U bent hier

IusMentis

Abonneren op feed IusMentis
Internetrecht door Arnoud Engelfriet
Bijgewerkt: 31 min 19 sec geleden

YouTube opgedragen informatie over kijkers bepaalde video’s te verstrekken

4 uur 28 min geleden

De Amerikaanse autoriteiten hebben Google via verschillende gerechtelijke bevelen opgedragen om informatie te verstreken over kijkers van bepaalde YouTube-video’s. Dat las ik bij Security.nl. Dit was weliswaar in het kader van de opsporing van één concrete verdachte, maar het doet toch bepaald griezelig aan.

Het bevel bleek gegeven in de context van een opsporing van een verdachte die wordt verdacht van witwassen door bitcoin voor contant geld te verkopen: Begin januari stuurden undercoveragenten de verdachte een link naar verschillende YouTube-video’s. Vervolgens vroegen ze Google informatie over wie de betreffende video’s had bekeken. Die waren inmiddels al meer dan dertigduizend keer vertoond. Als onderdeel van het gerechtelijk bevel moet Google de namen, adresgegevens, telefoonnummers en alle gebruikersactiviteit van alle Google-accountgebruikers verstrekken die de YouTube-video’s tussen 1 en 8 januari hebben gezien. Daarnaast wil de Amerikaanse overheid ook de ip-adressen van mensen die niet met een Google-account op YouTube waren ingelogd en de video’s hebben bekeken. Het idee zal dan zijn dat wie al die video’s kort achter elkaar had bekeken, dat had gedaan via de gestuurde links, wat het waarschijnlijker maakt dat dit de verdachte was. En omdat je dan diens IP adres hebt, is fysiek opsporen en ondervragen dan een mogelijke volgende stap.

Aardig bedacht, maar de videos waren natuurlijk ondertussen bekeken door dertigduizend mensen en de kans op vals positieven is daardoor reëel. Nog even los van “hoezo mag de politie vragen welke video’s ik kijk”, de term fishing expedition komt direct in mij op.

In Nederland kan de politie bij verdenking van een misdrijf IP-adressen en dergelijke vorderen. Het moet dan alleen wel gaan om de gegevens van de vermoedelijke verdachte. De vraag zoals hier gegeven “welke personen bekeken tussen 1 en 2 maart deze video” is niet geschikt voor zo’n vordering.

Arnoud

 

 

Het bericht YouTube opgedragen informatie over kijkers bepaalde video’s te verstrekken verscheen eerst op Ius Mentis.

Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen

27 maart 2024 - 8:14am

Het Europese Hof van Justitie heeft geoordeeld dat de wet dat burgers vingerafdrukken moeten toestaan voor identiteitsbewijzen ongeldig is. Dat las ik bij Tweakers. Toch geldt de wet nog steeds, tot een betere wet eind 2026 ingaat. Dit riep vele vragen op, dus laten we even kijken wat hier nu precies aan de hand was.

In 2019 is een Europese Verordening (2019/1157) aangenomen. Deze betrof “de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten”, en bevatte een bepaling over vingerafdrukken (artikel 3 lid 5): De identiteitskaart bevat een opslagmedium dat aan de hoogste veiligheidseisen voldoet en dat een gezichtsopname en twee vingerafdrukbeelden van de houder van de kaart bevat, in een digitaal formaat. Iedereen die zo’n kaart kreeg, was verplicht diens vingerafdrukken af te geven (behalve kinderen onder 6 en mensen bij wie dat fysiek onmogelijk was).

In 2021 moest iemand in Duitsland (Wiesbaden) een nieuwe ID-kaart, maar hij wilde echter niet dat de nieuwe kaart zijn vingerafdrukken zou bevatten. De gemeente zag dat anders: in de wet staat dat dat moet, en hij viel niet onder de uitzonderingen.

Daarop stapte de man naar de rechter. Hij had daarbij zowel inhoudelijke als formele argumenten. De inhoudelijke spreken voor zich, maar de formele hebben wat meer uitleg nodig. Er zijn in de EU verschillende routes om tot een bindende wet te komen. Welke route te nemen, hangt af van het onderwerp en het doel van de regeling. Een regel over consumentenrecht gaat via een heel andere route dan een maatregel ter beveiliging van de gemeenschappelijke grenzen, bijvoorbeeld.

Regels over “reisdocumenten” kunnen worden ingevoerd via artikel 21, lid 2 van het Verdrag betreffende de Werking van de EU (VWEU), dat voorschrijft dat de “gewone wetgevingsprocedure” wordt gebruikt. Maar in artikel 77(3) VWEU staan regels over “paspoorten, identiteitskaarten, verblijfsvergunningen en daarmee gelijkgestelde documenten”, maar die mogen alleen ingevoerd worden via “een bijzondere wetgevingsprocedure”.

Bent u daar nog? In gewone taal: niet Parlement en Raad hadden moeten stemmen (en met 50%+1 stem meerderheid aannemen) over deze wet, maar alleen de Raad (en met unanimiteit) na ‘raadplegen’ van het Parlement. Oftewel, verkeerde regel toegepast bij invoering, en ja dat maakt een wet ongeldig.

Het Hof toetst ook inhoudelijk de bezwaren op grond van AVG en bescherming van persoonlijke levenssfeer, maar concludeert dat deze regeling door de beugel kan. Ook de burger heeft er belang bij dat identiteitskaarten moeilijker na te maken zijn, en twee vingerafdrukken er op zetten helpt daarbij. En omdat de wet de hoogste beveiliging eist én hergebruik verbiedt, is het restrisico op misbruik aanvaardbaar.

In deze situatie vindt het Hof het een té zware maatregel om per direct de wet buiten werking te stellen. Dit zou de beveiliging van identiteitskaarten immers weer omlaag halen, en verplichten dat gemeenten zulke kaarten zonder biometrie gaan afgeven, terwijl daar geen inhoudelijke reden (zoals privacyschending) voor is.

En als je dan meeneemt dat er in 2026 sowieso een nieuwe Verordening hierover komt die ook vingerafdrukken eist, dan zou dat allemaal wel heel veel gedoe zijn. Daarom mag deze wet toch van kracht blijven.

Arnoud

 

 

Het bericht Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen verscheen eerst op Ius Mentis.

Wat zou de toegevoegde waarde zijn van een minister van Digitale Zaken?

26 maart 2024 - 8:12am

Een minister voor Digitale Zaken heeft alleen zin als deze minstens evenveel doorzettingsmacht krijgt als de minister van Financiën. Dat las ik in een opinie bij iBestuur van de bekende Bert Hubert. Toevallig kreeg ik ook een aantal vragen hierover, dus laten we eens breder kijken: wat zou het toevoegen, een speciale minister over dit onderwerp?

Het onderwerp lijkt op de agenda te zijn gezet na onder meer een oproep aan informateur Plasterk van het Adviescollege ICT-toetsing. Ik ken de oproep voor een minister van ICT of minister van digitale zaken al langer (zoals deze oproep uit 2000). De onderliggende motivatie is hetzelfde: ICT is enorm belangrijk, er moet expertise en sturing komen dus een gezaghebbende autoriteit op ministerieel niveau is dan nodig.

