Microsoft moet stoppen met volgen van scholier via trackingcookies, ook bij ons?

Geplaatst op in Privacy, Uitingsvrijheid, 4 reacties
Photo by Ali Dashti on Pexels

Een lezer vroeg me:

Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen over het gebruik van trackingcookies in Microsoft 365 Education. De toezichthouder stelde dat Microsoft niet over de vereiste wettelijke grondslag beschikt om door middel van trackingcookies de gegevens van de scholier te verwerken en moet het hiermee binnen vier weken stoppen. Als ik me hier in Nederland op beroep, moet mijn onderwijsinstelling dan ook stoppen met mij tracken? Deze software zit vaak vol met verplichte trackers en rommel.
Deze scholier, bijgestaan door het bekende noyb van Max Schrems, heeft inderdaad bij de Oostenrijkse Autoriteit Persoonsgegevens een uitspraak afgedwongen dat Microsoft deze minderjarige niet mag volgen. De grondslag daarvoor was niet zozeer de AVG, als wel de cookiewet (ePrivacy richtlijn) die veel strenger is en eigenlijk altijd toestemming eist, tenzij de cookies strikt noodzakelijk zijn voor de gevraagde dienst.

Tracking is in dat verband nooit noodzakelijk, want als je dat uitzet dan werkt je dienst nog steeds. Noodzaak wordt bekeken vanuit het perspectief van de gebruiker, niet van de dienstverlener. Dus “zonder tracking leren we niets en kunnen we als bedrijf niet verbeteren” is geen argument. En natuurlijk moet de noodzaak onderbouwd zijn, enkel roepen dat iemand dit wil vanwege een prettiger gebruikservaring is verre van voldoende.

Toestemming was niet gevraagd, kennelijk omdat men zich wilde beroepen op het eigen gerechtvaardigd belang. Het ging alleen om first party cookies en beperkte tracking binnen de eigen software. Dus dat beroep zie ik wel. Maar dat mag niet, want cookies kunnen alléén met toestemming geplaatst als ze niet technisch nodig zijn.

In Nederland is er iets bijzonders aan de hand: onze cookiewet bevat een nationale ‘kop’ die toestemmingsloze tracking toestaat “om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”, zeg maar first-party tracking.

Vereist daarbij is dat “dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker”. Dat is in feite een wettelijk vastgelegde regeling van gerechtvaardigd belang.

Deze zaak zou in Nederland dus waarschijnlijk anders uitpakken bij dezelfde soort first-party tracking cookies zonder wezenlijke privacy-impact. Toestemming is niet nodig, want het gebruik is toegestaan binnen dat scherpe kader. Uiteraard moet de onderwijsinstelling wel kunnen onderbouwen dát de privacy niet of slechts gering wordt geraakt.

(Zelf heb ik altijd enige twijfels gehad bij of Nederland dit wel mág, die scherpe regel uit de Europese ePrivacy richtlijn zo afzwakken. Daar is nooit over geprocedeerd, en dat zal ook niet snel gebeuren.)

Arnoud

Mogen al die Odido-datalekcheckers wel opereren van de AVG?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 25 reacties
Photo by Egor Komarov on Unsplash

Een lezer vroeg me:

Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via een soort van lek-check laten zien wat er gestolen is en dit op naam, adres, email, iban etc zoekbaar aanbieden. Indirect verwerken en verspreiden zij zo opnieuw de gestolen data. Hebben zij daar een grondslag voor?
Om bij het begin te beginnen: het is strafbaar (art. 139g Sr) om gegevens te verwerven of voorhanden te hebben waarvan je redelijkerwijs kunt vermoeden dat ze uit misdrijf zijn verkregen. De Odido-datadump voldoet aan die omschrijving.

Vereist bij dit strafwetartikel is dat de gegevens “niet-openbaar” zijn, en daar kunnen we ondertussen over twisten. De gegevens zijn niet alleen te vinden via een specifieke .onion link of een in Nederland onbekende site, maar ook via vrij makkelijke kanalen, al moet je nog even nadenken over de Google-zoekopdracht. De wetgever was niet duidelijk over het criterium voor “niet-openbaar”.

Verder geldt een uitzondering voor een openbaarmaking die het algemeen belang dient, en daar beroepen alle datalek-checkers zich natuurlijk op. Dat is belangrijk, want zonder algemeen belang is het een strafbaar feit om de data te ontsluiten en daarmee verbiedt ook de AVG de verwerking (artikel 5 lid 1 onder a, geen rechtmatig doel).

Wat is dat algemeen belang? Naar zijn aard is dat vrij generiek. Het heeft maatschappelijk nut, de mensen vragen erom, er is behoefte in brede zin. Gezien de zeer beperkte communicatie vanuit Odido snap ik goed dat mensen concreet willen weten wat er gelekt is, en een checker komt aan die behoefte tegemoet. Dat is wel algemeen belang.

