oktober 2021 - Pagina 2 van 3

Lisa Rinna wordt aangeklaagd voor het plaatsen van paparazzi foto’s van haarzelf. Waarom?

Geplaatst op 15 oktober 202112 oktober 2021 in Intellectuele rechten, Privacy, 13 reacties

Actrice Lisa Rinna werd afgelopen Juni aangeklaagd door Backgrid, een organisatie die paparazzi vertegenwoordigt. Dat meldde Boek9.nl recent. Een op zich juridisch eenvoudige zaak: Rinna zou auteursrechten hebben geschonden door acht foto’s van haarzelf en haar twee dochters te plaatsen, foto’s die waren gemaakt door paparazzi. De auteurswet is immers duidelijk: maker is rechthebbende. Maar toch maakte Rinna bezwaar.

Volgens Rinna wil Backgrid alleen de omzet verhogen, die gedaald is door de coronapandemie. Maar er is meer, Rinna ziet de situatie als scheefgegroeid, en dat is belangrijk genoeg om als juridisch tegenargument te moeten dienen:

It is only because of Ms. Rinna’s hard work, dedication to her craft and resultant success that her image confers monetary benefits on the Plaintiff,” the [claim by Rinna, AE] says. “Having taken and used Defendant’s images in this fashion, Defendant is informed and believes and thereupon alleges, that an implied license was created between herself and the Plaintiff (and subject photographers), whereby it was understood that Ms. Rinna would be permitted to use and comment on these photographs of her and her family without facing a claim of ‘infringement.’ “

Kort en goed: omdat Lisa Rinna altijd bereidwillig was jegens de paparazzi, is er een sfeer ontstaan van elkaar helpen. Jij mag mij fotograferen en daar je boterham mee verdienen, ik mag de foto’s delen zodat mijn volgers zien wat ik doe. Een licentie tegen betaling met persoonsgegevens dus, als het ware.

Het is creatief en zonder precedent, wat voor juristen zo veel betekent als “leuk voor op de pleitwedstrijd maar kansloos bij de rechter”. Een ontstane sfeer lijkt me wat magertjes om een overeenkomst te claimen, zeker in de VS waar een overeenkomst een financiële (of gelijkwaardige) tegenprestatie eist – consideration.

In Nederland zou Rinna een ander argument hebben, namelijk op grond van haar portretrecht (artikel 19 lid 2 Auteurswet):

Ten aanzien van een fotografisch portret wordt mede niet als inbreuk op het auteursrecht beschouwd het openbaar maken daarvan in een nieuwsblad of tijdschrift door of met toestemming van een der personen, in het eerste lid genoemd, mits daarbij de naam des makers, voor zoover deze op of bij het portret is aangeduid, vermeld wordt.

Dit heeft alleen dan weer twee andere lastige hobbels. Allereerst is het de vraag of Instagram telt als een “nieuwsblad of tijdschrift”. Er is wel betoogd dat een online magazine hieronder zou moeten vallen, maar dan bedoelt men eerder Grazia.nl dan een eigen blog, en Instagram voelt nog weer een stap verder.

Ten tweede gaat dit artikel alleen op wanneer het portret in opdracht van de geportretteerde is gemaakt. En dan zou je dus wederom die sfeer van overeenkomst moeten aanvoeren: Rinna liet niet zomaar toe gefotografeerd te worden, door mee te werken erkenden de fotografen dat eigenlijk zij de opdrachtgever was. Ook dit is een zeer creatief argument.

Arnoud

Mag het OM Telegram-groepen van complotdenkers laten blokkeren?

Geplaatst op 14 oktober 202112 oktober 2021 in Regulering, Uitingsvrijheid, 12 reacties

Het Openbaar Ministerie heeft twee kanalen van complotdenkers op chatapp Telegram laten blokkeren, las ik bij de NOS. Daar werden onder andere complottheorieën gedeeld over satanisch-rituele kindermoorden, door de blokkade kunnen er geen nieuwe berichten worden geplaatst. Het is voor zover bekend voor het eerst dat justitie met succes Telegram-groepen heeft laten blokkeren. En dat riep vragen op bij lezers, want hoezo is er dan geen gerechtelijk bevel nodig eerst?

Om daarmee maar gelijk te beginnen: nee, in Nederland is geen gerechtelijk bevel nodig voor het blokkeren van zo’n online kanaal. Het Wetboek van Strafrecht (art. 54a) bepaalt namelijk dat

Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.

