Worden Europese bedrijven straks verplicht data aan de VS te geven?

Geplaatst op in Informatiemaatschappij, 23 reacties

De Supreme Court gaat uitspraak doen in de Microsoft-cloudzaak waarbij het Amerikaanse bedrijf door de rechter verplicht werd data van haar Europese dochter af te geven aan de FBI. Dat las ik (dank, tipgevers) bij Ars Technica. De zaak loopt al een tijdje en kan enorme gevolgen hebben voor de bruikbaarheid van de cloud voor Europese bedrijven. Want als het precedent wordt “ja dat moet je afgeven” dan wordt je data stallen bij zelfs een Europese dochter van een Amerikaans bedrijf een tikje ingewikkeld.

In 2014 bepaalde een rechter in de VS dat Microsoft Inc. (de Amerikaanse moeder) gehouden kon worden om gegevens van een klant van haar Ierse dochtermaatschappij af te geven als de FBI dat wilde. Kort gezegd was het argument daarvoor dat het geen argument is dat bewijsmiddelen in het buitenland liggen, je gaat ze maar halen. Maar die regel voelt niet echt gepast voor een clouddienst, zeker niet als je bedenkt dat Microsoft die dienst in Europa via een apart, Europees bedrijf levert.

Gelukkig werd in hoger beroep bepaald dat deze redenering van de FBI niet opging. De wet waar men zich op beroep (de Stored Communications Act) was niet bedoeld om de FBI ineens buitenlandse rechtsmacht te geven. En nu ligt de vraag dus bij het Supreme Court, dat erom bekend staat niet alleen juridische maar ook politieke visies mee te laten wegen in hun uitspraken. Het kán dus zomaar gebeuren dat men bepaalt dat het er wél staat, en dat een Europese dochter dus maar moet meewerken aan zo’n bevel.

Dat wordt dan nog knap ingewikkeld, want dat mág helemaal niet. In de AVG is hier namelijk een specifiek artikel over opgenomen, artikel 48:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Oftewel: wat een buitenlandse wet of rechtbank ook bepaalt, Europese bedrijven mogen alleen meewerken aan zo’n bepaling als dat in een verdrag tussen de EU en dat land is geregeld. De FBI zou dus een rechtshulpverzoek aan Nederland kunnen doen, waarna onze politie de data licht bij het datacentrum hier. Een opdracht van Microsoft Inc aan haar Nederlandse dochter “geef die data want wij moeten dit van de rechtbank afgeven” is dus keihard in strijd met Europees recht.

Arnoud

Groeiende ergernis over niet bijgewerkte apps op Smart TV’s

Geplaatst op in Ondernemingsvrijheid, 50 reacties

Uit een zaterdag gepresenteerde enquête van het tv-programma Kassa blijkt dat meerdere apps het niet meer doen op oudere Smart TVs. Dat meldde Emerce vorige week. Zo werkt bij zo’n 40 procent van de mensen de Youtube-app niet meer, terwijl die televisies pas enkele jaren oud zijn. Samsung meldt desgevraagd niet te gaan over apps die ophun televisieplatform werken. Maar hadden we niet zoiets als wettelijke garantie?

Volgens de wet moeten producten die aan consumenten worden verkocht, voldoen aan de daarbij gewekte (redelijke) verwachtingen. Van een televisie mag je bijvoorbeeld verwachten dat die anno 2017 een HDMI-ingang heeft, en dat de afstandsbediening niet meteen stuk gaat als hij een keer op de grond valt. Ook mag je verwachten dat het apparaat blijft werken gedurende de levenstijd.

Deze conformiteitsregel, ook wel wettelijke garantie genoemd, geldt ook voor standaardsoftware. Dat volgt uit het Beeldbrigade-arrest van de Hoge Raad: wie standaardsoftware verkrijgt tegen een eenmalige vergoeding, heeft deze gekocht in de zin van de wet. Ook al is software niet fysiek. Dat geldt dus ook voor apps, hoewel je kunt twisten over of het een verkoop is als er nul euro wordt betaald.

