are thrilled to be able to honor Alaa with the 2022 EFF Award for Democratic Reform Advocacy for his contributions to technology and society. But without his freedom, the honor is bittersweet. We once again urge Liz Truss to do everything in her power to secure Alaa’s release.

Ziggo hoeft waarschuwingsbrieven van stichting Brein niet door te sturen naar klanten, zo meldde Security.nl onlangs. Volgens het gerechtshof Arnhem-Leeuwarden is er er geen juridische grondslag die Ziggo verplicht hieraan mee te werken. Dit bekrachtigt een vonnis uit februari waarin de rechtbank ook bepaalde dat de provider geen torrent-waarschuwingsbrieven van Brein hoeft te sturen naar frequente torrentgebruikers.

Zoals ik in februari blogde, het ging hier om een nieuw idee van de auteursrechthandhaver: identificeer frequente uploaders, en stuur ze een “we hebben je in de gaten”-brief in de hoop dat men ermee stopt. Dat is niet hetzelfde als ze gelijk dagvaarden, wat gezien de kosten en gedoe niet meteen wenselijk is. Maar de ervaring leert dat als je mensen waarschuwt, ze er regelmatig mee stoppen – al is het maar omdat ze denken dat de volgende stap wél een rechtszaak is.

Alleen een probleempje: het verwerken van persoonsgegevens van personen waartegen een min of meer gegronde verdenking bestaat van handelingen die inbreuk maken op een auteursrecht, moet aangemerkt worden als het verwerken van strafrechtelijke persoonsgegevens. Dit aldus de Autoriteit Persoonsgegevens in haar onderzoek tegen Dutch Filmworks die direct met boetes naar torrenters wilde gaan smijten.

Vanwege die reden concludeerde de rechtbank in februari dat Ziggo een vergunning nodig zou hebben (om als “privédetective” in opdracht strafrechtelijke persoonsgegevens te verzamelen). Dat staat inderdaad in de AVG als je die formeel leest, maar het doet gek aan want Ziggo is niet echt een particulier recherchebureau dat in de virtuele bosjes gaat liggen om mensen structureel in de gaten te houden.

Het Hof begint in hoger beroep met zich af te vragen op grond waarvan Ziggo überhaupt brieven door moet sturen. De redenering van Brein was: op grond van Lycos/Pessers moet je namen en adressen afgeven van inbreukmakers, een brief doorsturen is minder erg voor die mensen hun privacy dus dan kan daar geen argument tegen zijn. Het Hof ziet dat anders: In deze zaak gaat het er niet om dat Brein zich bij de burgerlijke rechter teweer wil stellen tegen specifieke onrechtmatige gedragingen. Zij wil overtreders waarschuwen. Het mogelijk onthouden van effectieve rechtsbescherming aan een (rechts)persoon die meent onrechtmatig bejegend te worden is hier niet aan de orde. Lycos/Pessers ging erom dat je moet kunnen procederen tegen een concreet iemand. Maar diverse onbepaalde iemanden een boze brief sturen is nog geen juridische actie, daarom valt het buiten de rechtsplicht die dat arrest oplegt.

Brein eist op dit moment al NAW gegevens van grote uploaders met als doel daartegen rechtsmaatregelen te nemen. Die verzoeken worden volgens Brein doorgaans toegewezen. Niet aannemelijk is dus dat het verzenden van waarschuwingsbrieven een noodzakelijke stap is om civielrechtelijke actie te kunnen ondernemen tegen (een andere groep van) inbreukmakers. Ook is nog niet duidelijk in hoeverre het doorsturen van waarschuwingsbrieven zal maken dat in de toekomst op een kleinere schaal auteursrechtinbreuken zullen worden gepleegd. Partijen verschillen daarover van mening, maar vooralsnog heeft Brein niet voldoende onderbouwd gesteld dat te verwachten valt dat dat doel juist bereikt kan worden met (dit onderdeel van) de waarschuwingscampagne. Het belang van Brein is dus enigszins speculatief te noemen. Daar staat tegenover dat Ziggo dus inderdaad stevige maatregelen moet nemen: een nieuw bedrijfsproces inrichten, daarbij rekening houden met de strenge eisen uit de AVG voor strafrechtelijke persoonsgegevens, een DPIA uitvoeren en wat al niet meer. En inderdaad dus ook die recherche-vergunning ex artikel 33 lid 4 sub c UAVG.

Het klopt, maar toch voelt het een tikje raar. Brein mag dus wel NAW gegevens van inbreukmakers eisen voor een gerechtelijke procedure, maar niet NAW gegevens van inbreukmakers om een voorlichtingsfolder en “hou op” brief te sturen? Ik snap de weerstand maar het voelt inconsequent en ik heb moeite de argumentatie van het Hof te volgen.

Arnoud

Het bericht Brein verliest hoger beroep om Ziggo waarschuwingsbrieven te laten versturen verscheen eerst op Ius Mentis.

OpenClipart-Vectors / Pixabay

Overheidsinstanties zoals het ministerie van sociale zaken, de Belastingdienst en de Nederlandse Voedsel- en Warenautoriteit (NVWA) verzamelen op grote schaal tweets over onder andere hun beleid zonder Twittergebruikers hierover te informeren. Dat meldde Security.nl onlangs op gezag van onderzoek door Trouw€. Het gaat om sentimentanalyse, data-analyse waarbij bakken met tweets zeg maar als “positief” of “negatief” worden gelabeld zodat je kunt zien hoe je beleid valt bij de mensen. Ook hier heerst dus die misvatting dat dat mag omdat Twitter openbaar is. Kunnen we eens ophouden met “ja maar openbare bron” als argument?

