Wanneer verdient een AI rechtspersoonlijkheid?

| AE 9832 | Innovatie | Er zijn nog geen reacties

In India kun je door een rivier worden gedagvaard, las ik onlangs (dank, tipgever). De rivieren de Ganges en de Yumana hebben daar dit voorjaar rechtspersoonlijkheid toegekend gekregen, zodat ze zelfstandig claims kunnen indienen tegen hun vervuilers. Ook bij dieren speelt die discussie. Dat is een opmerkelijke noviteit, en voor de tipgever aanleiding me te vragen of dit soort precedenten ertoe kunnen leiden dat ook Artifical Intelligences (AI’s) zelfstandige rechtspersoonlijkheid kunnen krijgen.

Rechtspersoonlijkheid is het concept dat iets anders dan een mens dezelfde status krijgt. De bekendste voorbeelden zijn bedrijven en verenigingen: die bestaan volgens de wet geheel los van hun bestuurders, aandeelhouders, leden en andere mensen die baat hebben bij die organisaties. Het idee erachter is dat de organisatie zo de individuele personen erachter kan ontstijgen, onder meer doordat die niet automatisch aansprakelijk zijn voor eventuele fouten of schulden veroorzaakt door het bedrijf. (En ja, dat is dan ook precies het probleem met rechtspersonen als het uit de hand loopt.)

Rechtspersoonlijkheid ken je toe aan een object wanneer je wil dat deze zelfstandig aan het rechtsverkeer deelneemt. Deze entiteit moet bijvoorbeeld geld of goederen kunnen bezitten, claims kunnen indienen of juist kunnen dragen en vergoeden. Het is handig dat een vereniging een rechtspersoon is bijvoorbeeld, omdat deze zo los komt van haar bestuurders, en met eigen vermogen activiteiten kan opzetten (zoals een zaaltje huren of donaties ontvangen) voor hun doel. Je kunt die entiteit dan ook aan nadere regels onderwerpen: dit is het stemrecht, en als je activiteiten zus en zo zijn dan zijn donaties belastingaftrekbaar.

Dat wil natuurlijk niet zeggen dat rechtspersoonlijkheid altijd de manier is om entiteiten te beschermen. In Nederland zijn dieren bijvoorbeeld geen rechtspersoon, maar toch beschermd tegen bijvoorbeeld mishandeling: het is mensen verboden dieren onnodig pijn te doen. Met zo’n regel is er specifiek voor dat belang dan geen rechtspersoonlijkheid meer nodig. Optreden tegen vervuiling in rivieren kan ook op zo’n manier, stel strafbaar het loze van vuil in de rivier. Het voornaamste voordeel van rechtspersoonlijkheid zou zijn dat de schadeclaim op zo’n vervuiler nu in de portemonnee van de rivier zelf terecht komt, in plaats van als boete bij de staat in de algemene schatkist. Ook kan de rivier dan zelf kiezen wie aan te klagen, in plaats van afhankelijk te zijn van het Openbaar Ministerie dat wellicht andere prioriteiten kiest.

Zou rechtspersoonlijkheid voor AI’s interessant zijn? Dat komt dus neer op de vraag welke belangen of beschermingen we vinden dat zij moeten hebben in het rechtsverkeer. Wat zou een AI doen met een eigen vermogen, bijvoorbeeld? Hebben haar bestuurders/programmeurs stemrecht nodig, moet de AI boven deze mensen uit kunnen stijgen? Moeten ze worden beschermd tegen anderen die ze schade gaan berokkenen?

Een argument voor rechtspersoonlijkheid dat ik vaak zie is aansprakelijkheid voor schade berokkend door AI’s, zoals bij zelfrijdende auto’s. Wie de weg op gaat en mensen schade berokkent (bijvoorbeeld door een aanrijding), moet die schade vergoeden aan het slachtoffer. Maar wie moet dat bij een zelfrijdende auto? Dat probleem is opgelost als je de AI in de auto tot rechtspersoon verklaart: dan heeft deze eigen vermogen, een verzekeringsplicht en ga zo maar door waarmee schadeclaims opgevangen kunnen worden. Maar het heeft ook bijeffecten, zoals dat je bij een aanrijding waarbij de autonome auto schade lijdt, aan die auto de schade moet vergoeden.

Voor mij is een belangrijke overweging hoe zelfstandig de AI aan het rechtsverkeer meedoet. De huidige AI’s doen dat nauwelijks. Een beslisboom, chatbot of machine learning model vind ik nauwelijks zelfstandig opererend. Mijn AI NDA Lynn opereert weliswaar autonoom, maar volledig binnen de grenzen die ik heb getrokken in haar programmering. Ze kan niet eens leren van haar fouten, dat doe ik door nieuwe trainingsdata erin te stoppen. Een systeem dat wél zelf leert van gemeten feedback op eerder handelen zou ik eerder die kant op vinden gaan.

De argumentatie erachter zou dan zijn dat het op dat moment niet redelijk meer is dat de personen achter de AI nog verantwoordelijk gehouden worden voor hetgeen die AI doet. Na een flink aantal rondjes bijleren is die AI dan immers niet meer vergelijkbaar met het ding waarmee men begon. Dat zou zoiets zijn als wanneer mijn kat ontsnapt en een eigen leven begint op de Veluwe: is het beest dat daar na vijf jaar rondsluipt, nog wel ‘mijn’ kat te noemen? Verdien ik de schadeclaims wanneer het Wim zijn hond opvreet?

