Internetrecht door Arnoud Engelfriet

geralt / Pixabay

De 82-jarige Willy Janssen kocht een leuk hoedje op Marktplaats, maar plaatste de komma in het over te boeken bedrag op de verkeerde plek: in plaats van 13,25 euro maakte Willy per ongeluk 1325 euro over. Dat meldde RTL Nieuws onlangs. De verkoper nam het geld aan en verdween van de aardbodem, zelfs het hoedje werd niet opgestuurd. Volgens Marktplaats is er weinig aan te doen, omdat ze de “Kopersbescherming” niet had gekozen. Hoe zit dat juridisch?

Juristen denken nu misschien aan het OTTO-arrest, waarbij de webwinkel niet hoefde te leveren nadat ze de prijs van een televisie als 99,00 euro hadden vermeld terwijl het 990 euro had moeten zijn. Ook hier is sprake van een typefout: Willy bedoelde 13 euro maar vermeldde 1325 euro. En ergens klopt dat ook wel, het gaat in juridisch jargon om het verschil tussen wil en verklaring: je wilde het ene voor elkaar krijgen, maar wat je deed was het andere.

De wet zegt dan, je verklaring is bindend als de wederpartij gerechtvaardigd mocht vertrouwen op de juistheid daarvan (art. 3:35 BW). Gezien de context hier, het kopen van een tweedehands hoed op Marktplaats en dat vergelijkbare hoeden voor 10 à 15 euro gaan, lijkt het mij zeer zeker niet dat deze verkoper mocht denken daadwerkelijk € 1325 te krijgen voor een hoed.

Tot mijn (positieve) verbazing heeft de ING bank de gegevens van de verkoper verstrekt:

Ook belde Ellen de ING-bank. “De bank heeft ons in augustus gegevens van de vrouw gegeven en haar een brief gestuurd met het verzoek het geld terug te vorderen. Maar allemaal zonder resultaat.” Voor de deur gaan staan bij de vrouw, ziet Ellen niet zitten. “Ik durf dat ook niet zomaar. Je weet ook niet wat voor soort type mens het is.”

Ik vraag me nu af: zou het nou veel moeite zijn om bij een bedrag zonder komma even te zeggen “let op, bedoelde u 13 komma 25”? Of een check, uw bod is meer dan 100% van het vorige bod, weet u het zeker?

Arnoud

De gemeente Emmen is onder vuur komen te liggen vanwege de late bekendmaking van een datalek dat zevenduizend inwoners raakte. Dat meldde Security.nl maandag. En laat is het: een inbraak op e-mailaccounts met daarin persoonsgegevens van burgers vond plaats op 8 april 2021, de melding naar die burgers werd pas 4 april dit jaar gedaan. Nee, dat is geen 72 uur nee, en ook geen “zo snel mogelijk” zoals de AVG eist. Wat is hier gebeurd?

In april vorig jaar kregen derden toegang tot vier e-mailaccounts van gemeentemedewerkers, waarschijnlijk via een phishingaanval. In de mailboxen stonden twee bestanden met persoonsgegevens van ruim zevenduizend inwoners uit de drie gemeenten die in het kader van de Participatiewet en Wet maatschappelijke ondersteuning (Wmo) waren verzameld. Er waren geen aanwijzingen dat er daadwerkelijk in de mailboxen is gekeken, maar uitgesloten kon het ook niet worden. Dat is dan dus een datalek: tenzij je kunt bewijzen dat er géén onbevoegde toegang is geweest, moet je handelen alsof dat wel is gebeurd.

Het duurde even voordat de gemeente het doorhad: pas op 7 juli werd de aanval ontdekt. 7 juli 2021 dus. Twee dagen later werd het zoals wettelijk verplicht gemeld bij de Autoriteit Persoonsgegevens, en daarna leek het klaar totdat de AP in december oordeelde dat niet kan worden uitgesloten dat er gegevens zijn ingezien. De gemeente had de getroffen burgers nooit geïnformeerd, ik denk omdat zij dachten dat er dus geen aanwijzingen waren dat er wél iets misgegaan was met die gegevens en dat er dan dus geen risico’s voor betrokkenen zijn.

Er zit een veiligheidsmechanisme in de regels rond datalekken in de AVG: als de verwerkingsverantwoordelijke denkt dat hij niet hoeft te melden, maar de AP meent van wel, dan moet je dat alsnog doen. Dat moet “onverwijld”, er is geen harde termijn voor deze mededeling aan betrokkenen (zoals dat heet, art. 34 AVG). Dat is natuurlijk omdat je mogelijk meer moet uitzoeken, eerst maatregelen wilt nemen of afspraken maken zoals kredietbewaking zodat je de betrokkenen meteen wat kunt beloven. Emmen had echter tot 9 juli nodig voordat de brief dan alsnog uitging, en de periode van december tot juli is wat mij betreft een tikje wel héél erg lang.

D66 Emmen laakt de late afhandeling van de gemeente. “Op 16 maart 2022 waren de gemeenteraadsverkiezingen. In de weken daarvoor hebben we vele persberichten vanuit het college voorbij zien komen, allen uitsluitend positief. Dit onderwerp is echter op de plank blijven liggen tot direct na de verkiezingen”, stelde gemeenteraadslid Joey Koops.

Dit nog los van de vraag: waarom stáán er überhaupt gegevens van 7.000 zorggerechtigden in mailboxen?

Arnoud

Simon / Pixabay

Via de website “Have I been trained” kun je achterhalen of jouw foto gebruikt is om een AI te trainen, las ik bij Ars Technica. Of nou ja, iets preciezer: of je foto in een van de enorme datasets zit waarmee tegenwoordig alle beetje fatsoenlijke AI’s worden getraind. Want die datasets zijn meestal zonder het ook maar iemand te vragen opgebouwd, dus een beetje pixeljager zou daar wel geld moeten zien. Maar valt er wel wat te eisen?

