Hoe citeer je ChatGPT in een juridisch artikel?

Een intrigerende via Linkedin:

Is er al een ‘Leidraad voor Juridische Auteurs-richtlijn’ voor het verwijzen naar ChatGPT of andere generatieve AI? Ik zie wel APA-richtlijnen, maar zijn er ook al voorbeelden bekend van juridische auteurs die ChatGPT citeerden? Hoe zou jij ChatGPT citeren conform Leidraad?
Ik was een beetje verbaasd, want om nou te zeggen dat ChatGPT bekend staat om haar inventief onderzoek of hoogdravende analyses, nee. Maar goed, dat is geen argument bij de vraag, hoe citeer je een tekst die je op ChatGPT.com aantreft.

In de comments geeft Vincent Bontrop een voorbeeld van een persistente link naar een ChatGPT uitvoer. Als ik daarop de regels van de Leidraad voor juridische auteurs loslaat, dan krijg je ‘Communicatie in psychologie’, ChatGPT.com 3 september 3, 2023 <url hier>.

Ik zit wel te twijfelen of deze uitvoer geschikt is als bron. Citeren uit Wikipedia is ook altijd op het randje: wat daar staat, mag je meestal als algemeen bekende kennis aanmerken en dat behoeft geen bron. En als het wél specifieke kennis is, dan verwijst Wikipedia naar een echte bron en dan citeer je die. Dus ik weet geen situatie waarin je Wikipedia als bron opvoert.

ChatGPT geeft evenzo algemeen bekende kennis aan, maar geen eigen opinie, inschatting of nieuw ontdekte feiten. Er is dus geen reden om ChatGPT als bron van wat dan ook op te voeren. Dit geheel los van de vraag of ChatGPT een auteur is.

Arnoud

Internetbloemist mag geen klanten meer lokken met ‘Fleurop’-zoekterm

Een Drontense online bloemenhandelaar mag niet langer de naam ‘Fleurop’ gebruiken om klanten naar zijn websites te lokken. Dat las ik bij Omroep Flevoland. In kort geding verbood de rechter deze praktijk omdat het hier gaat om een beschermd merk van de concurrent. Maar hoewel dit op zich al een oude kwestie is, zit er toch weer een nieuw tintje aan.

“FLEUROP” is een merk van de Koninklijke Fleurop, “marktleider in het verzenden van bloemen en planten dankzij een grootschalig netwerk van vakkundige bloemisten” aldus Wikipedia. Zelfstandige bloemisten kunnen zich aansluiten en krijgen dan bestellingen die ze vervolgens zelf uitvoeren.

Het bedrijf Bloemenwinkel.nl (met ook de naam Florient.nl) was niet bij Fleurop aangesloten, maar adverteerde wel met diverse vermeldingen van het merk, zoals blijkt uit het vonnis. Een voorbeeldje: “Fleurop met verse bloemen – Vóór 13:00u, Vandaag Bezorgd”.

Dat zou je kunnen lezen als een ahem typefout voor “opfleuren met verse bloemen”, maar ik snap dat de juristen van Fleurop hier meeliften met hun merk in zagen. Na aangeschreven te zijn, paste Bloemenwinkel.nl hun advertenties aan. Het werden meer neutrale advertenties, zoals “Vandaag Bloemen Bezorgen? – Bezorgd op jouw gekozen dag”. Die verschenen dan wel als je zocht op het trefwoord “Fleurop”.

Dat laatste is een dingetje, want al geruime tijd is er het Google/Vuitton-arrest uit Europa, gevolgd door het Interflora-arrest (ja, het moederconcern van Fleurop). Beide arresten bepalen kort gezegd dat het in principe mogelijk is om een merknaam te gebruiken om je eigen advertenties op te richten, mits die je merknaam niet noemt. In die situatie moet er ruimte zijn om jezelf als concurrent neer te zetten. Echter, zoals ik in 2010 blogde, een adverteerder loopt dan wel een risico: als zijn advertentie afbreuk doet aan wat juridisch de “herkomstaanduidingsfunctie” heet, dan pleegt hij merkinbreuk.

Die herkomstaanduidingsfunctie is in feite waar het merkenrecht om draait; het doel van een merk is dat mensen het merkproduct kunnen onderscheiden van andere producten. Wie kort gezegd dat doel doorkruist, pleegt merkinbreuk. Daarvan is sprake wanneer

de advertentie het voor de normaal geïnformeerde en redelijk oplettende internetgebruiker onmogelijk of moeilijk maakt om te weten of de waren of diensten waarop de advertentie betrekking heeft, afkomstig zijn van de merkhouder of een economisch met hem verbonden onderneming
Zo’n internetgebruiker kan zich vergissen, aldus het Hof, wanneer hij een advertentie ziet verschijnen nadat hij een merknaam heeft ingetoetst. Het is immers logisch dat zo’n advertentie het merkproduct betreft. Daarom moet de merkhouder kunnen verbieden dat advertenties van derden worden weergegeven waarvan internetgebruikers ten onrechte kunnen denken dat zij van de merkhouder afkomstig zijn.

