Internetrecht door Arnoud Engelfriet

De Nederlandse Dienst Justitiële Inrichtingen heeft drieduizend gesprekken van advocaten opgenomen door een softwarefout. Dat las ik bij Tweakers. De bron is een brief van de staatssecretaris waarin hij meldt van een incident: gesprekken van advocaten wiens nummer meerdere malen in de lijst met niet-opnemen-nummers stonden, werden wél opgenomen. Dit kwam uit nadat een advocaat het ontdekte (maar hoe dan?) en erover klaagde. De fout is nu opgelost.

Gezien het “van advocaten die meerdere malen voorkomen” zie ik het nog wel als reëel dat het echt een programmeerfout was. Een simpele verklaring is dat de te matchen nummers normaal als tekststring binnenkomen en nu als lijst met de meerdere nummers. Vergelijken van een string met een array zal nooit een match opleveren, dus dan komt dit gesprek door de check heen en wordt het alsnog opgenomen.

De grotere vraag is waarom de DJI dit nooit merkte bij het terugluisteren van de taps. Mogelijk doen ze dat alleen steekproefsgewijs, en het aantal advocaten met twee geregistreerde nummers zal klein zijn dus in theorie is het altijd toevallig goed gegaan. Maar het is natuurlijk ook goed denkbaar dat er DJI-mensen waren die wél meeluisterden. Ik zou het dan wel héél riskant vinden om er wat mee te doen, want als je wordt betrapt heb je geen enkel excuus.

Idem als je het doorbrieft aan een agent die bezig is met een onderzoek. Die kan er niets mee in het dossier, want leg eens uit waar dat bewijs vandaan komt? Natuurlijk is softe informatie handig om te hebben maar dit kan je hele onderzoek besmetten omdat de overtreding dermate ernstig is. Dus ja, het is denkbaar maar zelfs agenten die de wet willen breken, zullen denk ik even twee keer nadenken bij deze bron van informatie.

Arnoud

Wat bizar: in Griekenland, Hongarije en Letland begint een test van de Europese Unie met een leugendetector bij de grenscontrole, las ik bij Tweakers. Het iBorderCtrl-systeem analyseert ‘microgezichtsuitdrukkingen’ van reizigers om te controleren of ze de waarheid vertellen. Niet alleen is deze test gebaseerd op onderzoek waarbij slechts 32 vrijwilligers betrokken waren als proefpersonen, er is ook geen wetenschappelijke onderbouwing dat microexpressies überhaupt iets zeggen over leugenachtigheid. Maar ja, er zit een Artificial Intelligence in en uiteindelijk zegt het systeem alleen maar dat iemand verder moet worden gecontroleerd, dus niets aan de hand toch? Nou, dus wel.

In de kern komt het erop neer dat je als potentiële bezoeker online een aanvraag doet om de EU in te mogen. Je uploadt dan een foto van je paspoort en doet een intake met een virtuele douanebeambte in jouw taal, waarbij je wordt gefilmd met je eigen webcam. Software bij de douane analyseert die beelden (van 640×480 pixels bij 30 frames per seconde) op ‘microexpressies’, zeer kleine veranderingen in het gelaat die worden gekoppeld aan emotionele reacties. Een Machine Learning model (“een AI”) trekt daar statistische gegevens uit en legt deze langs een berg met proefpersoondata om zo te bepalen of je waarschijnlijk een leugenaar bent. Je komt dan in aanmerking voor extra controle.

Bedoeling van het systeem is natuurlijk om de douanebeambten aan de grens te ontlasten. Als een AI kan filteren op de verdachte personen, dan kan de douane daar haar aandacht op richten en de ‘gewone’ bezoekers doorlaten. Dat concept (dat ik eerder besprak) ondersteunt slechts de werkprocessen, en is daarmee juridisch geen probleem.

Het is ook niet verboden onder de AVG (die ook geldt bij grenscontroles, omdat hij geldt voor alle verwerkingen die in Europa gebeuren, en de dienst van het pre-screenen gebeurt in Europa). Weliswaar mag een computer geen besluiten nemen, maar een aanwijzing of iemand gecontroleerd moet worden, telt niet als besluitvorming in de zin van de AVG. Deze actie raakt je niet “in aanzienlijke mate”, zoals de wettelijke formulering is.

Inhoudelijk is dit natuurlijk behoorlijk problematisch. Natuurlijk is het geen robot die je bij de grens tegenhoudt. Er gaat een rood lampje branden bij de menselijke douanecontroleur, maar die moet vervolgens nog wel iets van bewijs te voorschijn krijgen. Alleen, in mijn ervaring is er altijd wel iets als je goed zoekt, in bureaucratische en voor gebruikers onbekende situaties. Zeker wanneer de controleur het onderzoek in gaat met “er is iets aan de hand”. Je krijgt dan een heel andere insteek van het gesprek en de doorzoeking dan bij een “Persoon geselecteerd voor willekeurige controle”. Dat vind ik ernstig.

In het paper van het onderzoek lees ik dat de insteek is dat van 32 participanten datasets op basis van beelddata werden gemaakt (die fameuze micro-expressies); een webcam van 640×480 pixels op 30 fps, elk frame is een data-vector. Koppel de beelden aan een vraag (“Wat zit er in uw koffer” of “Wat is de naam van iemand die uw verhaal kan bevestigen”) en je hebt je dataset. Het lijkt een standaard neural network met 20 verborgen lagen, waarbij inderdaad accuratesse van 76% werd gerapporteerd op de test-set. Nou is dat al niet hoog, maar het is dus gebaseerd op twee-en-dertig mensen. Dat vind ik bizar weinig. Ik ken natuurlijk de training voor douanebeambten niet, maar ik mag hopen dat die meer dan 32 trainingssituaties krijgen voordat ze ‘los’ mogen aan de grens?

