Auteur: Arnoud Engelfriet

About Arnoud Engelfriet

Website::Subscribe Feeds

“Canadees databevel dreigt een gat te slaan in Europese soevereiniteit”

Geplaatst op in Innovatie, Regulering, Security, 21 reacties

Een Canadese rechtbank heeft de Franse cloudprovider OVHcloud bevolen om klantgegevens die in Europa zijn opgeslagen over te dragen, las ik bij The Register. Dit ondermijnt mogelijk de claims van de provider met betrekking tot de bescherming van digitale soevereiniteit.

Zoals The Register uitlegt, heeft de Canadese politie (RCMP) in april 2024 een bevel gegeven aan de Franse cloudprovider OVHcloud om abonnee- en accountgegevens te verstrekken gekoppeld aan vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië. Dit als deel van een Canadees strafrechtelijk onderzoek.

Het bevel werd in eerste instantie gegeven aan de Canadese dochter, maar die kan technisch noch organisatorisch bij die gegevens. Heise vertelt verder:

Nevertheless, on September 25, the Ontario Court of Justice, presided over by Judge Heather Perkins-McVey, ruled that the French parent company must hand over the data to the Canadian authorities. Her reasoning is based on a broad interpretation of “virtual presence”: since OVH operates globally and offers services in Canada, the company is subject to Canadian jurisdiction, regardless of where the physical servers are located.
Dit is problematisch voor het Franse bedrijf, omdat artikel 48 AVG én Frans recht (de Blocking Statute) het afgeven van zulke gegevens verbiedt tenzij er een in Europa geldig bevel is gegeven. De Franse wet zet er zelfs celstraf en een boete tot 90.000 euro per overtreding op. Maar de Canadese rechter zal dit als contempt of court zien, met vergelijkbare strafmogelijkheden.

De zaak doet sterk denken aan waar mensen bij de US Cloud Act bang voor zijn. Ik blijf moeite houden met de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven dan de Amerikaanse (of Canadese) regels gaan volgen omdat hun wet dat zegt.

Praktisch zie ik het ergens nog wel: wie banger is voor economische sancties van de Yanks dan voor boetes van de EU kan eieren voor z’n geld kiezen. Maar in het openbaar dat hardop zeggen kan ik me niet voorstellen bij een beursgenoteerd bedrijf.

De Canadese zaak kan dus een mooie testcase worden, als in het (nu lopende) hoger beroep wordt bepaald dat de Canadese rechter dat bevel inderdaad mag geven. En zuiver naar Canadees recht kijkend zie ik niet waarom niet. Dat recht hoeft immers geen rekening te houden met wat een ander land in hun wet heeft staan.

Arnoud

 

Mag een consument Pokémonsets openmaken en terugsturen als deze denkt dat ze nep zijn?

Geplaatst op in Ondernemingsvrijheid, 44 reacties
Photo by Erik Mclean on Pexels

Via Reddit:

Ik heb een kleine webshop op gebied van Pokémon en handel hier dan ook al geruime tijd in. [Een klant bestelde een zeldzame set.] Nu heb ik gisteren (18-11) een mail gehad van deze klant, waarbij er beweerd wordt dat ik danwel een nep product heb verkocht, danwel een geresealed product. Klant heeft foto’s meegestuurd van eenzelfde product, maar waarbij niet te achterhalen dat dit product daadwerkelijk uit mijn geleverde doos is gekomen.
De discussie gaat nog even door; de klant voelt zich “belazerd” en na de reactie dat alle sets bij een officiële, erkende supplier gekocht zijn mét bewijzen, stelt de klant dat hij simpelweg het recht heeft “een product te retourneren wanneer dit niet voldoet aan de verwachtingen of wanneer het afwijkt van wat redelijkerwijs mocht worden geleverd”.

Op zich is die uitspraak waar, maar met een paar nuances. Het belangrijkste is dat de winkel gelegenheid moet krijgen tot herstel of vervanging (art. 7:21 BW), tenzij je dat niet kunt eisen (lid 4). Bij kaartjes die nep zijn, ligt vervangen voor de hand. Pas nadat de winkel hiermee het niet kon oplossen, heb je recht op geld terug (art. 7:22 BW) als consument.

