Categorie: Regulering

About Regulering

Subscribe Feeds

Kabinet geeft Facebook laatste waarschuwing en dreigt met vertrek van platform

Geplaatst op in Privacy, Regulering, 1 reacties
Photo by Austin Distel on Unsplash

Het demissionaire kabinet heeft nog steeds geen duidelijkheid over hoe Facebook-moederbedrijf Meta de veiligheid van gebruikersgegevens garandeert. Dat meldde Nu.nl onlangs. Staatssecretaris Van Huffelen zegt dat in een Kamerbrief naar aanleiding van advies van de AP over het gebruik van Facebook Pages door de overheid.

In de Kamerbrief wordt het probleem kort benoemd. Sinds 2018 zijn beheerders van Facebook-pages medeverantwoordelijk voor dataverwerking. In AVG-jargon: je bent met Meta gezamenlijk verwerkingsverantwoordelijke, en daarmee aansprakelijk voor wat Meta allemaal doet met persoonsgegevens verkregen via die pagina. Zoals ik toen schreef:

Wél verrassend is dat zij ook de beheerder van zo’n pagina aanmerkt als (mede-)verantwoordelijke. Die besluit immers zo’n pagina op te zetten, waar mensen lid van kunnen worden en zo gegevens achterlaten. Zonder die ingreep waren die persoonsgegevens rondom interesses over die pagina (zeg maar) er niet gekomen, dus daarvoor ligt de verantwoordelijkheid bij deze beheerder. Dat je als beheerder alleen anonieme gegevens krijgt van Facebook, maakt niet uit – in de definitie van gezamenlijk verantwoordelijke staat niet dat je beiden bij alle persoonsgegevens moet kunnen.
Dit geldt natuurlijk net zo goed voor de overheid als paginabeheerder. Die onderzocht de zaak, voerde een DPIA uit en kwam in oktober vorig jaar tot de problematische conclusie dat Meta niet bereid was iets aan te passen en het volstrekt oneens was met alle bevindingen uit die DPIA.

Dat kan, maar schiet natuurlijk niet erg op. De vervolgstap vanuit de overheid lijkt me dan ook onvermijdelijk: wegwezen bij die datagraaiers.

Alleen: de overheid heeft de taak om álle burgers te informeren en te bereiken. Dat lukt niet met alleen een Rijksoverheid-website, een fors deel van de doelgroep is nu eenmaal alleen te bereiken via diensten als Facebook. Daarvan kun je niet simpelweg zeggen, “dat moeten die mensen maar aanpassen”, ik zie daar echt een taak voor de overheid om actief naar de mensen toe te gaan.

Arnoud

Brussel trekt de teugels aan bij drie grote pornosites

Geplaatst op in Ondernemingsvrijheid, Regulering, 10 reacties
Beeld: Daniel Voyager, CC-BY

Pornosites Pornhub, XVideos en Stripchat moeten vanaf aankomende week veel beter controleren welke video’s er op de site staan en hoe oud gebruikers zijn. Dat meldde Nu.nl vorige week. Wederom de Digital Services Act (DSA) aan het werk. Er lopen hier twee (belangrijke) dingen door elkaar, dus let’s unpack. 

Allereerst over leeftijdsverificatie. De DSA bevat in artikel 28 een expliciete plicht om “passende en evenredige maatregelen [te nemen] om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen”. Het niet tonen van seksueel expliciet materiaal aan minderjarigen valt binnen dat doel, en is dus iets waar je maatregelen voor moet nemen.

Even verderop – bij artikel 34 – staat iets vergelijkbaars. De dienstverleners moeten maatregelen zoeken om risico’s voor minderjarigen te mitigeren. Leeftijdsverificatie ligt wederom voor de hand, al blijft het al jaren bij min of meer hetzelfde lijstje. Een creditcardbetaling werkt aardig, al kan die worden uitgeleend. Getraind personeel een gesprek laten voeren om te horen of iemand 18+ is, veel geopperd maar oké laat maar het gegniffel achterin geeft aan dat dat bij deze toepassing niet gaat werken.

Hoe moet het dan wel? Geen idee, maar het leuke van de DSA is dat die er het probleem van de dienstverlener van maakt. Jij haalt de bakken met geld binnen in onze markt, dus ga jij maar bedenken hoe je dit effectiever aan gaat pakken.