Sindsdien staan Google en anderen toe dat je zulke “merkloze” advertenties plaatst gekoppeld aan een zoekwoord dat andermans merk is. Als merkhouder kun je daar bij Google niet over klagen (wel over advertenties met je merk erin). Bloemenwinkel.nl dacht dus dat zij goed zat, maar de rechter opent een tikje chagrijnig: “Google bepaalt immers niet de juridische beschermingsomvang van Europese, internationale of Beneluxmerken.”

De vraag is: zouden mensen in de war raken en denken dat ze bij een Fleurop-aangesloten bedrijf bestellen als ze een advertentie zien met bijvoorbeeld deze tekst:

Bloemenwinkel.nl – Vóór 13.00u = Vandaag Bezorgd Bestel een prachtig boeket vanaf € 27,50 inclusief bezorging. Chique, Vrolijk, Lief, Stoer. Onafhankelijk bloemisten netwerk. Bestel rechtstreeks bij onze bloemist – Bloemenwinkel.nl Persoonlijk bezorgd. Direct lokaal bezorgd. Dezelfde dag in huis. Met persoonlijk kaartje.
Inderdaad, hier staat niets expliciet over Fleurop. Er staat wel dat je een bloemistennetwerk hebt en dat er direct bezorgd wordt. Uitgaande van een consument die zocht op Fleurop kan dat dan verwarrend zijn: aha, kennelijk heeft deze iets met Fleurop te maken, dit zal wel een aangesloten winkel zijn.
De voorzieningenrechter constateert dat in de advertenties van Bloemenwinkel.nl c.s. geen enkele aanwijzing staat waaruit blijkt dat de aangeboden bloemenbezorgdienst geen onderdeel uitmaakt van het netwerk van Fleurop. Sterker nog, er wordt geadverteerd met teksten zoals “Bestel rechtstreeks bij onze bloemist”, “Bloemisten-netwerk”, “Bezorgd door lokale bloemisten” die juist de indruk (kunnen) wekken van doen te hebben met een bloemist die behoort tot het bloemistennetwerk van Fleurop. Overige teksten zoals “bestel het mooiste boeket”, “vandaag bezorgd” of “bloemen laten bezorgen” zijn zeer algemeen en gebruikelijk dat daarmee niet duidelijk wordt gemaakt dat de aangeboden bloemenbezorgdienst geen onderdeel uitmaakt van het Fleurop-netwerk.
Bloemenwinkel.nl had dus expliciet moeten melden geen Fleurop-aangeslotene te zijn. In de context goed te begrijpen maar zakelijk natuurlijk een vervelende, want je hebt al zo weinig tekstruimte voor je reclame-uiting.

Wie een tekstvoorstel heeft, gooi het in de comments!

Arnoud

Signify gaat account verplichten voor aansturen van Hue-apparaten, mag dat?

Gebruikers van Hue-lampen moeten in de toekomst verplicht een account aanmaken, las ik bij Tweakers. Zonder zo’n account wordt een fors aantal functies onbruikbaar. In de reacties de opmerking: “Ben geen jurist maar een account achteraf verplichten is volgens mij juridisch onhoudbaar.” Ik ben wel jurist, wat vind ik?

Hue is een dienst van het bedrijf Signify, waarmee je instelbare lampen op zeer uitgebreide wijze kunt bedienen op afstand. Een selling point was altijd dat je dit puur lokaal kon doen, dus je moest thuis zijn om de hub te kunnen benaderen en het licht te variëren. Echter:

“Nu het aantal features dat we ontwikkelen groeit, groeit ook de noodzaak voor geavanceerdere beveiliging”, zegt het bedrijf. Het verwijst naar de mogelijkheid om tweetrapsauthenticatie toe te voegen, nieuwe gebruikers aan accounts toe te voegen en om gebruikerspermissies te verwijderen. Het bedrijf zegt ook dat aanvallers op die manier ‘niet binnen kunnen dringen in je huis’. Dat is niet zo; door een cloudverbinding te verplichten ontstaat voor veel gebruikers juist een nieuwe aanvalsvector.
Het is dus de toevoeging van een cloudverbinding en een account waar de bezwaren tegen zijn. Helemaal omdat dit dus niet gemeld is (ook niet als speculatie of toekomstig plan) bij de eerdere verkoop van de producten.

Dit is en blijft dat kernprobleem van de informatiemaatschappij: digitale dienstverlening is nog steeds veel te slecht geregeld. Ja, de DSA en DMA staan vol met randvoorwaarden, inclusief zaken als interoperabiliteit en vanuit het consumentenrecht zijn er allerlei verboden op al te eenzijdig opgelegde of te strenge regels.

Hier hebben we het over software-updates die extra functies toevoegen en oud gedrag breken. Daar is geen regel tegen. Je moet dan echt heel diep en indirect gaan redeneren vanuit de verwachtingen bij het product (conformiteit) of dat hiermee de toegezegde prestatie wordt ontnomen (zwarte lijst sub a). En het probleem daarmee is dat een eenvoudig verhaaltje over veiligheid dan al genoeg is om gerede twijfel te zaaien.