Daar staat tegenover dat er al diverse aanbieders zijn, waaronder het bekende en vertrouwde Have I Been Pwned. Ook onze politie heeft een kopie, dus je kunt (in theorie) een inzageverzoek onder de Wet politiegegevens bij ze doen. Formeel weegt “anderen doen het ook” niet mee bij een algemeen-belang afweging, want je zegt bij nieuws ook niet dat de nieuwswaarde vervallen is als drie kranten het al gebracht hebben. Maar ik vermoed dat dit hier zeker een discussie gaat zijn mocht dit bij de (straf)rechter komen.

Aangenomen dat de checker in het algemeen belang handelt, kom je bij de vraag welke grondslag. Er zijn er twee die relevant lijken:

  1. vitale belangen van de betrokkene
  2. gerechtvaardigd belang van de aanbieder of een derde
Punt 1 klinkt relevant, maar “vitaal belang” wordt zo beperkt uitgelegd dat je er niet aan komt tenzij het echt om leven en dood gaat. (En dan nog zijn er genoeg mitsen en maren.)

Gerechtvaardigd belang dus. Dit belang is dan gelijk aan het algemeen belang dat de aanbieder van de dienst nastreeft (en dus niet het belang van de betrokkene, want die is niet een ‘derde’ volgens dit artikel). Daar moet deze dan een belangenafweging bij doen: is voldoende rekening gehouden met de privacy van de betrokkenen die allemaal in die dataset zitten, had dit met minder ingrijpende middelen gekund en is het allemaal netjes ingericht?

Een eerste checkvraag voor mij is altijd hoe men de AVG-rechten van betrokkenen respecteert. Kun je zonder gedoe verlangen dat je uit de checker wordt gehaald? Ik heb vele van deze diensten gezien en zelden zit dat er netjes in.

Tweede vraag is hoe de dienst beveiligd is. Het is natuurlijk niet de bedoeling dat bezoekers de dataset kunnen downloaden of leegtrekken met systematische zoekopdrachten.

Derde is hoe en of je de data met derden deelt, zoals je websitebouwer of de plek waar je de eigenlijke dataset hebt neergezet. Ik weet van diverse partijen die de dienst door AI laten schrijven. Dat is nogal spannend, want dan geef je dus die data zonder voorbehoud aan een Amerikaanse partij die er alles mee mag doen. Dat ligt onder de AVG op zijn zachtst gezegd nogal gevoelig. Los daarvan is de kans groot dat je code niet zo veilig is als je zou hopen.

Een juridisch detail is nog of de AP zou mogen optreden tegen zo’n site. Vanwege het beroep op het algemeen belang is hier denk ik de uitzondering voor journalistieke doeleinden van toepassing (artikel 43 lid 1 Uitvoeringswet AVG). De AP is niet bevoegd op te treden tegen gebruik van persoonsgegevens in de media.

Arnoud

Ik heb een iPhone opgeknapt en nu wil de oude eigenaar hem terug!

Geplaatst op in Internetrecht, 18 reacties

Via Reddit, vertaald:

Ik koop oude kapotte telefoons via eBay, repareer ze en verkoop ze door. Recent lukte het mij een volledig geruïneerde iPhone weer aan de gang te krijgen, waarna bleek dat deze nog op iemands iCloud ingelogd was. Ik kon deze daardoor niet activeren, dus ik heb hem gemaild of hij de telefoon wilde kopen dan wel unlocken. Zijn reactie: het is mijn telefoon, geef terug.  Ben ik dat juridisch verplicht?
Verder lezend blijkt de vraagsteller de telefoon gekocht te hebben van een reparatiebedrijf dat er kennelijk geen heil meer in zag. En die kreeg het weer van een recyclingbedrijf dat de telefoon in een donatiebox aantrof.

Na herstel blijkt de telefoon nog verbonden met iemands iCloud account. Dat is geen kwestie van even een factory reset, want Apple heeft dat dichtgetimmerd zoals alleen Apple dingen dichttimmeren kan:

Activation Lock turns on automatically when you set up Find My.* After it’s turned on, Apple securely stores your Apple Account on its activation servers and links it to your device. Your Apple Account password or device passcode is required before anyone can turn off Find My, erase your device, or reactivate and use your device.
Medewerking van de oorspronkelijke eigenaar is dus een vereiste om nog iets met deze telefoon te kunnen doen.

Merkwaardig hier is dat de telefoon dus niet als verloren of gestolen is gemeld. Dat zou een andersoortige melding opleveren (“Lost Mode”). Mijn vermoeden is dan ook dat de eigenaar de telefoon heeft weggegooid toen die stuk bleek, en nu blij verrast werd toen de vraagsteller deze weer tot leven bleek te hebben gewekt.