Hetzelfde geldt over die controle op video’s. Dat is een bekend probleem, met name bij wat men “amateur” beelden noemt en ook daar moet de industrie met een oplossing gaan komen. De straf is in beide gevallen hetzelfde: beperking of sluiting van de dienst in de Europese Unie.

Arnoud

Ik blijf erbij, het is fout om iets computervredebreuk te noemen als je er normaal wél mag zijn

Geplaatst op in Regulering, Security, 10 reacties
Photo by Mohamed_hassan on Pixabay

Een 44-jarige man heeft een lange tijd meerdere keren ingelogd op de systemen van zijn werkgever, terwijl hij daartoe niet bevoegd (meer) was. Dat las ik in een recent vonnis over een onderwerp dat me steeds meer ergert: computervredebreuk roepen terwijl iemand er wel mág zijn alleen niet om die reden. Ik blijf erbij dat dit fout is. (Oh en Outlook is wel een geautomatiseerd werk.)

Even wat achtergrond uit het vonnis:

Verdachte is op 1 juli 2011 in dienst getreden bij het bedrijf [bedrijf benadeelde] B.V. Hij verrichtte werkzaamheden als financieel en juridisch adviseur. Binnen deze organisatie was hij tevens verantwoordelijk voor de ICT-gerelateerde aspecten.
In 2015 werd hij ziek, waarna in juni 2018 de arbeidsovereenkomst werd ontbonden (met bekrachtiging in 2019). Dat ging kennelijk niet geheel vrijwillig, getuige wat ik dan lees:
Verdachte heeft op zitting verklaard dat hij (ook) in de tenlastegelegde periode van 14 mei 2017 tot en met 29 juni 2018 meerdere malen met zijn eigen inloggegevens en met de inloggegevens van de directeur/eigenaar van het bedrijf, [benadeelde] , heeft ingelogd via een webbrowser op de e-mailaccounts van de web-e-maildienst van [bedrijf benadeelde] B.V .. Hij heeft daarbij meerdere keren schermafbeeldingen van e-mails gemaakt. Hij wilde zich verweren in een civiele zaak, waarin hij op grond van artikel 21 van het Wetboek van Burgerlijke Rechtsvordering verplicht was de waarheid te vertellen. Daarvoor moest hij de waarheid achterhalen, aldus verdachte. Hij vond het niet chique, maar ook niet strafbaar wat hij deed.
In die tijd bleek zijn account nog gewoon te werken, inclusief de speciale privileges die hij had vanwege die ICT-taken die hij had. Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel. 

Dit is de discussie die we vaker hebben gehad: je hebt op zich legaal de sleutel/wachtwoord gekregen om ergens in te mogen loggen en dingen te doen. Je doet die dingen, maar met een andere intentie of doel dan waar de verstrekker ze voor gaf. Ik snap dat dat niet mag, en zou dit ook zeker “fout op het werk” of “plichtsverzuim” of “slecht werknemerschap” noemen. Maar computervredebreuk, een ernstig misdrijf waar 4 jaar cel op staat?

Ik blijf hier moeite mee houden. Als een werknemer tegen de instructie in met zijn eigen sleutel ’s avonds naar kantoor gaat en papieren dossiers kopieert, noemen we dat dan inbraak? Voor mij is dat evident onlogisch en blijkt hier weer het “cyber is zo eng” gevoel dat ik helaas nog wel eens bij juristen tegenkom.

De verdediging had nog zeer actueel dat HR-arrest aangedragen, waarin men bepaalde dat “binnendringen in een website” niet strafbaar is omdat een website geen computersysteem is. De rechter schuift dat makkelijk terzijde, want in de tenlastelegging staat

computervredebreuk heeft gepleegd door in te loggen in de web e-mailserver van [bedrijf benadeelde] B.V .;
Dat woordje ‘server’ leest de rechtbank als het fysieke ding waar alles op gebeurt. Door dus in te loggen op de Outlook webinterface, heb je ingebroken op de hardware. En die hardware was (kennelijk, volgens het dossier) eigendom van het bedrijf zodat de discussie over “de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” niet relevant is.

Arnoud

 

 

Kan de bank je verplichten je bitcoins te verkopen op straffe van verlies bankrekening?

