Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

Is het mogelijk iemand strafrechtelijk te vervolgen voor AVG-schendingen?

Geplaatst op in Ondernemingsvrijheid, Security, 9 reacties
Photo by Bermix Studio on Unsplash

Een lezer vroeg me:

Laatst las ik dat privacyorganisatie noyb bij het Oostenrijkse OM een klacht heeft ingediend om Clearview AI en de managers van het bedrijf strafrechtelijk te vervolgen. Is zoiets ook in Nederland mogelijk?
Inderdaad heeft Oostenrijk in Artikel 63 van haar Datenschutzgesetz uitgewerkt dat de rechter, onder andere voor “onrechtmatige zelfverrijking” door middel van onrechtmatig verkregen persoonsgegevens, een gevangenisstraf tot een jaar kan opleggen.

De AVG erkent dat landen deze mogelijkheid hebben. Artikel 84 AVG eist dat lidstaten sancties invoeren voor overtredingen die niet in de AVG zelf al staan. Het strafrecht is dan een optie. Overweging 149 suggereert daarbij dat het afpakken van winst verkregen uit AVG-schendingen een optie zou kunnen zijn.

Omdat de AVG gebaseerd is op economische regels, kan zij zelf geen bepalingen van strafrecht introduceren. Lidstaten moeten dus zelf kiezen of en zo ja welke strafbaarstelling men invoert. Nederland heeft (zonder echte motivatie) geen algemene regels van strafrecht ingevoerd.

Mijn vermoeden is dat de wetgever denkt dat het bestuursrecht adequaat is voor handhaving. Uiteindelijk is een boete een boete, en gevangenisstraf voor bestuurders is niet echt een Nederlandse traditie.

Wel zijn er natuurlijk allerlei artikelen van strafrecht die specifiek zien op delicten gepleegd met persoonsgegevens, zoals:

  • Gegevensdiefstal (art. 138c), wat ook kan met niet-openbare persoonsgegevens
  • Aftappen van gegevens (art. 139c), idem
  • Verwerven of openbaar maken niet-openbare persoonsgegevens (art. 139g)
  • Vervalsen van identiteitsdocumenten (art. 231)
  • Misbruik van biometrische persoonsgegevens (art. 231a)
  • Identiteitsdiefstal (art. 231b)
  • Wraakporno of deepfake-porno maken of verspreiden (art. 254ba)
  • Doxing oftewel overlast geven door misbruik persoonsgegevens (art. 285d)
  • Afpersing (art. 317) met bv. wissen van belangrijke gegevens
  • Afdreiging (art. 318) met openbare van als privé te beschouwen persoonsgegevens
(Ik vergeet er vast de nodige.)

Hier is dan de gedachte dat dit zo ernstig is dat gevangenisstraf gepast zal zijn. Ook gaat het hier zelden om gebruikelijke, legitieme verwerkingen waarbij een toezichthouder af en toe binnenstapt. En vaak gaan ze samen met andere misdrijven, dus dan is het logisch dat je de politie het voortouw laat nemen.

Arnoud

Ben je je gametegoed kwijt als de exploitant van het gamingbedrijf ermee stopt?

Geplaatst op in Ondernemingsvrijheid, 11 reacties
Photo by Tim Mossholder on Pexels

Sinds eind oktober werken Pathé en gamingbedrijf Go!Gaming niet meer samen, meldde Tweakers onlangs. Gametegoeden voor het in de bioscoop gevestigde gamingbedrijf zijn niet meer geldig. En dat verbaasde velen, want wat is er dan precies gebeurd en hoezo vervalt je tegoed als een bedrijf besluit te stoppen?