Het idee achter sentimentanalyse is dat je op basis van grote datasets de werkelijkheid kunt meten, en dat dat een stuk goedkoper/makkelijker is dan steeds een enquête eruit doen of 1200 Nederlands bellen. Waar zeker wat in zit, en we hebben ook genoeg tools (zoals van Microsoft) die op basis van statistische tekstanalyse kunnen zeggen of een tweet over een onderwerp gaat en daar dan positief of negatief over is. Dat kun je dan over de tijd meten, groeperen naar locatie van gebruikers (Randstad versus de provincie, bijvoorbeeld), groei of daling signaleren en ga zo maar door.

Punt is natuurlijk wel, dat begint allemaal bij een enorme verzameling berichten van Twitter. En tweets zijn nu eenmaal persoonsgegevens en dus valt het verzamelen en tot sentimenten omturnen van die gegevens onder de AVG. Mag dat? Ja, in principe wel: dit is een vorm van wetenschappelijk en statistisch onderzoek en dat kun je binnen de grondslag van het gerechtvaardigd belang (art. 6 lid 1 sub f AVG) prima rechtvaardigen. (Ook bij overheden, omdat dit niet gaat om uitoefening van een publiekrechtelijke taak.) Toestemming van de twitteraars is dus niet nodig.

Wat wél nodig is, is dat mensen worden geïnformeerd over dit verdere gebruik. Dat staat gewoon in de AVG, en is iets dat altijd moet bij data harvesting. Ik geef toe dat dit bij een klantanalyse wat makkelijker is, daar zet je het in je privacyverklaring of je stuurt een update in het portaal. Bij dit soort gebruik van Twitterdata is er maar één manier en dat is iedereen een tweet sturen (DM’s sturen kan niet altijd). Daar zouden we gek van worden als iedereen dat deed, maar dat is voor een individuele organisatie niet disproportioneel of onmogelijk. (Bij data-verzameling met een drone of sensoren op straat is het natuurlijk een ander verhaal qua complexiteit, dus dan is een bordje of banner genoeg.)

Ik zie in de reacties her en der boosheid met het argument “kom op, Twitter is openbaar en iedereen doet het”. Dat laatste is vast waar, maar verandert niets aan het punt dat de makkelijke toegankelijkheid van de bron géén argument is onder de AVG. Je bent niet vogelvrij omdat men kan scrapen zonder ingewikkelde contracten of toelatingsprocedure. En vanuit juridisch perspectief zou dat ook heel raar zijn, dat het legaal is om iets te doen omdat het heel makkelijk is, en dat alleen bij moeilijk scrapen je mensen zou moeten gaan informeren of zo?

Arnoud

Het bericht Overheden verzamelen op grote schaal tweets zonder gebruikers te informeren verscheen eerst op Ius Mentis.

Dutch sex crimes investigators are already overloaded: sexual abuse victims have to wait far too long for their cases to be heard. The European Commission has plans that will only make this worse by generating a plethora of, often unjustified, reports.

A bill to crack down on online child abuse is currently being discussed in Brussels. The aim is admirable, but the proposal disastrous: it puts the confidentiality of communications at risk. With such a law in place, the government could force companies to monitor their users' chats, when in fact these chats are protected with end-to-end encryption. In doing so, this law harms everyone, including the very children and young people it aims to protect.

It's a serious problem and we can't afford to waste time and energy on measures that do not work, or that even make the problem worse.

To be clear: we find child sexual abuse shocking. That also means that, as a society, we cannot afford to spend energy into counterproductive measures. Staring blindly at technology is simply irresponsible. At best, that will only polish the image of a few politicians. Effective measures are not that difficult at all.

For example, European lawmakers want to be able to force companies to detect grooming. This can't be done without the application of computers and artificial intelligence. There is a lot wrong with that. Namely, it means that those companies, by order of the government, have to monitor the communications of all their users in an undirected way (a "general monitoring obligation" in the legal jargon). It also means jettisoning end-to-end encryption, as this would get in the way of such an obligation. But, more important for this story is that those companies could only automate that by deploying artificial intelligence. That kind of technology is notoriously bad at properly understanding context: a sexual conversation between two teenagers is different from an adult trying to seduce a small child.

So if you want to deploy this technology at all, you have to expect a large number of unjustified reports. All of those times someone will be wrongly accused. That alone is incredibly intense, and such a wrongful accusation can also haunt you for a long time. On top of that, every time you waste precious investigative capacity that is not put into effective measures. The European Commission does believe in that technology. Based on what do they believe this? Well: the figures from the makers of that technology. This is the only possible source since, as far as we know, there simply isn't any independent and scientifically sound research either.

The European proposal will only create even more reports. The Dutch police were crystal clear about this: "We cannot handle that."

Incidentally, the European Commission also knows that a lot of errors are to be expected in the detection of grooming. The Commission assumes ten percent of false positives! So, in at least one in ten cases, the research is lost capacity. She is in no doubt basing this on the optimistic figures of the makers of that technology. The Commission refuses to commit to a minimum reliability for such technology. Such a limit would make the law no longer "technology-neutral", or so they argue.

All of this while the police are already overloaded. For years now, Dutch police have not met agreed deadlines for handling cases. If the police only pick up your case after a year, it is difficult to find out what really happened. If you report a case now, you can easily have to wait two or three years before the case goes to court. That is, if you are not already discouraged beforehand, because partly due to the workload in the police, the treatment of victims is substandard. This has been a thorn in the flesh of the House of Representatives for years. But in recent years, research shows, despite millions of investments, the number of sex crimes investigators has not increased.

You agree this proposal is horribly bad? Consider to donate to us!

For grooming, that capacity issue is no different. The police called it "already a challenge" in a technical briefing in the Lower House. The European proposal will only create even more reports, and in particular also a very large mountain of unjustified reports. The police have no room for that at all. The police were crystal clear about this in the Dutch Lower House : "We cannot handle that."