Mijn voornaamste bezwaar is dat ICT niet een apart ‘ding’ is, zoals Defensie los staat van Infrastructuur en Waterstaat bijvoorbeeld. ICT wordt overal gebruikt, en expertise daarover moet dus overal aanwezig zijn.

In de oproep wordt nader gemotiveerd wat de taak van zo’n minister zou moeten zijn: De minister voert rijksbreed de regie over versterking van de digitale capaciteiten van de overheid. Dit kan bijvoorbeeld door het CIO-stelsel verder te ontwikkelen, samenwerking tussen verschillende overheden te stimuleren, kaders te stellen voor ICT-projecten, het lerend vermogen van de overheid aan te jagen en kwaliteits- en financieringsnormen aan te reiken voor het onderhoud en beheer van ICT-infrastructuur. Interoperabiliteit (technische samenwerking) en coördinatie van werkzaamheden is zeker van belang, en een stevig sturend iemand kan daar zeker het verschil maken. Dat weten we uit alle mogelijke standaardisatiegroepen. Elk ministerie heeft al een Chief Information Officer (CIO), met bindende bevoegdheden. Dat zou al een heel eind moeten helpen, al lijkt dat nog wat tegen te vallen hier en daar.

Hubert ziet één mogelijke oplossing: Een minister van Digitale Zaken kan helpen, maar die moet dan wel evenveel macht hebben als de minister van Financiën. Misschien is het zelfs wel een idee de digitale minister bij dat ministerie onder te brengen, want ze zijn daar al gewend om iedereen stevig achter de broek te zitten. Want inderdaad, als er één ding is waar alle ministeries naar luisteren dan is het wel naar Financiën. Gevoelsmatig vind ik ict niet hetzelfde als het financiële, maar organisatorisch zie ik wel hoe dat zou kunnen werken. Al blijf ik zitten met “MinFin is streng, dus als we de MinICT daar stoppen dan zal deze ook als streng worden ervaren”, wat geen vanzelfsprekendheid is.

Arnoud

Het bericht Wat zou de toegevoegde waarde zijn van een minister van Digitale Zaken? verscheen eerst op Ius Mentis.

Europese Commissie gaat AI-inzet van grote platforms aanpakken

25 maart 2024 - 8:12am
assorted electric cablesPhoto by John Barkiple on Unsplash

De Commissie heeft op grond van de Digital Services Act (DSA) formeel verzoeken om informatie gestuurd naar de grote online zoekmachines en platforms, las ik in hun persbericht van vorige week. Het gaat om uitleg over hoe zij omgaan met de risico’s van generatieve AI, zoals zogenaamde ‘hallucinaties’ waarbij AI valse informatie verstrekt, de virale verspreiding van deepfakes, evenals de geautomatiseerde manipulatie van diensten dat kan kiezers misleiden.

Het is natuurlijk dat laatste dat de directe aanleiding is: de verkiezingen van het Europees Parlement komen eraan, en de vorige keer was er nogal wat ophef over politieke disinformatie op online platforms. Ook het Cambridge Analytica-schandaal heeft veel zorgen gegeven, met name de vraag of met microtargeting mensen gericht zouden kunnen worden beïnvloed (en AI maakt dat massaal mogelijk).

Nergens in de DSA staat expliciet dat je AI hallucinaties, deepfakes of manipulatie van kiezers moet bestrijden. Dit volgt uit de algemene zorgplicht tegen “systeemrisico’s”, brede maatschappelijke risico’s die jij als zeer groot platform (VLOP) of zeer grote zoekmachine (VLOS) veroorzaakt door zo massaal mensen en bots dingen te laten posten.

De organisaties hebben tot 5 april gekregen om te reageren voor wat betreft de verkiezingen, en tot 26 april voor de overige vragen. Toevallig zie ik al een eerste maatregel: YouTube krijgt label als video generatieve AI bevat.

Arnoud

Het bericht Europese Commissie gaat AI-inzet van grote platforms aanpakken verscheen eerst op Ius Mentis.

Hoge Raad oordeelt dat website geen geautomatiseerd werk is

22 maart 2024 - 8:15am

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost was aangeklaagd is in hoger beroep terecht door het gerechtshof Den Haag vrijgesproken, omdat een website geen geautomatiseerd werk is. Dat las ik bij Security.nl vorige week. De Hoge Raad verwierp met dat argument de door het OM ingestelde cassatie tegen dat arrest. En ik erger me er dood aan.

Zoals ik in 2022 blogde bij het arrest: Na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”. Een website is immers niet meer dan een verzameling software en data, en een “inrichting” is een fysiek ding. Zoals mijn oude prof aan de TU altijd zei: hardware is het deel dat wél pijn doet als het op je voet valt.

Ik meende destijds dat de HR een website wél een inrichting vond, afgaande op een arrest over ddos-aanvallen, waarin men “website” zo las dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoorde.

Men ziet het echter anders: Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt. Op zich niet heel raar, als je constateert dat met “website” wordt bedoeld “alleen de software en data” dan moet de conclusie zijn dat er dus niet gezegd is dat men in de “inrichting” (de hardware) is binnengedrongen.

Blijft over het argument dat je bij “website” in het gewone spraakgebruik de hardware meeleest. Maar dat gaat niet op: De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd. Het is kennelijk onder juristen nog niet aanvaard dat als je zegt “website” dat je dan bedoelt “oftewel de daar onder liggende servers”. Dat moet je er dus bij zetten (zoals Michael Berndsen destijds betoogde). Alleen deed het Hof Den Haag daar in 2020 ook weer moeilijk over, omdat de server meestal van iemand anders is dan de website: Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard. Je komt dan uit bij de constructie “er is ingebroken bij de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” en ik heb daar gewoon ontzettend veel moeite mee.

Arnoud

 

 

 

Het bericht Hoge Raad oordeelt dat website geen geautomatiseerd werk is verscheen eerst op Ius Mentis.

Honderdduizenden kentekens gescand op A7 voor korting op OV tijdens werkzaamheden

21 maart 2024 - 8:12am

Rijkswaterstaat wil weggebruikers stimuleren om het openbaar vervoer te gebruiken tijdens de verbouwing van de A7. Dat las ik bij NH Nieuws vorige week (dank, tipgever). Hiertoe is men begonnen met alle kentekens te scannen die nu op de A7 en de omliggende wegen rijden. Wie ze dan niet zien in de verbouwingsperiode, heeft recht op een cadeaubon. Waarvan je je natuurlijk AVG-technisch en zo kunt afvragen: mag dat?

In april beginnen werkzaamheden aan de brug in de A7 over het Noordhollandsch Kanaal bij Purmerend. Dat gaat een enorme operatie worden, waarbij veel overlast verwacht wordt omdat het verkeer slechts op twee versmalde rijbanen kan rijden: De weg is nu al op vrijwel alle uren van de dag druk en er zijn weinig uitwijkmogelijkheden voor automobilisten. Daarom verwacht Rijkswaterstaat dat bij de start van werkzaamheden er vrijwel de hele dag files zullen staan op de A7 en dat ook de nabije provinciale wegen N246 bij Wormerveer en de N247 langs Volendam zullen dichtslibben en overlast zullen veroorzaken in de dorpen waar deze wegen doorheen lopen. Ik zie dus zo voor me hoe er ergens een brainstorm “Creatieve oplossingen weghouden automobilisten” is geweest waarbij dit idee veel topjes kreeg.