De communicatie is een tikje cryptisch. Op de site van Go!Gaming staat niet meer dan

Go!Gaming is vanaf 1 november 2025 exclusief bij H20 Purmerend ondergebracht. De locaties bij Pathé zijn gesloten per 31 oktober 2025.
In een Google Docs document (sorry, wut) wordt tekst getoond die kennelijk nadere toelichting moet voorstellen:
De activiteiten en organisatorische inrichting die nodig zijn om de centers (zoals ze waren) voor te zetten lukte helaas niet. We nemen de successen nu mee in het ontwikkelen van nieuwe concepten bij Pathé. Bij H20 wordt een vorm van Go!Gaming wel doorgezet binnen de H20 campus. (…) In basis is er geen compensatie meer mogelijk aangezien de centers en daarmee de exploitatie is gestopt bij Pathé.
Wel is op individueel verzoek “een geschikte oplossing” mogelijk, maar dat lijkt niet bedoeld als “dan maken we het tegoed over naar je bankrekening”. Mogelijk omdat er geen geld meer is (gezien de formulering van de geciteerde tekst), maar waarom zou dat het probleem moeten zijn van de consument?

Juridisch zit hier nog wel een uitdaging dat niet duidelijk is wat “gametegoed” dan precies is. In dit geval gaat het om een tijdseenheid (1, 2 of 3 uur) en een locatie (zoals Eindhoven, Nijmegen of Purmerend). Je boekt dus niet meteen een datum en tijd, maar kunt met dat tegoed naar die locatie en spelen als er dan een plek vrij is.

Algemene voorwaarden zijn er niet (de link gaat naar de privacy policy), en de bezoekersvoorwaarden gaan vooral over gedrag als je al binnen bent. Nergens staat dus of tegoeden vervallen, hoe je ze in moet wisselen of wat de beoogde geldigheid is.

Wat is dan zo’n tegoed? De meeste juristen noemen het een “een waarde- of toonderpapier”, een bewijs dat je een vordering hebt op de uitgevende partij. (Ik negeer even het papiervereiste.) Elektronisch geld is het niet (art. 1:5a lid 2 onder k Wft), daarvoor is nodig dat je de bon bij meer dan een “beperkt netwerk van dienstverleners” kunt inzetten of meer dan “een zeer beperkte reeks” dingen er mee kunt doen. Veel geregeld over dit soort vorderingsrechten is er niet.

De meer fundamentele vraag is echter of je wel een recht hebt. Dit is niet zo concreet als een aankoop: ik wil product X en betaal prijs Y. Op zijn minst staat het moment van levering (wanneer wil je spelen) nog niet vast. Daaruit zou je kunnen afleiden dat het recht op enig moment kan vervallen.

Stel dat het wél een concrete vordering is. Dan kun je nakoming eisen. Alleen, hier kan het bedrijf dat niet meer, want men heeft de inventaris verkocht. Er zijn dus geen gaminghallen meer, laat staan consoles of andere apparatuur. Geld zal er ook wel niet meer zijn.

Bij Pathé aankloppen heeft in ieder geval geen zin: tussen de regels door lees ik dat die de inventaris heeft gekocht, en sowieso al eigenaar was van de gamehallen waar ze nu een nieuwe merknaam op plakken. Die heeft dus geen juridische relatie met de uitgever van de gametegoeden.

Opmerkelijk is wel dat de Go!Gaming bv nog bestaat, en nu op het adres van Pathé is ingeschreven. Dat suggereert een aandelenovername. In ieder geval is deze bv dus niet opgeheven, dus je zou er nog een claim kunnen doen – met dus de kanttekening dat er zeer waarschijnlijk geen geld meer is. (Mogelijk bestaat de bv nog juist omdat er nog aanspraken zijn, dan mag je niet zomaar opheffen. De wat cynischer optie is dat men het klantenbestand nog wil uitbaten en van de AVG daarom de verwerkingsverantwoordelijk niet mag opheffen.)

Arnoud

 

 

Heb jij al een opzegknop voor je proefabonnementen op je website?