In short, if you really want to protect children and young people, you need to focus on effective measures. One such measure is increasing the capacity of the police and prosecutors. Because now the victim is often not helped, and the perpetrator goes unpunished. More attention should also be paid to counseling victims. As long as the reality is that we cannot help victims properly, more reports are of no use at all, and wasting time and energy on unjustified reports only makes the puzzle even harder. That is why the European Commission's proposal should go straight into the bin.

Blindly focusing on technology is absolutely irresponsible.

Blindly focusing on technology is absolutely irresponsible. It's a serious problem and we can't afford to waste time and energy on measures that do not work, or that even make the problem worse. The bar must be set much higher, precisely because everyone agrees that children and young people should be allowed to ask the most of us.

15 October 2022 

Dear Foreign Secretary, 

On behalf of the below signed organisations, we would like to congratulate your appointment as Secretary of State for Foreign, Commonwealth and Development Affairs. At a time of significant global uncertainty and unrest, the UK can and must play a leading role in promoting human rights globally. While we appreciate the wide and diverse range of issues facing you and your department, we are contacting you today to draw your attention to the treatment of political prisoners in Saudi Arabia who have been imprisoned for expressing themselves.

The Specialized Criminal Court (SCC), established in 2008 to try those suspected of acts of terrorism, has instead administered disproportionate sentences, including the death sentence, to people solely for expressing themselves online. Cloaked in the language of cybercrime, this has effectively criminalised free expression and has also been brought to bear against individuals outside of Saudi Arabia. 

You will have heard about the shameful case of Saudi national Salma al-Shehab, who was a student at the University of Leeds at the time of her alleged ‘crimes’ – sharing content in support of prisoners of conscience and women human rights defenders, such as Loujain Alhathloul. For this, upon Salma al-Shehab’s return to Saudi Arabia, she was arrested and held arbitrarily for nearly a year, before being sentenced to 34 years in prison with a subsequent 34-year travel ban. The fact that the sentence is four years longer than the maximum sentence suggested by the country’s anti-terror laws for activities such as supplying explosives or hijacking an aircraft demonstrates the egregious and dangerous standard established both by the SCC and the Saudi regime to restrict free expression. It also further illustrates the Saudi government’s abusive system of surveillance and infiltration of social media platforms to silence public dissent.

But the actions aimed at Salma al-Shehab did not happen in isolation. In fact, her sentencing is the latest in a longstanding trend that has seen the Saudi judiciary and the state at-large being co-opted to target civil society and fundamental human rights. The same day that al-Shehab was sentenced, the SCC sentenced another woman, Nourah bint Saeed Al-Qahtani, to 45 years in prison after using social media to peacefully express her views. Ten Egyptian Nubians were sentenced to up to 18 years in prison after they were arrested and detained – for two months they were held incommunicado and without access to their lawyers or family – after organising a symposium commemorating the 1973 Arab-Israeli war. Dr Lina al-Sharif was arbitrarily detained for over a year following her social media activism after a group of agents of the Presidency of State Security raided her family home and arrested her without a warrant. A worrying dimension is the use of violence and torture to coerce confessions, as well as ongoing persecution or surveillance following a prisoner’s release, further eroding the legitimacy of the SCC and its verdicts. 

The UK’s close relationship with Saudi Arabia should not bind your hands to upholding human rights commitments and calling out violations when they are brought to your attention, particularly, in the case of al-Shehab, where they relate to the application of Saudi legislation for actions that took place within the territory of the United Kingdom. In fact, this relationship places you in a strong position to call for the release of all prisoners unlawfully held in Saudi Arabia without delay. 

Acting definitively so early in your tenure would be a powerful symbol both to our allies and others that the UK can be a trusted protector of human rights and the rule of law. 

We await your action on this important issue and further support the calls to action outlined by over 400 academics, staff and research students from UK universities and colleges in a letter authored to you and the Prime Minister. 

If you require any more information we would be happy to organise a briefing at a time that works best for you. 

Kind regards,

Index on Censorship

ALQST For Human Rights

SANAD Organisation for Human Rights

CIVICUS 

Electronic Frontier Foundation

Gulf Centre for Human Rights (GCHR)

SMEX 

Vigilance for Democracy and the Civic State

Access Now

Human Rights Watch

PEN International

English PEN

Front Line Defenders

IFEX

De Nederlandse zedenrechercheurs worden nu al overvraagd. Slachtoffers van seksueel misbruik moeten veel te lang wachten op de behandeling van hun zaak. De plannen van de Europese Commissie maken dat alleen maar erger, door een overvloed aan soms onterechte meldingen te genereren.

In Brussel wordt gesproken over een wetsvoorstel dat online kindermisbruik tegen moet gaan. Het doel is nobel, maar het voorstel desastreus: het zet de vertrouwelijkheid van communicatie op het spel. Met de wet in de hand zou de overheid bedrijven kunnen dwingen mee te kijken met de chats van hun gebruikers, terwijl die eigenlijk juist beschermd zijn met end-to-end encryptie. Daarmee schaadt het iedereen, inclusief de kinderen en jongeren die het nou net juist wil beschermen.

Het probleem is te groot om tijd en energie te verspillen aan maatregelen die niet werken.

Voor alle duidelijkheid: wij vinden seksueel misbruik van kinderen verschrikkelijk en een groot probleem. Dat maakt ook dat we het als maatschappij ons niet kunnen veroorloven om energie te stoppen in contraproductieve maatregelen. Het is gewoon onverantwoord om ons blind te staren op technologie. Daar poets je hooguit het imago van een paar politici mee op. Effectieve maatregelen zijn helemaal niet zo moeilijk.