Een betoog over conformiteit komt erop neer dat een gemiddeld consument bij aanschaf geen account hoefde te verwachten, bijvoorbeeld omdat niet op de doos stond “Account verplicht” of dat Signify adverteerde met “bij ons kan het ook zónder account”. Dat adverteren heb ik niet gezien.

Het punt met de doos: inderdaad stond daar niet op “geen account verplicht”, maar dat is volgens mij meer omdat het hebben van accounts door salesmensen niet wordt gezien als een belangrijke feature, niet iets waar je een premiumplek zoals de doos voor gebruikt. En dat raakt dan aan het argument van conformiteit, als het niet belangrijk genoeg is om in de verkoopmaterialen genoemd te worden, waarom moet je er dan rekening mee houden bij het bepalen van de verwachtingen van consumenten?

Natuurlijk zullen er genoeg consumenten zijn die het kopen vanwege de afwezigheid van accounts. Alleen: niemand zegt dat tegen de winkel, zodat die er ook om die reden geen rekening mee hoeft te houden. Alles kán natuurlijk best essentieel zijn voor iemand, maar de standaard is of een gemiddeld consument het essentieel zou vinden.

Arnoud

 

 

Boetebedingen in huisregels kunnen ook gewoon onredelijke algemene voorwaarden zijn

PeggyMarco / Pixabay

Een boete stellen op overtreding van je huisregels, het kan. Maar als je dat doet tegen gebruikers die consument zijn, dan kunnen die ook bij jouw dienst zich gewoon beroepen op het consumentenrecht. Dat maak ik op uit een recent vonnis (via).

Bij de dienst F2F (een soort OnlyFans) mag iedereen zich aanmelden en dan foto’s of videos plaatsen. Wellicht verbaast het u, maar “deze content bestaat voornamelijk uit erotisch getinte foto’s en/of video’s”, aldus het vonnis. Om te zorgen dat mensen geen wraakporno of gestolen beeld zouden plaatsen, had de dienstverlener een stevig boetebeding opgenomen:

“A.10.3. In the event F2F discovers User violated the provisions of Article A.7. or Article A.8, User will immediately be liable to pay a fine to F2F of 10.000 euro for each such violation, without prejudice to F2F’s right to claim damages and any other claims F2F may have on User relating to such violations.”
De gedaagde had erkend dat zij foto’s had geplaatst die niet van haarzelf waren, en ook dat ze op alle knopjes had doorgeklikt, dus akkoord was met de voorwaarden. Appeltje-eitje zou je zeggen: betalen maar, die boete. (Er is precedent immers.)

De rechtbank doet iets opmerkelijks: die onderzoekt ambtshalve (dus zonder dat dit was gesteld) of de gedaagde als consument de overeenkomst was aangegaan. Want consumenten mag je, in tegenstelling tot zakelijke gebruikers, niet zomaar allerlei bedingen opleggen. Dit is een standaardprocedure, maar het voelt wel gek bij een platform waar mensen deelnemen om content te produceren en te verkopen. Het zou niet mijn eerste gedachte zijn dat hier iemand als ‘consument’ in de zin van de wet aan te merken is.

In dit geval heeft [gedaagde] zich aangemeld als creator waardoor zij door het exclusief beschikbaar stellen van beeldmateriaal geld kon verdienen. Die enkele aanmelding maakt nog niet dat ervan moet worden uitgegaan dat [gedaagde] heeft gehandeld in de uitoefening van haar beroep of bedrijf en dat zij niet als consument kan worden aangemerkt. Iedereen kan zich namelijk aanmelden bij F2F als creator. Het is voor consumenten op een platform als F2F redelijk eenvoudig om zich als creator aan te melden en beeldmateriaal te delen met het doel iets bij te verdienen. Daarom is het ook zeer aantrekkelijk voor kwetsbare consumenten om foto’s en video’s te delen op het platform. Daarom zijn er andere omstandigheden nodig om te kunnen beoordelen of [gedaagde] al dan niet professioneel heeft gehandeld.
De rechter kan die omstandigheden niet ontdekken. Onduidelijk is wat haar primaire bron van inkomsten was, bijvoorbeeld. En weliswaar had zij 157 beelden geüpload, maar verder vrij weinig gedaan:
Het in een korte periode uploaden van foto’s met de bedoeling daar geld aan te verdienen betekent nog niet direct dat een persoon als handelaar moet worden aangemerkt.
De rechtbank ziet dus niets waaruit blijkt dat mevrouw handelaar was, en dus is zij consument. (Dit is volgens mij systematisch verkeerd om, want volgens mij is consument-zijn de uitzondering die dus bewezen moet worden.) En wat ik hier lastig aan vind: als men mevrouw pas na een jaar had betrapt, en zij had in de tussentijd 10.000 euro verdiend met een heleboel foto’s die in strijd met de regels waren, had de rechter haar dan óók als consument aangemerkt?