Geplaatst op in Ondernemingsvrijheid, 7 reacties
Photo by Clker-Free-Vector-Images on Pixabay

Verstopt in een richtlijn over financiële diensten is een plicht om een duidelijke herroepingsknop op je website te hebben. Dat gaat nog een dingetje worden, want eigenlijk moet dit 12 december al ingevoerd zijn maar onze wet is er nog niet op aangepast.

In 2023 nam Europa Richtlijn 2023/2673 aan over op afstand gesloten financiële diensten. Deze vult de bestaande consumentenbescherming van overeenkomsten op afstand aan, met als venijnige nieuwigheid een algemene regel over het via een online interface kunnen opzeggen van proefabonnementen en bestellingen in de 14-dagenperiode.

Iedere via een online-interface gesloten overeenkomst

De herroepingsfunctie wordt op een gemakkelijk leesbare manier aangeduid met de woorden “hier de overeenkomst herroepen” of een ondubbelzinnige overeenkomstige formulering. De herroepingsfunctie moet gedurende de herroepingstermijn te allen tijde beschikbaar zijn. De herroepingsfunctie moet duidelijk zichtbaar op de online-interface worden weergegeven en gemakkelijk toegankelijk zijn voor de consument.
Oftewel: er moet een grote dikke rode knop op je site “Annuleer mijn abonnement”. De eisen hieraan zullen waarschijnlijk net zo streng zijn als bij de bestelknop waar het nodige over te doen was de laatste tijd.

Het gaat hier dus niet om een algemene plicht dat je online contracten via een aparte knop moet kunnen opzeggen. De scope is beperkt tot de 14-dagenperiode waarbinnen je wettelijk van je online gesloten overeenkomst af moet kunnen. Ik noem proefabonnementen apart, want daar zit meestal het grootste probleem. Fysieke bestellingen kun je terugsturen, een abonnement stopzetten is meer gedoe.

Uiterlijk op 19 december moet dit wettelijk zijn geregeld, en per 19 juni 2026 moet deze eis wettelijk afdwingbaar zijn. De sanctie is eenvoudig: de proefperiode wordt naar een jaar verlengd, want de eis tot deze knop wordt aan de essentiële informatie (art. 6:230m BW) toegevoegd die voorafgaand moet worden gegeven.

Arnoud

Een AI-model is geen kopie van haar trainingsdata (of toch wel?)

Geplaatst op in Innovatie, Intellectuele rechten, 15 reacties
ananitit / Pixabay

Getty Images heeft dinsdag grotendeels verloren in de rechtszaak in Londen tegen het AI-bedrijf Stability AI over diens beeldgenerator. Dat meldde Reuters. Hoewel de generator (Stable Diffusion) was getraind op Getty-content én Getty-foto’s kon reproduceren, vond de Engelse rechtbank dat geen sprake was van rechtenschending. Hoe zit dat?

Stable Diffusion is een van de oudste beeldgeneratoren. De kern van de werking is het diffusiemodel, waarbij uit een startafbeelding ruis wordt verwijderd op basis van een prompt, om te komen tot een resultaat dat statistisch correspondeert met de in de trainingsdata aangeleerde patronen.

Die trainingsdata kwam van internet natuurlijk. Iets preciezer van het LAION-datasetcollectief. Deze bevat dan weer tienduizenden afbeeldingen waar Getty auteursrecht op had, wat voor het stockfotobedrijf reden was om een rechtszaak te beginnen.

Probleem: een diffusiemodel bevat niet letterlijk kopieën van die foto’s. Die zijn gebruikt om op te trainen, om die patronen uit te ontwaren. Bij dat trainen worden natuurlijk kopieën gemaakt, alleen was hier de complicatie dat dat niet in Engeland was gebeurd. Dus dat kun je onder Engels recht niet als inbreuk behandelen.

Het Engelse vonnis behandelt dan ook de kwestie als secondary infringement, oftewel het invoeren van een kopie naar het grondgebied van het Verenigd Koninkrijk. En dan wordt het nog knap ingewikkeld: kun je een AI-model, een diffusiemodel, wel zien als een kopie van haar trainingsdata?