Het probleem is hier alleen niet zozeer dat de app een bug blijkt te bevatten (wat gratis hersteld moet worden door de winkel) maar dat de app niet meer goed kan communiceren met een derde zoals Youtube of RTL. Vrijwel altijd komt dat omdat die partijen hun API hebben aangepast, of extra regels stellen over wat er wel en niet mag worden opgevraagd. De ontwikkelaars van de app kunnen of willen daar niet altijd aan voldoen.

Is dat nu een schending van de conformiteitsregel? Ik twijfel daar heel erg over. Die app is niet veranderd en het is geen fóut in de app dat Youtube haar API aanpast, dus ik vind het moeilijk te accepteren dat je dan gratis een update moet kunnen verlangen. Ook omdat ik meen dat wat je bij Youtube afneemt een dienst is, en diensten mógen van tijd tot tijd de regels veranderen.

Tegelijkertijd hebben mensen die televisie vaak wel gekocht vanwege de aanwezigheid van die apps. Binnen het segment televisie is het immers een onderscheidend kenmerk, apps op je televisie en dan makkelijk en in televisiekwaliteit Youtube, RTL en wat heb je nog meer kunnen kijken. Vanuit dat perspectief kun je zeggen dat de verwachten niet worden nagekomen. Maar als je die lijn kiest: wat moet je dan, als de dienstaanbieder (zoals Youtube) gewoon zegt dat iets niet meer kan of niet ondersteund wordt zonder OS-upgrade bijvoorbeeld?

Arnoud

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

Geplaatst op in Ondernemingsvrijheid, Security, 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd.

Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper?

De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare “all-zero” encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Is een loot box een verboden kansspel?

Geplaatst op in Ondernemingsvrijheid, 33 reacties

In een online spel iets kopen waarvan je op voorhand niet weet wat er in zit, is dat een kansspel? Die las ik (dank, tipgever) bij Eurogamer. Een loot box heet dat in gamer jargon. Ze zijn de laatste jaren erg populair geworden. Sommige loot boxes geven je daadwerkelijk voordeel, anderen hooguit een cosmetische verbetering van je personage of gameplay. Er is de nodige controverse over, onder meer omdat ze best duur kunnen zijn en je dus fors geld uit kunt geven zonder wat te krijgen. Mag dat dan van de wet?

Volgens de Wet op de kansspelen is sprake van een kansspel wanneer

de aanwijzing der winnaars geschiedt door enige kansbepaling waarop de deelnemers in het algemeen geen overwegende invloed kunnen uitoefenen

Die definitie lijkt mij prima te passen bij zo’n loot box: je hebt nul informatie over de inhoud en nul mogelijkheid om te beïnvloeden wat voor inhoud je gaat krijgen. Het is een gok wat je gaat krijgen dus, en daarmee mag dit in principe alleen als daarvoor vergunning is verleend onder de Wet op de kansspelen.

Als tegenargument zou je kunnen zeggen dat je hier eerder een product koopt waarvan je niet exact weet wat je gaat krijgen. Ik moet nu denken aan mijn Panini-voetbalplaatjes, waar je ook op voorhand niet wist wat er precies in zou zitten. Ik had nooit het idee dat ik daardoor aan een kansspel meedeed. En je hebt natuurlijk ook nog een hoop webwinkels met verrassingspakketten, waarvan ik ook niet zou zeggen dat het kansspelen zijn.

Ik neig er dus naar om dit géén kansspel te noemen, in ieder geval niet als elke loot box je iets van waarde oplevert. Dan ben je nooit echt je geld kwijt maar is het hooguit meer of minder een verrassing wat je koopt. Dat zie ik nog wel als legitiem in een spel, waar immers ook op willekeurige momenten dingen kunnen gebeuren die het spel verrassend beïnvloeden.

Arnoud

Gegevensverwerking in Windows 10 via telemetrie is in strijd met wet

Geplaatst op in Privacy, 38 reacties

De Autoriteit Persoonsgegevens heeft op basis van een eigen onderzoek geconcludeerd dat Microsoft de wet overtreedt door de manier waarop het in Windows 10 gegevens verwerkt. Dat meldde Tweakers vorige week. Uit het onderzoek blijkt dat Microsoft allerlei gegevens van de gebruikers verzamelt, zoals de namen, wachtwoorden, geboortedata, het geslacht, telefoonnummers en e-mailadressen. Dit wordt onder het mom van “telemetrie” doorgestuurd naar Microsoft, maar onduidelijk blijft wat er dan precies mee gebeurt.