Geplaatst op in Ondernemingsvrijheid, Regulering, 6 reacties
Photo by RDNE Stock project on Pexels

Kan de bank je verplichten om afstand te doen van je bitcoins? Die vraag kwam ik tegen op de blog van het AMLC. Het ligt iets juridischer: schiet een bank tekort in haar zorgplicht door een klant mede te delen dat zij de bankrelatie zou beëindigen als deze haar bitcoins niet zou verkopen. Voor iedereen die naar de “Sell”-knop grijpt: het antwoord is negatief.

Het AMLC legt uit:

Het gaat om een bedrijf (Decos, AE) dat zich richt op de ontwikkeling van nieuwe technologie, waaronder blockchain. Sinds 2013 kocht en verkocht het bedrijf zo nu en dan bitcoins. Het bedrijf gebruikte haar posities in bitcoin vooral als reserve om liquiditeit aan te vullen. Eens per jaar werden delen verkocht en in het jaar daarop werden bitcoins aangekocht.
De Rabobank deed op zeker moment onderzoek naar deze klant van haar, en ontdekte “dat de onderneming middels het aan- en verkopen van Bitcoins, alsmede het minen van virtuele valuta, niet voldoet aan het beleid Rabobank virtuele valuta”. Ophouden daarmee dus, of je gaat eruit als klant. Voor een bedrijf een kleine ramp natuurlijk.

Wat was dan de noncompliance, of iets algemener welk beleid heeft de Rabobank?

“Het CDD beleid is uitsluitend voor intern gebruik, deze kunnen we helaas niet delen. Dit betekent dat wij ook op onze website geen informatie hebben over ons beleid.”
Een bank heeft volgens de wet een zorgplicht, en mag een bancaire relatie daarom niet zonder meer eenzijdig opzeggen op grond van het beleid en/of de eigen algemene voorwaarden. Daar staat tegenover dat een bank ook bepaalde regels moet navolgen, zoals de antiwitwasregels uit de Wwft.

Levert handel in bitcoins een risico rond die regels om? Niet direct:

Dat Rabobank strikt beleid hanteert ten aanzien van (de handel) in virtuele valuta door ondernemingen is gelet op de door Rabobank genoemde risico’s niet onbegrijpelijk. Het staat Rabobank in beginsel vrij om dit beleid te voeren. Ook wanneer dit beleid betekent dat zakelijke klanten geen virtuele valuta via Rabobank kunnen verhandelen of aanhouden. De stelling van Rabobank dat de Wwft haar ertoe verplicht dit beleid te voeren, berust echter op een onjuiste interpretatie van de door Rabobank aangehaalde bepalingen uit deze wet.
De wet eist immers dat je onderzoek doet bij verdachte transacties, niet dat je de klant eruit gooit als het verdacht riekt.

Dan blijft over de contractsvrijheid: mag Rabobank als private partij ervoor kiezen om strenger beleid te maken dan de wet van haar vergt? Ja, aldus het Gerechtshof. Die contractsvrijheid is er, zolang je er maar netjes mee omgaat. Wederom die zorgplicht. En daar gaat het hier op mis:

Op grond van de bancaire zorgplicht is Rabobank verplicht haar klanten te informeren over haar beleid op het moment dat zij daar om vragen.
Je moet als zakelijke klant bij een bank weten dat er vast regels zullen zijn over virtuele valuta, maar je hoeft echt niet te weten dat een bank ze wel eens zou kunnen verbieden. Als dát het beleid is, dan moet dat expliciet uitgedragen worden zodat je je keuze voor een bank daarop kunt afstemmen.

De volgende stap is dat je de toepassing van het beleid motiveert. Oftewel: welke risico’s zien we hier. Enkel zeggen “er kúnnen risico’s zijn dus het mag never nooit niet” is niet genoeg:

Rabobank heeft echter niet aangevoerd dat zich verhoogde risico’s voordeden bij Decos. Rabobank heeft daarmee haar aanzegging in feite alleen gebaseerd op (categoriale) bezwaren aangaande virtuele valuta. Ten aanzien van de aan- en verkoop van bitcoins door Decos heeft Rabobank op geen enkel moment duidelijk gemaakt op basis waarvan het risico zodanig hoog werd geacht dat er van Decos mocht worden geëist dat zij haar volledige portefeuille binnen drie maanden zou verkopen.
Als laatste is die periode van drie maanden ook nog eens onredelijk kort.
Gezien de langlopende bancaire relatie, het grote belang dat Decos had bij de voortzetting daarvan en het gegeven dat de mogelijkheid van overstappen naar een andere bank op zijn minst onzeker was en ook meer tijd in beslag zou nemen dan drie maanden, had Rabobank aan haar eisen in elk geval een redelijke(re) termijn moeten verbinden.
Alles bij elkaar had de bank dus onrechtmatig gehandeld door deze verplichting af te dwingen. Alleen, wat is de schade? Het bedrijf hanteerde de bitcoins als een soort reservepotje voor als de gewone geldstromen wat krapper werden. Het is dan logisch dat ze normaliter in ieder geval een deel van de bitcoins zouden hebben behouden. Maar welk deel, en of dingen als transactiekosten meewegen, dat moet in een aparte procedure worden bepaald.

Ondertussen lijk ik beleid te ontwaren op de Rabobank-site.

Arnoud

Amerikaanse rechter weigert video als bewijs vanwege gebruik AI-software

Geplaatst op in Innovatie, Regulering, 2 reacties
Bron: "Chicken3gg" op Twitter

Een Amerikaanse rechter heeft geweigerd dat een video als bewijs wordt gebruik in een rechtszaak vanwege het gebruik van AI-software bij het bewerken van de video. Dat meldde Tweakers vorige week. Door gebruik van de software wilde de aanklager duidelijker maken dat het inderdaad ging om de verdachte.

Wat ging er nou precies mis?

De aanklager gebruikte Topaz Video AI om de video te upscalen, meldt NBC News. De software van het Amerikaanse bedrijf herkent gezichten en vult vervolgens details aan die niet in het oorspronkelijke beeld zaten. Dat is problematisch, zo redeneert de rechter, want de software ‘leunt op vage methoden om te bepalen wat het AI-model denkt wat we moeten zien’, aldus de rechtbank.
Topaz is videobewerkingssoftware: je kunt er beeld mee opknappen, zoals door het er scherper laten uitzien. Dat is mooi voor die vakantiefoto die niet helemaal goed gelukt is, of voor het aanvullen van beeld voor je reclamecampagne dat nét even iets extra’s nodig heeft.

Specifiek bij bewijs is dat allemaal net iets spannender. Het is natuurlijk prima als het bewijs beter te beoordelen wordt, maar dat moet niet gebeuren door er dingen bij te verzinnen, hoe mathematisch logisch het ook lijkt dat die pixels er tussen moeten.

Het plaatje rechtsboven (van een experiment uit 2020 met hetzelfde doel) laat zien waarom: de dataset daarvan bevatte geen gezichten van kleur, waardoor de bekende foto van president Obama opgewerkt werd tot geheel iemand anders. Een recenter voorbeeld was beeldbewerkingssoftware die ongevraagd acteur Ryan Gosling toevoegde aan een video.

Mag dit nou van de AI Act? Ik zit even te peinzen of dit telt als biometrie, maar interpolatie van pixels kan ik moeilijk gelijk stellen aan analyse van gezichtskenmerken. Op de lijst (Annex III) staan wel diverse vormen van AI-gebruik door wetshandhaving, waar naast de politie ook het OM onder valt:

  • AI systemen gebruikt als leugendetector
  • AI om de betrouwbaarheid van bewijs te evalueren
  • AI om recidivisme in te schatten (waarbij meer dan profiling wordt gebruikt, want anders is het verboden)
  • AI voor het profileren van mensen in het kader van opsporing en vervolging
Het met AI mooier maken van bewijs lijkt mij onder het tweede item te vallen. Daarmee zou de inzet van Topaz door het OM aan de high-risk eisen moeten voldoen, wat lastig is omdat het systeem als zodanig daar niet op ontworpen is. Zo zal er geen inzage te krijgen zijn in de gebruikte trainingsdata of accuratesse, en moet het OM dan flink moeite doen om de verplichte adequate logging te bouwen.

Ook zullen dit soort systemen onder de transparantie-eis van “synthetic output generator” AI vallen. Die moeten zorgen dat hun beeld onzichtbaar en robuust gewatermerkt is zodat andere systemen (zoals het uploadformulier van Facebook) kan signaleren dat er synthetische afbeeldingen worden geupload.