En dat artikel 125p bepaalt dan weer dat de officier van justitie (bij verdenking van ernstige misdrijven) mag bevelen dat een tussenpersoon informatie tegenhoudt of offline haalt. Wel is dan een machtiging van de rechter-commissaris nodig, en de wet bepaalt dat deze de aanbieder van het kanaal moet horen als dat relevant is.

Dit is een behoorlijke verbetering ten opzichte van het ‘oude’ artikel 54a, dat eigenlijk niet meer bepaalde dan dat de officier zo’n bevel kon geven op machtiging van de rechter-commissaris (zie de discussie over het meervoud daarvan).

De directe aanleiding in dit geval betreft zo te lezen het ernstig soort misdrijven waarbij deze bevoegdheid inderdaad mogelijk is:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen. De rechter oordeelde eerder al dat die video’s verboden inhoud bevatten en niet meer online mogen komen. Ook stond er op de nu geblokkeerde kanalen oudere content die strafbaar en bedreigend is.

Voor mij is vooral opmerkelijk dat Telegram kennelijk snel meewerkte. In andere landen kent niet iedereen de constructie van een district attorney die bevelen mag geven tot blokkade van informatie.

Arnoud

Overheid onderzoekt verbod op betalen losgeld ransomware door verzekeraars

Geplaatst op 13 oktober 20218 oktober 2021 in Security, 18 reacties

De overheid onderzoekt of het verzekeraars kan verbieden om het losgeld te vergoeden dat door ransomware getroffen bedrijven en organisaties betalen, las ik bij Security.nl. De minister zegt dat hij begrip heeft voor de moeilijke positie waarin slachtoffers van ransomware zich soms bevinden, en wil daarom slachtoffers niet verbieden om te betalen. Maar verzekeraars staan als grootzakelijke partij meer op afstand, en vanuit hen is de keuze om te betalen dan iets eerder afkeurenswaardig. Maar gaat het echt werken?

In antwoord op Kamervragen laat de minister weten dat de “meest wenselijke wijze van het beperken van losgeldbetalingen ligt in het voorkomen dat personen en organisaties slachtoffer worden van ransomware”. Wat natuurlijk nogal een dooddoener is, hoe waar ook. Maar dat zal nog wel even duren, dus hoe moet het dan wel?

Het is inderdaad zo dat ransomware losgeld betalen niet strafbaar is. De reden is dat je dan een slachtoffer dwingt tussen de heftige keuze om zijn data/bedrijf kwijt te raken en de strafbare keuze losgeld te betalen. Dat is moreel onaanvaardbaar, ook al gaat het ‘slechts’ om datagijzeling en niet om mensen of spullen.

Iedereen kijkt dan meteen naar de verzekeraars. Steeds meer cyberverzekeringen dekken schade door ransomware, en wat je kwijt bent aan losgeld dat is schade in juridische zin. Dus het is logisch dat een verzekeraar ook die schade vergoedt.

Het lastige is dat de grens erg vaag is tussen “wat pijnlijk dat u zich gedwongen voelde losgeld te betalen, wij stellen u schadeloos” en “u heeft een ransomware-melding gedaan, gezien de verhouding tussen kosten van herstel en losgeld keren wij nu het losgeld-bedrag aan u uit”. Dat laatste is puur zakelijk, een afweging waarbij de immorele keuze (het steunen van misdaad) gelijkgesteld wordt aan de morele keuze (het helpen van een slachtoffer dat een gedwongen keuze maakte). En dat is unfair.

Ik denk alleen niet dat je er komt met enkel een verbod. Ik zie nu al genoeg juridische trucs, zoals de verzekerde zelf laten betalen en dan vergoeden wat er “aan derden” is betaald. Een consultant inhuren die de vergoeding betaalt en dat declareert als deel van de herstelkosten. En ga zo maar door. Daar kun je vast doorheen prikken met genoeg moeite, maar in individuele zaken is dat de moeite niet waard.

Zelf zou ik meer zien in een voorschrift aan verzekeraars dat ransomware alleen gedekt mag worden als de verzekerde een acceptatie moet ondergaan op cybersecuritygebied. Vergelijkbaar met die korting op je inboedelverzekering als je huis het Politiekeurmerk Veilig Wonen heeft, maar dan dus een stapje verder: je krijgt de verzekering niet als je niet dat PKW hebt, in de analogie. Regel je backups en regel je security, en voor het geval een slimme Rus daar dan toch nog doorheen prikt dan is er de verzekeraar.