Het 241 pagina’s tellende onderzoeksrapport maakt duidelijk dat Microsoft bij gebruikers van Windows 10 voortdurend technische prestatie- en gebruiksgegevens verzamelt van elk apparaat waarop het is geïnstalleerd. Dat heet dan met een mooi neutraal woord “telemetriegegevens”, maar het zijn natuurlijk persoonsgegevens – ze onthullen informatie over de gebruiker, zoals welke apps hij gebruikt of websurfgedrag. Dat is eigenlijk nauwelijks te verantwoorden zonder duidelijke informatie en apart verkregen toestemming.

In de eerste versies van Windows 10 was allesbehalve duidelijk wat er nu precies werd verzameld en voor welk doel. De zogeheten Creators Update veranderde een en ander. Microsoft verduidelijkte dat de telemetriegegevens voor vijf doeleinden gebruikt konden worden:

  1. Fouten oplossen
  2. Apparaten up-to-date en veilig houden
  3. Het verbeteren van Microsoft producten en diensten.
  4. Het tonen van gepersonaliseerde reclame in Windows en Edge, inclusief reclame voor alle apps uit de Windows store
  5. Het tonen van gepersonaliseerde reclame in apps

Die laatste twee waren uit te schakelen, en voor die eerste twee valt wel te verdedigen dat dat misschien wel nodig is in de relatie leverancier-gebruiker. Alleen, bij het onderzoek bleek dat ontwikkelaars nieuwe toepassingen van de data konden implementeren zonder dat daar apart opnieuw melding van (laat staan toestemming voor) gevraagd werd. Een algemene opt-out was er wel, maar dat is niet genoeg (zeker niet omdat ie niet alles outte).

En dat kan gewoon niet, onder de Wbp niet en onder de AVG niet:

Door de combinatie van doeleinden waarvoor de verzamelde gegevens kunnen worden verwerkt en het gebrek aan transparantie, kàn Microsoft geen grondslag verkrijgen voor de gegevensverwerking, zoals toestemming of noodzaak voor de behartiging van haar gerechtvaardigd belang. Daarom kan ook geen sprake zijn van een gerechtvaardigd doeleinde voor de gegevensverwerking bij volledige telemetrie. Daarnaast geldt dat de eerste vier doeleinden zeer algemeen zijn geformuleerd, en daarmee niet voldoen aan het vereiste uit artikel 7 van de Wbp dat doeleinden welbepaald moeten zijn, en uitdrukkelijk omschreven.

Een belangrijk punt waarop Microsoft onderuit gaat, is de informatievoorziening. Nergens is in detail te lezen wat men nu precies verzamelt, laat staan wat daarmee gebeurt. Zelfs systeembeheerders kunnen niet zien wat er allemaal naar Microsoft gaat.

De typische ICT praktijk om in privacyverklaringen “Wij mogen alles doen onder het kader van verbetering van de gebruikservaring” op te nemen en dan te zeggen “dan moet je maar Linux gebruiken” als mensen het niet snappen, is dus eenvoudigweg niet toegestaan onder privacywetgeving. Je moet specifiek en gericht zeggen wat je gaat doen, en als je andere dingen wilt gaan doen dan moet je daar apart op terugkomen. Dat gaat nog een uitdaging worden volgend jaar.

Arnoud

Mag je in een Tesla met autopilot een telefoon in je hand houden?

Geplaatst op in Regulering, 26 reacties

Een tipgever (dank!) wees me op deze tweet van Vincent Evers:

Reed met @Tesla autopilot en politie hield me aan. Flinke boete. Rechter hoe lang blijft deze regel?

De staandehouding bleek echter niet te zijn geweest vanwege het loslaten van het stuur (wat op een snelweg in principe redelijk risicoloos kan als je de Autopilot van Tesla aan hebt), maar vanwege het feit dat hij als bestuurder van een motorvoertuig een telefoon in de hand hield. Iets dat apart in de wet verboden is, los van of het gevaar geeft of niet.