In de basis is het simpel genoeg. Je registreert kentekens van wie langsrijdt, de infrastructuur daarvoor is er al en anders is een daartoe ingericht kastje zo opgehangen. Het enige dat je daarna hoeft te doen, is tijdens de dichtslibperiode ook kentekens te scannen en bij houden wie er niét langskomt uit die eerste set: “Het gaat om frequente weggebruikers”, zegt Harold Hansen van Rijkswaterstaat. Automobilisten die 3 à 4 keer per week in de spits gescand zijn kunnen eind maart controleren of ze in aanmerking komen voor een kortingsbon. “We stoppen alle kentekens in een database. Mensen kunnen dan later deze maand checken of ze aan de eisen voldoen.” Mag dit van de AVG? Want kentekens zijn persoongegevens, ongeacht of jij toegang hebt tot de RDW-databank met kentekenhouders. Ik zal jullie de grondslag-discussie besparen want je komt toch uit bij het eigen gerechtvaardigd belang (van Rijkswaterstaat dus, en eventueel medeweggebruikers die minder file hebben).

Bij de belangenafweging hoort allereerst een rechtens te respecteren belang. Het lijkt me dat het goed laten functioneren van de doorstroming van het verkeer wel een dergelijk (algemeen) belang is. Dan blijft dus over de vraag of dit gebruik van persoonsgegevens daar proportioneel bij is en of er geen andere opties zijn (subsidiariteit).

Ongerichte acties (zoals aandacht in de krant) zie ik genoeg, maar gerichte acties zijn natuurlijk veel effectiever. Ik herinner me van lang geleden een digitaal bord op de High Tech Campus Eindhoven dat je kenteken toonde met daarbij de tekst “Was u bestemmingsverkeer?” als je vrij snel weer de campusgrond verliet.

Hier wordt er eigenlijk niets met de gegevens gedaan, tenzij de kentekenhouder zich meldt om aanspraak te maken op de beloning. Dat is weliswaar geen toestemming in de zin van de AVG maar wel een duidelijke privacyvriendelijke maatregel. Dus ik zie niet zo veel problemen.

Rijkswaterstaat is een overheidsinstelling, en dan is er bij deze grond altijd de complicatie dat er bij staat dat deze niet geldt “voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken”. Dit is volgens mij niet zó breed bedoelt dat ieder handelen van een overheidsinstantie er onder valt. Het belonen van omrijders is geen taak van Rijkswaterstaat, in ieder geval geen wettelijke.

Arnoud

 

 

 

 

Het bericht Honderdduizenden kentekens gescand op A7 voor korting op OV tijdens werkzaamheden verscheen eerst op Ius Mentis.

Wat als ik vanaf nu mijn werk door een AI laat doen?

20 maart 2024 - 8:15am

Een lezer vroeg me: Ik las: “Een nieuwe Amerikaanse start-up genaamd Cognition heeft een AI-software-engineer ontwikkeld die volgens het bedrijf helemaal autonoom kan werken.” Nu vroeg ik me af: als ik die tool inhuur om mijn werk als engineer te doen, en ik presenteer dat (natuurlijk na enige controle) als eigen werk, neem ik dan een arbeidsrechtelijk risico? Deze tool, ‘Devin’ geheten, zou “complexe engineeringtaken die duizenden beslissingen vergen, kunnen plannen en uitvoeren”, inclusief bijleren en fouten oplossen. De tool is vooralsnog enkel in beta beschikbaar, dus het zal nog even duren voordat deze vraagsteller ermee aan de slag kan.

Is het arbeidsrechtelijk problematisch om een tool in te zetten? Die vraag is redelijk nieuw in het arbeidsrecht. We hebben wel al heel lang het criterium dat je het werk zélf moet doen. Je mag je als werknemer niet zomaar laten vervangen of je werk extern uitbesteden. (Dit is zelfs een van de criteria waarmee zzp’ers van werknemers worden onderscheiden.)

Een tool inzetten om je werk sneller of beter te doen is echter niet hetzelfde als een ander je werk laten doen. Het probleem met AI is natuurlijk dat de grens tussen “een tool” en “iemand anders” aan het vervagen is.

Het arbeidsrecht zou het arbeidsrecht niet zijn als er toch niet ergens een mooie norm ligt. Je kunt bijvoorbeeld kijken naar het instructierecht: de werkgever bepaalt hoe het werk wordt gedaan. Wil die dat jij met Emacs code klopt, dan is dat hoe het gaat – ook al zijn er vi betere tools beschikbaar. Zomaar een externe tool gebruiken in strijd met zo’n instructie is dus een behoorlijk probleem voor de werknemer.

Ook heb je de algemene norm van goed werknemerschap. Zou een normaal werkende werknemer zonder overleg of melding een externe AI tool inzetten? Dat lijkt me niet. Dus behoor je dit te melden. Al is het maar omdat de werkgever dan de risico’s kan inschatten en de kosten kan dragen.

Fundamenteel is dit niet anders bij een AI tool dan zeg bij de keuze voor Emacs. De vraag voor mij is dan ook vooral hoe je dit verborgen zou kunnen houden, het voelt nét iets groter dan die zelfgemaakte macro die het handwerk van de collega’s reduceert tot 5 minuten nalopen van de resultaten.

Arnoud

Het bericht Wat als ik vanaf nu mijn werk door een AI laat doen? verscheen eerst op Ius Mentis.

E-bikes straks mogelijk op afstand af te remmen, zodat Amsterdam weer wat veiliger wordt

19 maart 2024 - 8:12am
Sondors eBike” by FaceMePLS is licensed under CC BY 2.0

Zes steden in Europa, waaronder Amsterdam, testen een systeem dat de snelheid van elektrische fietsen op afstand kan beperken. Dat meldde NRC onlangs. Het riep vele vragen op (zoals “hóe dan”), maar ik wil graag even kijken naar de juridische haalbaarheid.

