Bij de rechter eisen dat je geen cookies meer op je computer geplaatst krijgt, het kan!

Photo by stevepb on Pixabay

4 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van ’tracking cookies’ zonder dat de gebruiker daarvoor toestemming heeft verleend te staken en gestaakt te houden. Aldus de rechtbank Amsterdam in een recent kort geding, dat wat mij betreft wel wat meer aandacht had mogen krijgen. Want ja, je kunt dus een cookieplaatsverbod afdwingen bij de rechter.

Toegegeven, het is wel een wat dure en tijdrovende operatie. Deze meneer trok ten strijde tegen Linkedin en Microsoft vanwege diverse tracking cookies die hij aantrof, inclusief cookies “na diens expliciete weigering die toestemming te verlenen”. Reactie Microsoft: dat kunnen wij niet want we weten niet wie u bent, maar zie de handleiding van uw browser.

Dank je de koekoek dacht die meneer, en stapte naar de kortgedingrechter. Een relatief makkelijk verhaal: cookies zijn informatie, en informatie opslaan op randapparaten via telecommunicatie mag alleen met toestemming (art. 11.7a Telecommunicatiewet). Behalve functionele, en dat is natuurlijk discussie genoeg.

De rechter ziet echter genoeg aanknopingspunten voor de stelling dat deze cookies niet voor functionele doeleinden worden geplaatst, maar (direct of indirect) voor advertentiedoeleinden. ALleen al het in kaart brengen van (individuele) bezoekers en hun surfgedrag kan wel degelijk al als tracking cookie worden aangemerkt, aldus de rechter.

Was er toestemming? Die moesten de ‘partners’ van MS en Linkedin natuurlijk netjes vragen volgens de contracten, dus het was geregeld. Maar nee:

De betrokken gedaagden blijven als verwerkingsverantwoordelijken echter (ook) zelf verantwoordelijk voor het bewerkstelligen van het verkrijgen van toestemming op rechtsgeldige en rechtmatige wijze voor het plaatsen en uitlezen van de tracking cookies en zij kunnen daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat.
Je moet meer doen dan enkel instructies of standaardtools geven en zeggen dat het wel goed zat zo. De bedrijven wordt dan ook verboden om nog cookies te plaatsen – en wel op straffe van een dwangsom van 500 euro per cookie, gemaximeerd op 25.000 euro.

Ik voorzie wel wat executieproblemen bij dit vonnis: hoe moet Microsoft weten dat dit cookie gezet wordt bij deze eindgebruiker?

Arnoud

Wat is er juridisch mogelijk tegen nepauteurs en nepartikelen in al dan niet nepjournals?

Photo by Pixabay on Pexels

Academisch publiceren wordt steeds meer bedreigd door onwetenschappelijke krachten, zo opende een artikel over fictieve artikelen en/of auteurs recent. Dergelijke neppublicaties zijn sterk in opkomst, uiteraard dankzij generatieve AI dat wetenschappelijk klinkende tekst per strekkende meter produceert inclusief mooie bronvermeldingen. Is er juridisch wat aan te doen, zo vraagt de auteur zich af.

Nepartikelen en zelfs nepauteurs zijn van alle tijden, moet je dan als jurist zeggen, maar de laatste tijd loopt het wel de spuigaten uit. Bij Retraction Watch las ik zelfs dat drie tijdschriften in de CiteScore top 10 geheel nep zijn:

These journals are filled with automatically generated papers, all using the same template, extensively using buzzwords such as “blockchain,” “metaverse,” “deep learning,” “immersive visualization,” “neuro-engineering technologies,” and “internet of things.” Most papers claim to examine the recently published literature on these topics by “a quantitative literature review of the main databases.” They also claim to analyze initially (always!) between 170 and 180 articles that satisfied the undisclosed “eligibility criteria.”
Of Rian van Rijbroek heeft een nieuwe baan, of hier zijn mensen zeer creatief met ChatGPT aan de slag geweest.

Het onderliggende probleem is dat vrijwel alle waardering voor wetenschappelijke papers automatisch berekend wordt. Het tellen van citations is de bekendste manier. En een tijdschrift lift daar weer op mee: hoe vaker er uit dat tijdschrift wordt geciteerd, hoe beter het wel zal moeten zijn. Dus ja, als je dan steeds je eerdere nepartikelen citeert en nieuwe artikelen rechtstreeks uit de API live zet, dan kom je als tijdschrift al snel in de top 10.