Ik ben er nog niet uit of het inschakelen van de Autopilot-feature van een Tesla en dan het stuur loslaten nu verboden is. Er is immers geen expliciete regel om te allen tijde je handen aan het stuur te hebben. In de praktijk kom je dan al snel uit bij het kapstokartikel 5 van de Wegenverkeerswet: gevaar of potentieel gevaar (het verschil blijft me ontgaan) veroorzaken op de openbare weg.

Het argument zou dan zijn dat als je het stuur loslaat, je bij een plotseling veranderde situatie niet op tijd het stuur terug kunt pakken om uit te wijken. Zeker als je ondertussen wat anders aan het doen was, nog los van of dat een telefoon vasthouden betrof of een roman lezen. In al die situaties ben je niet in staat om snel genoeg weer de aandacht terug te krijgen om het voertuig veilig verder te laten rijden.

Een gang naar de rechter lijkt me absoluut kansloos. De wet is duidelijk, en hoewel een rechter best een eindje deze op mag rekken wanneer een harde handhaving onredelijk is, is hier gewoon keihard een specifieke regel tegen. Ook nog eens vanuit een veiligheidsbelang (je aandacht op de weg houden) en dat overtreed je ook wanneer je een stuurondersteuning aan hebt staan. Ik zie dus geen reden waarom een rechter hier van de wet af zou kunnen wijken.

Arnoud

Van wie is de Facebookpagina van een bekende Nederlander?

Geplaatst op in Ondernemingsvrijheid, 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar het is wel een lastige vraag: van wie ís de Facebookpagina van een bekend persoon?

Data bestaat juridisch niet, roep ik altijd. En dat geldt ook voor Facebook: een Facebookprofiel met updates, foto’s en dergelijke bestaat juridisch niet als zelfstandig ding. Je kunt er dus geen eigenaar van zijn in de zin van de wet; het is niet meer dan een artefact van een dienst geleverd door Facebook Inc. Juridisch stelt het minder voor dan een bioscoopkaartje of kassabon. Dus wat dat betreft zou de vraag zinloos zijn.

Maar specifiek in de werkgever/werknemer relatie is er nog wel een haakje. Die dienst is geleverd onder een contract tussen Facebook Inc en meneer Beelen. Als hij dat contract als werknemer sloot, dan staat het op naam van zijn ex-werkgever de BNNVARA. Wanneer je dan als werknemer daar niet meer werkt, ben je dus niet meer bevoegd om onder het contract handelingen te verrichten, wat een dure manier is om te zeggen dat je dan die pagina niet meer mag updaten.

Wanneer ga je nu een contract aan als werknemer? Een expliciete opdracht is daarvoor niet nodig. Als uit de omstandigheden duidelijk is dat jij én de werkgever dit bedoelde als zakelijke actie, dan is het een contract op naam van de werkgever. Er is dus geen hard criterium, en ook “onder werktijd beheerd” is niet genoeg. Als ik onder werktijd als DJ een roman schrijf, dan is die echt van mij want dat heeft niets met het werk te maken. (Ik kan wel worden berispt voor niet werken onder werktijd.)

Dat je op je eigen naam gebruikt, zou normaal voor mij een belangrijke factor in het voordeel van de werknemer zijn. Ook dat het hier Facebook is en niet een meer zakelijk netwerk zoals Linkedin, zie ik als factor pro werknemer. Maar het is hier iets ingewikkelder, omdat je als Bekende Nederlander juist zákelijk op Facebook moet zijn (daar zitten je fans) en je daarbij ook onder je persoonsnaam naar buiten treedt. Anders gezegd: het onderscheid tussen Giel Beelen privé en Giel Beelen, werknemer BNNVARA, is eigenlijk niet goed te maken.

Er blijft dan weinig anders over dan op de pagina zelf te kijken. En daar zie ik van alles over de zakelijke activiteiten van de DJ, aansluitend bij dingen die op de radio gebeuren. Ik zie zo gauw geen echte privézaken zoals ik die bij een particuliere Facebook zou verwachten. Daardoor krijg ik het gevoel dat de pagina bedoeld is als deel van het werk, en daarmee is goed verdedigbaar dat BNNVARA deze als bedrijfspagina ziet.