Vervolgens vind ik deze Powerpoint (met wat zorgelijke dingen, zoals dat in de lijst van risicofacturen op slide 16 mensen hun Twitter(???) genoemd wordt. En wat ik volledig mis is hoe het systeem uitlegt waarom je in de verhoogdrisicorij terecht gekomen bent, een AVG eis. Ik denk dat ze denken dat dat niet hoeft omdat het systeem rule-based is, maar dat is onterecht.

Daar komt dan bij dat microexpressies helemaal niets zeggen, aldus UvA-professor Bruno Verschuere. Dus zelfs als je wel een representatief model hebt, dan slaat het aan op features die niets zeggen over de werkelijkheid. Effectief heb je daarmee een hele dure (4,5 miljoen Euro) random nummer generator gebouwd, maar met de pretentie dat het iets zegt dat het lampje rood werd. Dat lijkt me bepaald niet de bedoeling.

Arnoud

Een rechtbank heeft de Zweedse provider Bahnhof bevolen enkele internetdomeinen te blokkeren na claims van uitgever Elsevier van inbreuk op auteursrechten. Dat meldde Tweakers maandag. In antwoord daarop blokkeert Bahnhof de toegang tot de sites van de uitgever zelf, en bezoekers van deze uitgever mogen de site van de ISP niet meer bekijken. Dit als ludiek protest nu men hoger beroep te duur en te weinig kansrijk acht. Niet dat er veel medewerkers van Elsevier vanaf hun werk een abonnement bij een Zweedse internetprovider willen nemen, maar toch. Het gaat om het principe. Maar dan krijg je altijd van die principiële mensen terug die dan roepen, maar ho ho mag dat wel van netneutraliteit?

In Europa hebben we sinds 2015 netneutraliteit verankerd in een Verordening, een Europese wet. De hoofdregel uit deze Verordening is vrij simpel:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.

Daar is weinig juridisch aan, je mag als ISP dus geen enkele discriminatie of blokkade instellen tegen iemands internetgebruik. Niet bij je klanten, en niet bij derden. Ook niet als ze jou net bij de rechter tot een blokkade hebben gedwongen.

Zo’n blokkade mag dan op zich weer wel:

Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om:
a) te voldoen aan de wetgevingshandelingen van de Unie of de nationale wetgeving die in overeenstemming is met het Unierecht, waar de aanbieder van de internettoegangsdiensten onder valt, of aan de met het Unierecht in overeenstemming zijnde maatregelen ter uitvoering van dergelijke wetgevingshandelingen van de Unie of dergelijke nationale wetgeving, met inbegrip van beslissingen van rechters of overheidsinstanties die ter zake bevoegd zijn;

Als het moet van de wet, of van de rechter die de wet heeft toegepast, dan is een blokkade of beperkende maatregel dus wel mogelijk binnen netneutraliteit. Elsevier heeft dus het recht aan haar zijde. Formeel zou Bahnhof dus op de vingers getikt kunnen worden voor haar tegenactie, hoewel ik het gezien de achtergrond en deze zeer beperkte scope (en het feit dat ze alleen haar eigen klanten dupeert, wat zich vanzelf oplost na wat klachten bij de helpdesk lijkt me) niet kan voorstellen dat de Zweedse telecomtoezichthouder hier wat van gaat vinden.

Arnoud

De ‘valsspelers’ bij Ikea, zo opende een column van Maarten Hachmang bij E-driving.com. Maarten geniet ervan om naar Ikea te gaan, omdat hij dan op vol vermogen met zijn elektrische auto kan rijden – bij Ikea kun je lekker rustig weer snelladen namelijk terwijl je winkelt. Alleen viel dat deze keer tegen: alle plekken bezet,… Lees verder

Een federatie van 144 moskeeën in Nederland eist dat Twitter het account van Geert Wilders verbiedt. Zijn uitspraken zouden in strijd zijn met de gebruiksvoorwaarden van het platform. Dat meldde RTL maandag. De organisatie overweegt de gang naar de rechter als het medium niet zelf ingrijpt. In het AD lees ik iets meer over de… Lees verder

Een lezer vroeg me: Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen… Lees verder

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem: Af en toe komt het –… Lees verder

Een illegale downloader die wordt vervolgd, kan niet zomaar een gezinslid of huisgenoot de schuld geven van het downloaden om onder de straf uit te komen, meldde Nu.nl onlangs. Het Europese Hof van Justitie deed eerder uitspraak (zaaknr. C-149/17) hierover in een Duitse kwestie waarbij de houder van een internetaansluiting van illegaal downloaden van een… Lees verder

Het is vanaf binnenkort niet langer nodig om de Pokémon Go-app open te laten staan op een smartphone om de game de afstand te laten detecteren die gebruikers lopen. Dat meldde Tweakers vorige week. Met deze vernieuwing wordt het mogelijk Pokémon-eieren uit te laten komen. Die gebeurtenis in het augmented reality-spel vereist dat je een… Lees verder

Het Openbaar Ministerie (OM) heeft in 2014 in een strafzaak 712 bitcoins in beslag genomen, omdat de eigenaar ze met gestolen stroom zou hebben verzameld. Dat meldde Nu.nl vorige week. Dit omdat de rechter in hoger beroep bepaalde dat niet bewezen kon worden dat de bitcoins door misdrijf verkregen zijn. De verdachte had bitcoins gemined… Lees verder