Dit doet pijn, niet alleen door de vervuiling maar ook omdat wetenschappers afgerekend worden op publiceren in de “goede” tijdschriften. Die top 10 van CiteScore is een metric om te bepalen of een tijdschrift “goed” is, en daar staan nu dus nog maar zeven tijdschriften in waar je als mens in zou willen staan.

Nepnieuws dus, om de juridische term te gebruiken. Het probleem is dat nepnieuws an sich niet strafbaar is. Wie goedkoop buzzword-gebrabbel wil publiceren, en dat zelf kan organiseren, moet dat vooral doen. De markt lost dat vanzelf wel op, want wie wil er abonnementen nemen op zo’n tijdschrift?

Ik ben er nog niet helemaal achter wat het businessmodel is hier. Ik denk het verleiden van onoplettende wetenschappers om hier te publiceren – vraag 300 euro “review fee” en publiceer daarna ongezien. Strafbaar is dat niet echt, je krijgt een publicatie dus oplichting is moeilijk hard te maken. Ik zie ook zo snel geen misleidende beloftes zoals dat topresearchers een peer review gaan doen.

Het doet denken aan de oude problematiek van de bedrijfsgidsen, maar daar was de misleiding groter: die vragen of je je gegevens wilt checken en leggen jouw “het klopt” uit als een akkoord op een betaald abonnement van 1500 euro per jaar voor vijf jaar zonder tussentijdse opzegging.

Hier zie ik echt niet meteen een juridisch haakje om tegen deze publicaties op te treden. De enige echte route is die van de Digital Services Act – merk dit aan als een systeemrisico. Alleen zijn de aanbieders van CiteScore en collega’s geen groot platform dat een dergelijke plicht heeft. Dat wringt, want dit ís een systeemrisico. Alleen is er niemand voor verantwoordelijk.

Arnoud

 

Hoe lang heb je als je niet meteen met je parkeerapp kunt parkeren?

Photo by donauwood on Pixabay

Parkeerder heeft evenwel onverwijld en ononderbroken uitvoeringshandelingen verricht. Dat is juridisch voor “je krijgt geen parkeerboete”. Zo oordeelde het Hof Den Haag recent over een naheffingsaanslag in de parkeerbelastingen van de gemeente Vlaardingen. De parkeerapp deed het niet meteen, maar hoe toon je dat aan?

De burger had zijn auto geparkeerd op een plek waar parkeerbelasting verschuldigd is. Die wilde hij met een parkeerapp voldoen, maar die kon ter plaatse geen verbinding maken. Hij besloot daarop naar zijn afspraak (een advocatenkantoor) te lopen, wat 70 meter verderop was. Daar kon hij wel de parkeeractie afronden.

Dat was om 12:09, dus 2 minuten te laat: een parkeercontroleur had reeds “om 12:07:34 uur geconstateerd dat voor de auto geen parkeerbelasting was voldaan en dat in de auto geen ter plaatse geldige parkeervergunning aanwezig was.”

Nu denkt u misschien, je hebt toch altijd 5 minuten om te betalen? Nou nee, dat is geen harde termijn die landelijk gelijk is. Vlaardingen hanteert een coulance termijn van één minuut, zo lees ik in het arrest. Bovendien had de parkeercontroleur niemand bij de auto of op route tussen de auto en de parkeerautomaat gezien.

Wie met de app wil betalen, moet dus bij de auto blijven staan om aan de controleur te laten zien dat hij bezig is. Nee, dat vond ik ook een beetje een gekke. Gelukkig voor parkerende burgers zijn zowel rechtbank als Hof het ermee eens dat dát niet de bedoeling is.