Naar de letter van de wet is zulk beeld zelfs een deepfake:

“deepfake”: door AI gegenereerd of gemanipuleerd beeld-, audio- of videomateriaal dat een gelijkenis vertoont met bestaande personen, voorwerpen, plaatsen of andere entiteiten of gebeurtenissen, en door een persoon ten onrechte voor authentiek of waarheidsgetrouw zou worden aangezien;
Twintig bij twintig pixels uitvergroot en bewerkt zodat je er Ryan Gosling in ziet, lijkt mij wel “een gelijkenis vertonen” waardoor je ten onrechte het beeld voor waarheidsgetrouw aan gaat zien. Dit beeld moet dus expliciet gemarkeerd worden als niet-authentiek.

Is hiermee alle gebruik van beeldbewerking verboden? Nee. Nog even los van dat dit één uitspraak is; de betrouwbaarheid van via ict verkregen bewijs vaststellen is al decennia een aandachtspunt. AI maakt het manipuleren van bewijs eenvoudiger en sneller, maar dat is geen fundamenteel nieuwe kwestie.

Arnoud

 

Pakje sigaretten kopen? Eerst even je gezicht scannen, mag dat?

Geplaatst op in Innovatie, Ondernemingsvrijheid, Regulering, 14 reacties
(Bron: RTL Nieuws)

Wie een pakje sigaretten koopt, komt op steeds meer plekken in Nederland een gezichtsscanner tegen. Dat las ik bij RTL Nieuws onlangs. De scanner schat je leeftijd (25+ of niet) en laat je dan sigaretten kopen (of niet). Enkele rokende lezers stelden me vervolgens de vraag: mag dat eigenlijk wel, inzet van biometrie voor zo’n profileringsdoel? En vooral: wat zegt de aankomende AI Act?

De AI Act is definitief maar nog niet aangenomen (in mijn nieuwe boek lees je alle details). Dat zal in mei gebeuren. Daarna is er twee jaar overgangsrecht, hoewel de zogeheten verboden praktijken al over zes maanden moeten stoppen. En in die lijst (artikel 5) staan de nodige biometrische toepassingen:

  • Emotieherkenning op het werk en in het onderwijs, behalve indien noodzakelijk voor veiligheid of medische redenen (art. 5(1)(f)).
  • Biometrische categorisatie op bijzondere persoonsgegevens, zoals het afleiden van etnische afkomst of seksuele voorkeur (art. 5(1)(g)).
  • Real-time biometrie op afstand in de openbare ruimte voor wetshandhaving (art. 5(1)(h)))
Geen van deze drie is van toepassing op dit systeem. “25 jaar of ouder” zijn is geen bijzonder persoonsgegeven immers.

Diverse toepassingen van biometrie zijn als hoogrisico aangemerkt. De AI Act is daar formeel in; iets is hoogrisico als het op de lijst (Annex III) staat, je hoeft geen eigen inschatting te maken van hoe hoog of hoe ernstig het in jouw geval is. Pas je onder een tekst? Dan ben je hoogrisico.

De eerste toepassing is biometrie op afstand. De AI Act gebruikt hierbij niet een criterium uitgedrukt in meters, maar of je meerdere mensen tegelijkertijd scant (overweging 17, artikel 3 lid 41), met “typisch op afstand” als optionele toevoeging.

De tweede toepassing is emotieherkenning (dus niet op werk of school). Dit is niet van toepassing, want leeftijd is geen emotie.

Blijft over biometrische categorisatie op basis van gevoelige of beschermde kenmerken. Dit komt goed in de buurt: de categorieën zijn dan “25 jaar of ouder” versus “jonger dan 25”, en dit gebeurt op basis van gezichtskenmerken die goed ‘gevoelig’ kunnen zijn. Daarmee moet de leverancier aan een hele berg compliance-verplichtingen voldoen.

Die 25 jaar is overigens gekozen om de foutmarge naar 2% terug te dringen: het verschil zien tussen 17 en 19 is te subtiel kennelijk.

Waar ik vooral mee zit: de gezichtsscan duurt zo te zien op het filmpje minstens zo lang als een ID-kaartscan. (De leverancier spreekt van “rap” maar ik zie echt het tijdsverschil niet.) Je ID moet je altijd kunnen laten zien. Wat is dan precies nog het praktische voordeel van deze AI oplossing ten opzichte van altijd ID laten zien?

