Internetrecht door Arnoud Engelfriet

De Consumentenbond en de Data Privacy Stichting hebben Facebook gedagvaard in een poging om het socialenetwerkbedrijf te dwingen gebruikers te compenseren voor het schenden van hun privacy. Dat meldde Tweakers dinsdag. Deelname is gratis, wel wordt 18% van de toe te kennen schadevergoeding aan een advocatenkantoor betaald dat op no-cure-no-pay basis (of nou ja, niet helemaal) de zaak doet. De exacte dagvaarding kan ik nog niet vinden maar de kern is natuurlijk geen toestemming (grondslag) en geen verplichte informatieverstrekking onder de AVG. Ik zeg #teamConsumentenbond.

De AVG is er natuurlijk al sinds 2018 maar de reden dat de Bond nu pas deze stap maakt, is dat het pas sinds kort mogelijk is om een massaclaim met schadevergoeding te brengen bij de Nederlandse rechter (art. 3:303a BW). Tot die tijd had de Bond alleen een verbod kunnen eisen, maar dat schiet niet zo op want dat zal Facebook niet echt pijn doen. Dan verzinnen ze weer wat nieuws. Een schadeclaim, en vooral heel veel vervolgclaims vanuit de rest van Europa, dát doet pijn.

Had dit nu niet beter via de toezichthouder kunnen gaan? Die is natuurlijk al naar Facebook aan het kijken en ik zie daar ook echt wel boetes vandaan komen. Alleen, het is voor de AP lastiger om een boete op te leggen dan voor de Consumentenbond om een schadeclaim te doen. Een boete vereist een heel bestuursrechtelijk traject: inspraak, reacties, concepten, toetsing aan boetekaders en richtlijnen, zorgvuldige besluitvorming et cetera. Dat duurt naar zijn aard twee jaar. (Plus AVG-gedoe over de competente leidende toezichthoudende autoriteit, juristen krijgen hoofdpijn van deze wetsartikelen, artsen staan versteld).

Terwijl een schadeclaim bij de burgerlijke rechter gewoon een jaartje is met een paar rondes verweerschriften en repliek/dupliek en dan een uitspraak. De onderbouwing kan makkelijker: een boete moet je gedetailleerd motiveren, de schadevergoeding kan -in theorie- zijn “wat uwedelachtbare billijk acht (artikel 6:97 BW)”. En ja, het grote probleem is natuurlijk dat de Bond geen harde getallen op de schade kan zetten. Wat is je schade doordat Facebook je profiel blootstelde aan rare advertenties of politieke manipulatie? Inderdaad, laat ik ook liever aan de dikke duim, pardon het rechtsgevoel van de rechter. Maar denk aan 50 tot 100 euro.

Per persoon ja. En we hebben in Nederland iets van 14 miljoen volwassenen die dus kwalificeren als consument. Ook Facebook vindt iets van 14 miljoen maal 50 euro, zeker als er een dwangsom achteraan komt én andere consumentenbonden deze zelfde claim btrengen vanuit hun land. (Dit is meer dan de 10,4 miljoen Nederlandse Facebookgebruikers want daar zitten ook minderjarigen tussen en bovendien volgt Facebook je ook als je geen lid bent.)

Het voornaamste voor mij is dat dit volgens mij is hoe de AVG moet werken. Toezichthouders zijn leuk en aardig maar naar hun aard te grofmazig en traag om elke overtreding aan te pakken. Massaal kleinschalig handhaven werkt veel beter (daarom was ik ook zo blij met die Belgen). Het kan natuurlijk uit de hand lopen – lees daarvoor mijn World of 2K38 of voorinteken voor de graphic novel.

Arnoud

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het verhaal rond gratis vanaf het begin een gotspe: hoezo kun je niet gewoon gratis je elektronische dossiers ontsluiten? Helemaal omdat het mensen betreft die naar hun aard financiële problemen hebben?

De boete was dus voor het niet gratis elektronisch antwoorden op elektronisch gedane verzoeken. Het moest per post, of je moest een betaald abonnement nemen. BKR maakt daarvan in haar kletspersbericht dat “uit de AVG niet duidelijk blijkt of het überhaupt verplicht is om digitaal inzage te faciliteren”. Ik citeer de AVG, artikel 12: “Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.” Oh en overweging 59: “De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. ” Ik kan daar weinig onduidelijkheid in vinden.