Het is natuurlijk nogal vervelend voor Beelen die zo het contact met zijn fans verliest, maar juridisch zie ik geen argumenten om de pagina zelf te mogen houden. Jullie wel?

Arnoud

Mag je stiekem de algemene ledenvergadering filmen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Bij de afgelopen algemene ledenvergadering van onze vereniging bleek iemand stiekem beeld- en geluidsopnamen te hebben gemaakt. Toen hij daarop aangesproken werd, verdedigde hij zich met het argument dat hij bewijs wilde verzamelen van wat er werd gezegd, omdat hij de notulen niet vertrouwde. Staat hij in zijn recht?

In principe heb je inderdaad het recht om zelfstandig bewijs te vergaren van wat er op een vergadering wordt gezegd. De klassieke manier was je eigen aantekeningen van het gesprek te maken, maar daarmee sta je natuurlijk niet heel sterk als de officiële notulen iets anders zeggen. Geluidsopnamen zijn sterker, en helemaal als je er beeld bij hebt.

Het opnemen van beeld en geluid in een vergadering is juridisch echter problematisch. Een ALV is meestal een besloten gebeurtenis, en de wet is vrij streng in stiekem maken van opnames in zo’n situatie. Het stiekem maken van afbeeldingen van mensen is bijvoorbeeld strafbaar (art. 139f Strafrecht), net als het stiekem afluisteren van gesprekken (art. 139a Strafrecht), hoewel bij dat laatste je niet strafbaar bent als deelnemer. Kort en goed: de camera moet worden gemeld maar de microfoon mag stiekem aan.

Wel zal zo’n opname vallen onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming. Beeld en geluid maken waarop mensen herkenbaar te zien/horen zijn, vormt een verwerking van persoonsgegevens. En omdat die meer is dan een zuiver huishoudelijke vastlegging, moet je je daarbij gewoon aan de regels uit de wet houden. (Ja, ook als je zegt dat dit een journalistieke verwerking is.)

Toestemming is niet perse nodig, maar als je zonder toestemming deze opnames maakt dan moet je wel een duidelijke rechtvaardiging hebben én doen wat je kunt om de privacyimpact bij andere mensen te minimaliseren. Publiceren van die beelden zal dus in principe niet kunnen, maar stukjes als bewijs overleggen bij een geschil kan denk ik wel. Daarnaast moet je de beelden natuurlijk veilig opslaan tegen datalekken, en moet je mensen informeren over wat je doet met de beelden.

Alles bij elkaar denk ik dat het nog knap lastig wordt om dit goed te doen als individueel lid. Misschien is het dan ook beter om de ALV te verzoeken standaard geluidsopnames te maken die de secretaris goed bewaart, zodat bij geschillen dingen teruggeluisterd kunnen worden?

Arnoud

Betekent legal tech het einde van de advocatuur?

Geplaatst op in Innovatie, 9 reacties

Wat is het verschil tussen legal tech en automatisering? Legal tech wordt je opgedrongen van buitenaf, automatisering kies je zelf voor. Die definitie kreeg ik vorige week (dank!). Het laat namelijk zien waar een stevig pijnpunt zit voor de juridische sector: het lijkt er vaak op dat je weinig keuze hebt, je moet mee in de vaart der volkeren en overstappen op nieuwe tools, je laten bijstaan door wizards en voor je het weet staat er een AI robot tegenover je te pleiten.

Dat beeld van die pleitende robot is een hardnekkige. Het is natuurlijk een algemene zorg, dat robots banen gaan inpikken. En een belofte (dreigement?) van legal tech is natuurlijk ook dat juridische werkzaamheden door robots en AIs overgenomen gaan worden. Maar hier wreekt zich een ander verschil tussen legal tech en automatisering.