Arnoud

Justitie doorzocht zonder wettelijke grondslag telefoon van vreemdeling

Geplaatst op in Privacy, Regulering, 16 reacties
Photo by Anna Nekrashevich on Pexels

Justitie heeft een telefoon ontgrendeld en doorzocht van een vreemdeling die in bewaring was gesteld, zonder dat hier toereikende wettelijke grondslag voor was. Dat las ik bij Tweakers vorige week. De Raad van State had namelijk bepaald dat onder de Vreemdelingenwet 2000 ambtenaren niet bevoegd zijn om telefoons te doorzoeken, ondanks dat de wet (art. 59) vrij letterlijk zegt van wel. Wat is hier aan de hand?

Het ging om een Mongoolse vrouw die in vreemdelingenbewaring was gesteld:

Een ambtenaar van de Afdeling Vreemdelingenpolitie, Identificatie en Mensenhandel hoopte op haar telefoon foto’s van identiteitsdocumenten te vinden, zodat hij meer informatie kon krijgen over haar identiteit. De vrouw gaf echter geen toestemming voor het ontgrendelen van de telefoon. De ambtenaar hield daarop de telefoon voor haar gezicht, zodat deze alsnog ontgrendelde. Vervolgens heeft de werknemer handmatig de telefoon doorzocht.
Het voelt voor mij een tikje dun dat je iemands telefoon zou mogen doorzoeken op basis van de speculatie dat daar wellicht identiteitsdocumenten op staan, maar goed. De ambtenaar meende dat dat mocht, want artikel 59 Vreemdelingenwet 2000 bepaalt immers in lid 8 dat
De ambtenaren belast met de grensbewaking en de ambtenaren belast met het toezicht op vreemdelingen zijn bevoegd de in bewaring gestelde persoon aan diens kleding of lichaam te onderzoeken, alsmede zaken van deze persoon te doorzoeken, voor zover dit noodzakelijk is voor het verkrijgen van informatie omtrent de identiteit, nationaliteit en de verblijfsrechtelijke positie van de betreffende vreemdeling.
Bij invoering van de wet (Kamerstukken II, 2011/2012, 32 528, nr. 6, blz. 5 en 9) is gezegd dat met ‘zaken’ ook een mobiele telefoon wordt bedoeld. In 2011/12 geen gekke opmerking – dat was gewoon een ding waarmee je kon bellen en sms’jes kon versturen (en soms ook bewaren), maar dat was het wel zo ongeveer.

In 2024 is een mobieltje een wezenlijk anders ding: je hele leven staat erop – ik heb ze wel eens privacybommen horen noemen, om die reden. Dat betekent dat je als burger meer bescherming van je persoonlijke levenssfeer mag verwachten als het gaat om dingen aan je telefoon. De Hoge Raad bevestigde dat in een strafzaak in alweer 2017, en daarna is in het strafrecht een getrapt kader ontwikkeld voor doorzoeking aan telefoons van verdachten.

Het gaat hier alleen om vreemdelingenrecht en niet strafrecht, en het is dan geen gegeven dat regels van dat laatste ook gelden. De Raad van State gooit het over een andere boeg: omdat het niet gaat om strafrecht, is gewoon de AVG van toepassing (in plaats van de Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens). Doorzoeken van een telefoon is geautomatiseerd verwerken van persoonsgegevens, soms zelfs van bijzondere gegevens.

Natuurlijk is artikel 59 Vw dan een wettelijke basis, waarmee je komt bij de grondslag van uitoefening van het openbaar gezag (art. 6(1)(e) AVG) uitkomt. Alleen is dat artikel een tikje generiek en open, en dat is een probleem: naarmate de inmenging in een grondrecht ernstiger is, moet de wettelijke grondslag daarvoor nauwkeuriger zijn (vaste EHRM-jurisprudentie). Als de wet dat zelf niet doet, dan zul je op zijn minst een duidelijk afwegingskader moeten hebben waarbinnen de ambtenaren mogen werken:

Naar aanleiding van een vraag van de Afdeling op de zitting hoe die afweging er in de praktijk uitziet, heeft de staatssecretaris toegelicht dat in een proces-verbaal wordt vastgelegd wat er wordt uitgevoerd, welke relevante gegevens worden gevonden en waarom die relevant zijn, maar niet op basis waarvan de beslissing om een telefoon te onderzoeken wordt genomen. De staatssecretaris heeft bevestigd dat er geen nader regelgevend kader is aan de hand waarvan ambtenaren hun beslissing om een mobiele telefoon te onderzoeken nemen.
Er is niet eens een verslag van de afwegingen of werkwijze bij een specifieke doorzoeking. Dat is alles bij elkaar een werkwijze in strijd met de AVG en meer algemeen een serieuze kans op willekeur – iedereen doet maar wat, en als vreemdeling kun je daar niets tegen doen. Dat maakt dat het doorzoeken niet toegestaan is onder dit artikel.

Arnoud

YouTube opgedragen informatie over kijkers bepaalde video’s te verstrekken

Geplaatst op in Privacy, Regulering, 1 reacties

De Amerikaanse autoriteiten hebben Google via verschillende gerechtelijke bevelen opgedragen om informatie te verstreken over kijkers van bepaalde YouTube-video’s. Dat las ik bij Security.nl. Dit was weliswaar in het kader van de opsporing van één concrete verdachte, maar het doet toch bepaald griezelig aan.

Het bevel bleek gegeven in de context van een opsporing van een verdachte die wordt verdacht van witwassen door bitcoin voor contant geld te verkopen:

Begin januari stuurden undercoveragenten de verdachte een link naar verschillende YouTube-video’s. Vervolgens vroegen ze Google informatie over wie de betreffende video’s had bekeken. Die waren inmiddels al meer dan dertigduizend keer vertoond. Als onderdeel van het gerechtelijk bevel moet Google de namen, adresgegevens, telefoonnummers en alle gebruikersactiviteit van alle Google-accountgebruikers verstrekken die de YouTube-video’s tussen 1 en 8 januari hebben gezien. Daarnaast wil de Amerikaanse overheid ook de ip-adressen van mensen die niet met een Google-account op YouTube waren ingelogd en de video’s hebben bekeken.
Het idee zal dan zijn dat wie al die video’s kort achter elkaar had bekeken, dat had gedaan via de gestuurde links, wat het waarschijnlijker maakt dat dit de verdachte was. En omdat je dan diens IP adres hebt, is fysiek opsporen en ondervragen dan een mogelijke volgende stap.

Aardig bedacht, maar de videos waren natuurlijk ondertussen bekeken door dertigduizend mensen en de kans op vals positieven is daardoor reëel. Nog even los van “hoezo mag de politie vragen welke video’s ik kijk”, de term fishing expedition komt direct in mij op.

In Nederland kan de politie bij verdenking van een misdrijf IP-adressen en dergelijke vorderen. Het moet dan alleen wel gaan om de gegevens van de vermoedelijke verdachte. De vraag zoals hier gegeven “welke personen bekeken tussen 1 en 2 maart deze video” is niet geschikt voor zo’n vordering.

Arnoud

 

 

Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen

Geplaatst op in Privacy, Regulering, Security, 4 reacties

Het Europese Hof van Justitie heeft geoordeeld dat de wet dat burgers vingerafdrukken moeten toestaan voor identiteitsbewijzen ongeldig is. Dat las ik bij Tweakers. Toch geldt de wet nog steeds, tot een betere wet eind 2026 ingaat. Dit riep vele vragen op, dus laten we even kijken wat hier nu precies aan de hand was.

In 2019 is een Europese Verordening (2019/1157) aangenomen. Deze betrof “de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten”, en bevatte een bepaling over vingerafdrukken (artikel 3 lid 5):

De identiteitskaart bevat een opslagmedium dat aan de hoogste veiligheidseisen voldoet en dat een gezichtsopname en twee vingerafdrukbeelden van de houder van de kaart bevat, in een digitaal formaat.
Iedereen die zo’n kaart kreeg, was verplicht diens vingerafdrukken af te geven (behalve kinderen onder 6 en mensen bij wie dat fysiek onmogelijk was).

In 2021 moest iemand in Duitsland (Wiesbaden) een nieuwe ID-kaart, maar hij wilde echter niet dat de nieuwe kaart zijn vingerafdrukken zou bevatten. De gemeente zag dat anders: in de wet staat dat dat moet, en hij viel niet onder de uitzonderingen.