Zo wil de Europese wetgever bedrijven kunnen dwingen om grooming ("digitaal kinderlokken") te detecteren. Dat zou dan volledig geautomatiseerd moeten gebeuren, met computers en kunstmatige intelligentie. Daar is heel veel mis mee. Het betekent namelijk dat die bedrijven, op last van de overheid, ongericht de communicatie van al hun gebruikers in de gaten moeten houden (een "algemene monitoringsverplichting" in juridisch jargon). Het betekent ook dat je end-to-end encryptie overboord gooit, want die staat aan zo'n verplichting in de weg. Maar, voor dit verhaal is belangrijker dat die bedrijven dat alleen kunnen automatiseren door kunstmatige intelligentie in te zetten. Dat soort technologie is notoir slecht in het goed begrijpen van context. Een seksueel getint gesprek tussen twee tieners is iets anders dan een volwassene die een klein kind probeert te verleiden.

Als je die technologie al wil inzetten, moet je dus rekening houden met een groot aantal onterechte meldingen. Al die keren wordt iemand ten onrechte beschuldigd. Dat alleen al is al ontzettend heftig en zo'n onterechte beschuldiging kan je bovendien vervelend lang blijven achtervolgen. En al die keren verspil je kostbare capaciteit in onderzoek die we niet inzetten op effectieve maatregelen. De Europese Commissie gelooft wel in die technologie. Op basis waarvan? Nou, enkel en alleen de cijfers van de makers van die technologie. Dat kan ook niet anders, want er bestaat voor zover wij weten ook gewoon geen onafhankelijk en wetenschappelijk verantwoord onderzoek naar de betrouwbaarheid van dit soort technologie.

Het Europese voorstel zal voor alleen maar nog meer meldingen zorgen. De politie was daarover glashelder: "Wij kunnen dat niet aan."

Overigens weet de Europese Commissie zelf ook dat bij de detectie van grooming een hoop fouten te verwachten zijn. Ze rekent zelf op tien procent! Dus in zeker een op de tien gevallen is het onderzoek verloren capaciteit. Ze baseert zich daarbij zonder twijfel op de optimistische cijfers van de makers van die technologie. De Commissie wil zich ook niet op een ondergrens vastleggen, zoals een minimale betrouwbaarheid van 99,999%. Daarmee zou de wet niet langer "technologieneutraal" zijn is haar argument.

En dat terwijl de politie nu al overbelast is. Nederlandse politie haalt al jaren niet de afgesproken termijnen voor het afhandelen van zaken. Als de politie pas na een jaar jouw zaak oppakt, is het moeilijk om nog goed na te gaan wat er echt is gebeurd. Wie nu aangifte doet kan zomaar twee of drie jaar wachten voordat de zaak bij de rechter ligt. Als je al niet op voorhand ontmoedigd bent, want mede door de werkdruk bij de politie is de behandeling van slachtoffers onder de maat. Dat is al jaren een doorn in het oog van de Tweede Kamer. Maar de afgelopen jaren zijn er ondanks miljoeneninvesteringen niet meer zedenrechercheurs bijgekomen, blijkt uit onderzoek.

Vind je dit wetsvoorstel ook dramatisch slecht? Steun ons!

Specifiek voor grooming is dat capaciteitsvraagstuk niet anders. De politie noemde dat in een technische briefing in de Tweede Kamer "nu al een uitdaging". Het Europese voorstel zal voor alleen maar nog meer meldingen zorgen. En dan ook nog eens een hele grote berg onterechte meldingen. De politie heeft daar helemaal geen ruimte voor. De politie was tijdens de technische briefing daarover glas- en glashelder: "Wij kunnen dat niet aan."

Kortom, als je kinderen en jongeren écht wilt beschermen, moeten we inzetten op effectieve maatregelen. Eén van die maatregelen is het vergroten van de capaciteit van de politie en het Openbaar Ministerie. Want nu is het slachtoffer vaak niet geholpen en gaat de dader ongestraft vrijuit. Ook moet er meer aandacht komen voor de begeleiding van slachtoffers. En zolang de realiteit is dat we slachtoffers niet goed kunnen helpen, hebben we helemaal niets aan meer meldingen. En tijd en energie verspillen aan onterechte meldingen maakt de puzzel alleen maar nog moeilijker. Daarom moet het voorstel van de Europese Commissie linea recta in de vuilnisbak.

Het is absoluut onverantwoord om ons blind te staren op technologie.

Het is absoluut onverantwoord om ons blind te staren op technologie. Het probleem is te groot en te schokkend om tijd en energie te verspillen aan maatregelen die niet werken of zelfs het probleem alleen maar nog groter maken. De lat moet veel hoger, juist omdat iedereen het over eens is dat kinderen en jongeren het uiterste van ons mogen vragen.

De politie heeft Nederlandse hostingbedrijven net als vorig jaar weer een brief verstuurd waarin wordt gewaarschuwd voor malafide resellers, meldde Security.nl onlangs. Die verhuren de serverruimte van Nederlandse hostingbedrijven door aan andere partijen, waaronder cybercriminelen. De brief bevat een lijst van verdachte resellers, met het advies “dringend om te controleren of de genoemde resellers in [uw] klantenbestand voorkomen”  en dan de overeenkomst op te zeggen. Dat voelt als een zwaktebod, als je weet dat deze figuren zo malafide zijn waarom vervolg je ze dan niet? Nou ja, dat ligt dus ingewikkeld.

In juni blogde ik over het OM, dat het “werkelijk idioot” noemde hoe de juridische en technische werelden uit elkaar zijn gegroeid op dit punt. Je hebt een Nederlands bedrijf met een server hier, op die server staat een malafide site, maar de reseller zit formeel op de Seychellen en dan krijg je geen rechtshulpverzoek. De Nederlandse verhuurder werkt niet mee want die ziet ook niet wat zijn resellers verkopen, en kan dan verder niet ingrijpen. Ja, de hele serverkast offline halen, maar dat is nogal disproportioneel.