Vervolgens moet het boetebeding worden beoordeeld aan de hand van het consumentenrecht. Een boetebeding opgelegd via niet-onderhandelbare algemene voorwaarden is wel heel zwaar. Daar moet een stevige rechtvaardiging voor zijn, maar die is er: F2F wil afschrikwekkend zijn tegenover wraakporno, auteursrechtinbreuk en dergelijke, iets dat aan de orde van de dag is bij dergelijke diensten. Dus dat had gekund. Alleen:

Het beding ziet (…) op iedere overtreding van artikel A.7. en A.8. van de algemene voorwaarden. Daarbij is er geen oog voor verschillen in aard en ernst van de overtredingen. Er is in het beding of elders in de algemene voorwaarden ook geen limiet gesteld aan de boete. Het beding stelt de boete op € 10.000,- voor iedere overtreding. Dat maakt dat het beding cumulatief geïnterpreteerd kan worden, waardoor de boete bij meerdere overtredingen in een korte periode veel hoger kan zijn dan € 10.000,-, ook in die gevallen dat de consument niet op de hoogte is van de overtreding. … Het feit dat F2F in dit geval ondanks de 157 door [gedaagde] geplaatste foto’s en filmpjes slechts eenmaal € 10.000,- in rekening heeft gebracht doet daar niet aan af, omdat – zoals hiervoor al is overwogen – beoordeeld moet worden hoe het beding kan uitpakken.
De rechter kijkt dus niet naar de redelijkheid van de opgelegde concrete boete, maar naar de redelijkheid van het beding en wat dit voor effect kan hebben als het beding  wordt toegepast. Dat is namelijk hoe de consument tegen het beding aan zal kijken, wat kunnen ze me allemaal aandoen? En 10.000 euro voor iedere overtreding van een héle berg aan regels is andere koek dan specifiek bij overtreding van dit ene artikel.

Arnoud

 

Mag de bank bij geldezelen je rekening levenslang blokkeren?

Via Twitter:

@ingnl beweert dat je bij (bedoeld of onbedoelde) fraude nergens meer een bankrekening krijgt. Is dit legaal? En hoe moet een kind dat dan de rest van zijn leven oplossen in een digitale wereld? Kan dit niet verkroppen!
En inderdaad, op de aangehaalde site vermeldt de ING bank dat wie betrapt wordt op geldezelen daar een stevige consequentie voor kan verwachten: “Je rekening wordt geblokkeerd, je kunt?nergens meer een bankrekening openen.?”

Dat is natuurlijk extreem heftig, zonder bankrekening sta je min of meer buiten de maatschappij. Je kunt nergens werken, want salaris moet verplicht op een bankrekening betaald (art. art 7:620 BW). Ook uitkeringen of toeslagen ga je niet contant krijgen.

Is er een wettelijke regeling voor zo’n extreme stap? Het Kifid legt in keurige taal de juridische kaders uit, inclusief dat het om een ernstige verdenking van fraude moet gaan, dat sprake moet zijn van proportionaliteit en subsidiariteit enzovoorts, maar noemt geen wetsartikelen. Maar als je het helemaal terugzoekt, dan gaat het echt om zelfregulering en niets meer.

Op zich mag dat. Fraudebestrijding is een zwaarwegend bedrijfsbelang in de financiële wereld. En er is een keurig uitgewerkt protocol dat keurig binnen de lijntjes van de AVG blijft, en bovendien wordt gesteund door een vergunning van de Autoriteit Persoonsgegevens omdat het gaat om strafrechtelijke persoonsgegevens.

Als je dat protocol volgt, dan is het inderdaad in theorie mogelijk dat je bij het strafbaar feit “medeplichting aan oplichting” door het uitlenen van je bankrekening uitkomt tot een signalering die leidt tot acht jaar uitsluiting. Maar die maatregel moet wel proportioneel zijn, dus gemotiveerd en een gepaste maatregel gezien de omstandigheden.

Volgens het protocol dan, want in de praktijk lijkt dit allemaal wat sneller en makkelijker te gaan dan voornoemde juridische paragraaf doet suggereren. Dat staat dan weer op gespannen voet met de leveringsplicht van banken om een basisrekening voor consumenten beschikbaar te stellen (art. 4:71f Wet op het Financieel Toezicht).

De Hoge Raad oordeelde in 2021 (via) dat banken inderdaad een vérgaande zorgplicht hebben, zowel voor consumenten als voor bedrijven:

Het hof heeft terecht tot uitgangspunt genomen dat op banken op grond van hun maatschappelijke positie ook ten aanzien van niet-consumenten, de verplichting kan rusten een betaalrekening aan te bieden (vgl. voor consumenten art. 4:71f Wft). Het heeft daarbij eveneens terecht zwaar laten wegen dat het zonder betaalrekening vrijwel onmogelijk is om deel te nemen aan het maatschappelijk verkeer en om een bedrijf te exploiteren. De onderdelen 1.1-1.3 falen daarom.
Het oordeel luidt dat banken wel mogen weigeren vanwege toezichtrechtelijke eisen of integriteitsrisico’s, maar dat dit een concrete belangenafweging eist die niet te makkelijk mag uitkomen bij het geheel blokkeren of weigeren van een bankrekening. Als er een alternatief is, dan moet dat eerst worden geprobeerd. In die zaak was de reden bijvoorbeeld zorg over witwassen van contant geld; een proportioneel alternatief is dan dat er geen cash meer mag worden gestort.