Tegelijk blijf ik zitten met het punt dat als het maar om één ding gaat, en dan ook nog eens aansprakelijkheid, er meer oplossingen zijn dan dit zware middel. Je kunt immers ook van de eigenaren eisen dat ze zich verzekeren, bijvoorbeeld. Of een wettelijke regeling over aansprakelijkheid opnemen in de wet die een andere oplossing biedt. Want het punt is wel, als je een AI tot rechtspersoon verheft dan mogen ze gelijk (vrijwel) álles dat mensen ook mogen. Dus ik denk dat je die route niet snel moet willen.

Arnoud

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Strafrecht | 21 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om iets andere misdrijven.

Wie internet of televisie wil afnemen, heeft daarvoor een modem nodig. Die ontvangt en verwerkt (demoduleert) de signalen die je huis binnenkomen, waarna de rest van je netwerk daar mee aan de slag kan. Ieder modem heeft een unieke code, die wordt herkend door het netwerk en op basis daarvan wordt bepaald wat je zoal mag zenden en ontvangen. Door die code te klonen – herprogrammeren in een ander modem – krijg je dus toegang tot dienstverlening waar je eigenlijk niet bij mag.

Het is strafbaar om met een technische truc een telecommunicatiedienst af te nemen (art. 326c Sr):

Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Ook de verkoop en het “uit winstbejag” in voorraad hebben van deze kastjes is strafbaar, zo staat in lid 2 van dit artikel: maximaal twee jaar cel of geldboete van de vierde categorie.

Ik denk dat ik dus even iets mis als ik dan heling, computervredebreuk en oplichting zie staan. Zijn de modems fysiek als objecten gestolen van Ziggo wellicht? Dat zou kunnen, want een van de verdachten werkt bij Ziggo. Maar als het bijvoorbeeld generieke modems zijn die het Ziggo-netwerk aankunnen (wat mogelijk en toegestaan is), of tweedehands ‘echte’ Ziggo-modems, dan zie ik niet welk strafbaar feit je pleegt door die modem in gebruik te nemen. Het klonen is een “technische ingreep” in de zin van bovenstaand wetsartikel.

De computervredebreuk zou dan zijn dat je binnendringt in het netwerk van Ziggo, je zendt en ontvangt immers signalen via dat netwerk terwijl je daar officieel niet mag zijn want je hebt immers geen abonnement. Maar mijn bezwaar daartegen is dat het hierboven aangehaalde artikel specifiek geschreven is voor dit soort strafbare feiten, en je hebt nu eenmaal de algemene regel dat je in principe altijd het specifiekste strafwetsartikel in stelling brengt.

Praktisch is er ook nog het punt dat mensen bij computervredebreuk nog kunnen zeggen dat ze niet wilden binnendringen, en dat artikel vereist nu eenmaal opzet. Terwijl bij het telecom-artikel hierboven je ook zonder opzet de wet kunt overtreden, zolang je maar wist of moest weten dat het eigenlijk een betaaldienst was.

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Wacht, de ICT-manager mag niet ook de privacy officer zijn?

| AE 9811 | Privacy | 19 reacties

Een Duits bedrijf heeft een boete gekregen omdat haar IT-manager ook de rol van functionaris gegevensbescherming oftewel privacy officer had, las ik bij IAPP. Daarmee werd de wettelijk verplichte onafhankelijke status van de FG aangetast. Dat wordt nog een uitdaging dus als deze functie ook in Nederland een grote vlucht gaat nemen – in veel… Lees verder

Mag De Nederlandsche Bank de banken gaan hacken?

| AE 9809 | Beveiliging | 9 reacties

Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken, las ik in het FD. Het ‘red team’ (oeh spannend) krijgt de opdracht om daadwerkelijk in te breken bij banken en financiële instellingen, waar slechts een klein groepje mensen afweet van de poging. Uiteraard wordt er niet daadwerkelijk schade… Lees verder

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Beveiliging, Privacy | 23 reacties

Een lezer vroeg me: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan? Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om… Lees verder

Minister pakt Russische site met privédocumenten van Nederlanders niet aan

| AE 9801 | Beveiliging | 9 reacties

Tegen de Russische website DocPlayer, die automatisch pdf-bestanden van internetgebruikers publiceert, wordt geen actie ondernomen. Dat meldde Nu.nl vorige week. De site publiceert 4,3 miljoen bestanden staan die door een computerprogramma worden verzameld en gepubliceerd. “Echter, het valt niet op voorhand te stellen dat deze gegevens illegaal verkregen zijn.” Want als ze uit openbare bronnen… Lees verder

Als je meedoet aan een Kickstarter, koop je het product dan?

| AE 9791 | Contracten, Webwinkels | 10 reacties

Een lezer vroeg me: Ik heb via een crowdfundingactie op Kickstarter ingetekend op een product bij een Nederlands bedrijf. De actie was geslaagd en het product werd geproduceerd, alleen blijkt nu mijn pakketje kwijtgeraakt op transport van de fabrikant in het buitenland naar mij. Ik heb gereclameerd maar het bedrijf zegt dat ik geen poot… Lees verder