Dit is een hele fundamentele vraag. Modellen leren patronen, maar leggen daarmee niet de trainingsdata zelf vast. Of toch wel? Het is (soms) mogelijk om specifieke bronafbeeldingen te reconstrueren, wat het vonnis “memorized images” noemt. Onduidelijk is of dat inherent is, hoe wijdverspreid dat gaat en in hoeverre de prompt daarin meeweegt (Nasr et al, Su et al).

De rechter kreeg vele analogieën aangereikt, maar dat bleek hier eerder verwarrend dan behulpzaam. Hij gaat daarom terug naar de wet zelf, die spreekt van een “infringing copy”. Dat wil zeggen, letterlijk lezend, dat er een kopie van een beschermd werk in zit. En dat is niet het geval, althans dat blijkt niet uit het bewijs. Kopieën zijn wel gebruikt bij het maken van het diffusiemodel, maar ze zitten er niet in. 

Kern van deze conclusie is wel dat Getty had ingezet op “de modelgewichten en het model als zodanig is per definitie een kopie van de trainingsdata”. Die stelling wordt als te algemeen en te kort door de bocht verworpen.

De insteek “met het diffusiemodel kunnen kopieën worden gemaakt van onze foto’s” had een andere conclusie gegeven, maar dan kom je bij discussies als “de dienst zet aan tot inbreuk” en de vrijwaring voor dienstaanbieders en ik denk dat Getty daar weg van wilde blijven.

Het is één uitspraak in 51 zaken wereldwijd en ongetwijfeld wordt hoger beroep ingesteld.

Arnoud

 

Waarom hoeven betrokkenen niet binnen 72 uur geïnformeerd te worden over een datalek?

Geplaatst op in Privacy, Security, 4 reacties
Photo by Pixabay on Pexels

Een lezer vroeg me:

De laatste tijd zijn er verschillende datalekken in het nieuws gekomen waarbij gedupeerden pas weken later werden gewaarschuwd. Ik weet dat in de AVG een meldplicht binnen 72 uur bij de AP geldt voor organisaties, maar waarom is er niet ook zo’n harde deadline voor getroffen personen?
De AVG eist (artikel 33) dat datalekken “zonder onredelijke vertraging” worden gemeld bij de toezichthouder. Om te voorkomen dat mensen te lang dralen, staat er ook een harde deadline van uiterlijk 72 uur na ontdekking bij. Maar wie dan nog niet alles weet, mag een gedeeltelijke melding maken.

De rationele achter deze harde deadline is dat de toezichthouder zo vanaf het begin mee kan kijken en waar nodig aanwijzingen kan geven. Door dat vroeg in het proces te doen, is er nog ruimte voor sturing, kan bewijs nog worden gevorderd enzovoorts.

Naast deze meldplicht bestaat er ook een mededelingsplicht aan getroffen betrokkenen (artikel 34). Deze mededeling moet ‘onverwijld’ gebeuren, maar hier staat geen hard getal bij. De reden om ook dit zo snel mogelijk te laten gebeuren is natuurlijk dat je dan maatregelen kunt nemen zoals je wachtwoorden wijzigen.

Bij deze mededelingsplicht is geen harde termijn genoemd. De AVG geeft daar geen expliciete reden voor. Vermoedelijk is de gedachte geweest dat betrokkenen weinig hebben aan halve informatie, en dat je in die eerste 72 uur vaak nog bezig bent met dingen oplossen. Het is dan denkbaar dat even wachten beter is.

Het is echter niet zo dat je, omdat er geen hard getal staat, je mag wachten tot je een keer zin hebt om te melden. ‘Onverwijld’ is hoe dan ook zo snel mogelijk, en als het weken duurt dan kan de toezichthouder je daar echt voor op de vingers tikken. Lid 4 biedt zelfs expliciet de optie om je te sommeren per direct iedereen te informeren.

Arnoud

Mag je als waterbedrijf mensen mailen dat er een bacterie in het drinkwater zit?