Dit is eenvoudig te controleren, al is het maar door een mystery guest een verzekering aan te laten vragen. Dus toezicht is een stuk eenvoudiger. En het draagt ook nog eens bij aan het security-niveau van Nederland. Dus waarom niet?

Arnoud

Nee, geheimhouding bij ethical bug reporting is niet bindend

Geplaatst op 12 oktober 20217 oktober 2021 in Security, Uitingsvrijheid, 13 reacties

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.

Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

Geplaatst op 11 oktober 20216 oktober 2021 in Security, 19 reacties

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.

Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

Geplaatst op 8 oktober 20215 oktober 2021 in Security, 9 reacties

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?

Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:

1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.

Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

Handelen op basis van een wettelijk verbod of gerechtelijk bevel
Beschermen van de integriteit en de veiligheid van het netwerk
Netwerkcongestie voorkomen of beperken

Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

LinkedIn moet account van Tweede Kamerlid Van Haga terugplaatsen

Geplaatst op 7 oktober 20216 oktober 2021 in Ondernemingsvrijheid, Uitingsvrijheid, 13 reacties

LinkedIn moet het verwijderde profiel van Tweede Kamerlid Wybren van Haga van de rechter binnen drie werkdagen terugplaatsen, meldde de NOS gisteren. Negen specifieke verwijderde berichten hoeven niet te worden teruggezet, en Linkedin hoeft haar handelen niet te rectificeren. Het is voor zover ik weet de eerste keer dat een sociaal medium door de Nederlandse rechter wordt gecorrigeerd bij een accountverwijdering.

Het account van Van Haga werd verwijderd, nadat hij het sterftepercentage van corona volgens LinkedIn had gebagatelliseerd en had gezegd dat mondkapjes niet werken. Dergelijke uitspraken doen denken aan de diverse rechtszaken tegen Youtube, waarbij juist werd bepaald dat zo’n kanaal wél mensen mag weren op grond van haar beleid. Ook als dat tot eenzijdige beeldvorming zou leiden.

Uit het Linkedin-vonnis blijkt een cruciaal verschil: het sociale-medium-met-stropdas had niet of nauwelijks beleid geformuleerd over wanneer accounts worden opgeheven, maar was zo te lezen gebleven bij “ons café, daar is de deur als wij dat zeggen”:

Anders dan andere grote platforms inmiddels hebben gedaan, heeft LinkedIn haar beleid op dit gebied nauwelijks uitgeschreven. Zij heeft volstaan met de enkele mededeling in haar Beleidslijn dat een gebruiker ‘geen content mag delen die volledig ingaat tegen richtlijnen van toonaangevende, wereldwijde gezondheidsorganisaties en overheidsinstellingen voor volksgezondheid’. Die mededeling is weinig informatief. Zij maakt niet duidelijk waar volgens LinkedIn de grens loopt tussen berichten die volledig in strijd zijn met die richtlijnen en berichten die kritische kanttekeningen plaatsen bij die richtlijnen.

Dat je als zakelijk netwerk niet gewend bent aan onzakelijke berichten zoals die van Van Haga, is dan geen excuus. Als iets zó maatschappelijk relevant is en iedereen erover praat, dan heb je als grote professionele partij maar snel beleid te maken voordat je gaat handhaven.

Opmerkelijk is dat de rechter alvast aansluiting zoekt bij de Digital Services Act, een voorstelde Europese Verordening voor regulering van sociale media zoals Linkedin. Dat mag, want je kunt zo’n voorstel zien als hoe de regelgevende wind staat en dat gebruiken om open normen als redelijkheid en billijkheid mee in te vullen. Een van die aankomende regels is dat je mensen uitlegt waarom je een bericht of account weghaalt. En dat ging hier mis:

Die zorgvuldigheid houdt in ieder geval in dat bij iedere verwijdering notificatie aan de gebruiker plaatsvindt, waarbij, afhankelijk van de inhoud van het bericht, ernaar moet worden gestreefd de verwijdering zodanig te motiveren dat de gebruiker uit de beslissing lering kan trekken.

Ook lijkt het erop dat men na de opheffing van een tijdelijke schorsing het een tijdje heeft aangezien met nieuwe berichten die zogezegd tegen de regels zouden zijn, om dan te kunnen zeggen “nu is het genoeg, wegwezen”. Maar ook dat is niet redelijk. Je kunt natuurlijk zeggen “bij tien kleine overtredingen ben je af” maar daarmee mag je niet individuele kleine overtredingen bewust negeren tot je er tien hebt, zodat je van iemand af kunt.