Het gaat op dit moment nog om een proef, zoals NRC het toelicht: Vorige week reed de Amsterdamse D66-wethouder Melanie van der Horst (Verkeer) tijdens een testrit op een e-bike waarvan de trapondersteuning wegvalt zodra er een min of meer kwetsbaar gebied opdoemt: een school, een park, een druk kruispunt of fietspad, wegwerkzaamheden, de plaats van een ongeval. Van der Horst: „Ik kreeg op mijn schermpje een spelend kind met een voetbal te zien. Even later kwam ik in het rood te staan en werd mijn snelheid afgeremd tot 15 kilometer per uur”, vertelt ze. De achterliggende technologie is afkomstig van Stichting Townmaking Institute, zo meldde vakblad Binnenlands Bestuur vorig jaar: [Projectleider Eduardo] Green zegt: ‘Veel aanbieders van e-bikes bieden een app aan waarmee fietsers informatie zien over hun snelheid en bereik en dergelijke. We hebben een API ontwikkeld waarmee we ons signaleringssysteem daarmee kunnen integreren.’ De verwachting is dat de meeste e-bikes op den duur een geïntegreerde omgeving hebben, zodat ze deze meldingen rechtstreeks op het display van de fiets kunnen ontvangen. Het artikel schetst vooral het signaleren van snelheidsovertredingen, je schermpje wordt dan oranje of rood naar mate je meer boven de gewenste snelheid zit. Iets onduidelijker is hoe het automatisch afremmen zou moeten werken. Dit klinkt mij iets te onlogisch: ‘Met behulp van zendmasten voor mobiele telefonie is het mogelijk om de stroom op een e-bike langzaam te verminderen en weer op te voeren’ vertelt Green. In theorie is het dus mogelijk om de snelheid van een e-bike van buitenaf te begrenzen. Ook bij de stichting zelf kan ik niet nader vinden hoe dit zou moeten werken. Maar goed, uiteindelijk is dit een juridische blog en is de vraag dus “mag de gemeente dit doen” en daarvan afgeleid de vraag “mag ik me daartegen verzetten”.

Als het gaat om functionaliteit die door de fabrikant is ingebouwd, dan lijkt het me in principe legitiem voor een gemeente om die functionaliteit in te roepen. Natuurlijk moet de wegomgeving er wel duidelijk op ingericht zijn, je moet weten dat je hier geacht wordt langzaam te fietsen. Ik twijfel of een gemeente de APV moet wijzigen om dit te mogen doen, het is zo nieuw dat hier nog geen precedent voor is.

Je zou als eigenaar van zo’n fiets ervoor kunnen kiezen om deze meldingen tegen te houden. Ik heb zo even geen idee hoe, maar laten we aannemen dat dit effectief kan. Dát kan een gemeente niet verbieden, zelfs niet als ze dat in de APV zet. Dat gaat om een ingreep in eigendom, en zoiets kun je alleen in een wet in formele zin verbieden – eentje die door het parlement is aangenomen.

Arnoud

Het bericht E-bikes straks mogelijk op afstand af te remmen, zodat Amsterdam weer wat veiliger wordt verscheen eerst op Ius Mentis.

Mag een winkel beveiligingscamera’s de pinapparaten laten filmen?

18 maart 2024 - 8:07am

Een lezer vroeg me: Een grote, bekende winkel heeft camera’s boven de balies hangen. Hierop zijn de pinpads van de pinapparaten haarscherp zichtbaar. Er wordt geen gebruik gemaakt van privacy masking, waardoor het kinderspel is om pincodes van klanten op de beelden te bekijken. Mijn vraag is: mag een winkel de pincodes van klanten filmen? Op het eerste gezicht lijkt me dit een foutje. Men wil de balies filmen zodat bijvoorbeeld winkeldieven en onrustmakers op beeld vastliggen. Daartoe is een camera opgehangen op een gunstige plek, en niemand heeft daarbij gedacht aan de zichtbaarheid van de pinpads.

Een dergelijke fout is in dit geval een AVG issue, namelijk artikel 32 dat adequate beveiliging van persoonsgegevens vergt, en meer algemeen van artikel 24 dat eist dat je passende technische en organisatorische maatregelen neemt om naleving van de AVG te borgen. Voor mij zou het dus voor de hand liggen om een mask in te stellen bij de camerabeheersoftware, zodat precies de pinpads niet meer herkenbaar vastgelegd worden.

Je zou als winkel de afweging anders in kunnen steken, uitgaande van de aanname dat de beelden veilig opgeslagen staan en alleen bekeken worden als sprake is van een incident. Daarbij kijkt men op tijdcode bepaalde beelden terug, dus dat Wim ’s ochtends om half tien 1-2-3-4 typte zal niemand zien als we om drie uur kijken hoe Hans zich misdroeg.

Blijft over het risico van datalekken, hier dus het laten stelen van de beeldopnames. Als je de beelden automatisch wist na zeg een dag dan is dat risico redelijk beperkt, en wellicht is een opstelling mogelijk waarbij toegang tot de beelden via het netwerk onmogelijk is. (Ik realiseer me dat veel camerasystemen netwerktoegang eisen.)

Je maakt dan de afweging dat het restrisico acceptabel is, met de bijkomstige aanname dat mensen gewend zijn hun pincode af te schermen bij het typen, zodat de kans dát er een pincode in beeld komt heel klein is. Tel daarbij op dat een eventuele beelddief óók nog de pinpas van de gefilmde te pakken zou moeten krijgen, en ik zou snappen dat je dit een verwaarloosbaar risico vindt.

Arnoud

Het bericht Mag een winkel beveiligingscamera’s de pinapparaten laten filmen? verscheen eerst op Ius Mentis.

Opa daagt gokbedrijf omdat kleinzoon (17) ruim een half miljoen euro vergokte

15 maart 2024 - 8:18am

Een 77-jarige Nederlandse man daagt gokbedrijf Bingoal voor de rechter omdat zijn 17-jarige kleinzoon in twee maanden tijd ruim 162.000 euro van opa’s spaarrekening kon verspelen zonder dat het bedrijf ingreep. Dat meldde de NOS onlangs. Het Belgisch gokbedrijf, dat ook in Nederland een vergunning heeft, zou haar zorgplicht verzaakt hebben.

Of nog iets specifieker: Volgens [opa’s advocaat] Bussink had het bedrijf bij een dergelijk hevig speelpatroon de kleinzoon op basis van de geldende regels moeten adviseren het account tijdelijk te sluiten en zichzelf een dwingende ‘gokstop’ te geven van ten minste een halfjaar. Het bericht deed enige wenkbrauwen fronsen: had opa dit niet zelf door moeten hebben, of zijn bank die ineens anderhalve ton naar een goksite ziet gaan?

Inderdaad zijn dat legitieme vragen, maar die staan los van de zorgplicht die een goksite heeft. Zoals de KSA het uitlegt: Die zorgplicht houdt in dat aanbieders op tijd moeten ingrijpen als ze constateren dat spelers een gokverslaving hebben of ontwikkelen en/of grote financiële schade lijden door onmatig gokgedrag. Dit risico bestaat vooral bij de risicovolle, short odd-kansspelen, zowel online als in speelhallen en casino’s. Juridisch gezien komt het neer op de vraag of de aanbieder “redelijkerwijs [kan] vermoeden dat de speler door onmatige deelname of door kansspelverslaving zichzelf of zijn naasten schade kan berokkenen” (artikel 27j lid 1 Wet op de kansspelen). En als ik dit dan lees, dan zou ik toch denken dat er ergens een AI een seintje had moeten geven: Op zijn eerste speeldag, vrijwel exact een jaar geleden, verloor [de kleinzoon] meteen al 17.500 euro bij Bingoal. In de weken daarna liepen de verliezen razendsnel op. Vooral omdat hij de speellimieten op het absolute maximum had gezet. Daardoor kon hij 30.000 euro per week op zijn account storten en achttien uur per dag online gokken bij Bingoal. In plaats van snelle actie leidde dit enkel tot een paar e-mails en een graduele verlaging (over twee maanden) van de spellimiet. Pas in juli sloot de aanbieder het account definitief, na een brief van advocaat Bussink.