Geplaatst op in Ondernemingsvrijheid, Privacy, 27 reacties
Photo by Tosab Photography on Unsplash

Er is een bacterie gevonden in het drinkwater in de regio Utrecht. Dat meldde RTV Utrecht vorige week. De darmbacterie enterokokken kan gevaarlijk voor de gezondheid zijn. Veel mensen klaagden echter het niet direct van het waterbedrijf gehoord te hebben. Dat mocht niet van de AVG, zei hij spottend.

Volgens RTV Utrecht is het gevaar relatief:

Die bacterie komt van nature ook voor in de darmen van mensen en is niet gevaarlijk voor gezonde mensen. Voor mensen met een kwetsbare gezondheid kan de bacterie wel vervelende gevolgen hebben, zoals een infectie.
Desondanks is het advies breed gegeven om water drie minuten te koken voor consumptie (en werd het bronwater in alle supermarkten diezelfde ochtend leeggekocht). Maar niet iedereen kreeg de waarschuwing van waterbedrijf Vitens. Deels is het probleem dat niet iedere bewoner ook de klant is, zoals bij de verhuurder van een studentenwoning. Maar het blijkt ook juridisch moeilijk te zijn:
Daarnaast hebben sommige klanten toen ze zich ooit aanmeldden bij Vitens of daarna aangegeven dat ze geen mail van het bedrijf willen ontvangen. “Dan mogen we ze wettelijk ook geen mail sturen. Ook niet bij een calamiteit zoals deze.” [aldus een woordvoerder]
Dit doet natuurlijk vreemd aan, waarom zou bij een calamiteit de nood niet de wet breken?

Daarvoor moeten we naar artikel 6 lid 1 punt d AVG, een verwerking die noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. De AP legt uit:

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om persoonsgegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.
Ik ken deze grond vooral uit de boekjes, want er wordt zeer zelden een beroep op gedaan. Overweging 46 noemt als voorbeelden natuurrampen en door de mens veroorzaakte rampen, en deze infectie is zeker niet op dat niveau. Daarbij komt dat de verwerking ‘essentieel’ moet zijn, dus niet “handig” of “beter uitkomend” dan andere vormen.

Belangrijker is voor mij dat een beroep op deze grondslag (overweging 46) alleen mogelijk is als je geen andere grondslag kunt inroepen. Hier had vooraf een vraag gesteld kunnen worden “Wilt u bij ernstige risico’s zoals bacteriën een noodbericht krijgen”, en om die reden vervalt deze mogelijkheid.

Blijft (zoals altijd) het gerechtvaardigd belang over. Dat mag altijd, ook zonder toestemming. Niet bij reclame (dat vereist opt-in), maar dit servicebericht is zeker weten geen reclame. Alleen zit je hier dan met het probleem dat bij verkrijging is aangegeven dat men ook geen serviceberichten wil. En dan houdt dat dus op.

Arnoud

Privacy First kritisch op Camera in Beeld: surveillance zonder wettelijke basis vrijdag 31 oktober 2025, 10:16 door

Geplaatst op in Privacy, Security, 4 reacties
Photo by Scott Webb on Pexels

Stichting Privacy First is kritisch op de politiedatabase Camera in Beeld, omdat het tot surveillance zonder wettelijke basis leidt. Dat meldde Security.nl vorige week. De registratiedatabank komt vaker langs, en elke keer weer is de vraag: waarom kan dat zomaar, gegeven dat heel veel camera’s in strijd met de wet hangen?