Wel is het zo dat jij moet aantonen dat je “onverwijld en ononderbroken” (zeg maar: als eerste en zo snel mogelijk) die parkeeractie afrondt. Maar hoe toon je aan dat je dat deed? Het Hof hanteert geen harde tijdsgrens (zoals die 5 minuten) maar geeft een vrije bewijsruimte:

Belanghebbende heeft gesteld en ter zitting van het Hof onweersproken bevestigd dat hij meteen na het parkeren, nog zittend in zijn auto, heeft geprobeerd het kenteken van de auto aan te melden via de parkeerapp op zijn mobiele telefoon. Toen dat niet lukte, is hij, omdat het eerder op die manier ook goed was gegaan, meteen naar het kantoor van zijn advocaat gelopen, alwaar het aanmelden wel lukte. Dit heeft alles bij elkaar een paar minuten geduurd, aldus belanghebbende. Gelet hierop is het Hof van oordeel dat belanghebbende vanaf de aanvang van het parkeren onverwijld en ononderbroken handelingen heeft verricht gericht op het betalen van de verschuldigde parkeerbelasting. De omstandigheid dat belanghebbende naar het kantoor van zijn advocaat is gelopen, dat ongeveer 70 meter van de parkeerplaats was gelegen, maakt voormeld oordeel niet anders, aangezien hij dat deed met het primaire oogmerk om aldaar de parkeerapp in werking te stellen.
Oftewel, leg maar uit wat je deed vanaf het moment dat je de auto parkeerde. Als dat een coherent verhaal is waaruit blijkt dat je zo snel mogelijk die app aan de praat wilde krijgen, dan is het goed.

Dit is een andere uitkomst dan die zaak in december, waar de parkeerder inlogproblemen had en achttien minuten nodig had om het op te lossen. Omdat hij was weggelopen van de auto, “is het risico ontstaan dat er in de tussenliggende tijd een parkeercontrole plaatsvond. De gevolgen hiervan komen voor rekening en risico van eiser.” Aldus de rechtbank in die zaak.

Met het criterium van dit Hof had die zaak denk ik anders uitgepakt: het lijkt erop dat die parkeerder ook onverwijld en ononderbroken bezig was met parkeerbelasting betalen. Tenzij je zegt, de app herinstalleren en het wachtwoord resetten valt daarbuiten. Het lijkt erop dat de rechtbank gewoon die achttien minuten hoe dan ook te veel vond.

Arnoud

ACM legt boetes op aan webwinkels voor nepkortingen

Photo by Artem Beliaikin on Unsplash

De Autoriteit Consument & Markt legt boetes op van in totaal 621.000 euro aan vijf webwinkels voor het gebruik van nepkortingen. Dat maakte de toezichthouder onlangs bekend. De webwinkels boden meerdere producten aan met een korting op een misleidende ‘van-prijs’: er werd niet echt korting gegeven of was de korting minder dan je zou denken.

De regels over prijzen en aanbiedingen staan niet in het Burgerlijk Wetboek maar in de Prijzenwet, nader uitgewerkt in het Besluit prijsaanduiding producten (Bpp). En dat is – door schade en schande geleerd – heel specifiek over hoe je kortingen mag presenteren (art. 5a):

Bij aankondigingen van prijsverminderingen geeft de verkoper de laagste verkoopprijs aan die door hem is toegepast gedurende een periode die niet korter is dan dertig dagen voor de toepassing van de prijsvermindering.
De laagste prijs in de afgelopen dertig dagen is dus de benchmark. (Je mag een langere termijn hanteren als je wilt, maar niet korter.) Deze regel is niet specifiek voor online winkels, maar daar wordt het vaakst met acties gestrooid en blijkt het ook het vaakst mis te gaan met van-voor aanduidingen.

De ACM controleert de prijsveranderingen geautomatiseerd, iets dat ik wel heel mooi vind bij toezicht houden op online. Bij prijsveranderingen kijk je dan wat de laagste prijs de afgelopen dertig dagen was, en je kunt al zo ongeveer automatisch het boetebesluit uitsturen (tentamenvraag: mag dat straks nog van de AI Act).

Een voorbeeld van hoe het misging, is het boetebesluit van Koopjedeal. Daar was een steelstofzuiger te koop met als van-prijs €199. Die ging eerst voor 99 euro weg, en een week later voor 104,99 euro. Dat mag niet: de laagste prijs is dan die 99 euro, niet de oorspronkelijke 199.

Bij een andere stofzuiger werd het nog bonter: daar ging niet de kortingsprijs omhoog, maar de ‘van’-prijs. En wel van 149,99 naar 199,99 euro. Dit is natuurlijk nog erger.