Arnoud

 

 

 

 

Het bericht Opa daagt gokbedrijf omdat kleinzoon (17) ruim een half miljoen euro vergokte verscheen eerst op Ius Mentis.

Mag de onderaannemer van de zonnepanelen deze uitzetten als je niet betaalt?

14 maart 2024 - 8:14am

Intrigerende bij Tweakers: Vorig jaar zijn bij mij zonnepanelen aangelegd. De omvormers en gateway zijn van Enphase. Het hele proces was bijzonder rommelig, en achteraf werd ik gebeld door iemand die claimt de onderaannemer te zijn. Die gaf aan dat de hoofdaannemer failliet is gegaan, en dat ik aan hem moest betalen. Als ik dat niet zou doen, dan zou hij de zonnepanelen op afstand buiten werking stellen. Dat “buiten werking stellen” is een administratief eenvoudig dingetje: standaard worden installateurs van deze systemen als “maintainer” in de beheersoftware aangemerkt. Alleen zij kunnen dan dingen aanpassen. De klant kan alleen lezen en heeft verder geen controle.

De praktische workaround is zelf een bedrijf aanmelden bij Enphase (dit hoeft niet echt te bestaan) en die als maintainer op te voeren. Alleen is onduidelijk of daarmee de oude maintainer wordt verwijderd. De dreiging van afsluiting zit dus nog steeds in de lucht.

De vraag of het mág wordt daarmee relevant. In principe mag een dienstverlener of aannemer maatregelen nemen als hij niet wordt betaald. Denk aan de aannemer die de voordeursleutel niet geeft (of een hek om de schuur zet) als de klant de factuur niet betaalt. Alleen: dat moet je vóór levering doen, want “het retentierecht eindigt doordat de zaak in de macht komt van de schuldenaar of de rechthebbend” (art. 3:294 BW). Wel moet dat dan “vrijwillig en zonder voorbehoud” gebeuren.

Bij het Tweakers-bericht lees ik dat de zonnepanelen “vorig jaar” zijn geplaatst. Dan mag ik wel vermoeden dat ze ondertussen opgeleverd en in gebruik genomen zijn, zodat volgens mij die regel over einde retentierecht opgaat. Dus de aannemer mag ze niet meer terug in zijn macht nemen en eisen dat er betaald wordt.

Een extra complicatie is natuurlijk dat het hier gaat om een onderaannemer, niet de contractspartij van de consument. Die heeft nooit betaald gekregen van die hoofdaannemer, omdat die in de tussentijd failliet is gegaan.

Het simpele antwoord is dan: ik heb als consument niets te maken met die onderaannemer, omdat ik daar geen contract mee heb. Die mag me dus niet dwingen tot betalen en al helemáál niet de spullen weghouden tot ik dat doe.

Het ligt alleen iets complexer. Zolang de zonnepanelen nog eigendom zijn van de onderaannemer, mag deze ze onder zich houden tot zíjn opdrachtgever – de hoofdaannemer dus – betaald heeft. Dat is zeg maar hetzelfde als een leverancier die de panelen niet levert zodat installatie niet kan gebeuren. Vereist is dan wel dat de panelen dan eigendom zijn van de onderaannemer, en dat hangt natuurlijk sterk af van hoe de taakverdeling was. Én de boel mag nog niet opgeleverd zijn.

Arnoud

Het bericht Mag de onderaannemer van de zonnepanelen deze uitzetten als je niet betaalt? verscheen eerst op Ius Mentis.

Apple krijgt 1,8 miljard boete voor hinderen muziekstreamingdiensten als Spotify

13 maart 2024 - 8:16am
space gray iPhone 8 and Apple AirPodsPhoto by Jaz King on Unsplash

Apple krijgt een hoge boete van de Europese Unie, meldde Nu.nl: 1,8 miljard Euro. Het bedrijf hindert muziekstreamingdiensten als Spotify om goedkopere abonnementen buiten Apple om aan te bieden, en dat is een vorm van machtsmisbruik. Het blijft een slepende saga.

De kern is denk ik bekend: Apple eist dat mensen die via een app iets bestellen, dat via de eigen betaalmethode(n) van Apple doen en daarbij hetzelfde bedrag betalen als ze elders kwijt zouden zijn. Uit het persbericht: In particular, the Commission found that Apple applied restrictions on app developers preventing them from informing iOS users about alternative and cheaper music subscription services available outside of the app (‘anti-steering provisions’). This is illegal under EU antitrust rules. Dit speelde maar liefst tien jaar, aldus de Commissie, en dat is zwaar onrechtmatig. Vandaar de (voor Europese begrippen) best hoge boete plús een verbod om hiermee door te gaan. En ja, 1,8 miljard is ook voor Apple een vervelend bedrag, al is het maar omdat de aandeelhouders dan boos worden dat zij dat niet als dividend hebben gekregen (en 3% koersdaling, everything is securities fraud dus wachten op de rechtszaak).

Tien jaar is lang in de diensteneconomie, eigenlijk te lang om zulk gedrag door te laten gaan. Dat is altijd de makke geweest van het mededingingsrecht. Weet iemand nog, Netscape was heel groot en Microsoft maakte het kapot? Ook dat mocht niet – 500 miljoen boete – maar ondertussen was Netscape volledig verdwenen.

Het is dan misschien ook maar goed dat we sinds kort de Digital Markets Act hebben, die expliciet een heleboel dingen verbiedt die daardoor veel makkelijker aan te pakken zijn. Meer over de DMA en zijn grote zus de DSA lees je in mijn recente Tweakers-artikel!

Arnoud

Het bericht Apple krijgt 1,8 miljard boete voor hinderen muziekstreamingdiensten als Spotify verscheen eerst op Ius Mentis.

Hola, nu moet de rechtbank gaan bepalen of ChatGPT een superintelligentie is?

12 maart 2024 - 8:12am
a close up of a computer screen with a message on itPhoto by Jonathan Kemper on Unsplash

OpenAI en topman Sam Altman worden aangeklaagd door Elon Musk, meldde BNR onlangs. Zij zouden afspraken hebben geschonden met Musk als medeoprichter van OpenAI. Die organisatie is opgericht als een nonprofit die Artificial General Intelligence op verantwoorde wijze zou realiseren, maar is nu verworden tot een Microsoft-puppet die alleen maar geld wil verdienen. Of zoiets.

Normaal zou je zeggen: je was inderdaad medeoprichter maar je bent weggegaan, dus helaas voor jou wij doen wat wij nu willen. Echter, als je aandeelhouder bent, dan kun je nog steeds klagen over zulke dingen want dat kan de koers aantasten. Alleen is OpenAI dus een stichting (nonprofit) en geen bedrijf – het bedrijf is een dochter van de stichting, en afspraken zoals met Microsoft zijn met die dochter.