De politie legt zelf uit wat het doel van Camera in Beeld is:

Camera in Beeld is een systeem van de politie waar burgers en bedrijven vrijwillig hun beveiligingscamera(‘s) kunnen aanmelden. Dankzij deze informatie weten wij per straat welke beveiligingscamera’s beschikbaar zijn. Als er een misdrijf is gepleegd waarbij camerabeelden kunnen helpen om de daders op te sporen, kunnen wij die beelden gericht opvragen bij de camera-eigenaren.
Het is dus puur een registratiesysteem. Je meldt je aan (via DigiD) en geeft de locatie van je buitencamera(‘s) door. Jaarlijks krijg je een reminder of de informatie nog klopt, en dat is het. Er gaat niemand langsrijden of het klopt, en er is ook geen check of de camera er legaal hangt. Bij een onderzoek kan de politie je benaderen (dankzij je DigiD aanmelding) en vragen om beelden. Heb je die niet, even goede vrienden.

Dat “geen check of de camera er legaal hangt” is dan wel een dingetje. Een vraag daarover ontbreekt, wel staat er een algemene vraag over de regels waarbij men verwijst naar een factsheet met tips. Die factsheet heeft ook weer wat juridische observaties:

  • Als u uw camera op uw eigen terrein richt, ontkomt u er soms niet aan dat ook de openbare weg wordt gefilmd. Dit moet zo beperkt mogelijk zijn. Voor een deurbelcamera gelden dezelfde regels als voor een gewone beveiligingscamera.
  • Maak duidelijk dat u een camera heeft hangen, bijvoorbeeld met een bordje of sticker.
  • Burgers mogen beelden maximaal 28 dagen bewaren.
  • Opgeslagen beelden mogen niet bereikbaar zijn voor anderen.
Dit is op zich een prima samenvatting (al is die 28 dagen arbitrair), maar nergens lees ik of de camera gericht mag worden op de openbare weg. En dat is het pijnpunt: dat mag in beginsel niet, want je krijgt de belangenafweging uit de AVG niet rond.

Mijn flauwe antwoord hierbij is altijd dat de politie niet over de AVG gaat, en dus geen rekening daarmee hoeft te houden in haar communicatie. De AVG is bestuursrecht met een eigen toezichthouder. Ander loket meneertje.

Beveiligingscamera’s lopen wél tegen het wetboek van strafrecht aan. Artikel 441b Strafrecht verbiedt het maken van afbeeldingen van personen (foto’s, video) met een aangebrachte camera waarvan “de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt”. Dat is dus waarom er bij bedrijven en openbare gebouwen cameratoezicht-bordjes hangen.

Particulieren doen dat zelden, en waar zou je dat ook ophangen? In de voortuin is rijkelijk laat, want het bordje moet zichtbaar zijn voordat je in beeld bent. Op de lantaarnpaal op de hoek mag niet, die is niet van jou. En vaak speelt ook mee dat mensen het liever niet te hard bekend maken, want daar komt ruzie met de buren van.

Formeel dus allemaal in overtreding, geldboete derde categorie (geen misdrijf trouwens). Ik kan geen beleidsregels vinden over wanneer de politie hierbij ingrijpt of niet. Dat lijkt me ook lastig: het voordeel van deze camera’s bij ernstige zaken is evident. Het nadeel is meestal slechts abstract, dus waarom zou je dan vervolgen? Maar expliciet zeggen dat je niet vervolgt, maakt ingrijpen onmogelijk als er zo’n burenruzie van komt.

Arnoud

 

Mag de rechter een onrealistisch korte implementatieperiode afdwingen in een vonnis?

Geplaatst op in Ondernemingsvrijheid, 5 reacties
Photo by Towfiqu barbhuiya on Unsplash

Facebook en Instagram moeten voor het einde van het jaar hun tijdlijnen aanpassen van een Nederlandse rechter. Dat meldde Tweakers vorige week. Dit was een spoedappel omdat Meta écht niet niet in de geëiste periode de softwarewijziging kon doorvoeren die zij in een eerder vonnis opgelegd kreeg: het moeten onthouden van de keuze voor een chronologische feed.

In mijn tijd was dat een bitflag in je profile, maar tegenwoordig gaat het ook hier “om aanpassingen die de kern van deze systemen raken, die moeten voldoen aan de toepasselijke privacy en veiligheidsregels, testprocedures moeten doorlopen en zijn onderworpen aan goedkeuringsprocedures van derden (Apple en Google)”.