Omdat de ACM niet met AI beboet, kan ze niet iedereen aanspreken. Maar dat levert dan gelijk een klacht op van willekeur, of beter gezegd van kiezen van overtreders op naamsbekendheid. (Aldus Koopjedeal, van wie ik persoonlijk nog nooit gehoord had, maar wie ben ik.) De ACM kiest webshops op basis van frequentie in de resultaten bij een forse lijst zelfgekozen opdrachten die consumenten ook zouden doen. Dat lijkt me objectief genoeg.

De ACM komt gezien de ernst van de overtredingen uit op een boete van 245.000 euro maar verlaagt deze met een derde omdat het de eerste keer was.

Voor consumenten is dit een gunstige uitspraak. Met dit besluit staat namelijk vast dat Koopjedeal (en de andere aangesproken bedrijven) een oneerlijke handelspraktijk hebben gepleegd. In juridische taal: het in strijd met het Bpp vermelden van prijzen is een schending van artikel 2b Prijzenwet, en dat is per definitie een oneerlijke handelspraktijk (art. 6:193f BW).

Een koop die je gedaan hebt door zo’n handelspraktijk is vernietigbaar (art. 6:193j lid 3 BW). Je kunt er dus vanaf, ook buiten de 14-dagentermijn en je hoeft géén gebruiksvergoeding te betalen. Bij vernietiging gaat het om de waarde op het moment van vernietiging (HR-arrest).

Veel mensen zullen niet perse het product terug willen geven maar het verschil met de ‘echte’ korting willen krijgen. De wet kent het systeem van partiële vernietiging, maar ik weet niet zeker of je daarmee de prijs omlaag kunt krijgen. Bovendien: wat ís de echte korting in zo’n geval? Het verschil tussen hoogste van-prijs en laagste kortingsprijs?

Arnoud

 

Heb je auteursrecht op bugfixes op andermans software?

“Het herstellen van een bug is in het algemeen geen grote bewerking”. Aldus de rechtbank Rotterdam in een recent geschil over broncodes. Voordat iedereen boos wordt: het ging hier over auteursrechtelijk grote bewerkingen, en dat is wat anders dan hoe moeilijk het is om voor elkaar te krijgen.

De zaak komt erop neer dat de koper van een stuk software de oude eigenaar (en ik vermoed, maker) daarvan inhuurde als zzp’er om hier bepaalde bug fixes in uit te voeren. Die leverde dat aan in de vorm van gecompileerde binaries, maar wilde geen broncode verstrekken en beriep zich op auteursrecht op de fixes.

Je kunt op zich ook op een klein werk (als in: weinig regels of woorden) auteursrecht hebben. Waar het om gaat, is of je een eigen intellectuele schepping dan wel eigen oorspronkelijk karakter/persoonlijk stempel daar in hebt zitten. Wat de rechter hier “banale of triviale elementen” noemt, valt buiten het auteursrecht. Die interrupt héét nou eenmaal 13h, dus dat getal zul je moeten noemen en daar is auteursrechtelijk niets intellectueels aan.

Intrigerender wordt het door de vervolgzin:

[D]e keuzes van de maker mogen niet louter een technisch effect dienen of te zeer het resultaat zijn van een door technische uitgangspunten beperkte keuze.
Dat je bij programmeren creatief bezig bent, erkent iedereen. Maar er zijn randgevallen waarin daar geen (of weinig) sprake van is. Het herstellen van fouten is zo’n randgeval: je bent dan niet iets nieuws en eigens aan het toevoegen, je herstelt andermans fouten (of denkt dat te doen), en dat is haast per definitie niet een eigen inbreng.

Natuurlijk, het hangt af van het soort fout. Als je een naiëve eenregelige aanroep van een functie vervangt door een pagina vol met checks en balances inclusief security best practices, dan is die pagina vast auteursrechtelijk creatief. Deze zaak lijkt te zijn gegaan om het meer standaardwerk, het corrigeren van kleine misstappen in het origineel.