De voorzieningenrechter is wel van oordeel dat “LinkedIn op goede gronden betoogt dat [Kamerlid] ’s misinformatie past in het standaard patroon van Covid-19 gerelateerde misinformatie en als zodanig schadelijk is.” Daarom hoeven de specifieke berichten die apart verwijderd waren, niet te worden teruggezet.

Arnoud

Rechtbanken nemen volgend jaar afscheid van de fax

Geplaatst op 6 oktober 20211 oktober 2021 in Innovatie, 7 reacties

Rechtbanken doen in februari 2022 de fax in de ban, meldde Nu.nl vorige week. Vanaf dat moment sturen rechters en griffiers vertrouwelijke informatie via beveiligde e-mails. Een gedwongen innovatie: KPN stopt volgend jaar met de dienstverlening voor traditioneel faxen (ISDN). Het gaf vele reacties, vooral van verbazing. Heel gek is het niet, dat de rechtbank toch lang vasthield aan faxen. Maar als de rest van het land eigenlijk al vergeten is wat dat voor dingen zijn, dan wordt het misschien toch eens tijd.

De juridische wereld hangt sowieso heel erg van traditie en terughoudendheid aan elkaar, maar daar is een goede reden voor: het zijn bewezen werkende en betrouwbare werkprocessen. En dat is wat je wil wanneer jouw output de levens van mensen kan maken of breken, soms zelfs letterlijk. Je kunt niet zomaar in een gecontroleerde omgeving een test doen met robotvonnissen bijvoorbeeld, dat heeft serieuze impact.

De overstap van post naar fax was destijds al een grote stap. Ik kon niet precies achterhalen wat de eerste uitspraak was waarin faxverkeer als rechtsgeldig werd erkend, de strafzaak HR 13 september 1988, NJ1989,12 lijkt de eerste uitspraak te zijn geweest. Hierin stond ter discussie of een gefaxte pleitnota wel rechtsgeldig ondertekend was door de advocaat. Immers, hoe controleer je de echtheid van een korrelig plaatje? Gelukkig was de advocaat-generaal van de HR behulpzaam:

Nodig is dat de advocaat telefonisch of schriftelijk aan de griffie van de HR laat weten dat de gefotocopieerde handtekening zijn handtekening is. Waar zo een nadere mededeling ontbreekt zal slechts een toevallige omstandigheid, zoals de aanwezigheid in het dossier van een brief van de indienende advocaat met diens originele handtekening en de mogelijkheid om de overeenkomst van die handtekeningen zonder moeite vast te stellen, de schriftuur met de gefotocopieerde of ‘gefaxte’ handtekening kunnen redden.

In andere zaken werd vergelijkbaar geoordeeld, waarbij ook wel als argument werd geaccepteerd dat je het origineel naleverde en dat men achteraf kon zien dat dit identiek was aan de fax. Dan heb je je origineel maar kan het allemaal net wat sneller. Daar kon niemand op tegen zijn, maar zeker woog ook mee dat professionele procespartijen zoals advocaten of rechters er geen belang bij zouden hebben om vervalste faxen te sturen. De kans op vervalsingen zou dus klein genoeg zijn.

Anekdotisch zijn er natuurlijk genoeg verhalen over het tegendeel. Je had grapjassen die dan pagina 1 stuurde en een zelf alvast afgescheurde pagina 2 zodat ze ’s ochtends konden bellen en verbaasd zijn dat de fax het origineel had verscheurd, maar “ik stuur meteen de tekst ahem nogmaals”. Een pdf corrumperen zodat je “iets” kunt inleveren met dezelfde truc is wat technisch complexer.

Er bleven genoeg vragen, zoals wat rechtens is als de toner bijna op was zodat de fax onleesbaar is maar de afzender wél een technisch “bericht ontvangen” melding heeft gekregen? Of wat als pagina 1 om 23:58 was ontvangen maar de laatste pagina om 0:05 de volgende dag? Hoe expliciet moet je zijn over faxen willen ontvangen, is het dan genoeg dat je faxnummer op je briefpapier staat of moet een rechtbank zeggen “wij gaan u faxen”? (Benieuwd wie deze drie alledrie onderbouwd weet te beantwoorden.)