Voor wie de vorige blog niet gelezen had: de chronologische feed is er al gewoon. Het probleem is dat je keuze om die op te vragen niet permanent is, maar binnen de kortste keren teruggezet wordt naar de algoritmische feed. Als Meta dus zegt dat men “met man en macht aan de slag gegaan” is met deze “complexe ingrepen in de bestaande systemen” dan bedoelen ze “een plekje maken om te onthouden welke feed je wilde”.

Bits of Freedom had als eiser nog gesteld dat dit in ieder geval als snelle patch zo door te voeren moet zijn, en definitieve implementatie kan dan later. Maar dat ziet het Hof anders: het moet goed gebeuren want “aannemelijk is dat de potentiële risico’s die kleven aan deze sneller te realiseren tijdelijke oplossing veel groter zijn”.

Punt is natuurlijk dat deze regel sinds 2023 geldt. Dus hoezo is het nú een ding dat dit maanden moet duren, even los van hoe reëel die schatting is?

In situaties als deze is het formalistisch bekeken heel makkelijk. De wet is er sinds 2023, de rechter legt uit wat de wet betekent maar die uitleg geldt dan ook sinds 2023 want de wet is de wet. Dus bij deze de constatering dat je het al 2 jaar verkeerd doet.

Dat kan behoorlijk hard uitvallen, maar het is een gevolg van het systeem waarin rechters de wet duiden maar niet maken. Een verrassende uitspraak is dus jouw probleem als marktpartij, en je moet van goeden huize komen om daarvoor een coulante behandeling te krijgen. (Ik moet nu denken aan de Box 3-uitspraak van de Hoge Raad.)

Wel zal bij de periode om het te realiseren meewegen hoe voorzienbaar deze interpretatie van de wet was, naast hoe moeilijk het aanpassen. En ik kan er hier werkelijk niet bij dat het zó raar en onlogisch is. Je “voorkeursoptie te allen tijde [kunnen] selecteren en te wijzigen” is toch alleen zinnig als dat wijzigen onthouden wordt? Ja, je mag wijzigen maar ik zet het bij de eerstvolgende klik weer terug. Kom nou.

Arnoud

 

 

‘Regering NL greep in bij Nexperia, omdat Chinese topman bedrijf leeg trok’

Geplaatst op in Regulering, 8 reacties
Photo by Ludovic Delot on Pexels

De Nederlandse regering greep in bij chipfabrikant Nexperia, omdat de Chinese topman bezig was de Europese tak van het bedrijf leeg te trekken. Dat meldde Tweakers vorige week op gezag van onderzoek van NRC. Daarvoor werd een nooit eerder gebruikte wet ingezet, wat mij als jurist natuurlijk de oren deed spitsen.

NRC licht toe:

Nexperia, dat een hoofdkantoor in Nijmegen heeft, maakt goedkope chips die in allerlei elektronica zit. De wafers, ronde schijven waarop deze chips gemaakt worden, worden geproduceerd in Manchester en Hamburg. Het merendeel van die chips wordt verwerkt door een ‘back-end’ fabriek in het Chinese Dongguan.

[Eigenaar Zhang “Wing” Xuezheng] wilde de productie van wafers volledig naar China halen, en onderbrengen bij een andere onderneming van hem, WingSkySemi. Daarvoor eigende hij zich de recepten toe voor de productie van chips uit de Nexperia-fabriek in het Britse Manchester, die ‘mosfets’ – simpele schakelaars – maakt.

Dit zou op zeer korte termijn gebeuren, en onder meer als gevolg hebben dat 40% van het Europese personeel zou worden ontslagen. Het onderzoekscentrum in München zou worden gesloten. Omdat het ministerie vreesde dat “cruciale technologische kennis en capaciteiten” verloren zou gaan, greep men in met een bevel onder de Wet beschikbaarheid goederen.