Een punt is nog wel dat een bug best moeilijk kan zijn om op te sporen (ik heb veel bewondering voor deze) maar niet perse moeilijk om op te lossen áls je het probleem gevonden hebt. Iedereen kent het verschijnsel van een hele middag bezig zijn om een ongewenste puntkomma te lokaliseren. Het frustrerende is dan dat die activiteit niet auteursrechtelijk relevant is – het gaat alleen om creativiteit die in het resultaat te herkennen is.

Als laatste bleek de bugfixer/programmeur niet inhoudelijk diep te zijn ingegaan op wáár dan de creativiteit zat. Als je je op auteursrecht beroept, moet je (desgevraagd) wel kunnen aantonen waarom het jouw intellectuele schepping was.

Arnoud

Mag een school de VPN app van mijn dochter automatisch wissen?

Photo by Arthur Lambillotte on Unsplash

Een lezer vroeg me:

De middelbare school waar mijn dochter op zit verbiedt een VPN programma te hebben op haar iPad. Via het beheersysteem van school wordt deze app verwijderd. Thuis is het niet toegestaan wegens werkomstandigheden van mij een iPad te gebruiken zonder VPN. Hoe kan ik dit het beste oplossen met de school?
Dit wist ik ook niet, maar er zijn vele scholen die in hun reglement bij het beschikbaar stellen van een iPad de eis stellen dat er geen VPN app op wordt gebruikt.
Voorbeeldje van een school in Heerenveen: Installatie van illegaal verkregen software, het zogenaamde “jailbreaken” en het gebruik van VPN apps is nadrukkelijk verboden. … Installatie van en het gebruik van VPN applicaties of VPN Apps is nadrukkelijk verboden;
Hier lijkt het verbod gerelateerd aan illegale zaken, via een VPN kun je anoniem internet op en dat zal wel voor rare dingen gebeuren.

Een andere school, uit Wijk bij Duurstede, geeft een andere reden:

Het is niet toegestaan om een VPN-verbinding te gebruiken op het schoolnetwerk, omdat hiermee de werking van Apple Klaslokaal wordt beïnvloed. VPN-apps worden daarom actief geblokkeerd op het netwerk en leerlingen zullen worden aangesproken op het gebruik van een dergelijke app, mocht deze (nog) niet geblokkeerd zijn.
Dat “beïnvloeden van de werking” blijkt te gaan om de monitoringfunctie: de tool van Apple kan dan niet meer aan de docent laten zien wat je aan het doen bent. Ook kun je dan geblackliste websites bezoeken en ga zo maar door.

Deze redenen lijken me zeer legitiem om te handhaven tijdens de les – want dat is met het smartphoneverbod eigenlijk het enige moment dat je nog een tablet bedient op school. Ik snap dat de school daar dan proactief in wil zijn en dergelijke apps dus wist als ze toch worden geïnstalleerd.

Dit blijkt echter thuisgebruik van die tablet te hinderen, want kennelijk is het in die situatie nodig dat de scholier een VPN app gebruikt om internet op te kunnen. Wat moet er dan winnen, de wens van de school om de hierboven beschreven issues te regelen of de thuissituatie?

De wet biedt hier geen expliciete regels over. Het komt neer op een afweging van belangen, en dat vereist in discussie gaan met elkaar. Het zou bij een school vast mogelijk moeten zijn een uitzondering wegens persoonlijke omstandigheden te maken (whitelist één specifieke vpn app op deze iPad). Misschien is er ook iets in het thuisnetwerk aan te passen, bijvoorbeeld een apart subnet voor de kinderen zodat ze geen last hebben van de streng beveiligde baan van hun ouder(s).

Als dit bij de rechter zou komen (wat je écht zou willen vermijden) dan denk ik dat die de school gelijk geeft. Die heeft een toezichtplicht op gebruik van ict-middelen op school, en de school kan vast onderbouwen dat leraren niet handmatig kunnen scannen op VPN apps op de tablets die men op school gebruikt. Dan is ze automatisch wissen een logische stap. De ouders hebben een ongebruikelijke netwerksetup, en dat zal in zo’n geval voor hun rekening moeten komen.

Arnoud

Mag een dienst zomaar een AI-hergebruiksrecht in de voorwaarden zetten?