In die situatie heeft de vraagsteller geheel legaal gehandeld. De eigenaar deed afstand door de telefoon in de recycledoos te stoppen, de telefoon is legaal doorverkocht/weggegeven en via eBay legaal verkocht aan de vraagsteller.

De enige grote frustratie is dat er alleen geen rechtsplicht is voor die oude eigenaar om nu de passcode te geven of de telefoon te unlocken. Bij een verkoop wel (art. 7:15 BW), omdat de verkoper de telefoon dan “vrij van bijzondere lasten” moet geven. Dus hier kom je alleen uit door te onderhandelen met de oude eigenaar.

Arnoud

 

Nepwebshops sneller offline door samenwerking tussen politie en Thuiswinkel.org

Geplaatst op in Ondernemingsvrijheid, Regulering, 13 reacties

Malafide webshops kunnen voortaan aanzienlijk sneller uit de lucht worden gehaald dankzij een nieuwe samenwerking tussen de politie en brancheorganisatie Thuiswinkel.org. Dat meldde ICT/Magazine onlangs. Dit is net even wat anders dan het begrip ’trusted flagger’ uit de DSA, maar het concept is hetzelfde.

Malafide webshops zijn een enorme plaag, en brancheorganisatie Thuiswinkel.org krijgt daar jaarlijks honderden klachten over. Vaak gaat het om eenvoudig te spotten kwesties, zoals een copycat van een echte webshop of misbruik van erkenningen zoals het Thuiswinkel-logo om consumenten te misleiden.

In het oude proces kon Thuiswinkel dan aangifte doen, maar dan moest de politie dat opnieuw onderzoeken en dat kost tijd en capaciteit die er niet is. (Meelezende politici: als je nou elke keer bij “ik moet een nieuwe wet maken” bedenkt “nee, de toezichthouder hiervoor moet meer budget” dan lossen we héél veel problemen sneller op.)

Thuiswinkel.org is door het Landelijk meldpunt internetoplichting van de politie aangewezen als trusted flagger. Daarmee wordt zij in de kern altijd geloofd als ze stelt dat een webshop strafbaar bezig is:

Door de samenwerking tussen Thuiswinkel.org, het LMIO en SIDN ontstaat een korter en effectiever keten, waarin sneller kan worden ingegrepen tegen online fraude. Wanneer het LMIO vaststelt dat sprake is van oplichting, volgt SIDN, de beheerder van het .nl-domein, een speciale procedure om de webwinkels gezamenlijk met het LMIO zo snel mogelijk offline te halen. Elk uur dat een malafide webshop langer online blijft, vergroot immers het aantal slachtoffers.
De term lijkt hier informeel te worden gebruikt, ik kan althans geen wettelijke regeling vinden (tussen politie en SIDN bestaat een convenant). In de Digital Services Act (DSA) staat dit concept wel gedefinieerd (artikel 22):
Aanbieders van onlineplatforms nemen de nodige technische en organisatorische maatregelen om te verzekeren dat meldingen die zijn gedaan door betrouwbare flaggers die binnen hun aangewezen expertiseterrein werken via de in artikel 16 genoemde mechanismen prioritair en onverwijld worden verwerkt en afgehandeld.
Oftewel: meldingen van deze partijen moeten met voorrang en onder aanname van juistheid worden opgepakt. Je moet dan wel specifieke expertise en bevoegdheid hebben, en daarna wordt je door de toezichthouder (de ACM) aangewezen. Eind 2025 gebeurde dat bijvoorbeeld voor stichting Brein en Meld Online Discriminatie. Dit betreft echter dus flaggers die bij grote platforms (zoals Facebook) meldingen doen, niet bij de politie of SIDN.

Arnoud

 

 

Mijn ebook heeft geen paginanummers zoals de papieren editie, heb ik recht op mijn geld terug?

Geplaatst op in Ondernemingsvrijheid, 17 reacties
Photo by Spencer on Unsplash

Via Reddit:

Afgelopen zomer heb ik een ebook gekocht voor school bij een grote webshop. Nu moet ik dit ebook gebruiken om me voor te bereiden op lessen, en de docenten geven dan paginanummers die ik moet lezen (dus niet hoofdstukken). Het probleem is dat die paginanummers niet overeen komen met het fysieke boek (zelfde boek en druk). Ook worden de pagina’s op onlogische plekken opgesplitst wat niet fijn leest. … Heb ik hier recht op geld terug, of had ik zoals de verkoper aangeeft het probleem eerder moeten melden?
Die laatste bijzin gaat over het punt dat de verkoper een annulering van de koop weigert, omdat deze meer dan 30 dagen geleden is gedaan. Dat is een eigen uitbreiding op de wettelijke retourregels voor ebooks.