Zoals ik toen al zei, ik kan me niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men steeds noemt. Deze brief lijkt dus een nieuwe actie te zijn, ga eens na of er rare figuren tussen je klanten zitten en zo ja, doe er wat aan als dat zo uitkomt.

Dat is nog een lastige, want het OM kan niet vorderen (eisen) dat een bedrijf de relatie met een klant verbreekt. En dan krijg je dus de discussie of je als politie vriendelijk mag vragen terwijl er geen grond voor is. Vaste lezers weten dat dat discutabel is, omdat mensen vragen van politieagenten al snel opvatten als een vriendelijke geformuleerd bevel. De juridische regel is dat het mag, tenzij de vraag in meer dan triviale mate iemand in zijn grondrechten treft. Bij wijze van spreken: vragen of je iemand op een gele scooter hebt zien wegrijden daarnet, dat mag gewoon. Vragen of ze even je securitycambeelden mogen bekijken, dat vergt een vordering en dat mogen ze dus niet vragen.

Ik zie eerlijk gezegd geen grondrechten nontriviaal in het geding komen met deze vraag “heroverweeg eens de relatie met deze onwelriekende partijen”. Ja, ondernemersvrijheid, maar die pleit juist vóór het kunnen afsluiten. (Ik denk dat het OM het zo toejuichen als die resellers rechtszaken beginnen, want dat levert veel inzicht in relevante informatie.) En bovendien zit er nog een eigen check op, “we zeggen hierbij op want we kregen een brief van de politie” is juridisch geen steekhoudend argument. Maar “op basis van politie-informatie hebben wij – zie artikel 8.3 van onze voorwaarden – uw account geïnspecteerd en daar cybercrime-forums aangetroffen, dat is in strijd met artikel 4 TOS en daarom zegen wij op” is wél een geldige reden om op te mogen zeggen.

En let op: het gaat hier om civiel recht, dus de eisen zijn een stuk lager dan wanneer het OM een rechtszaak tegen zo’n reseller zou beginnen. Zeker als je een béétje fatsoenlijke voorwaarden hebt, waarin dingen staan als “naar ons redelijk oordeel” in plaats van “wettig en overtuigend is vast komen te staan met toegelaten bewijsmiddelen” (art. 338 en 339 WvSv). Omdat het gaat om zakelijke relaties, is er contractueel heel veel ruimte.

Arnoud

Het bericht Politie waarschuwt Nederlandse hostingbedrijven weer voor malafide resellers verscheen eerst op Ius Mentis.

In deze aflevering gaat host Inge in gesprek met beleidsadviseur Lotje over de DSA, de Digital Services Act. Evelyn, vaste tafelgast en directeur van Bits of Freedom, vertelt over haar week op het internet (spoiler: ze kwam in een Wikipedia rabbit hole terecht) en we bellen met kunstenaar Julia Janssen over haar project: Dear data, how do you decide my future?

Evelyn verwijst in de aflevering naar dit artikel over deaditors of Wikipedia: The ‘deaditors’ of Wikipedia.  Lotje verwijst in de aflevering naar deze eerdere podcast die we maakten rondom de Big Brother Awards, met Barbara Oomen: aflevering 7 van de Big Brother Awards Podcast over het Coronatoegangsbewijs. Hier lees je de blog van Lotje over de DSA, over 8 regels in de wet die jouw rechten straks beter gaan beschermen tegen online platformen: blog over de DSA. Meer informatie over het werk van Julia Jansen vind je hier: website van Julia Janssen.

De podcast werd geproduceerd en geëdit door Randal Peelen van Yolo media, en onze awesome jingle werd gemaakt door Tim Koehoorn. Veel dank aan onze donateurs. En natuurlijk aan jou, de luisteraar. Wil jij deze podcast mede mogelijk maken? Ga dan naar onze website en doneer!

The post De Digital Services Act first appeared on Bits of Freedom.

In deze aflevering gaat host Inge in gesprek met beleidsadviseur Lotje over de DSA, de Digital Services Act. Evelyn, vaste tafelgast en directeur van Bits of Freedom, vertelt over haar week op het internet (spoiler: ze kwam in een Wikipedia rabbit hole terecht) en we bellen met kunstenaar Julia Jansen over haar project: Dear data, how do you decide my future?

Evelyn verwijst in de aflevering naar dit artkel over deaditors wikipedia: The ‘deaditors’ of Wikipedia.  Lotje verwijst in de aflevering naar deze eerdere podcast die we maakten rondom de Big Brother Awards, met Barbara Oomen: aflevering 7 van de Big Brother Awards Podcast over het Coronatoegangsbewijs. Hier lees je de blog van Lotje over de DSA, over 8 regels in de wet die jouw rechten straks beter gaan beschermen tegen online platformen: blog over de DSA. Meer informatie over het werk van Julia Jansen vind je hier: website van Julia Jansen.

De podcast werd geproduceerd en geedit door Randal Peelen van Yolo media, en onze awesome jingle werd gemaakt door Tim Koehoorn. Veel dank aan donateurs, En natuurlijk aan jou, de luisteraar. Wil jij deze podcast mede mogelijk maken? Ga dan naar onze website en doneer!

Van deze aflevering is een transcipt beschikbaar op onze website.

Om beschermingsmaatregelen van sociale media te omzeilen, liegt een op de drie Britse kinderen bij het aanmelden over de eigen leeftijd, las ik bij Nu.nl. De Britse toezichthouder Ofcom (zeg maar de ACM) laat dit in onderzoek zien. Het gaat dan zowel om kinderen onder de dertien als kinderen in de groep dertien tot achttien. En, zoals een juridisch correct handelende zeventienjarige me vroeg, wanneer mag dat dan wel, op sociale media als kind?