Photo by Anete Lusina on Pexels

Mensen hebben kennis genomen van de bijgewerkte gebruiksvoorwaarden voor het gebruik van Adobe-software en zijn verontwaardigd, omdat ze vrezen dat Adobe volledige toegang heeft tot de inhoud van een gebruiker. Aldus nieuwssite Petapixel. Het is een ander aspect van de AI-hergebruikdiscussie: ditmaal gaat het over auteursrechten en contractuele afspraken.

Adobe is niet zozeer op zoek naar gesprekken en dergelijke content, maar heeft dringend behoefte aan bergen beeldmateriaal waarmee ze haar beeldgeneratoren kan voeden. Dat vereist een licentie onder het auteursrecht van de makers, plus toegang tot hun bestanden.

Adobe is een clouddienst, dus dat is een kwestie van een daartoe strekkend beding opstellen:

Solely for the purposes of operating or improving the Services and Software, you grant us a non-exclusive, worldwide, royalty-free sublicensable, license, to use, reproduce, publicly display, distribute, modify, create derivative works based on, publicly perform, and translate the Content. For example, we may sublicense our right to the Content to our service providers or to other users to allow the Services and Software to operate with others, such as enabling you to share photos.
Zoals al vele malen gesignaleerd de afgelopen decennia bij dit soort clausules: hier staat dat men álles mag. (De “For example” is leuk maar juridisch niet relevant.) Dat was in het verleden vaak wat speculatief – gaat Facebook jouw leuke statusupdate op mokken verkopen soms? Maar er is nu een duidelijke use case, namelijk dat trainen van AI modellen. En ja, dat mag naar de letter van deze tekst.

Dit werd op X gesignaleerd met de constatering dat iedere Adobe-gebruiker met enige geheimhoudingsplicht naar cliënten nu een probleem heeft. Immers, Adobe mag je beelden analyseren en als dat werk in opdracht onder NDA is – of werk van een geheimhouder zoals advocaten of artsen – dan doorkruist dat je bestaande afspraken.

Ja, dat is een probleem, ook als je aanneemt dat bij Adobe geen mens naar jouw beeld kijkt en ze echt niet jouw afbeeldingen gaan lezen om daar onthullende publicaties mee te doen. Als je afspraak is dat niemand je werk krijgt behalve de opdrachtgever, dan mag je ook niet toestaan dat Adobe dat doet. Ik snap dan ook goed de vele geluiden van mensen die op zoek zijn naar een alternatief.

Is er juridisch wat aan te doen? Vooralsnog niet: Adobe is geen VLOP en dus niet onderworpen aan de strengste regels van de DSA. Zuiver contractueel is de wijziging in de voorwaarden toegestaan, omdat het een business-to-business dienst is.

Arnoud

Ik heb de DPIA gemist waaruit bleek dat Microsoft Recall een goed idee was?

Photo by Peggy_Marco on Pixabay

Recall, kent u die al? Microsoft “omschrijft deze functie als een doorzoekbaar fotografisch geheugen voor Windows”, aldus Tweakers. Het is een systeemproces dat elke paar seconden een screenshot neemt (ja, die van de PrtSc knop)en opslaat in een onbeveiligde map waar een AI proces dan tekstanalyse op gaat doen. Of iets dergelijks. De Britse AVG-toezichthouder kijkt hier al naar, maar waarom dat zo lang moet duren?

Microsoft noemt het “snapshots”, cynische ikke denkt dan dat dat is omdat iedereen weet wat “screenshots” zijn en snapshot gezellig & ietwat technisch klinkt. En hoewel Microsoft beweert dat de informatie goed beveiligd is, blijkt er toch het nodige vrij triviaal toegankelijk.

Mijn grootste verbazing is dat men dit ook in de EU gaat uitrollen, terwijl het zo triviaal niet beveiligd opslaan van persoonsgegevens daar waar een crimineel zo gaat zoeken toch niet echt voor de hand ligt. Ik zal wel een DPIA gemist hebben.

Arnoud

Mag ik op mijn Solex met analoge camera foto’s maken?

Via Reddit:

Ik reed laatst op mijn Solex door de polder. Ik had een analoge camera om mijn nek hangen. Na enkele minuten voor me uit staren trof mij de inspiratie om een foto te maken van mijn motorblokje tijdens het rijden. [Was ik strafbaar vanwege “vasthouden mobiele telefoon”?]
De vraag verrast u misschien, want hoezo is een analoge camera een mobiele telefoon? Maar ik formuleer het zo, omdat we het betreffende artikel 61a uit het RVV kennen als het verbod op vasthouden van een mobiele telefoon.