Arnoud

Mag een AI-gedreven zoekmachine advertenties in haar uitvoertekst verwerken?

Eduard Blacquière deed een interessante observatie: in de nieuwe zoekresultaten van Bing staan advertenties. Maar let op: die resultaten zijn geen lijstjes met sites, het is een lopende tekst gegenereerd door Edge CoPilot, de AI van Microsoft. “U kunt ook genieten van een drankje bij HIGH Bar Stockholm [ad]“. Mag dat?

De DSA is duidelijk over advertenties, of beter gezegd “commerciële communicatie” (art. 26):

Aanbieders van onlineplatforms die op hun online-interfaces reclame tonen, zorgen ervoor dat de afnemers van de dienst voor elke specifieke reclame die aan elke individuele afnemer wordt getoond, op een duidelijke, beknopte en ondubbelzinnige wijze en in real time het volgende kunnen vaststellen:
  1. dat de informatie reclame is, onder meer door opvallende markeringen, die standaarden kunnen volgen krachtens artikel 44;
  2. de natuurlijke of rechtspersoon namens wie de reclame wordt getoond;
  3. de natuurlijke of rechtspersoon die de reclame heeft betaald indien die persoon verschilt van de in punt b) bedoelde natuurlijke of rechtspersoon;
  4. vanaf de reclame rechtstreeks en gemakkelijk toegankelijke nuttige informatie over de belangrijkste parameters die worden gebruikt om te bepalen aan welke afnemer de reclame wordt getoond en in voorkomend geval over de wijze waarop die parameters kunnen worden veranderd.
Laten we de tekst van Microsoft erbij pakken (rechtsboven, klik voor groot). Deze tekst is een reactie op een vraag om leuke dingen voor op vakantie in Stockholm, Bing geeft een bolletjeslijst met dingen, zoals het Vasa-oorlogsschip dat bij tewaterlating zonk en 333 jaar onder water bleef liggen. Op zich prima.

De advertentie is de tweede helft van een bolletje over eten en drinken, waarbij eerst zo te zien een organisch resultaat (fusionrestaurant EAT) wordt getoond en dan dus de advertentietekst voor de HIGH Bar. Er staat een markering bij (het blokje “Ad”), ik kan dit niet heel erg opvallend noemen omdat er meteen ook een voetnoot bij staat voor de bronvermelding. Dus dat is meteen een vraagteken.

Het tweede punt van de DSA is namens wie de reclame wordt getoond (en punt 3 wie betaalde, indien anders). Uit de bronvermelding moet ik halen dat de adverteerder Tripadvisor is. Oftewel: deze vermelding van de HIGH Bar is opgenomen omdat Tripadvisor haar diensten wil promoten, niet omdat de HIGH Bar graag meer bezoekers wil.

Waar het volgens mij misgaat, is punt 4: waarom wordt deze advertentie getoond? Ik kan er wel een slag naar slaan, maar de DSA eist dat je uitleg kunt krijgen, en dat lijkt vooralsnog te ontbreken. (Mogelijk ligt dat aan het screenshot. Ik krijg zelf geen enkel zoekresultaat met advertenties.)

Wat dan weer wél kan, is via de Ad Library meer informatie opvragen over een advertentie. Hier vind je dan alle wettelijk verplichte informatie. Deze library volgt ook uit artikel 26 DSA. En dat lijkt me ook een prettig werkbare oplossing.

Arnoud

Is een verpletterd konijn nu ook al internetrecht?

Een pakketbezorger van PostNL blijkt vorige week een doos hondenvoer van 15 kilo bovenop konijn Okkie in de Almeerse Filmwijk te hebben gegooid. Dat meldde Omroep Flevoland woensdag. De zaak is direct opgelost door PostNL, maar velen tipten mij hierover met de vraag hoe dit zou zijn gelopen als iedereen zich zuiver juridisch had gedragen.

Juridisch bekeken ligt de casus als volgt. Een consument plaatst een bestelling bij een webwinkel. Die moet zorgen dat deze bij de consument wordt bezorgd. Dat de winkel daar een hulppersoon (bezorgbedrijf PostNL) voor inschakelt, is voor haar rekening en risico. Niet alleen bij kwijtraken, maar ook bij andere vormen van schade. Zoals letsel- en zaakschade; toegegeven dat is zeldzaam bij bezorging maar het kan. (En voor de fijnproevers: een konijn is geen zaak, art. 3:2a BW, maar de regels van zaken gelden in principe ook voor hen.)