Ik was een klein beetje verrast dat het de Ofcom was die het onderzoek had uitgevoerd. De Ofcom is de markttoezichthouder, dus eerlijke mededinging, misleidende reclame, oneerlijke handelspraktijken, dat werk. Die leeftijdsgrenzen komen uit de AVG, en daarover gaat collega-toezichthouder ICO. Maar het onderzoek komt uit de taak van de Ofcom om mediawijsheid te stimuleren, en gedrag van minderjarigen op accounts voor volwassenen valt daar zeker wel onder.

Socialemediadiensten hanteren vrijwel allemaal een absolute ondergrens van dertien jaar, dat volgt namelijk uit de Amerikaanse COPPA wetgeving. Als je site zich richt op kinderen onder die leeftijd, of daadwerkelijk weet dat er kinderen onder die leeftijd zijn, dan moet je harde leeftijdscontroles en toezicht toepassen én mag je een hoop dingen niet meer (zoals invasief tracken). Bijgevolg heeft Amerikaans internet massaal besloten “dan mogen die kinderen er gewoon niet op”.

In Europa, waar we het perfide Albion dan ook maar even onder rekenen, is die grens van dertien jaar alleen terug te vinden in de AVG. En dan ook nog eens als een keuze voor lidstaten: artikel 8 AVG bepaalt dat kinderen onder de zestien jaar niet zelf toestemming kunnen geven als een bedrijf dat vraagt, maar ook dat landen zelf die grens lager mogen leggen. In Engeland is dat ook gebeurd en wel bij het minimum van dertien jaar.

Dat is natuurlijk mooi en aardig, maar aan de handhaving schort het nogal, om het zachtjes te zeggen. Als er al op wordt gecontroleerd dan is dat “vul je geboortedatum in” of een vinkje bij “ik verklaar meerderjarig te zijn”. En ook op jonge leeftijd weten kinderen heus wel de “ie-aag ree” knop te vinden. Waarna vervolgens niets gebeurt ter verificatie (wat in theorie van COPPA en AVG wel zou moeten, dus).

Die juridisch correct handelende zeventienjarige had overigens schriftelijke toestemming van zhaar ouders om alle wettige handelingen uit te voeren op bekende sociale media die een volwassene zou kunnen of willen doen. Ik geef toe: uitzondering.

Somebody please think of the parents, hoor ik achterin. Want die ouders die moeten toch op hun kinderen online letten? Ja leuk, maar dit is een juridische blog, en de juridische verantwoordelijkheid ligt dus bij die socialemediaplatforms. Dus laten we het daar eens over hebben.

Arnoud

Het bericht Een op de drie Britse kinderen heeft een socialemedia-account voor volwassenen, mag dat? verscheen eerst op Ius Mentis.

Cloudflare’s recent headline-making decision to refuse its services to KiwiFarms—a site notorious for allowing its users to wage harassment campaigns against trans people—is likely to lead to more calls for infrastructure companies to police online speech. Although EFF would shed no tears at the loss of KiwiFarms (which is still online as of this writing), Cloudflare’s decision re-raises fundamental, and still unanswered, questions about the role of such companies in shaping who can, and cannot, speak online.

The deplatforming followed a campaign demanding that Cloudflare boot the site from its services. At first the company refused, but then, just 48 hours later, Cloudflare removed KiwiFarms from its services and issued a statement outlining their justifications for doing so.

While this recent incident serves as a particularly pointed example of the content-based interventions that infrastructure companies are increasingly making, it is hardly the first:

• In 2017, GoDaddy, Google, and Cloudflare cut off services for the neo-Nazi site Daily Stormer after the site published a vitriolic article about Heather Heyer, the woman killed during the Charlottesville rally. Following the incident, Cloudflare CEO Matthew Prince famously stated: “Literally, I woke up in a bad mood and decided someone shouldn’t be allowed on the Internet. No one should have that power.” 
• In 2018, Cloudflare preemptively denied services to Switter, a decentralized platform by and for sex workers to safely connect with and vet clients. Cloudflare blamed the decision on the company’s “attempts to understand FOSTA,” the anti-trafficking law that has had wide repercussions for sex workers and online sexual content more generally. 
• In 2020, as Covid lockdowns made in-person events largely untenable, Zoom refused to support virtual events at three different universities, ostensibly because one of the speakers—Leila Khaled—participated in airplane hijackings fifty years ago and is associated with an organization the U.S. government has labeled as “terrorist”. The company had previously canceled services for activists in China and the United States regarding the Tiananmen Square massacre commemorations, citing adherence to Chinese law. 
• In 2022, during the early stages of Russia’s invasion of Ukraine, governments around the world pressured internet service providers to block state-sponsored content by Russian outlets, whilst Ukraine reached out to RIPE, one of the five Regional Registries for Europe, the Middle East and parts of Central Asia, asking the organization to revoke IP address delegation to Russia. 

These takedowns and demands raise thorny questions, particularly when providing services to one entity risks enabling harms to others. If it is not possible to intervene in a necessary and proportionate way, as required by international human rights standards, much less in a way that will be fully transparent to—or appealable by—users who rely on the internet to access information and organize, should providers voluntarily intervene at all? Should there be exceptions for emergency circumstances? How can we best identify and mitigate collateral damage, especially to less powerful communities? What happens when state actors demand similar interventions?

Spoiler: this post won’t answer all of those questions. But we noticed that many policymakers, at least, are trying to do so themselves without really understanding the variety of services that operate “beyond the platform.” And that, at least, is a problem we can address right now.