Musk heeft niet echt een contract met OpenAI, dus wat dat betreft staat de claim ietwat op lemen voeten. Er waren wel wat emails met eisen en voorstellen, maar geraadpleegde juristen zijn skeptisch: While contracts can be formed through a series of emails, the lawsuit cites an email that appears to look like a proposal and a “one-sided discussion,” said Brian Quinn, a law professor at Boston College Law School. “To the extent Musk is claiming that the single e-mail in Exhibit 2 is the ‘contract,’ he will fall well short,” Quinn said. Er is echter nog een interessant punt in die klacht van Musk: “GPT-4 is an AGI algorithm, and hence expressly outside the scope of Microsoft’s September 2020 exclusive license with OpenAI.” AGI in deze context staat dus voor “Artificial General Intelligence”, zeg maar een algemeen gerichte AI die ongeveer op mensniveau kan denken en doen.

AGI is iets waar Musk wakker van ligt, het was een van de redenen om OpenAI mede op te richten: verantwoorde ontwikkeling van AGI en niet zomaar voor de poen snel wat op de markt brengen. En dat is volgens mij de onderliggende boosheid die deze rechtszaak stimuleert. (Naast dat OpenAI had beloofd alle broncodes en parameters open te maken, wat dus niet gebeurd is.)

De constructie van OpenAI is namelijk dat ze pre-AGI technologie mag verkopen, maar niet AGI technologie. Microsoft heeft (exclusieve) toegang tot diverse AI modellen van OpenAI, en deel van de klacht van Musk is dus dat dat niet mag omdat GPT4 een AGI is, en anders in ieder geval het eerstvolgende model wel. Alleen: volgens de statuten bepaalt de raad van bestuur van OpenAI wanneer iets AGI is. Het is dus de vraag wat de rechter daar over mag zeggen, omdat een bestuur in principe zelf beslist.

Arnoud

 

Het bericht Hola, nu moet de rechtbank gaan bepalen of ChatGPT een superintelligentie is? verscheen eerst op Ius Mentis.

Een naam hardop uitspreken valt nu ook onder de AVG, wacht, wat?

11 maart 2024 - 8:15am

Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.

De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.

De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.

Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.

Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben. In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben. Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.

Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.

De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.

Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.

Arnoud

 

 

Het bericht Een naam hardop uitspreken valt nu ook onder de AVG, wacht, wat? verscheen eerst op Ius Mentis.

Europees Hof van Justitie: IAB-systeem voor cookiepop-ups in strijd met AVG

8 maart 2024 - 8:09am

Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat meldde Tweakers. In iets juridischer taal oordeelde het Hof van Justitie dat het IAB de (mede) verwerkingsverantwoordelijke is voor alle tracking die daar aan hangt.

Zoals Tweakers uitlegt: IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem. In dit framework zit iets dat een “transparency and consent string” (TC string) heet, waarmee consent centraal beheerd wordt en door alle leveranciers uitgelezen kan worden: A TC String’s primary purpose is to encapsulate and encode all the information disclosed to a user and the expression of their preferences for their personal data processing under the GDPR. Using a Consent Management Platform (CMP), the information is captured into an encoded and compact HTTP-transferable string. This string enables communication of transparency and consent information to entities, or “vendors”, that process a user’s personal data. Vendors decode a TC String to determine whether they have the necessary legal bases to process a user’s personal data for their purposes. The concise string data format enables a CMP to persist and retrieve a user’s preferences any time they’re needed as well as transfer that information to any vendors who need it. Hiermee kun je op één site consent geven voor bijvoorbeeld adverteerders A en B, waarna die consent ook ingezet kan worden op een andere site. De TC string wordt daarom gedeeld met alle sites waar het framework wordt ingezet. Klinkt dit spannend qua AVG? Ja, dat dacht ik ook.

De Belgische toezichthouder stelde een onderzoek in en vond dat het IAB – beheerder van het framework – eigenlijk de verwerkingsverantwoordelijke was voor de TC string, waar immers persoonsgegevens in zitten. IAB ging daartegen in beroep, want die string wás niet eens een persoonsgegeven en bovendien waren het de afnemers van het framework die de gegevens gebruikten, niet zij.

Het Hof van Justitie kreeg dit als prejudiciële vragen voorgelegd, en kwam niet geheel verrassend tot de conclusie dat (a) de TC string persoonsgegevens bevat en (b) het IAB wel degelijk verwerkingsverantwoordelijke daarvoor is.

Allereerst het persoonsgegeven-zijn. Die TC-string is letterlijk alleen een reeks voorkeuren en consents, terwijl een persoonsgegeven tot een identificeerbaar persoon herleidbaar moet zijn. Dat laatste is het geval, aldus het Hof: 45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren (…) Dit is genoeg: het is niet nodig dat je vervolgens met het IP-adres tot een naam en adres of contactgegevens kunt komen. Dit bevestigt dus mijn opvatting dat onder de AVG “127.0.0.1/20240308-08:09” je identiteit is en niet slechts een code waarmee je nog een ‘echte’ identiteit (zoals je naam) moet gaan halen.

Natuurlijk heeft IAB geen toegang tot de logs van haar leden, zodat zij niet aan de string kan zien om welke persoon het gaat. Maar in het dossier was terug te vinden dat die leden “verplicht zijn om [IAB] op haar verzoek alle informatie te verstrekken waarmee zij gebruikers kan identificeren van wie de gegevens zijn opgeslagen in een TC-string.” Nee, ik weet ook niet waarom, maar het staat er, dus kan IAB óók de bezoekers identificeren.

Is het IAB dan verwerkingsverantwoordelijke? Dat ben je als je doel en middelen vaststelt. En dat hebben ze gedaan: Wat in de eerste plaats het doel van die verwerking van persoonsgegevens betreft, blijkt (…) dat het door IAB Europe opgestelde TCF een standaard is die ertoe strekt te waarborgen dat de AVG wordt nageleefd wanneer de persoonsgegevens van gebruikers van een internetsite of applicatie worden verwerkt door bepaalde ondernemingen die deelnemen aan de online veiling van advertentieruimte.

[Verder blijkt] dat het TCF een standaard is die de leden van IAB Europe worden geacht te aanvaarden wanneer zij zich bij deze vereniging willen aansluiten. Het IAB stelt dus vast waar het TCF voor gebruikt wordt (doel) en hoe je dit doel moet realiseren als lid (middelen). Dat is genoeg, dat in de praktijk het IAB niet betrokken is bij de dagelijkse werking is niet relevant. Daarmee zijn ze dus verwerkingsverantwoordelijke, zij het gezamenlijk met de leden die immers de gegevens verwerven die ze voor eigen doeleinden (het afstemmen van marketing en reclame) gebruiken.