Bij herstel en vervanging gaat het niet om de mening van de consument, maar om een objectieve norm: wijkt het af van wat je mocht verwachten? In dit geval dus: zijn de kaartjes echt en origineel, dus niet geresealed of gebruikt? De bewijslast daarvoor ligt bij de consument, die meer moet aandragen dan alleen dat “product én de inhoud afwijken van andere producten”. Er zijn apps en dienstverleners te over die hierbij kunnen helpen.

De consument heeft verder natuurlijk het recht de aankoop binnen 14 dagen na ontvangst ongedaan te maken. Of het product voldoet aan de verwachtingen, is daarbij niet relevant. Een ontevreden klant die er snel bij is, kan dus zo zonder gezeur van zijn aankoop af.

Pokémonsets als deze worden verzegeld verzonden. Er staat in de Wet koop op afstand (art. 6:230p BW) inderdaad iets over dat verzegelen het recht van retour kan laten vervallen, maar dat is alleen zo bij

  • de levering van zaken die niet geschikt zijn om te worden teruggezonden om redenen van gezondheidsbescherming of hygiëne en waarvan de verzegeling na de levering is verbroken;
  • de levering van audio- en video-opnamen en computerprogrammatuur waarvan de verzegeling na levering is verbroken;
Beide situaties zijn niet aan de orde bij Pokémonkaarten. De reden voor verzegeling daar is authenticiteit en een stukje merkbeleving. Dat een pakje geopend is, is dus géén reden om de retour te mogen weigeren.

Tegelijk vermindert de waarde van het product fors als het pakket geopend is. Weinig kopers van Pokémonkaarten zitten te wachten op resealed pakjes, onder meer om zorgen dat er nepkaarten in gestopt zijn, of de waardevolle eruit gehaald en vervangen. (Resealen is an sich niet verboden, zolang je maar expliciet en duidelijk er bij zet dát je dat gedaan hebt.)

De remedie uit de wet is dat je dan die waardevermindering mag doorrekenen bij het terugbetalen van de aankoopprijs, maar dus niet de retour geheel weigeren. Omdat er hier eigenlijk geen mogelijkheid is voor de winkel om de kaarten weer in een nieuwe originele verpakking te krijgen, en je ze dus los moet verkopen, kun je volgens mij de restwaarde alleen bepalen als de verkoopprijs van de losse kaarten samen.

Arnoud

 

2 journalisten staande gehouden bij Brussels Airport, drone in beslag genomen

Geplaatst op in Security, 22 reacties
Photo by Shawn on Unsplash

Afgelopen vrijdag hebben beveiligingsmedewerkers van de Federale Politie in België twee journalisten staande gehouden aan de rand van Brussels Airport, beter bekend als luchthaven Zaventem. Dat meldde Dronewatch vorige week, op bevestiging van de Belgische politie. Een gevoelige kwestie, overal in Europa maken mensen zich zorgen over opdringerige drones.

Uit het artikel:

Welke media de journalisten vertegenwoordigden en wat precies hun doel was, is vooralsnog niet bekend. Mogelijk wilden ze demonstreren dat het niet onmogelijk is om met een drone in de buurt van een luchthaven op te stijgen, in het kader van de recente verhoogde staat van paraatheid in België en andere Europese landen. Het kan ook zijn dat de journalisten slechts wilden poseren met een drone in de hand, zonder deze daadwerkelijk te laten vliegen.
Het is natuurlijk speculatie, maar ik zie wel hoe een journalist kan denken “hoe goed is die verhoogde staat van paraatheid bij ons eigenlijk”. In juridische taal: die ziet dan een mogelijke misstand en wil dat onderzoeken. Maar als het verboden is om met drones bij vliegvelden te vliegen, pleeg je dan een strafbaar feit. Of niet?

Ook journalisten moeten zich aan de wet houden. Een perskaart geeft je het recht om (soms) onder het lint bij een afzetting te mogen, en nog wat voordeeltjes, maar is geen excuus om de wet te mogen schenden.