Wie een machine learning systeem wil trainen, heeft data nodig. Dat geldt voor iedere applicatie, maar voor afbeeldingen is het helemaal een complexe eis: waar haal je die enorme hoeveelheid plaatjes vandaan die nodig is om een adequate brede dekkingsgraad van je AI-toepassing te krijgen? Nou ja, dat pluk je gewoon van internet want als je het maar massaal genoeg verzamelt is het geen auteursrechtinbreuk meer maar innovatie (cf. Google Images).

De state of the art dataset tegenwoordig is LAION-5B,met 5,85 miljard afbeeldingen verreweg de grootste. Bijeengebracht voor researchdoeleinden en experimenteren met zulke enorme sets, aldus de website. “The images are under their copyright”, staat er dan ook. En dan de juridische truc, of nou ja truc, waarmee dat kan: elk item uit de dataset bevat simpelweg alleen de bron-URL van de afbeelding, waarmee de dataset zelf geen inbreuk is.

De dataset is voor haar doel buitengewoon nuttig: bij elk plaatje staan labels zoals wie of wat er te zien is. Met dergelijke metadata kun je systemen trainen die daarmee nieuwe afbeeldingen kunnen maken op een zelfbedachte suggestie (“copyright symbol racing against computer“). Die leren dan op basis van die metadata wat er zoal mogelijk is bij een dergelijke tekst.

Als je nu een dataset maakt door al die afbeeldingen te downloaden en daarmee een AI traint, heb je dan auteursrechten geschonden? De eerste stap – het downloaden – is voor onderzoekers of bedrijven problematisch, omdat in Europa in ieder geval zoiets buiten de thuiskopie-regeling valt. In de VS is dit mogelijk fair use, het staat immers legaal online en het downloaden van een afbeelding is dan fair. 

De volgende stap is het trainen van een machine learning model, waarbij dus allerlei features van die afbeeldingen worden geëxtraheerd en in combinatie met die metadata tot een algoritme wordt omgezet waarmee nieuwe afbeeldingen worden gemaakt. In principe zijn die echt nieuw, maar er zitten soms wel herleidbare stukjes in, zoals in deze foto met herkenbaar Getty watermerk. (Ik weet niet of dit is omdat het stukje met het watermerk paste bij de prompt of omdat het systeem heeft geleerd dat goede foto’s vaak een Getty watermerk dragen, en daaruit concludeerde dat dit erbij hoort.)

Het belangrijkste is, je kunt aan een AI eigenlijk nooit zien of jouw foto’s er specifiek in zitten. Deze tool maakt voor het eerst soort van dat wél mogelijk, althans als de AI-exploitant dus meldt dat hij met LAION-5B werkt (wat op zich een normale melding is, want het is nodig voor benchmarking). En dan kun je dus een claim doen, want gegarandeerd dat er dan bij dat bedrijf ergens een zipfile rondzwerft met een kopie van jouw foto(‘s).

Alleen: wat is je schade? Dit probleem is fundamenteel bij het auteursrecht online, zeker voor mensen die hun werk gratis op internet zetten. Want dan kun je niet eens de gemiste licentiekosten als schade opvoeren. En hier speelt dan ook nog eens dat we niet weten wat je auteursrechtelijk precies doet als je een foto omzet naar een berg datapunten waarmee je een image generator maakt.

De makers van deze tool hebben een iets andere insteek: zij willen dat de AI community vrijwillig overstapt naar een model waarbij toestemming de norm is, juist om de kleine creatieveling te beschermen. En dat is een heel nobel streven, met natuurlijk de kanttekening dat er weinig prikkel is om bij dit soort bedrijven hier op over te stappen.

Arnoud

Een man die werd verdacht van handel in 40 kilo MDMA, 300.000 xtc-pillen en ruim twintig kilo ketamine is door de rechtbank in Breda geheel vrijgesproken omdat de rechtbank het enkele bewijs van een reeks door de politie ontsleutelde pgp-berichten van Sky-ECC niet voldoende vindt. Dat meldde Crimesite onlangs. De uitspraak is opmerkelijk, omdat in… Lees verder

Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees… Lees verder

Het is niet verboden een elektrische auto bij een laadpaal te laten staan als die al is opgeladen, meldde de NOS onlangs. De Hoge Raad oordeelde namelijk dat het niet relevant is of je accu daadwerkelijk aan het laden is, het gaat om het doel van daar staan. Ziet een gemeente dat anders, dan moeten ze hun APV… Lees verder

Een lezer vroeg me: Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder… Lees verder

Een lezer vroeg me: Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen? Die oudere D-Link routers blijken… Lees verder

Cloudflare blokkeert websites normaal niet, maar ziet in de website Kiwifarms een ‘acuut noodgeval en een onmiddelijke dreiging voor mensenlevens’. Dat meldde Tweakers vorige week. De site is berucht vanwege haar veelvuldige intimidatie van online persoonlijkheden en gemeenschappen, met meerdere zelfmoorden tot gevolg. Ze zouden zich daarbij vooral richten op minderheden, vrouwen, lhbt-personen of neurodiverse personen. Nadat… Lees verder

De rechtbank in Utrecht heeft een 23-jarige Rotterdammer veroordeeld voor de diefstal van persoonsgegevens uit het coronasysteem van de GGD in 2020. Dat meldde Tweakers vorige week. Het is een vervolg op een ontdekking uit januari vorig jaar, toen grootschalig bleek te worden gehandeld in GGD-gegevens uit deze systemen. Er werden toen ook twee mensen… Lees verder