Hier gaat het echter niet om een retour zonder reden, maar om een klacht dat het product niet conform de verwachtingen zou zijn. Bij een boek verwacht je pagina’s met tekst, en ik zie hoe het een verrassing kan zijn dat een ebook bij pagina 23 niet hetzelfde laat zien als de papieren editie.

De al wat oudere lezer denkt bij ebooks wellicht aan pdf-achtige structuren (zoals je krijgt bij mijn boeken), die inderdaad 1-op-1 overeenkomen met de drukversie. Dat is immers gewoon de drukversie in lage resolutie.

Voor echt prettig online lezen worden vaker formaten zoals Epub en Mobi gebruikt. Deze bieden de content als een soort stroom aan, waarbij pagina’s meer zijn “het volgende stukje content dat past op het scherm, gegeven het gekozen lettertype en -grootte”. Maar inderdaad kun je dan niet makkelijk pagina 23 tot en met 48 bestuderen, die koppeling ontbreekt.

Bij ebooks heb je recht op een product (“digitale inhoud”) dat voldoet aan de gewekte verwachtingen (art. 7:50ad BW), net zoals bij fysieke producten. Artikel 7:50ae noemt een aantal aspecten zoals beschrijving, hoeveelheid en kwaliteit, functionaliteit, compatibiliteit en interoperabiliteit. Dat gaat over het ebook an sich, niet over hoe het zich verhoudt tot papieren boeken.

Uitleg hierover is moeilijk te vinden. Bij de grote blauwe vrienden van Bol staat dit bekende zelfhulpboek bijvoorbeeld zowel als paperback, ebook als Kobo ebook te koop. Maar ook bij enig rondspitten bij de klantenservice kan ik niet vinden dat een ebook wel eens andere pagina-structuren zal hebben dan het papieren boek. Is dat dan als algemeen bekend verondersteld, of gewoon niet relevant?

Voor mij weegt hier wel zwaar dat het om een studieboek gaat. Bij een roman is “aantal pagina’s” totaal niet relevant, zeker niet in de vergelijking tussen de hardcover en de paperback. Natuurlijk zal dat afwijken.

Bij een lesboek zie ik dit eerder als problematisch, juist omdat je daar niet lineair leest maar eerder bladert, heen en weer springt of op instructie naar een pagina gaat voor een stukje informatie. Denk alleen al aan de index achterin. Ik ben dus geneigd dit hier inderdaad een conformiteitsprobleem te noemen.

Arnoud

 

dat voldoet

 

Mag ik op het Dark Web kijken of mijn buurman getroffen is door het Odido-datalek?

Geplaatst op in Security, Uitingsvrijheid, 23 reacties
geralt / Pixabay

Een lezer vroeg me:

Mijn buurman (op leeftijd) is al jaren klant bij Odido en maakt zich grote zorgen dat zijn gegevens buitgemaakt zijn bij die recente hack. Ik zou hem duidelijkheid kunnen geven door even op die Onion-site te kijken waar dat eerste lek is gepubliceerd. Maar ben ik dan strafbaar?
TLDR: ja, je bent strafbaar als je die dataset gaat downloaden. Ook als je daarvoor niet zelf hoefde in te breken bij Odido, en ook als je “alleen maar” op het Dark Web (de juristenterm voor wat je niet met Google vindt) hoeft te wezxen.

Het iets langere antwoord. Naast computervredebreuk is apart strafbaar wat wel “gegevensdiefstal” heet. Dit staat in artikel 138c Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die opzettelijk en wederrechtelijk niet-openbare gegevens die zijn opgeslagen door middel van een geautomatiseerd werk, voor zichzelf of voor een ander overneemt of doorgeeft.
Dit is primair bedoelt voor wie het uit een (rechtmatige) bron kopieert. Betrok je het uit een onrechtmatige bron, dan komen we eerder bij heling van gegevens, artikel 139g:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens (…) verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
In beide gevallen is nodig dat de gegevens “niet-openbaar” zijn. Maar wat is “niet-openbaar”? Ze staan immers vrijelijk toegankelijk op internet, zij het dat je even moet weten wat het Onion Router-project is en je een tijdje moet snuffelen voor je het 56 tekens tellende .onion adres te pakken hebt.

Uit de Memorie van Toelichting haal ik alleen het contrast tussen “je kreeg het van één persoon via een besloten kanaal” en “algemeen toegankelijk via internet”. In een zaak uit 2024 werd het overnemen van films (ook gegevens) van een obscure site van een ander als “openbaar toegankelijk” genoemd.