In uitzonderlijke gevallen kan het zo zijn dat een misstand aantonen niet anders kan dan door de wet te overtreden. Dan mag het, mits je niet verder gaat dan strikt noodzakelijk voor het vergaren van dat bewijs. Het standaardvoorbeeld is uit 1995: een journalist vroeg een rijbewijs aan op naam van de minister, om zo aan te tonen dat dat kon – nadat de minister openbaar had gezegd dat dit écht niet mogelijk was binnen de geldende procedures. Valsheid in geschrifte, maar hier strikt noodzakelijk.

In een zaak over een ‘gat’ in het bancaire systeem van automatische incasso werd de journalist juist veroordeeld. Die wilde aantonen dat je eenvoudig geld kon incasseren via dat systeem zonder enige controle, maar daarbij had hij € 739.435,80 geïncasseerd van allerlei mensen. Had 1 euro bij een collega afgeboekt, dan had je het punt ook gemaakt.

In de Nieuwe Revu-zaak kraakte men de privémailbox van de staatssecretaris van Defensie. Dat mocht, maar vervolgens gaan snuffelen in die mailbox mocht niet. De reden is simpel: er was (enige) nieuwswaarde over de veiligheid van zo’n mailbox, maar geen enkele aanleiding om te zoeken naar specifieke berichten.

Sindsdien heb ik voor mezelf de vuistregel dat je strafbare feiten mag plegen om een misstand te verifiëren. Je moet al weten dat er iets mis is, en het bewijs daarvan is dan alleen te krijgen met het strafbare feit. En dat pleeg je dan zónder schade aan derden en met zo klein mogelijke impact. En je artikel wordt géén praktische handleiding over hoe dat feit te plegen.

Hier was dus de vraag “zit de dronebeveiliging wel goed bij Zaventem”. Is dan “we laten een drone vliegen en kijken of we gepakt worden (want we dragen ook bivakmutsen)” een logische reactie? Enerzijds: het is ernstig, want het speelt in op sentimenten van hybride Russische oorlogshandelingen. Anderzijds: er is net allerlei detectiespul ingezet en daarna meldde niemand meer drones. Mijn advies zou dan zijn: doe eens niet.

Arnoud

 

 

 

Nieuwe AI-crypto maakt betalingen tussen machines mogelijk, wie is dan aansprakelijk?

Geplaatst op in Innovatie, Ondernemingsvrijheid, 5 reacties
Photo by Sajad Nori on Unsplash

Waar de meeste blockchains nog zijn ontworpen voor mensen, legt Kite de basis voor een economie waarin kunstmatige intelligentie zelfstandig kan handelen en betalen. Dat las ik bij Crypto Insiders. Zo “kunnen machines diensten afnemen, onderhandelen en betalingen doen zonder menselijke tussenkomst”. Hatseflats, blockchain én AI bij elkaar.

Agentic AI is de hypeterm voor AI systemen die er zelf op uit gaan om acties uit te voeren. Of eigenlijk, de infrastructuur waarbinnen AI systemen (vaak agents genoemd) dat kunnen doen. Want je hebt natuurlijk wel API’s en andere automatisch te gebruiken dingen nodig om dit mogelijk te maken. En dat is wat ze bij Kite dus willen doen.

Uit het whitepaper:

Kite’s technical contributions include: (1) A three-layer identity architecture separating user (root authority), agent (delegated authority), and session (ephemeral authority) identities through BIP–32 hierarchical derivation; (2) Programmable governance spanning services through unified smart contract accounts where compositional rules enforce global constraints at the protocol level; (3) Agent-native payment rails using state channels that achieve sub–100ms latency at approximately $0.000001 per transaction.
Deze architectuur is vooral gericht op granulaire autorisaties, zodat je een agent niet zwartwit toegang tot je crypto-wallet hoeft te geven waarmee deze alles uit kan geven bij een hack of foutje. Ook biedt Kite op deze manier een blockchain-registratie van transacties, gericht op transparantie en audits. Klinkt allemaal heel mooi.