De consument kan dus de winkel aanspreken voor de gevolgen van de fout bij het bezorgen. Oók PostNL mag zij aanspreken, al gaat het dan om onrechtmatige daad en niet om wanprestatie bij een bezorgovereenkomst – de consument heeft geen contract met PostNL, alleen de winkel heeft dat.

Mogelijk heeft de winkel een bepaalde uitsluiting van aansprakelijkheid in haar voorwaarden. Dat is sowieso naar consumenten toe twijfelachtig. De grijze lijst van algemene voorwaarden vermeldt immers dat het vermoedelijk onredelijk bezwarend is om je aansprakelijkheid in te perken. Als winkelier moet je dus een goede reden hebben om dat wél te mogen. En dat is zelden voorstelbaar. Maar er is hier nog iets bijzonders aan de hand.

“[H]et was wel een roekeloze actie. Het had ook een kind kunnen zijn.” Zo citeerde men de eigenaar van het konijn. En dat triggert de meelezende juristen wellicht: een categorie bijzondere gevallen in het aansprakelijkheidsrecht is de schade veroorzaakt door opzet of bewuste roekeloosheid. Als daarvan sprake is, dan kun je je sowieso niet beroepen op een beperking van aansprakelijkheid.

Opzet is makkelijk – en zeldzaam. Je had dan de bedoeling de schade te veroorzaken. Dus niet enkel “weet je wat, ik gooi die doos over de schutting”, dan heb je wel opzet op het gooien maar niet op het vernielen van het konijn. Bij opzet was je motivatie “ha, ik zie een konijn, daar gooi ik eens lekker een doos van 15 kilo op”. En nee, dat krijg je zelden bewezen.

Wat is dan “bewust roekeloos”? De Hoge Raad formuleerde het in 2012 zo:

Bij bewuste roekeloosheid is de schadeveroorzaker zich bewust van de aanmerkelijke kans op letsel of schade; er is sprake van een gebrek aan zorg met betrekking tot de gevolgen van het handelen of nalaten.
Een voorbeeld van dat laatste is het achterwege laten van eenvoudige maatregelen ter voorkoming van dreigende aanzienlijke schade. In dit geval: je had even over de schutting kunnen kijken of daar iets (of iemand) lag die de doos op zich zou krijgen. Dat nalaten maakt het dus bewust roekeloos, waarmee de (onbeperkte) aansprakelijkheid gegeven is.

Gelukkig ging het in de praktijk beter:

Nadat hij een melding deed bij PostNL kwam er een manager van de bezorger langs. “We hebben een fijn gesprek gehad, hij heeft zijn excuses aangeboden. Ook alle kosten voor de dierenarts worden vergoed. Maar het brengt Okkie niet terug.” Vreeswijk is blij dat PostNL goed heeft doorgepakt, maar baalt er wel van dat hij er zo achter moest komen. “Er ligt natuurlijk veel druk op die gasten. Maar doe dan ten minste een briefje in de bus dat er iets mis is gegaan.”
Arnoud

 

‘Politie kan ip-adressen en telefoonnummers Telegramgebruikers vorderen’

De Nederlandse politie zegt bij de chatapp Telegram telefoonnummers op te kunnen vragen die gebruikers juist geheim willen houden, zo ontdekte BNR via een Woo verzoek. Op de eigen website meldt Telegram dat het deze gegevens alleen deelt als het een gerechtelijk bevel ontvangt dat de betreffende gebruiker een terreurverdachte is. Eindelijk een kans me op te winden over die mega-irritante term “gerechtelijk bevel”.

Bij Security.nl leggen ze uit:

Op de formulieren die door de politie zijn gedeeld blijkt dat het om zogenoemde ‘emergency disclosure requests’ gaat. Meerdere chatdiensten bieden opsporingsdiensten deze optie om gegevens van gebruikers op te vragen als er sprake is van onmiddellijk dreigend levensgevaar. Dat opsporingsdiensten deze mogelijkheid ook bij Telegram hebben staat niet op de website van de chatdienst vermeld.
Maar dat iets niet op je website staat, betekent natuurlijk niet dat je het niet hoeft te doen. De wet is de wet, en zeker bij telecom-vorderingen kan de politie heel erg veel. En nee, daar is lang niet altijd tussenkomst van een rechter bij nodig.

Wat me bij mijn irritatie brengt: die term “gerechtelijk bevel” is natuurlijk de letterlijke vertaling van “court order”, de Amerikaanse constructie waarbij een rechtbank oordeelt over een kwestie en dan een -meestal voorlopige- uitspraak doet. Dat kan bijvoorbeeld een gag order zijn, hou je mond hierover, maar ook een bevel tot afgeven van gegevens of verwijderen van een publicatie.

De court order verscheen als term in websitevoorwaarden en dergelijke omdat dit het mechanisme is waarmee je in de VS dingen afdwingt. Niet eens met de publicatie? Wil je weten wie hier achter zit? Zoek je een persoon voor je schadeclaim? Haal maar een court order en dan doen we wat daarin staat. En zónder court order kun je roepen wat je wilt, maar blijven we lekker zitten waar we zitten.