De kop van het Tweakers-artikel zegt “TCF in strijd met AVG”. Dat gaat wat ver: hooguit kun je zeggen dat IAB als verwerkingsverantwoordelijke haar plichten (zoals informatieverstrekking en faciliteren van rechten) niet is nagekomen. Als ze dat (en de andere AVG eisen) gaat doen, dan zou het TCF kunnen blijven bestaan. Echter, in de Belgische procedure is al een boete (250.000 euro) opgelegd en twee maanden de tijd om een actieplan in te dienen met verbeterpunten. Dat suggereert dat een verbod de volgende stap gaat zijn.

Arnoud

 

 

 

 

 

Het bericht Europees Hof van Justitie: IAB-systeem voor cookiepop-ups in strijd met AVG verscheen eerst op Ius Mentis.

Nu bedrijven als Marktplaats data delen met Belastingdienst, kunnen sommige gebruikers onterecht het label ‘potentiële fraudeur’ krijgen

7 maart 2024 - 8:15am
man wearing gray polo shirt beside dry-erase boardPhoto by Kaleidico on Unsplash

Een korting op de uitkering of gelabeld worden als fraudeur: dat risico is gegroeid voor mensen die handelen via platformbedrijven. Dat meldde NRC onlangs. Die moeten sinds kort gegevens delen met de Belastingdienst, waardoor die ook bij uitkeringsinstanties terechtkomen. En let op: geen verhaal hebben betekent dat je een fraudeur bent.

De onderliggende wet is de zogeheten EU-richtlijn gegevensuitwisseling digitale platformen, in het vakgebied bekend als DAC7. DAC7 introduceert “de verplichting voor rapporterende platformexploitanten om gegevens en inlichtingen te verzamelen, verifiëren en rapporteren over te rapporteren verkopers die relevante activiteiten verrichten via hun digitale platform”, aldus de Belastingdienst.

NRC legt uit: Hoe het werkt: het Inlichtingenbureau, een stichting, stuurt op verzoek van gemeenten (die de uitkeringen verstrekken) het BSN-nummer van een burger met een uitkering naar de Belastingdienst. Die kijkt vervolgens of er iets is veranderd in het inkomen of vermogen van die persoon en beantwoordt die vraag met ‘ja’ of ‘nee’. Die uitvraag – bijvoorbeeld naar nieuwe ‘overige inkomsten in box 1’ – wordt twaalf keer per jaar gedaan. Stichting Inlichtingenbureau is een “informatieknooppunt” opgericht door het Ministerie van Sociale Zaken en Werkgelegenheid opgericht, samen met de Vereniging van Nederlandse Gemeenten. De Belastingdienst kan zo centraal en eenvoudig gegevens opsturen, waarna het bureau deze verdeelt over de gemeenten.

Marktplaats en collega’s moeten gegevens delen over verkopers, behalve als ze “incidenteel” wat verkopen. Daar zit je al snel aan: De verkoopplatforms als Vinted, Marktplaats of Bol moeten volgens een Europese Richtlijn (DAC 7) persoonsgegevens van verkopers verzamelen, vastleggen en rapporteren. Hiervan zijn uitgezonderd verkopers van goederen die slechts incidenteel actief zijn op deze platforms. Van een incidentele (uitgesloten) verkoper is sprake als de verkoper in een kalenderjaar minder dan 30 transacties heeft verricht en hij niet meer dan € 2.000 met de in dat jaar verrichte transacties heeft verdiend (hierna: de drempel). Met 30 transacties à €70 zit je hier al aan. Ik ga vast te snel als ik dan een gemiddeld bedrag van €183 per transactie hanteer (“Dagelijks vinden er 150.000 transacties plaats, jaarlijks wordt er voor 10 miljard euro verhandeld.”) en me dan afvraag of die drempel niet te laag is.

In ieder geval, als je over die drempel gaat dan sturen de platforms je account- en betaalgegevens (zoals IBAN) naar de Belastingdienst. En dat gaat indirect dus weer naar de gemeente, die als jij een uitkering hebt dan van jou wil weten waarom jij geen fraude hebt gepleegd door deze bedragen te verzwijgen toen je ze verdiende. Heb jij daar geen antwoord op, dan staat je fraude dus vast en moet je je uitkering terugbetalen.

Dit is dus een andere kwestie dan of de Belastingdienst die gerapporteerde inkomsten ziet als inkomen uit onderneming. Dat is een complexere analyse, waarbij meer ruimte is voor discussie.

Arnoud

 

Het bericht Nu bedrijven als Marktplaats data delen met Belastingdienst, kunnen sommige gebruikers onterecht het label ‘potentiële fraudeur’ krijgen verscheen eerst op Ius Mentis.

Hoe online boodschappen doen soms misgaat: ‘Had 9 kilo appels’

6 maart 2024 - 8:15am
By Wonderlane licensed under CC BY 2.0

Je let even niet op en je hebt zomaar veel te veel producten besteld bij je online boodschappen. Herkenbaar? Die retorische vraag stelde RTL Nieuws onlangs. Dat bleek vaak met appels te maken te hebben: je wilt er 5 en je krijgt 5 kilo. Ik kreeg de link ook, want mensen willen weten wat of hier een juridisch haakje aan zit.

Het is vaak je eigen fout, zo wordt de situatie juridisch kortweg geduid. Weggeven dus, want bij fruit en andere bederfelijke waar (80% van wat de supermarkt verkoopt, zeg maar) is er geen recht van retour.

“Niet gezien hebben” dat ze per kilo in plaats van per stuk gaan, dat is het enige waar ik eventueel wat van zou kunnen maken. De wet eist namelijk (art. 6:230m) dat de winkelier op duidelijke en begrijpelijke wijze allerlei informatie verstrekt, waaronder de voornaamste kenmerken van de zaken of de diensten. Het aantal in de verpakking (of “per stuk/kilo”) lijkt me daar wel onder vallen.

De vraag is dan dus, was de vermelding zodanig dat een gemiddeld oplettende consument deze zou herkennen als “per kilo” in plaats van per stuk? Als dat zo is, dan ligt het inderdaad aan jou.

Ik kijk dan even bij de Albert Heijn, biologische appels: ik zie een verpakking met zeven appels, een prijs van €3,49 die ik wat duur zou vinden voor één appel en de tekst “Een kilo heerlijk zoete biologische appels”. Ook staat er in grijze lettertjes “1kg” onder de titel van het product. Hetzelfde beeld krijg ik bij de Jumbo: ook €3,49, en hier “1kg” zowel in de titel van het product als eronder in lichtgrijs. Geen vermelding van gewicht in de lopende tekst, maar dat lijkt me hier niet echt nodig.

De enige waarbij ik marginaal enige discussie zou kunnen voeren is de Ekoplaza: alleen de “600gram” vermelding onder de titel geeft het gewicht, verder heb je alleen de foto (4 stuks) en de prijs €2,99 om te vermoeden dat dit niet om één appel gaat. Maar dan blijft de foto bij mij een hele sterke: hoezo denk je dat je één appel krijgt als de foto je er vier toont?

Arnoud

Het bericht Hoe online boodschappen doen soms misgaat: ‘Had 9 kilo appels’ verscheen eerst op Ius Mentis.