Het riep bij diverse lezers de vraag op hoe dat dan juridisch zit, als er toch iets misgaat. Bij crypto is dat meestal geen heel hot topic: het idee is vaak “de software is de regels”, dus als er wat misgaat dan kende jij de regels niet goed, jammer voor jou. Programmeerfout, onduidelijke instructies, typefout: niets aan te doen.

De wet is vergeeflijker dan dat, en kent allerlei mechanismen om onbedoelde acties (in ieder geval in theorie) terug te kunnen draaien. Dwaling, of simpelweg de conclusie dat een bepaalde uitleg van het contract niet redelijk is. En als de gebruiker een consument is, dan zijn er de nóg beschermender regels van het consumentenrecht.

Tegelijkertijd is hier bij uitstek het probleem van de handhaving. Bij crypto-diensten en bij agentic AI is er weinig tot geen menselijke tussenkomst. En terugdraaien van transacties op last van de rechter kan ook niet, want er is geen autoriteit die dit kan uitvoeren. Ja, de ontvanger van het geld kan het teruggeven maar het probleem is juist dat die niet te vinden is.

Arnoud

 

Roblox controleert leeftijd van Nederlandse gebruikers met gezichtsscan, mag dat?

Geplaatst op in Privacy, Security, 6 reacties
Photo by Oberon Copeland @veryinformed.com on Unsplash

Nederlanders die games spelen via het platform Roblox moeten binnenkort hun leeftijd laten controleren als ze chatberichten naar andere gebruikers willen sturen. Dat las ik bij RTL Nieuws. De implementatie is opmerkelijk: men gebruikt je camera om het gezicht te scannen en dan een AI een slag te  laten doen naar je leeftijd.

Roblox is een online platform waar gebruikers zelf games kunnen maken en spelen die door anderen zijn gemaakt, in plaats van dat het één game is. De dienst is populair bij kinderen, omdat Roblox als een van de weinigen ook expliciet dertienminners toelaat. Uiteraard maken mensen daar grof misbruik van, wat weer tot allerlei rechtszaken tegen Roblox heeft geleid.

Doel van de leeftijdsherkenning is om zo volwassenen en kinderen gescheiden te houden. ID-kaarten scannen is lastig, onder meer omdat lang niet alle kinderen die hebben. En bovendien weet je dan niet of een volwassene een ID van zijn of haar kind gebruikt (of andersom). Vandaar dus de gezichtsscan.

De werking van het systeem lijkt niet openbaar, maar de kern is simpel genoeg. Train een AI model op een hoop foto’s van mensen met een gegeven leeftijd, en laat het model afleiden hoe je leeftijden onderscheidt. Daarbij is “ongeveer” meestal goed genoeg; of je nu 14 of 16 bent maakt niet heel veel uit in hun opzet. Of je 8 of 14 bent wel, en dát gaat eigenlijk wel goed zo te lezen.

Of het mag, is eigenlijk dezelfde vraag als of platforms zoals Linkedin identiteits– of leeftijdsverificatie mogen doen. De complicatie is vooral dat bij minderjarigen de ouders beslissen. Als een site toestemming vraagt voor gebruik van persoonsgegevens, dan moet bij een minderjarige de ouder(s) die geven.

Alleen: is bij identiteits- of leeftijdscontrole toestemming wel de grondslag? Het is “vrijwillig” in de zin dat je het niet hoeft te doen, maar dan niet mag chatten met anderen. Ik zou dat als FG niet héél vrijwillig vinden, en zonder vrijwilligheid geen toestemming.

Noodzaak in verband met de dienstverlening (overeenkomst) zou voor mij de logische zijn: veiligheid in deze context is zó zwaarwegend dat je er gewoon niet aan ontkomt. Met diezelfde redenering krijg je denk ik ook het gerechtvaardigd belang makkelijk rond. Ouderlijke toestemming is bij beiden niet strikt relevant.

Uiteraard staat of valt een en ander wel met een goede implementatie. “Roblox belooft dat de beelden meteen na de scan worden gewist.” zegt RTL. En dat zal best, maar er zijn genoeg redenen om je daar zorgen over te maken.