The Internet Is Not Facebook (or Twitter, or Discord, etc)

There are many services, mechanisms, and protocols that make up the internet as we know it. The most essential of these are what we call infrastructural, or infrastructure providers. We might think of infrastructural services as belonging to two camps: physical and logical. The physical infrastructure is the easiest to determine, such as underwater tubes, cables, servers, routers, internet exchange points (IXPs), and the like. These things make up the tangible backbone of the internet. It's easy to forget—and important to remember—that the internet is a physical thing.

The logical layer of internet infrastructure is where things get a little tricky. No one will contest that internet protocols (like HTTP/S, DNS, IP), internet service providers (ISPs), content delivery networks (CDNs), and certificate authorities (CAs) are all examples of necessary infrastructural services. ISPs provide people with access to the physical layer of the internet, internet protocols provide a coherent set of rules for their computers to communicate effectively across the internet, and CDN’s and CA’s provide the necessary content and validity that websites need in order to remain available to users. These are essential for platforms to exist and for people to interact with them online. This is why we advocate for content-neutrality positions from these services: they are essential to freedom of expression online and should not be empowered with editorial capability to decide what can and cannot exist online, above what the law already dictates.

There are plenty of other services that work behind the scenes to make the internet work as expected. These services, like payment processors, analytics plugins, behavioral tracking mechanisms, and some cybersecurity tools, provide platforms financial viability and reveal a sort of gradient gray area between what we determine as essentially infrastructural versus not. Denying their services may have varying degrees of impact on a platform. Payment processors are essential for almost any website to collect money for their business or organization to stay online. On the other hand, one could argue that behavioral tracking mechanisms and advertising trackers also provide companies financial viability in competitive markets. We won’t argue that tracking tools are infrastructural. 

But when it comes to cybersecurity tools like DDoS protection through reverse proxy servers (what Cloudflare provided to KiwiFarms), it’s not so easy. A DDoS protection mechanism doesn’t make or break a site from appearing online—it shields it from potential attacks that could. Also, unlike ISP’s or CA’s or protocols, this type of cybersecurity tool isn’t a service closely guarded and defined by authoritative entities. It is something that anyone with technical expertise (no platform is guaranteed a right to good programmers) can accomplish. In the case of KiwiFarms, they’ve transitioned to using a modified fork of a free and open source load balancer to protect against DDoS and other bot-driven attacks.

Interventions Beyond Platforms Have Different Consequences

It's hard for infrastructure providers to create policies that uphold the requirements for content moderation as established by international human rights standards. And it's particularly challenging to create these policies and monitoring systems when individual rights appear to conflict with one another. And the consequences of their decisions vary significantly.

For example, it’s notable that far less ink was spilled by Cloudflare and by the tech press when it made the decision to terminate service to Switter, in just one example of SESTA/FOSTA’s harmful consequences for sex workers.  Yet it's these types of sites that are impacted the most. Platforms that are based outside the global north or which have more users from marginalized communities seldom have the same alternatives for infrastructure services—including security tools and server space—as  well-resourced sites and even less-resourced online spaces based in the U.S. and Europe. For those users, policies that support less intervention, and the ability to communicate without being vulnerable to the whims of company executives, may be a better way to help people speak truth to power.

Online actions create real world harm—and that can happen in multiple directions. But infrastructure providers are rarely well-placed to evaluate that harm. They may also face conflicting requirements and demands based on the rules and values of the countries in which they operate. Cloudflare noted that previous interventions led to an increase in government takedown demands. 

We don’t have a simple solution to these complex problems, but we do have a suggestion. Given these pressures, the thorny questions they raise, and the importance of ensuring that users have the ability to speak up and express themselves without being vulnerable to the whims of company executives, providers that can’t answer those questions consistently should do their best to stay focused instead on their core mission: providing and improving reliable services so that others can build on them to debate, advocate, and organize. And policymakers should focus on helping ensure that internet policies support privacy, expression, and human rights.

At the start of 2024, the Digital Services Act (DSA) will come into effect. That means that there will be many new rules that will benefit users of platforms like Google, Instagram, and TikTok. We read the textRead the final text of the DSA here! –which has just been final–which has just been finalized– and list 8 rules that will soon protect your rights from online platforms.

A lot is going to change in online advertising. Firstly, for example, it must be made clear with every advertisement that it is an ad, on whose behalf it was placed, who paid for it. Platforms also have to show what the most important criteria were that led to precisely you being shown that advertisement—and how you can adjust those criteria. And lastly, ads should not be targeted using sensitive data, such as ethnicity, political opinion, religion or sexual orientation.

The terms and conditions of online platforms will have to be clear, accessible, and user-friendly. And the very large platforms, such as Google and Facebook, must offer a clear summary of the terms and conditions. This means that sometime soon, you will no longer agree with lengthy terms and conditions without reading them.

Soon, online interfaces of platforms may no longer manipulate or hinder users' freedom of choice. What that means exactly remains to be seen in practice. But we hope it will mean saying 'no' once, is enough, that 'accept' and 'decline' buttons will become the same size and that boxes will no longer already be checked for you.

Platforms will soon have to clearly state the main metrics they use for their recommendation systems, as well as the options for modifying or influencing those recommendation systems. These standards must explain why certain information is shown to you in a certain order. Large platforms will have to offer at least one recommendation system that is not based on the profile they have made of you based on your online behaviour.

Platforms aimed primarily at—or used by—minors will have to offer their terms and conditions in a language minors can understand. And platforms may not show tracking-based ads to children based.

Anyone will soon be able to report potentially illegal content to a platform. And if you make a report, the platform must do something about it. The platform must tell you—as the reporter of illegal content—what happened to your report: whether it was indeed illegal content, and whether the content or person posting it was removed, etc.

If platforms take an action, such as removing, making less visible or flagging your content, they must justify that with a reference to a law or a specific article in their terms of service. They should also then clearly state how and where you can appeal this decision.