Daarop stapte de man naar de rechter. Hij had daarbij zowel inhoudelijke als formele argumenten. De inhoudelijke spreken voor zich, maar de formele hebben wat meer uitleg nodig. Er zijn in de EU verschillende routes om tot een bindende wet te komen. Welke route te nemen, hangt af van het onderwerp en het doel van de regeling. Een regel over consumentenrecht gaat via een heel andere route dan een maatregel ter beveiliging van de gemeenschappelijke grenzen, bijvoorbeeld.

Regels over “reisdocumenten” kunnen worden ingevoerd via artikel 21, lid 2 van het Verdrag betreffende de Werking van de EU (VWEU), dat voorschrijft dat de “gewone wetgevingsprocedure” wordt gebruikt. Maar in artikel 77(3) VWEU staan regels over “paspoorten, identiteitskaarten, verblijfsvergunningen en daarmee gelijkgestelde documenten”, maar die mogen alleen ingevoerd worden via “een bijzondere wetgevingsprocedure”.

Bent u daar nog? In gewone taal: niet Parlement en Raad hadden moeten stemmen (en met 50%+1 stem meerderheid aannemen) over deze wet, maar alleen de Raad (en met unanimiteit) na ‘raadplegen’ van het Parlement. Oftewel, verkeerde regel toegepast bij invoering, en ja dat maakt een wet ongeldig.

Het Hof toetst ook inhoudelijk de bezwaren op grond van AVG en bescherming van persoonlijke levenssfeer, maar concludeert dat deze regeling door de beugel kan. Ook de burger heeft er belang bij dat identiteitskaarten moeilijker na te maken zijn, en twee vingerafdrukken er op zetten helpt daarbij. En omdat de wet de hoogste beveiliging eist én hergebruik verbiedt, is het restrisico op misbruik aanvaardbaar.

In deze situatie vindt het Hof het een té zware maatregel om per direct de wet buiten werking te stellen. Dit zou de beveiliging van identiteitskaarten immers weer omlaag halen, en verplichten dat gemeenten zulke kaarten zonder biometrie gaan afgeven, terwijl daar geen inhoudelijke reden (zoals privacyschending) voor is.

En als je dan meeneemt dat er in 2026 sowieso een nieuwe Verordening hierover komt die ook vingerafdrukken eist, dan zou dat allemaal wel heel veel gedoe zijn. Daarom mag deze wet toch van kracht blijven.

Arnoud

 

 

Europese Commissie gaat AI-inzet van grote platforms aanpakken

Geplaatst op in Regulering, Uitingsvrijheid, 2 reacties
assorted electric cables
Photo by John Barkiple on Unsplash

De Commissie heeft op grond van de Digital Services Act (DSA) formeel verzoeken om informatie gestuurd naar de grote online zoekmachines en platforms, las ik in hun persbericht van vorige week. Het gaat om uitleg over hoe zij omgaan met de risico’s van generatieve AI, zoals zogenaamde ‘hallucinaties’ waarbij AI valse informatie verstrekt, de virale verspreiding van deepfakes, evenals de geautomatiseerde manipulatie van diensten dat kan kiezers misleiden.

Het is natuurlijk dat laatste dat de directe aanleiding is: de verkiezingen van het Europees Parlement komen eraan, en de vorige keer was er nogal wat ophef over politieke disinformatie op online platforms. Ook het Cambridge Analytica-schandaal heeft veel zorgen gegeven, met name de vraag of met microtargeting mensen gericht zouden kunnen worden beïnvloed (en AI maakt dat massaal mogelijk).

Nergens in de DSA staat expliciet dat je AI hallucinaties, deepfakes of manipulatie van kiezers moet bestrijden. Dit volgt uit de algemene zorgplicht tegen “systeemrisico’s”, brede maatschappelijke risico’s die jij als zeer groot platform (VLOP) of zeer grote zoekmachine (VLOS) veroorzaakt door zo massaal mensen en bots dingen te laten posten.

De organisaties hebben tot 5 april gekregen om te reageren voor wat betreft de verkiezingen, en tot 26 april voor de overige vragen. Toevallig zie ik al een eerste maatregel: YouTube krijgt label als video generatieve AI bevat.

Arnoud