Automatisering – in ieder geval in de juridische sector – is in principe niets meer of minder dan het automatisch doen van wat voorheen met de hand werd gedaan. Niet meer met pen je pleidooi schrijven maar typen, of met de tekstverwerker. Een sjabloon invullen in Wordperfect in plaats van handmatig de lege plekken zoeken. Een brief faxen in plaats van per post versturen. Op trefwoorden zoeken in een elektronische database in plaats van te bladeren in gelabelde bakken. Dat werk.

Legal tech is anders, het is gericht op echt iets nieuws. Transformeren van de manier van werken in de juridische sector. De inhoud van het werk wordt anders. En daarbij zijn AI en robots belangrijke trefwoorden, want daarmee is het mogelijk het werk inhoudelijk anders aan te pakken. Maar dat betekent niet dat AIs ineens gaan pleiten of onderhandelen zoals wij mensen dat doen.

Ik moet dan altijd denken aan de woorden van computerwetenschapper Edsger Dijkstra: The question of whether Machines Can Think… is about as relevant as the question of whether Submarines Can Swim. Machines werken fundamenteel anders. Ze kunnen teksten analyseren, data minen en correlaties aanwijzen. Die kunnen relevant zijn om beslissingen te nemen, maar het proces dat je dan volgt is onvergelijkbaar met de traditionele werkwijze. Een AI zou bijvoorbeeld bij een zaak vergelijkbare precedenten kunnen zoeken en concluderen dat in 90% van de gevallen de zaak verloren is, maar drijft dan puur op statistische vergelijkbaarheid. Een mens kan andere factoren zien, zoals hoe gevoelig het onderwerp tegenwoordig ligt, de verhouding van partijen en ga zo maar door.

De transformatie zit hem er dus niet in dat een AI of robot gaat doen wat een mens deed. Het is een stapje terug, een andere manier van werken om tot het gewenste resultaat te komen. Een voorbeeld uit de sector is de rechtsbijstandsverzekeraar. Die pakt zaken niet perse aan zoals een advocaat: we hebben een recht, ik ga het halen. Een verzekeraar zal rustig uit eigen zak de klant betalen waar die recht op heeft, als dat netto goedkoper is dan een procedure voeren. (Uiteraard komt dat via de premies weer terug, maar dat terzijde.) Dat is een wezenlijk andere manier van een zaak bekijken.

Ik denk dus dat dit soort ontwikkelingen niet het einde zullen betekenen van de traditionele juridische dienstverlening. Onderdelen zullen veranderen, worden overgenomen door legal tech diensten. Dat verschuift het accent voor de advocaat en andere dienstverlenende mensen.

Arnoud

Mag je de muziek hacken bij je ex-werkgever?

Geplaatst op in Security, 7 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus, mag je de muziek hacken bij je ex-werkgever?

De suggestie dat Beelen op afstand ingebroken zou hebben bij zijn ex-werkgever lijkt me wat vergezocht. Logischer lijkt me dat hij gewoon het muziekbestand van een bekend nummer aangepast had om daar na enige seconden intro een eigen boodschap (“Hee, hallo, Giel hier”, en een promo voor zijn nieuwe programma bij de concurrent) te laten horen. Dat aangepaste bestand zet je dan over het origineel heen, en dan is het wachten tot je opvolger het aanklikt. Meer een logisch bommetje dan een computerinbraak.

Het zou natuurlijk strafbaar zijn om in te loggen en op afstand bestanden aan te passen. Je bent immers na einde dienstverband niet meer bevoegd om in te loggen, laat staan om gegevens te wijzigen. Dat je account nog werkt, doet er daarbij niet meer toe.

Als DJ-werknemer ben je natuurlijk wél bevoegd om met die bestanden te werken. Draaien van muziek (en het grappig bewerken daarvan) behoort tot je werk immers. Maar hier wordt dan toch wel een grens overschreden: de aanpassing straalt negatief af op de werkgever, die wordt nu voor gek gezet omdat het lijkt of ze zelf een boodschap spelen om naar de concurrent te gaan.

Strafbaar is dat niet, wel overtreedt het de algemene norm van goed werknemerschap, zeg maar je zorgplicht als personeel. De NOS kan als ex-werkgever hem hierop aanspreken, in theorie zelfs een schadeclaim indienen. Al zal het onderbouwen van de schade nog knap ingewikkeld zijn.

Arnoud