Het onderscheid tussen het “Surface web”, “Deep web” en “Dark web” wordt bij juristen regelmatig gemaakt. De achterliggende gedachte is dat iets dat gewoon direct via zoekmachines te vinden is, evident telt als openbaar. Harder moeten zoeken of spitten in data (deep web) is dan een grijs gebied, en -in ieder geval in mijn stellige overtuiging – het Dark Web is dan niet meer openbaar.

Dit past ook bij de achterliggende bedoeling van de wet: mensen kunnen tegenhouden die dingen verspreiden die door misdrijf zijn verkregen. Dat wordt pas ondoenlijk en onwenselijk als “iedereen” bij die gegevens kan. Daar zijn we nu nog niet, en in het belang van de slachtoffers moet dat zo blijven.

Artikel 139g kent een uitzondering voor “degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang” die handeling eiste. Ik zie wel hoe “de buurman maakt zich grote zorgen dus ik heb voor hem gekeken” daar onder kan vallen.

Tegelijkertijd kun je die check alleen doen door het hele bestand te downloaden. Dat staat daarna op jouw laptop, en kan door onoplettendheid of wat dan ook een eigen leven gaan leiden. Op zijn minst vind ik dit dus enorm riskant.

Arnoud

 

Mijn postduif heeft de drone van de buren uit de lucht gehaald, wat nu?

Geplaatst op in Security, 17 reacties
Beeld: Ralph from Pixabay

Een lezer vroeg me:

De drone van de buurman hangt soms minutenlang stil boven ons terras en maakt een irritant zoemend geluid. Laatst schrok mijn postduif tijdens het uitvliegen van de drone en is ertegenaan gevlogen, waardoor het apparaat neerstortte en beschadigd raakte. Nu stelt de buurman mij aansprakelijk voor de schade aan zijn drone. Ben ik inderdaad verantwoordelijk voor wat mijn duif heeft gedaan, of had hij daar helemaal niet mogen vliegen?
Allereerst: het is juridisch onduidelijk of een drone boven terrein van de buren mag zijn. Art. 5:21 lid 3 BW bepaalt dat je geen bezwaar mag maken tegen vliegtuigen boven je grond, maar onduidelijk is of een drone ‘vliegt’ in de zin van dat artikel. De aparte droneregels voor kleine drones verbieden ook niet het vliegen op andermans terrein.

In 2017 werd een man veroordeeld tot schadevergoeding voor het met de luchtbuks neerhalen van een irritante drone op zijn terrein. Die schade werd wel gematigd omdat de buurman óók onrechtmatig bezig was, maar daarbij woog zwaar dat de drone een camera had en daardoor de privacy schond. Een stuk speelgoed zonder camera is daarmee wezenlijk anders.

Maar dan de hoofdvraag. Je duif vliegt tegen een drone en die gaat stuk. Hiervoor moeten we artikel 6:179 BW van stal (pardon, til) halen, en onder juristen is dat berucht vanwege de dubbele ontkenning:

De bezitter van een dier is aansprakelijk voor de door het dier aangerichte schade, tenzij aansprakelijkheid (…) zou hebben ontbroken indien hij de gedraging van het dier waardoor de schade werd toegebracht, in zijn macht zou hebben gehad.
In gewone taal: als hoofdregel ben je aansprakelijk voor alle schade die je dier aanricht (“risico-aansprakelijk”). Het maakt daarbij niet uit of je had kunnen ingrijpen. Zoals bij de postduif: die vliegt uit zichzelf, de vluchtlijn is zuiver toeval maar er is wel schade door ontstaan. Dus betalen.

Die dubbele ontkenning komt neer op “De bezitter is niet  aansprakelijk als hij de gedraging van het dier in zijn macht zou hebben gehad en bewust zou hebben toegelaten”. Als je hond uit schrik een overvaller bijt, ben je niet aansprakelijk want dat zou je ook niet zijn als je dan het commando “bijt hem” had gegeven – binnen de kaders van noodweer. Hier gaat dat niet op: bewust je duif een drone laten aanvallen is geen noodweer.

En ja, ik weet dat je een duif niet kunt dresseren om aan te vallen (Skinner’s experiment daargelaten). Rond 2016 experimenteerde de Nederlandse politie met roofvogels om drones te onderscheppen, maar dat heeft tot niets geleid.

Arnoud

Nederlandse supermarkten lieten big tech weten dat je zwangerschapstest koopt

Geplaatst op in Internetrecht, Ondernemingsvrijheid, Privacy, 13 reacties
Foto: Milliped, Wikimedia Commons

Nederlandse supermarkten en drogisterijen bleken massaal data over interesse in of aankopen van zwangerschapstesten door te sluizen naar grote techbedrijven als Google en Meta. Dat meldde Tweakers vorige week op basis van onderzoek van de Groene Amsterdammer en Investico. Mag niet, maar heel kwaadaardig voelt het ook weer niet.