De Wbg komt uit 1952 en heeft een Koude Oorlog-motivatie. Iedere miniser mag bevelen uitvaardigen als dat “noodzakelijk is ter verzekering van het beschikbaar blijven van goederen ter voorbereiding op noodsituaties”. Achterliggend doel was onder meer hamsteren bij consumenten te voorkomen, maar ook om productie en continuïteit van de industrie te waarborgen.

De goederen hier waren de machines en andere activa van het bedrijf in Europa. Als die verloren zouden gaan voor Europa, dan zou “de Europe auto-industrie, consumentenelektronica en defensie” in gevaar komen. Het bevel verhindert de mogelijkheid tot verplaatsing of eigendomsoverdracht van die machines.

Wing zelf is ondertussen ook afgezet als bestuurder, maar dat is niet op grond van dit bevel gebeurd. De Ondernemingskamer bepaalde op 13 oktober dat Wing belangenconflicten had met zijn andere bedrijf en daar niet zorgvuldig mee omging. Ook werd de governance van Nexperia niet goed ingericht nadat het ministerie haar zorgen had uitgesproken. Juridisch heet dat samen dan “dat gegronde redenen bestaan voor twijfel aan een juist beleid en een juiste gang van zaken” en dan mag een CEO geschorst worden.

In mijn boek Wetwijs in het digitale decennium bespreek ik wetgeving als de Critical Raw Materials Act (CRMA, Verordening 2024/1252) en de Wet veiligheidstoets investeringen, fusies en overnames, die bedoeld zijn om bij geopolitieke spanningen of zorgen over soevereiniteit in te grijpen. Deze konden tegen Nexperia echter niet gebruikt worden, omdat het bedrijf al voor invoering daarvan in buitenlandse handen was.

Arnoud

Mag een veiligmailenplatform eigenlijk wel zien wat er in de onderwerpregel staat?

Geplaatst op in Privacy, Security, 19 reacties
Photo by Brett Jordan on Unsplash

Een lezer vroeg me:

Verschillende organisaties in mijn omgeving, waaronder mijn zorgverlener, maken gebruik van een platform voor het versturen van “beveiligde e-mail”. Zodra de zorgverlener een bericht via dit platform verstuurt ontvang ik een e-mail van het platform met daarin een link. Deze link wijst naar een beveiligde webpagina om het bericht te lezen. Nu bevat de e-mail die het platform verstuurt ook het onderwerp van het bericht, en dat is dan medische informatie (herinnering afspraak voor uw wortelkanaalbehandeling). Ik vraag me af of dat wel mag, immers het platform kan zo die medische informatie inzien.
Dergelijke platforms worden zeker in de zorg veel gebruikt, omdat het daarmee eenvoudiger mogelijk is om aan de AVG te voldoen in de communicatie met patiënten of cliënten. De dienstverleners hebben certificeringen, worden contractueel aan van alles gebonden en zijn aan te spreken op fouten. Een e-mail is misschien sneller verstuurd, maar kan al die eisen niet halen.

Lang niet alle platforms gebruiken volledige end-to-end encryptie waarbij alleen afzender en ontvanger het bericht kunnen lezen. Dit betekent dat de dienstverlener in het midden in theorie in staat is om die berichten te lezen. En als daar dan medische of andere gevoelige informatie in staat, dan zie ik hoe dat op zijn minst onprettig kan voelen.

Tegelijkertijd: de AVG eist niet dat alle persoonsgegevens volledig afgeschermd worden voor allen anders dan de ontvanger. Je moet gepaste en adequate maatregelen nemen, maar in een situatie als deze kun je prima volstaan met een contractuele afspraak dat er niet naar berichten (of onderwerpregels) wordt gekeken. De dienstverlener zit al zodanig ingekaderd dat het echt niet nodig is om te eisen dat onderwerpregels neutraal worden ingesteld (“Nieuw bericht van uw zorgverlener”).

Arnoud