Oh ja, het BKR zegt dan ook “De wet stelt duidelijk dat inzage verschaffen binnen een maand verplicht is”. Dat staat er niet, de AVG zegt “onverwijld en in ieder geval binnen een maand”. Dat is dus min(onverwijld, een maand) en niet onverwijld OR maand.

Daarnaast bleek dat het BKR dus actief communiceert dat je eens per jaar, en daarna werd dat twee keer, je gegevens mocht inzien. ‘Op onze website stond dat een consument een keer per jaar gratis inzage kon aanvragen, omdat wij zijn uitgegaan van de frequentie waarmee consumenten normaliter inzage doen. In de praktijk zijn we daar natuurlijk ruimhartig mee omgegaan. Dus is er naar ons idee geen sprake geweest van een overtreding van de AVG.’ Fijn dat je ruimhartig tegen je eigen regels in gaat, maar het is natuurlijk wél een overtreding van de AVG als je begint met dat het maar twee keer mag. Dat is niet wat in de wet staat, daar staat “met regelmatige tussenpozen”. Niet hetzelfde.

Dit is het digitale equivalent van dat bordje “de directie stelt zich niet aansprakelijk” of de website-disclaimer. Het slaat juridisch helemaal nergens op, maar toch schrik je een hoop mensen af. En dan zeggen “ja maar je kunt toch een jurist vragen” of “als mensen piepen dan zijn we ruimhartig”. Waar het om gaat is dat mensen niet hóeven te piepen. Zeker niet de BKR-geregistreerden: die zitten meestal niet in de financiële problemen omdat ze zeer assertief zijn en een jurist kunnen raadplegen bij juridische twijfels. Daarom vind ik het zo ergerlijk.

En och arme: ‘Het liefst zou Stichting BKR consumenten laten inloggen met DigiD en hun unieke BSN om gegevens te registreren en op te vragen, maar dat mag wettelijk niet omdat BKR geen overheidsinstantie is’.

Als laatste: ja, sinds 2019 is men gestopt met deze praktijk. En dat is leuk en aardig maar dus een jaar te laat. Dáár gaat het uiteindelijk om.

Arnoud

Al een tijdje blog ik over de moeilijkheden die je ondervindt als je probeert legal tech (met name AI) naar binnen te rollen in een organisatie. De cultuur is een groot ding bij organisaties, als men niet wil veranderen of van bovenaf verandering juist afgeschrikt wordt dan gebeurt het natuurlijk niet. Maar specifiek bij AI is er nog een groot probleem, en dat is hoe er tegen de risico’s aangekeken wordt die ontstaan bij de inzet van zo’n tool. Namelijk: die AI moet perfect zijn. En dat is best raar.

AI oftewel artificial intelligence is een beetje een marketingterm, wat heet dat is púúr een marketingterm. De strekking of belofte is dat de computer denkt als een mens, wat dus nooit het geval is. Onderzeeboten kunnen niet zwemmen en een computer kan niet denken. Maar ze kunnen wel heel goed doen alsof. Ik gebruik de term dus toch maar voor alle systemen die die belofte doen. Meestal zullen ze onder de motorkap werken met machine learning of neurale netwerken, maar dat doet er eigenlijk niet toe.

Het probleem met die belofte doen is dat mensen verwachten dat hij wordt waargemaakt. En dat is lastig want een computersysteem kan geen 100% perfectie doen. Mensen ook niet, maar bij mensen weten we vaak ongeveer wat voor sóórt fouten ze gaan maken. Een stagiair (om bij de blogtitel te blijven, wat ik zelden doe) heeft basiskennis maar kan vaak niet de diepte in. Een partner weet ongeveer alles, maar berijdt wel stokpaardjes en kan traag van reactie zijn of dingen wegwuiven als triviaal die dat voor de klant niet zijn. De medewerker daar tussenin heeft het heel druk en kan doorschieten in toepassen wat hij het recentst geleerd heeft. Dat soort dingen.