Bij Investico leggen ze uit:

De drogisten hebben zogenoemde ‘tracking cookies’ op hun website staan, waarmee Google, Meta en Tiktok gebruikers van de homepage tot in het winkelmandje kunnen volgen. ‘Die cookies bevatten codes die uniek zijn voor jouw computer of browser’, zegt Güne? Acar, computerwetenschapper aan de Radboud Universiteit. ‘Als je ergens bent ingelogd bij bijvoorbeeld Google, Youtube, Facebook of Instagram, kunnen ze de zwangerschapstest meteen linken aan de rest van de informatie die ze over je hebben. Zo volgen ze je over het hele internet.’
Heel bijzonder is dit niet: heel ecommerce-internet hangt aan elkaar van de tracking cookies, pixels en serverside technieken om maar zo veel mogelijk over datapunten, pardon consumenten te weten te komen.

Dus tsja, als jij na je pak melk of beautyproduct ook een zwangerschapstest in je mandje doet, dan gaat dat via hetzelfde kanaal naar dezelfde Big Tech partijen. Het is geen  gericht besnuffelen op zwangerschap of andere gezondheidszaken, maar gewoon wat gebeurt als je als winkel tracking aanzet.

Tegelijkertijd: nee, mag niet. Want zwangerschap is (hoewel geen ziekte) een gezondheidsgegeven, en dus een bijzonder persoonsgegeven onder de AVG. Dat mag niet worden verwerkt behalve in bijzondere gevallen die hier niet opgaan. Ook niet als het in je cookiebanner staat, als je het had kunnen weten of als je “ja (uitdrukkelijk)” klikt op de banner.

Alleen: is “bezoeker thx1137 koopt een zwangerschapstest” wel een persoonsgegeven? Drogist DA meent van niet, aldus het Tweakers-artikel:

“Het bestellen van een zwangerschapstest in een webshop leidt niet tot bijzondere persoonsgegevens. Een dergelijke bestelling kan namelijk bedoeld zijn voor iemand anders of voor een onzekere toekomstige situatie. Dit betekent dus dat dergelijke informatie niet met zekerheid iets zegt over de gezondheidstoestand van de klant. De koop van een zwangerschapstest vormt een persoonsgegeven, maar geen bijzonder persoonsgegeven zoals bedoeld in de AVG”, meent DA.
“Onzekere toekomstige situatie”, da’s er eentje voor naast “geen actieve herinnering”. Maar de kern van het argument is: is iets een bijzonder persoonsgegeven als het kan wijzen op gezondheid, of pas als we zeker weten dat het daarover gaat?

Dit argument kwam in 2024 aan de orde in het Lindenapotheke-arrest van het Hof van Justitie (C-21/23). Dat ging over de vraag of concurrenten elkaar van AVG-schendingen mochten betichten, maar onderliggend was de kwestie of de verkochte producten (apothekerswaren) raakten aan bijzondere persoonsgegevens.

Ook hier kwam het argument langs dat je dat niet 100% zeker weet, omdat je geen doktersrecept hebt. Maar het Hof van Justitie wijst dat scherp af (punt 78):

Gegevens over de aankoop van geneesmiddelen die het mogelijk maken om conclusies te trekken over de gezondheidstoestand van een geïdentificeerde of identificeerbare persoon, moeten dus worden aangemerkt als gegevens over de gezondheid in de zin van artikel 4, punt 15, AVG.
Genoeg hiervoor is dus dat het kan. Natuurlijk kan die conclusie dan onjuist zijn (niet Marietje is zwanger maar haar zus, voor wie zij de test kocht). Maar dat maakt expliciet niet uit:
Dit principiële verbod staat los van de vraag of de informatie die bij de betrokken verwerking aan het licht komt al dan niet juist is en of de exploitant het doel nastreeft om [de bijzondere persoonsgegevens] te verkrijgen (…).
De achterliggende gedachte is dat het om zeer zwaarwegende redenen verboden is om die gegevens te verwerken als ze gezondheidsgegevens zijn, en dat we willen uitsluiten dat die gegevens verwerkt worden met slappe-hap argumenten als “het kan anders liggen” of “onzekere toekomstige omstandigheden”.

Dus nee, dit mag niet. Ook niet als het bijvangst is van ‘gewone’ Analytics of tracking die werkelijk geen interesse heeft in medische informatie. (Verplichte link naar dat Big Data-verhaal uit 2012.)

Hoe het anders moet? Een zwarte lijst met gezondheidsproducten die uitgesloten moeten worden van de tracking. Ik weet niet of dat technisch kan. Wat ook wel weer wat zegt over Adtech: niemand weet echt hoe het werkt.