De misvatting is hiermee ontstaan dat áltijd een court order nodig is, oftewel dat er altijd een rechter naar moet kijken. Wat niet waar is: in Nederland is bijvoorbeeld afgifte van NAW-gegevens van klanten zonder rechter verplicht, en je kunt schadeclaims krijgen als je daar niet aan meewerkt.

In het strafrecht is het allemaal iets strenger en vooral formeler. Maar we hebben een gelaagd systeem, waarbij de benodigde checks and balances afhangen van de ernst van de gevorderde maatregelen én van het achterliggende misdrijf. Neem bijvoorbeeld artikel 126na Strafvordering:

In geval van verdenking van een misdrijf kan de opsporingsambtenaar in het belang van het onderzoek een vordering doen gegevens te verstrekken terzake van naam, adres, postcode, woonplaats, nummer en soort dienst van een gebruiker van een communicatiedienst. Artikel 126n, tweede lid, is van toepassing.
Volgens dit artikel mag dus iedere politieagent vorderen tot afgifte van NAW gegevens en nummer (ip-adres, telefoonnummer, etc) van een gebruiker wanneer er vermoedelijk een misdrijf is gepleegd. Het maakt niet uit welk misdrijf. Hierbij is dus géén tussenkomst van de rechter nodig, dit mag de agent gewoon vragen en je moet dat dan geven als dienstverlener.

De reden dat dit zo mag, is omdat dit vrij basale gegevens zijn en een misdrijf toch wel iets ernstigs is. Met deze gegevens kan de politie dan bijvoorbeeld nagaan of het ip-adres matcht met het ip-adres dat men op een oplichtingssite vond.

Een agent mag hiermee echter géén inhoud van bijvoorbeeld mailboxes vorderen, want die gegevens staan hier niet genoemd. Daarvoor zou je bijvoorbeeld artikel 126nd inzetten:

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.
Dit mag dus alleen als het gaat om een ernstig misdrijf – artikel 67 Strafrecht bevat een lijst met wat we “ernstig” vinden. En de vordering moet gedaan worden door een officier van justitie, dus niet door iedere willekeurige opsporingsambtenaar. Dat is dus een iets hogere lat.

De rechter-commissaris komt in beeld als het nóg wat strenger moet, bijvoorbeeld bij het vorderen van gegevens die aan te merken zijn als bijzondere persoonsgegevens. Die zijn in artikel 126nd uitgesloten (lid 2) van de vordering. Wil de officier dat toch, dan moet zhij naar artikel 126nf:

  1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in artikel 126nd, tweede lid, derde volzin, deze gegevens vorderen.
  2. (…)
  3. Een vordering als bedoeld in het eerste lid kan slechts worden gedaan na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris. Artikel 126l, zevende lid, is van overeenkomstige toepassing.
Hier bepaalt lid 3 dus dat een rechter-commissaris nodig is, deze machtigt de officier om de vordering te doen. Maar er is hier nóg een eis bijgekomen: het ernstige misdrijf moet nu ook nog eens “een ernstige inbreuk op de rechtsorde” opleveren, wat een nog weer hogere inhoudelijke toets betekent.

En om dan weer het bericht van BNR erbij te pakken: het gaat hier dus om telefoonnummers, wat een ‘licht’ gegeven is en waarvoor dus iedere opsporingsambtenaar een vordering mag doen bij verdenking van enig misdrijf. Daarvoor is dus zeer zeker geen rechter-commissaris nodig. Waarom Telegram dit niet op de site vermeldt, weet ik niet.

Arnoud

 

 

 

Cryptoplatform Coin Meester verplicht tot schadevergoeding na diefstal digiwallet van gebruiker

Eiser was klant van het beleggingsplatform Coin Meester toen zijn crypto account op de website gehackt werd en vervolgens werd leeggeroofd, las ik bij ITenRecht. Oftewel: wat is de zorgplicht van een cryptoplatform, met name op het gebied van security? Had het platform specifiek moeten afdwingen dat tweefactorauthenticatie werd gebruikt?

De eerste vraag bij ICT-diensten is altijd: wat gebeurt hier juridisch nu precies. De klant stelde dat sprake was van een overeenkomst van opdracht, wat in principe bij 95% van de gevallen het juiste antwoord is. Coin Meester wees erop dat klanten akkoord gaan met een “gebruikersovereenkomst”. Wat dat precies zou moeten impliceren weet ik ook niet, en de rechter komt dan ook direct tot de conclusie dat het inderdaad een opdracht is.

Dat is van belang, want bij opdracht hoort een zorgplicht. Hier komt dat neer op een securityniveaudiscussie: had Coin Meester ervoor moeten zorgen dat je alleen met tweefactorauthenticatie kon inloggen, of was toelaten van enkel emailadres en wachtwoord op zich wel adequaat geweest?