De transitie van faxen naar een digitale omgeving (we gaan het gewoon niet over e-mail hebben) heeft heel lang geduurd. De belangrijkste reden daarvoor was volgens mij dat men er eigenlijk het nut niet van inzag, post en faxen wérkt toch gewoon? Maar goed, als het moet, laten we het dan in een keer helemaal goed doen. En zoals iedere IT’er weet, een geheel werkproces vervangen door een nieuw proces dat in zijn geheel helemaal goed moet zijn, dat is een recept voor enorme vertragingen en complexiteit. Maar goed, het gaat nu dus eindelijk gebeuren.

Arnoud

Oh help, nu gaan AI’s ook al uitvindingen octrooieren

Geplaatst op 5 oktober 202130 september 2021 in Innovatie, Intellectuele rechten, 12 reacties

In juli bepaalde een Australische rechtbank dat een AI-systeem rechtsgeldig als uitvinder vermeld kan worden op een octrooiaanvraag, zo las ik op de Copyright Blog van Kluwer. Daarmee staat in beginsel de weg open om in Australië automatisch gegenereerde uitvindingen (de aanvragen worden nog handmatig geschreven, geloof ik) als octrooi aan te vragen. In andere jurisdicties, met name de VS, Europa en Duitsland, zijn dergelijke aanvragen afgewezen op deze formele grond. Zuid-Afrika ging Australië voor, hoewel er geen expliciete motivatie is gegeven. Nu dus alleen nog een AI die octrooien genereert plus eentje die ze beoordeelt en we kunnen als octrooimensen weer wat leuks gaan doen.

Over het octrooisysteem hebben we het natuurlijk al veel gehad, vrijwel altijd in negatieve zin omdat zeker in de ICT sector octrooien om vele redenen ongewenst worden geacht. Slechte kwaliteit, vage claims en nodeloze blokkades in een al decennia prima werkend systeem. Building tollbooths where others will build roads, zei een oud-collega van me vroeger eens. Maar in ieder geval waren we het er over eens dat uitvinders mensen zijn. Vaak in dienst van werkgevers die dan rare dingen deden, maar toch.

Deze discussie gaat over iets complexers: kan een niet-mens uitvinden? Je komt dan in hele fundamentele discussies terecht over het doel en wezen van het octrooisysteem.

De meest gehoorde theorie is dat je mensen wil prikkelen om een uitvinding bekend te maken, door ze een beloning te geven in de vorm van een monopolie van 20 jaar. Vanuit dat perspectief kan een AI/niet-mens geen uitvinder zijn, want die heeft niets aan die prikkel. Dit is grofweg wat het EPO en het USPTO deden, hoewel op de formele grond dat in de wet staat dat “aan hem of haar” (de uitvinder dus) octrooi wordt verleend op uitvindingen. Een AI is geen hem of haar (of hen) dus de aanvraag voldoet niet aan de letter van de wet.

Je kunt ook iets ruimdenkender zijn en erkennen dat vandaag de dag 90% van de octrooiaanvragen door bedrijven wordt ingediend, waarbij de mens-uitvinder slechts metadata-veld 72 is en genoemd wordt omdat we dat altijd deden. Het maakt de facto helemaal niets uit of die mens zelfs maar leeft of niet, de aanvraag gaat toch wel verder en levert rechten (of een afwijzing) op aan de aanvrager. Vanuit dat perspectief is er nul bezwaar tegen een AI als uitvinder.

Een meer fundamentele kwestie is natuurlijk of een niet-mens kan uitvinden in de zin van de octrooiwet. Een uitvinding moet immers nieuw zijn (nog niet bestaan) en geen voor de hand liggende variatie op het bestaande zijn. Iets nieuws zoeken kunnen AI’s prima, maar of het voor de hand ligt is een veel lastiger vraag. En waar je menselijk inzicht of handelen (zou iemand die A las, vervolgens B erbij proberen en C weglaten) nog kunt beoordelen, is dat bij AI handelen helemaal ingewikkeld.

Ik heb daar zelf altijd nog de fundamentele vraag bij of een AI überhaupt wel iets doet dat niet voor de hand ligt. Voor de hand liggen dingen die je normaal doet, gewoon stappenplannen volgen, de gebaande paden, doorrekenen en doorlopen. En dat is volgens mij precies wat dergelijke algoritmes doen, ook al ziet het er heel intelligent uit. Maar goed, dat is dus een heel lastige route om de vraag “moet het kunnen ja of nee” te beantwoorden. Dus dan is gaan zitten op de formele wet (er staat hij of zij, dat is een AI niet) een stuk slimmer, voor de korte termijn.