Arnoud

 

Politie lekt data en houdt ontvanger aan omdat die het niet wilde verwijderen

Geplaatst op in Security, 12 reacties
Foto: MartijnK, Wikipedia

De Nederlandse politie heeft per abuis gevoelig materiaal uit een onderzoek gelekt aan een persoon. Dat meldde Tweakers afgelopen weekend. Toen die persoon die gegevens niet wilde verwijderen, heeft de politie de man aangehouden en zijn woning doorzocht. Raar verhaal.

De politie legt zelf uit in een persbericht:

In verband met een ander lopend onderzoek bij de recherche nam de verdachte op donderdag 12 februari contact op met de politie, omdat hij beelden in bezit had die mogelijk relevant zijn voor dat onderzoek. De agent die contact had met de man, besloot een link te sturen waarmee de man de beelden kon uploaden. Door een vergissing werd niet een uploadlink, maar een downloadlink gedeeld, waardoor de man de mogelijkheid had om vertrouwelijke politiedocumenten te downloaden.
Nadat de man een en ander ook daadwerkelijk had gedownload, kreeg hij een sommatie te stoppen en de data te verwijderen. Zijn reactie: “daar wil ik wel wat voor terug”. Ik weet niet wat hij had verwacht maar hij kreeg een arrestatieteam.

De politie gooit het daarbij op computervredebreuk, wat bij mij vele, vele wenkbrauwen van hun stoel liet vallen:

Als je een downloadlink toegestuurd krijgt, terwijl je weet dat je een uploadlink zou moeten krijgen, er duidelijk gezegd wordt vervolgens niet te downloaden en ervoor kiest de bestanden toch te downloaden, dan maak je je mogelijk schuldig aan computervredebreuk. De ontvanger kan namelijk redelijkerwijs aannemen dat de downloadlink en de bestanden die daarmee gedeeld worden, niet voor hem bedoeld zijn.
Nu is de definitie van computervredebreuk erg breed, maar dit voelt toch wel als erg ver oprekken. Heel misschien als het downloaden pas gebeurde nádat de agent belde met “oeps dat was de verkeerde link”. Maar als ik een link verwacht, een link krijg en daarop klik, dan zie ik niet hoe ik ergens binnendrong.

Een serieuzer vraag voor mij is waar die meneer stond zodra hem duidelijk was dat hij iets had gedownload dat vertrouwelijke politiegegevens betrof. Staatsgeheimen zijn dat niet, en schending van het ambtsgeheim (art. 272 Sr) is het ook niet want meneer is zelf geen agent. De Wet politiegegevens bevat geen bepalingen voor onbevoegde niet-agenten.

Diefstal van gegevens kennen we in twee smaken:

  1. Aftappen (art. 139c Strafrecht). Dit hangt hier op de wederrechtelijkheid, die ontbreekt als je de indruk wordt gegeven dat je er bij mag.
  2. Gegevensdiefstal sec (art. 139g Strafrecht), dat vereist dat de gegevens niet-openbaar zijn én dat deze door misdrijf verkregen zijn. Dat laatste speelt hier niet.
We komen terug bij de vraag wat deze meneer mocht vermoeden toen hij die link kreeg. Bij Tweakers lees ik een intrigerende comment van iemand met mogelijk insider knowledge:
[Dit systeem is een applicatie van Seeburger en] is een gedrocht van een programma. Om te downloaden en te uploaden moet je eerst een map maken en je geeft dan Download en upload permissies. [Die knoppen staan naast elkaar] … In een zaak kan je dus meerdere Upload permissies maken zodat alle beelden in een map komen. Maak je per ongeluk een Download permissie dan kan de persoon met de link alles downloaden uit die map.
Er is dan dus geen downloadknop an sich. Je krijgt een map te zien, en je kunt daar dingen naar uploaden en/of uit downloaden. Achteraf is het natuurlijk makkelijk oordelen “je mag niet klikken”. Maar een map is in onze mentale computermodellen een container, geen brievenbus. Wanneer iemand een link opent en een mappenstructuur ziet, activeert dit onmiddellijk de verkenningsdrang.

In UI/UX-termen heet dit de affordance: de uiterlijke kenmerken van een object die uitnodigen tot een specifiek gebruik. Een knop ‘nodigt uit’ om op te drukken; een invoerveld ‘nodigt uit’ om te typen. Een gedeelde map met naast elkaar gelegen knoppen voor ‘Upload’ en ‘Download’ heeft een ambivalente affordance. Een robuust ontwerp had een strikte scheiding van functies moeten hanteren. Een upload-only scherm, zoals bij de bekende datadeeldiensten, is veel logischer.

Natuurlijk is het bepaald ergerlijk dat die persoon (nota bene ook al verdachte in een andere zaak) die ontvangen gegevens onder zich houdt, nadat duidelijk is dat ze ten onrechte zijn verkregen. Maar dat betekent niet dat er dús een strafbaar feit is begaan.