Een AI maakt ook fouten, maar dan van een heel ander kaliber. Die classificeert een tekst verkeerd en klaagt dan dat de tekst “Partijen komen overeen dat” geen goede garantie over beschikbaarheid is. Of hij komt met hele rare output, omdat er ergens iets misging in de conversie (NDA Lynn kan bijvoorbeeld pdf bestanden niet altijd goed lezen). Dat is niet goed, maar omdat het zulke niet-menselijke fouten zijn terwijl de AI wel menselijk lijkt, komt dat disproportioneel raar over.

In de psychologie doet dit denken aan het fenomeen van de uncanny valley, het griezelgebied tussen robots-die-duidelijk-robots-zijn en robots-die-echt-mensen-simuleren. Onze hersenen kunnen niet goed omgaan met een robot die er heel menselijk uitziet maar zich ineens niet als mens gedraagt, dat is veel erger dan een robot-robot die dezelfde fout maakt.

Ik herinner me van lang geleden een spraakherkenning-interface met een butler. Die werkte best goed maar de fouten werden als zeer storend ervaren. Toen verving men de butler door een puppy en de subjectieve kwaliteitsbeleving schoot omhoog. Waarom? Puppies mogen fouten maken, dat is zelfs schattig. Maar een butler, dat is een domeinexpert dus die mag geen fouten maken.

Een juridische AI wordt denk ik ook op die manier benaderd. Dat is een computer, getraind in dit domein, dús een domeinexpert. Hij moet dus hetzelfde presteren als een senior partner. Fouten, zeker rare fouten ingegeven door Unicode-problemen, zijn dan onvergeeflijk.

En dat is best raar want vervolgens gaat die AI standaardwerk doen zoals NDA’s reviewen, standaardcontracten nalopen of einddatums extraheren uit een serie documenten omdat men een bedrijfsovername-DD wil doen. Dat is typisch werk waar je een stagiair op inzet en geen partner. Terecht, want het is niet heel moeilijk maar wel veel. En het soort fouten dat daarbij te maken is, is redelijk te overzien en moet geen al te grote risico’s opleveren.

Paradoxaal genoeg heeft een AI dienst dus meer kans om geadopteerd te worden in een organisatie wanneer die zich niet als een AI presenteert. Niemand heeft de verwachting dat de grammatica-checker als een mens presteert, of dat Google net zo goed als een bibliothecaris je vraag begrijpt. Dat is gewoon een interface waar een output uit komt, en daarmee kun jij weer verder. Dus misschien moet legal tech AI gewoon terug naar een knopje in good old Microsoft Word?

Arnoud

Via de onvolprezen Charlotte Meindersma op Twitter: Als ik jullie goed advies mag geven: wees bij een belangrijk gesprek nooit zo fatsoenlijk om te vragen of je het op mag nemen, maar doe het gewoon. Als je zelf deelnemer bent aan het gesprek, is het niet strafbaar. Dat gaf enige heftige reacties, van ongeloof (“mag… Lees verder

De Belgische Gegevensbeschermingsautoriteit heeft een AVG-boete van 10.000 euro uitgedeeld aan een bedrijf, meldde Tweakers begin deze week. Het bedrijf stuurde “door een menselijke fout” een marketingmail naar een verkeerd persoon en deed te weinig om dat probleem op te lossen. Zo te zien was zijn mailadres zonder zijn medeweten toegevoegd aan een commercieel mailbestand… Lees verder

Via Twitter: Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens. Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn… Lees verder

Recent blogde ik over SaaS maatwerk en standaarwerk. Daarbij miste nog een invalshoek: Persoonlijk tracht ik e.e.a. altijd zo te regelen dat zowel de klant als ik (ontwikkelaar) beiden eigenaar zijn van het auteursrecht. Gedeeld eigenaarschap onder bijvoorbeeld de GPL licentie. Het staat mijn klant dan vrij om te doen wat ze willen met de… Lees verder

Bedrijven die nepreviews of -likes verkopen, maar ook partijen die ze gebruiken, worden harder aangepakt door de Autoriteit Consument en Markt (ACM). Dat meldde BNR vorige week. “Het is voor een consument heel moeilijk om te zien als dit gemanipuleerde informatie is”, aldus de ACM. Helaas zijn neprecensies, -aanprijzingen en -likes tegenwoordig aan de orde… Lees verder

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar… Lees verder

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel…. Lees verder