There will be different ways to complain about (decisions made by) platforms. So if your post is removed, and you disagree with the justification, you can now do something about that. And if the platform doesn't do enough with your report of possible illegal content, you can soon also complain about it! You may go to the platform's own internal complaint system—which should be free and accessible. Additionally, you will have access to an out-of-court dispute resolution body designated to adjudicate such matters. Furthermore, you can also always complain at the Digital Services Coordinator of the EU Member State you're situated. And, of course, the way to bring a platform to court is always open.

Krijgen we Duitse praktijken in Nederland? Die vraag stelde Tweakers in een recent Plus-artikel. In Duitsland is het gebruikelijk dat torrentgebruikers een claimbrief van een advocatenkantoor op de mat krijgen met daarin een beschuldiging en een schikkingsvoorstel. En je wordt ook echt gedaagd, dus betalen zul je. In Nederland is handhaving altijd tegen de grote jongens gericht: de torrentplatforms, de ISP’s, de grote seeders. Maar de discussie blijft: moeten particulieren ook gaan betalen? Dat riep de vraag op hoe zo’n boete in het recht moet worden vormgegeven. (Hoe dit in Duitsland werkt, is mij nog steeds niet duidelijk.)

Auteursrecht is civiel recht, iets dat burgers onderling uitvechten. Dat staat los van het strafrecht (in theorie is opzettelijke auteursrechtinbreuk strafbaar maar dat is al decennia een dode letter). Het civiel recht gaat erom dat burgers tegen elkaar beschermd worden en elkaar aan kunnen spreken op schade en ongewenst gedrag. Maar de bedoeling is niet dat je rijker wordt van andermans ongewenst gedrag. Claims gaan dus over schadeloosstelling, vergoeding van wat je kwijtgeraakt of misgelopen bent.

Als ik een auteursrecht schend, moet ik dus de schade vergoeden. Maar niet méér dan dat, niet 500 euro betalen bijvoorbeeld terwijl de schade 50 was. Als ik bij de buren een vaas omgooi, moet ik de vaas vergoeden en niet tien keer dat bedrag. (Ik ben strafbaar wegens vernieling en ik zóu bij de strafrechter een boete kunnen krijgen, maar die gaat niet naar de buren.)

Het probleem vanuit auteursrechthandhaving is dat de meeste claims veel te klein zijn. Een grote uitgever aanspreken wegens ongeautoriseerde overname van je website in hun boek dat kan nog wel, maar een blogger aanspreken op één plaatje van je stockfotoset, of een downloader voor één aflevering van een serie die op Netflix staat, welk bedrag koppel je daaraan?

Dit is een probleem omdat mensen dan redeneren “ik kan gewoon inbreuk maken, en word ik gepakt dan betaal ik 50 cent”. Dat voelt onrechtvaardig, het is immers niet de bedoeling dat mensen inbreuk maken op je rechten. (Morele discussie over auteursrecht daargelaten.) Dus men wil meer afschrikking, meer handhaving, keihard optreden. Als kinderen elke dag door mijn tuin rennen en voetballen, dan wil ik ballen lek gaan prikken, overweeg ik berenklemmen en valkuilen met stevige staken en eis ik dat de politie in vol ornaat voor mijn tuin gaat staan.

Een boete is een bekende vorm van afschrikking, en Duitsland laat zien dat dat werkt. Vraag is alleen, hoe moet je dat vormgeven in het recht? Want in het civiele recht bestaat dat dus niet, een boete die naar het slachtoffer gaat. En omdat de schade dus 50 cent is, kun je het ook niet camoufleren als een schatting van de schade.

Dat zou dus een forse wetswijziging met zich meebrengen, en dan zijn er vele andere rechtsgebieden die óók zulke boetes willen. Denk aan winkels die dieven willen afschrikken (die 181 euro is nu zogenaamd een “schatting van de schade”, maar welke winkeldief gaat daar een punt van maken) of verhuurders die misbruik van hun spullen willen tegengaan.

Tegelijk: als je dat niet doet, blijf je dus zitten met het probleem dat er geen effectieve handhaving tegen individuele inbreukmakers mogelijk is. Dan moet je dus of zeggen, we noemen dit legaal (want als je geen handhaving op iets toelaat, moet je het vrijgooien), of we nemen hardere maatregelen zoals het strafrecht en/of strikte eisen tegen andere partijen. Ik weet niet wat daar een oplossing in moet zijn.

Arnoud

Het bericht De strijd tegen illegale torrents, hoe zet je daar een boete op? verscheen eerst op Ius Mentis.

Van vrijdagavond 11 november tot en met zondag 13 november zijn vrijwel alle computersystemen van de Rechtspraak niet bereikbaar vanwege groot onderhoud. Dit betekent dat niet digitaal kan worden geprocedeerd en onder meer Mijn Rechtspraak, het uitsprakenregister, formulieren en registers niet beschikbaar zijn. Uitzondering is rechtspraak.nl. De website blijft wel beschikbaar.

De werkzaamheden starten op vrijdagavond om 20.00 uur en duren tot zondagavond 23.59 uur. Voor gedetailleerde informatie over welke systemen en diensten niet beschikbaar zijn, zie: onderhoud en storingen.

Is het voor u noodzakelijk om in deze periode stukken in te dienen? Kijk voor uitwijkmogelijkheden op de pagina Wat te doen bij onderhoud en storingen.

Als u hier nog aanvullende vragen over heeft, dan kunt u via Twitter, Facebook of Instagram contact met ons opnemen. Indien nodig verstuurt de Rechtspraak via Twitter informatie over de stand van zaken. 

Op werkdagen kunt u ook bellen met het Rechtspraak Servicecentrum: 088 361 61 61. Bereikbaar maandag t/m donderdag van 8.00 uur tot 20.00 uur en op vrijdag van 8.00 uur tot 17.30 uur.