Coin Meester bood allebei als keuzemogelijkheid, zij het met waarschuwingsmailtjes als je 2FA niet had aangezet. Dat is echter geen factor bij de vraag of je adequaat je best had gedaan; het enkele feit dat een crimineel toegang kreeg tot het account, maakt dat sprake is van een tekortkoming. De vervolgvraag is of Coin Meester dat verweten kan worden (toerekenbaarheid) en of wellicht sprake is van eigen schuld waardoor de schadevergoeding omlaag mag.

De kantonrechter legt bij Coin Meester een zware verantwoordelijkheid, omdat zij een professioneel gespecialiseerd bedrijf is en bovendien Wft-geregistreerd, hoewel niet als een ‘echte’ betaaldienst. Als professional moet je weten dat er criminelen binnen kunnen komen als je die zwakke beveiliging zonder 2FA hanteert. Het is dan een risico om die situatie te laten bestaan, en dat maakt dat de tekortkoming toerekenbaar is aan Coin Meester.

De keuzes van de consument spelen een beperkte rol, mede vanwege de wettelijke eisen voor betaaldiensten die laten zien dat de wetgever eigenlijk de consument toch best wel wil beschermen. Daarom hoeft de consument slechts 10% van de schade als eigen schuld (het niet instellen van 2FA terwijl dat wel kon) te dragen.

De rechter verwijst de uitsluiting van aansprakelijkheid snel naar de prullenbak, met een redenering die ik niet vaak gezien heb: op grond van Europese regels zijn bedingen verboden die de rechten van consumenten op oneerlijke wijze uitsluiten of beperken. Dit is de blauwe lijst, die meestal wordt gebruikt om boetebedingen te matigen.

De rechter gaat hier een stapje verder: de beperking van aansprakelijkheid sluit het recht op schadevergoeding volledig uit en daar is geen goede reden voor, dus is de hele exoneratie nietig. In dit concrete geval een te begrijpen uitkomst, het bewaren van de bitcoins is zeg maar de kern van de dienstverlening en het niet op orde hebben van security dus een kern-tekortkoming. Maar de rechter gaat niet in op waarom er dan geen goede reden is; het is toch vrij gebruikelijk om bij consumentendiensten je aansprakelijkheid in enige mate te mogen beperken.

Arnoud

De wassen neus van ‘open’ kunstmatige intelligentie

OpenClipart-Vectors / Pixabay

Veel bedrijven die met kunstmatige intelligentie bezig zijn, noemen zichzelf ‘open’: ze zijn transparant over wat ze doen en hun software is voor iedereen gratis toegankelijk. Zo opende De Correspondent onlangs. Veel datamodellen – zoals LLaMa van Meta – zijn zo open beschikbaar, in tegenstelling tot het OpenAI GPT model dat stevig op slot zit. Maar hoe open is dat nou echt?

Open source heeft het internet gewonnen, daar is iedereen het wel over eens ondertussen. Het model waarbij je broncode deelt en samen bugs oplost onder het motto “with enough eyeballs all bugs are shallow” blijkt de meestgebruikte software te hebben opgeleverd waar zo ongeveer alle internetdiensten op gebaseerd zijn.

Velen willen meeliften op dit succes, dus alles en z’n broer heet “open dit” of “open dat”, maar je moet altijd wel even verder kijken of het écht open is. Want dat betekent niet alleen “je kunt het zonder registratie of aanvraag te pakken krijgen” maar ook “je mag er écht alles mee doen dat je wilt, inclusief aanpassen en ons ermee beconcurreren”. De Business Source License bijvoorbeeld is dus géén open source.

Men citeert in het artikel onderzoek van drie taalwetenschappers van de Radboud Universiteit in Nijmegen, die zo’n dertig verschillende modellen scoorden op dertien variabelen. Specifiek voor LLaMa2 concludeert men:

Zo blijven de data waarop het model is getraind geheim en is Meta minimaal scheutig met de onderliggende computercode. Er is geen erkende wetenschappelijke onderbouwing van het model en de technische uitleg haalt een ruime onvoldoende. In de techwereld zijn dit allemaal gebruikelijke standaarden waaraan je moet voldoen, wil je met goed fatsoen het label ‘open source’ kunnen dragen. Llama2 voldoet aan geen enkele.
De meeste andere modellen komen niet veel beter uit het onderzoek. Dat wordt nog ingewikkeld: de AI Act komt eraan en die gaat óók aan dit soort modellen regels stellen. Die regels gaan onder meer over transparantie en verantwoording, waar komt je data vandaan, hoe representatief en volledig ben je bijvoorbeeld. Hierover hadden we laatst dat onderzoek naar LLMs dat concludeerde dat niet eentje echt voldeed. (Bloom, dat daar het beste scoorde, komt ook nu het hoogste eruit.)

De term ‘open source’ is dan natuurlijk een mooie schaamlap om te doen alsof je model maatschappelijk heel nuttig is. Hopelijk zal de nieuwe wet ervoor zorgen dat we ook daadwerkelijk openheid gaan krijgen.

Arnoud