Chinese rechtbank ziet AI-gegenereerde kunst als inbreuk op auteursrecht

5 maart 2024 - 8:12am

De Guangzhou Internet Court heeft recent geoordeeld dat de uitvoer van een AI inbreuk op auteursrecht kan zijn, las ik in de Global Times. De rechthebbende had ontdekt dat als je vroeg om plaatjes van zijn werk – Ultraman – je dan plaatjes kreeg die auteursrechtelijk gezien inbreukmakend waren. De AI-dienst is daarvoor aansprakelijk, zo bepaalde de rechter.

Helaas is de naam van de AI-plaatjesdienst niet te vinden, maar de eiser is de rechthebbende op de Japanse Ultraman franchise, en die had dus zelf ontdekt dat vragen om plaatjes van dat werk (zie plaatje, klik voor groter) je de ‘echte’ Ultraman kreeg.

Niet heel raar zou je zeggen: je vraagt om X en je krijgt X, dat voelt de bedoeling van een computersysteem. Maar specifiek als X onder iemands auteursrecht (of merk) valt, is dit een tikje problematisch. Auteursrechtelijk gezien mag je ook niet een illustrator vragen om zo’n afbeelding te maken, immers.

Uniek is het niet: in januari verscheen een artikel in de New York Times waarbij men ‘ontdekte’ dat als je vraagt om “popular movie screencap Joker” je een afbeelding van Batman-personage The Joker krijgt die erg sterk lijkt op de wijd en zijd gepubliceerde foto van Joaquin Phoenix in die rol. Maar dit is wel de eerste keer dat een rechtbank dit ook als inbreuk ziet.

De rechtbank in Guangzhou oordeelde d dat de afbeelding inbreukmakend was, omdat deze duidelijke overeenstemming had met het beschermde personage van Ultraman. Iets verrassender was de bevinding dat de aanbieder van de dienst hiervoor aansprakelijk was. (Er moet een slordige €1200 aan schadevergoeding worden betaald.)

Het lijkt erop dat de reden vooral was het niet adequaat waarschuwen en optreden tegen inbreuken: [T]he judgment specified that since users lack clear awareness of the potential copyright infringement risks to others, especially copyright owners, providers of generative AI services should remind users through service agreements. The court also ordered AI service providers to establish a complaint-reporting mechanism to assist rights holders in protecting their copyrights. Een dergelijke uitspraak zou ook naar Europees recht logisch kunnen zijn. Goed verdedigbaar is dat zo’n generatieve AI-dienst valt onder wat de Digital Services Act een “platformdienst” noemt, met bijbehorende bescherming voor aansprakelijkheid. Die moeten echter wel adequate notice&action mechanismes hebben om klachten te ontvangen en af te handelen, en de voorwaarden van de dienst moeten duidelijk en in detail gemotiveerd aangeven wat er wel en niet mag en welke sanctie er bij overtreding kan volgen.

Arnoud

Het bericht Chinese rechtbank ziet AI-gegenereerde kunst als inbreuk op auteursrecht verscheen eerst op Ius Mentis.

Basic-Fit zet camera’s in die gezondheidsproblemen en agressie detecteren

4 maart 2024 - 8:06am
edwardbrownca / Pixabay

Fitnessketen Basic-Fit zet AI-gestuurde ‘slimme camera’s’ en sensoren in om agressie, ongeautoriseerde toegang, gezondheidsproblemen, zoals flauwvallen, en andere incidenten te herkennen. Dat meldde Security.nl onlangs. Technologieleverancier Axis spreekt van een “revolutionaire oplossing”, ik spreek van een interessant AI Act-vraagstuk.

Het is moeilijk op de Axis-site een uitleg te geven die niet leest als een ChatGPT tekst, maar bij deze: Smart cameras that are used for their sensory-like functions and remote control mechanisms are deployed in each gym. The various Axis products work together with a specifically designed AI algorithm to quickly detect and address issues on site, while also enabling gyms to operate 24 hours a day. Gym members can therefore feel safe, even when there is no staff around. In case of need or an emergency, a specially designed remote control room can be contacted from the Basic-Fit location. From there health concerns, aggression, fraud, and even foot traffic is monitored. De kern is dus “slimme camera’s” die aan emotieherkenning doen, en op basis daarvan alarmpjes geven aan een menselijk toezichthouder. En dat gaf mij dan weer een alarmpje, want ‘emotieherkenning’ is zeg maar een dingetje onder de AI Act die binnenkort van kracht wordt.

Emotieherkenning is een van de controversieelste toepassingen van AI/ML. Het idee is dat je door analyse van uiterlijke kenmerken kunt vaststellen hoe iemand zich voelt – plus dat je dat kunt terugbrengen tot een serie labels zoals vreugde, woede, angst, walging, minachting, verdriet en verrassing. Voor geen van deze twee dingen is wetenschappelijke consensus, maar door het in een computer te stoppen en die “AI” te noemen creëert men een sfeer dat dit een opgelost probleem is. Dus als de AI zegt dat persoon A “woedend” is, dan gaat er een bewaker naar de locatie om persoon A de-escalerend aan te spreken en te verwijderen.

Mag het? Op dit moment wel. De AVG regelt het een en ander over cameratoezicht (zie het reglement), en bevat daarnaast regels over profileren en automatische besluitvorming. Maar wat hier gebeurt, is nog geen besluitvorming. De AI stuurt er een mens op af, waarna de mens op locatie het besluit neemt (“oh nee, hij was stoom aan het afblazen omdat hij leg day niet ziet zitten”). De analyse wordt verder niet aan je klantprofiel gekoppeld en er wordt verder ook niets mee gedaan. AVG-technisch lijkt dit dus wel in orde.

De AI Act kijkt er wat anders tegenaan. Het is niet verboden – het verbod op emotieherkenning geldt alleen bij gebruik op het werk of in het onderwijs. Bij vrij sporten zoals hier, is dat niet aan de orde (de trainers/werknemers worden hier niet mee gemonitord). Het is wel een hoog-risico AI (artikel 1(ab) van Annex III), dus het triggert een berg eisen zoals een risicomanagementsysteem, uitgebreide logging, adequaat menselijk toezicht en marktmonitoring op incidenten.

De AI Act is nog niet formeel aangenomen (verwachting: april) dus het is niet raar dat Axis nog niets zegt over hoe ze aan de wet voldoet. Daar hebben ze net als iedereen nog (slechts) twee jaar voor, want op dat moment moeten alle aspecten opgezet zijn. En dat is minder tijd dan je denkt.

Een bijkomstigheid: op de Axis-pagina zie ik diverse producten zoals een domecamera of een intercom. Ik weet zeker dat daar het bekende CE-logo op zit. Vanaf het moment dat de AI Act van kracht is, gaat dat logo óók betekenen dat het product aan die wet voldoet.

Arnoud

Het bericht Basic-Fit zet camera’s in die gezondheidsproblemen en agressie detecteren verscheen eerst op Ius Mentis.

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

1 maart 2024 - 8:15am

Een lezer vroeg me: Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing? Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud

Het bericht Kan ik een datalekkend bedrijf laten vervolgen wegens doxing? verscheen eerst op Ius Mentis.

Pagina's