Het verbod is echter (sinds 2017) een stuk breder:

Het is degene die een voertuig bestuurt verboden tijdens het rijden een mobiel elektronisch apparaat dat gebruikt kan worden voor communicatie of informatieverwerking vast te houden. Onder een mobiel elektronisch apparaat wordt in elk geval verstaan een mobiele telefoon, een tabletcomputer of een mediaspeler.
Deze uitbreiding is er vooral gekomen voor de handhaving: er is zo een stuk minder discussie mogelijk over of je wel of niet een telefoon in vliegtuigmodus, een muziekspeler of een navigatie-unit in je hand mag houden.

Met de specifieke camera van de vraagsteller is iets bijzonders: dit is zo te lezen een ouderwetse analoge camera (met filmrolletje). Dat is geen elektronisch apparaat, en ik zou ook “informatieverwerking” moeilijk te verdedigen vinden gezien dat gewoonlijk gaat over nullen en enen en niet chemische reacties op een filmrolletje.

Een boete op grond van artikel 61a lijkt me dus niet mogelijk in dit geval. Wel is er natuurlijk altijd nog artikel 5: het (potentieel) gevaar veroorzaken op de weg.

Arnoud

 

 

Mag Meta haar AI trainen op alle content op Facebook?

Photo by Andrei Zolotarev on Unsplash

Meta lijkt zijn AI-systemen ook op data van Europese gebruikers te gaan trainen. Dat meldde Tweakers enige tijd terug. Het bedrijf beroept zich daarbij – natuurlijk – op de AVG-grondslag van gerechtvaardigd belang. De AP vindt dat dat niet mag, haar Europese collega’s van wel (in principe). Hoe zit dat nu?

In het nieuwe privacybeleid van Meta wordt op diverse plekken verwezen naar de mogelijkheid om AI te trainen op gebruikerscontent. Dat gaf vele gefronste wenkbrauwen, onder meer omdat Meta hier geen toestemming voor vraagt maar alleen een opt-out aanbiedt.

Juridisch klopt dat: Meta beroept zich op de AVG-grondslag van gerechtvaardigd belang, en daarbij hoef je nou net geen toestemming te vragen. Wel moet je dan een recht van bezwaar gunnen (art. 21 AVG). Een betrokkene moet dan “met zijn specifieke situatie verband houdende redenen” aandragen, die evalueer je en dan besluit je of je wellicht de verwerking beter kan staken.

Nee, dat is geen echte opt-out. Die bestaat eigenlijk alleen bij verwerking voor marketingdoeleinden (art. 21 lid 2), en dit kennen we als het schuifje bij tracking en cookies. Meta heeft dus formeel de juiste keuze gemaakt binnen haar proces, want wat zij doet is geen verwerking voor direct marketing.

Maar mag dat überhaupt, deze grondslag inroepen voor het gebruiken van persoonsgegevens om een AI mee te trainen? Nee, aldus onze eigen AP: dat is een “zuiver commercieel belang”, geen “belang waarvan we in de maatschappij vinden dat het door het recht beschermd moet worden.” Vaste lezers weten dat ik dit onzin vind: ondernemen is een grondrecht en dus een rechtens beschermd belang.

Wat niet betekent dat het dus mág, want bij gerechtvaardigd belang hoort een afweging. Zo zien de Europese toezichthouders (verenigd in de EDPB) het ook: in principe moet dit kunnen, maar je moet wel een goede belangenafweging hebben, zo vat ik het maar even samen. Daarbij weegt zwaar wat mensen redelijkerwijs mochten verwachten. Gezien de ophef bij Meta kun je daar dus wel vraagtekens bij stellen.

(Voor de fijnproevers, ik zou wel eens een analyse willen zien waarom hergebruik voor statistische doeleinden via doelbinding art. 5(1)(b) jo. 89 AVG niet opgaat. Ik snap dat dit bij scrapen van andermans website niet kan, maar het is Meta haar eigen eerste kkverwerking.)

Arnoud