Arnoud

Advocaten krijgen waarschuwing en moeten op cursus na verkeerd gebruik AI

Geplaatst op in Innovatie, 6 reacties
Photo by Andrew Neel

Drie advocaten hebben tot nu toe een waarschuwing gekregen omdat zij verkeerd gebruik hebben gemaakt van kunstmatige intelligentie zoals ChatGPT. Dat meldde de NOS zondag. “”Wat AI produceert, leest vaak heel logisch. Ook als het eigenlijk onzin is” zo citeert men de Orde van Advocaten, iets waar ik me volmondig bij aansluit.

Het probleem is bekend: steeds meer juristen grijpen naar grote taalmodellen zoals ChatGPT, Claude of Perplexity en gaan er van uit dat hun uitvoer klopt. Alleen zitten er met hetzelfde gemak fictieve ECLI’s tussen, of wel-bestaande zaken die alleen over iets anders gaan. Wel jammer, want het klonk zeer overtuigend én bevestigde het gelijk van de cliënt.

Achteraf is het natuurlijk makkelijk kritiek leveren: dat had je moeten checken. Maar, zoals ik in mijn recente publicatie in juridisch vakblad NJB laat zien, dat is niet zo eenvoudig als het klinkt.

Generatieve AI-tools produceren vloeiende, coherente en zelfverzekerde teksten die de taal en vorm van juridisch gezag imiteren en uitnodigen tot direct hergebruik. Deze schijn van deskundigheid wordt versterkt door de ‘automatiseringsbias’: de menselijke neiging om een computer sneller te geloven dan een mens, zeker wanneer de uitleg vlot geformuleerd is. Daar komt een geraffineerde vorm van vleierij bij: AI-modellen optimaliseren hun antwoorden vaak op de gebruiker, die de uitvoer vervolgens ziet als een objectieve bevestiging van zijn eigen gelijk.
Oftewel, het klinkt zeer overtuigend binnen de context waarin je opereert, en appeleert aan alle signalen die je normaal gebruikt om een deskundig jurist te herkennen. Het is dan buitengewoon makkelijk om mee te gaan in diens betoog.

Hiermee om leren gaan vereist meer dan vanaf de zijlijn “haha je moet je bronnen ook checken” gaan roepen. Zeker omdat iedereen om je heen roept dat juridische AI het gaat worden, dat ChatGPT beter is dan menig collega en cliënten vragen waarom het vier uur kostte terwijl Gemini ook een mooie tekst maakt in 3 minuten. AI geletterheid is een ding, zeg maar.

(Terzijde: ik vind het echt onverantwoord om uitvoer van de publieke AI-tools te gebruiken in discussies over juridische AI. Kijk hoe goed deze ChatGPT-dagvaarding is, wat knap dat Gemini nu een foutloze pleitnota kan opstellen of een sommatiebrief kan beantwoorden. Je had mazzel dat de tekst geen al te obvious fouten bevatte, meer niet.)

Toch is het goed dat de Orde zo zichtbaar optreedt. Het dwingt kantoren tot processen implementeren om verantwoord AI-teksten tot juridische producten te maken. En dat is uiteindelijk wat we nodig hebben.

Tot sancties bij de rechter heeft het in Nederland nog niet geleid. Dat kan ook eigenlijk niet; boetes wegens contempt of court zijn bij ons niet mogelijk. In een paar zaken is artikel 21 Wetboek van Burgerlijke Rechtsvordering erbij gehaald:

Partijen zijn verplicht de voor de beslissing van belang zijnde feiten volledig en naar waarheid aan te voeren. Wordt deze verplichting niet nageleefd, dan kan de rechter daaruit de gevolgtrekking maken die hij geraden acht.
Indienen van een hallucinant stuk AI-tekst kun je zien als schending van deze verplichting. Alleen, wat moet de rechter doen in zo’n geval? Je kunt er voor kiezen dat document opzij te leggen, maar zoals de rechtbank Rotterdam daarover opmerkt:
De kantonrechter is voorshands van oordeel dat met de onjuiste verwijzingen weliswaar artikel 21 Rv is geschonden, maar dat het passeren van alle verweren uit de conclusie van antwoord een te zware sanctie voor [gedaagde 1] zou zijn.
Uiteindelijk raak je met zo’n actie vooral de cliënt. Het optreden van de Orde is dan ook eigenlijk de enige juiste route. Of je volgt onze cursus voor advocaten.

Oh ja, en voor wie zich afvraagt wat je dan wél met ChatGPT en collega’s kunt doen als jurist: ChatGPT is geen bron maar een methodologie, en daarmee basta.

Arnoud