Ik ben ondertussen wel benieuwd of er al AI’s zijn die octrooiaanvragen kunnen beoordelen op haalbaarheid. (Als het EPO meeleest, ik doe graag een pilot.) Want als we dat eenmaal hebben, dan is de volgende stap dat we het hele systeem omver blazen: AI’s dienen tienduizend aanvragen per minuut in, andere AI’s schieten er tienduizend minus epsilon af per minuut en wij mensen gaan ondertussen iets anders doen. Wint de ICT toch nog van het octrooisysteem.

Arnoud

Mijn zorgverlener heeft ons gesprek opgenomen zonder toestemming, mag dat?

Geplaatst op 4 oktober 202130 september 2021 in Privacy, 30 reacties

Via Reddit:

Laatst heb ik een gesprek met een zorgverlener gehad en hierbij uitte ik dat ik teleurgesteld was in de manier van handelen tijdens het eerste gesprek tussen ons. De zorgverlener gaf toen aan dat zij het gesprek toen der tijd heeft opgenomen. Dit heeft zij gedaan zonder mijn toestemming. Ik vroeg of we het gesprek konden afluisteren. Zij gaf aan dat zij dit niet wilt doen en dat ze het pas wilt luisteren als het zo ver komt. Zij geeft aan dat de opname alleen voor haar is bedoeld.

Regelmatig blog ik hier dat het verstandig kan zijn je eigen gesprekken op te nemen met bijvoorbeeld zorg- of hulpverleners. Daarbij zeg ik altijd dat je geen toestemming hoeft te vragen. Dat hoeft namelijk niet van de wet. Of het ethisch is, is een tweeede, maar gezien de kwetsbare positie waar je als zorg- of hulpvrager in zit vind ik het antwoord een dikke vette ja.

Wanneer het omgekeerde gebeurt, gaan ook bij mij de wenkbrauwen omhoog. Een zorgverlener als professional bij een grote organisatie die zonder te vragen een gesprek opneemt, daar klopt iets niet. Natuurlijk, ook daar geldt de strafwetbepaling die bepaalt dat het mag tenzij je andermans gesprek opneemt. Maar hier speelt meer, ja precies roept u maar: de AVG.

Een organisatie die gesprekken opneemt, moet dat onder de AVG rechtvaardigen. Want een gespreksopname met een cliënt telt als persoonsgegeven (ongeacht of het een dossier in gaat, omdat het elektronisch is) en de AVG is dan gewoon van toepassing. Je zult dan als organisatie een grondslag moeten hebben. Toestemming, uitvoering overeenkomst of een eigen legitiem belang zijn dan de bekende riedel.

Ik heb grote twijfels of die grondslag er is, gezien het wat rommelige karakter van een en ander. Het voelt als een zorgverlener die op eigen houtje is gaan opnemen. Dat is problematisch voor de organisatie, want dat telt dan als AVG schending voor hen (fouten van werknemers komen immers voor rekening van de werkgever).

Er is één uitzondering, namelijk die voor het strikt persoonlijk gebruik van de persoon die de opname maakt. Mijn privé-contactenlijst hoef ik niet onder de AVG te behandelen, want die is van mij privé. (Ons zakelijk CRM systeem valt natuurlijk wel gewoon onder de AVG.) En dat kan in theorie ook zakelijk, je kunt als ondernemer of werknemer ook best voor je persoonlijk (werk)gebruik aantekeningen of lijstjes hebben. Deze zorgverlener zou zich dus daarop kunnen beroepen.

Ik zet daar wel gelijk grote vraagtekens bij, omdat ik me moeilijk kan voorstellen wat dan het zuiver persoonlijke gebruik is. Dat ik de geboortedatum van mijn secretaresse ergens noteer, zodat ik tijdig een cadeau kan kopen, dat is ergens nog wel zakelijk+persoonlijk te noemen. Daar heeft verder ook niemand last van.

Maar deze gespreksopnames strikt persoonlijk? Ik geloof het niet. Want wat gaat ze ermee doen dan? Het gesprek uittypen en daarna de opname vernietigen is zo ongeveer het enige dat ik kan bedenken. “Gebruiken voor aangifte als cliënt bedreigend wordt” of “bij onenigheid kunnen aantonen wat er is gezegd” zijn géén persoonlijke redenen maar zakelijke keuzes. Die prima zijn maar wel vanuit de organisatie gerechtvaardigd moeten worden. Onder de AVG dus.

Arnoud