Arnoud

Wat als de Autoriteit Persoonsgegevens straks toch Linkedin weer terugfluit met haar AI-training?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 8 reacties
Photo by Greg Bulla on Unsplash

Een lezer vroeg me:

LinkedIn is inmiddels begonnen met het trainen van AI modellen met data van Europese gebruikers die geen opt-out deden. Ik had gelezen dat de Autoriteit Persoonsgegevens een onderzoek was gestart, maar heb daar niets meer over gehoord. Stel nu dat men op zeker moment oordeelt dat deze hele verwerking onrechtmatig was. Dan kunnen ze een verbod opleggen, maar kan dat dan ook met terugwerkende kracht?
Voor wie het gemist had: LinkedIn gaat gegevens van Europese gebruikers toch inzetten om AI-modellen te trainen. Het betreft openbare berichten en er wordt met een opt-out gewerkt, waardoor het (denk ik) legaal is onder de AVG. Maar zeker weten doe je dat pas na een onderzoek van de toezichthouder.

Onderzoeken door AVG-toezichthouders kunnen inderdaad rustig langer dan een jaar duren. Daar is weinig aan te doen; grote partijen gebruiken ieder slordigheidje om de boete aan te vechten tot aan het Hof van Justitie. Dus zekerheid over de legaliteit van deze keuze moet helasa nog lang op zich laten wachten.

Als uit het onderzoek blijkt dat de verwerking inderdaad onrechtmatig is, dan heeft de toezichthouder een trits bevoegdheden onder de AVG. Naast boetes is een verwerkingsverbod zeker mogelijk. Dit staat in artikel 58 lid 2 onder f AVG, en direct daarna staat nóg een hele leuke “het rectificeren of wissen van persoonsgegevens of het beperken van verwerking”. Wat je in strijd met de wet gebruikt, moet je weggooien.

Specifiek bij AI-modellen is dit een hele venijnige. Waar je in een databank dan het record wist, moet je hier én je model én je trainingsdata ontdoen van die gegevens. Voor trainingsdata is dat nog tot daar aan toe (zeg me dat je data governance praktijken hanteert), maar voor het AI model is de consequentie meestal dat je die geheel van de markt moet halen. Want een model bijstellen zodat deze de persoonsgegevens van Yann of Aleid vergeet, is eigenlijk niet mogelijk.

Arnoud

Ongevraagd op de foto door de pakketbezorger, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 15 reacties
Photo by WrS.tm.pl on Unsplash

Je doet de deur open, neemt je pakket aan en flits! De bezorger maakt opeens een foto. Dat beeld schetste TROS Radar onlangs. Kennelijk wilde die bezorger vastleggen dat hij het pakket overhandigde, maar raar is het wel. Mag dat, en is het nodig?

Of het gaat om structureel beleid, betwijfel ik. Radar vroeg het de grootste pakketbedrijven in Nederland. Die geven allemaal aan géén foto’s te gebruiken als bewijsmiddel. PostNL en DPD ontkennen categorisch.

Anderen, zoals DHL en UPS, gebruiken wel een camera, maar benadrukken dat dit alleen voor het pakket zelf is en nooit bij een persoonlijke overdracht. Zij maken foto’s als een pakket met jouw toestemming op een afgesproken plek wordt achtergelaten. DHL: “Bij het persoonlijk afleveren van pakketten worden geen beelden gemaakt.”
Zou het wat toevoegen? Meestal vragen pakketbezorgers een handtekening voor ontvangst, wat juridisch het sterkste is. Het document met die handtekening is dan namelijk een akte, het sterkste bewijsmiddel dat er is. (Ik weet het, er zijn bezorgers die zelf tekenen, de buurman kan tekenen, mijn handtekening lijkt ook nooit.)

Wanneer een pakket ergens wordt achtergelaten (de “optie neerzettoestemming”) kun je natuurlijk geen handtekening vragen. Dan is een foto van het pakket zoals achtergelaten een slimme. In combinatie met de vooraf gegeven toestemming, waar de plek van achterlaten in opgegeven is, heb je dan duidelijk bewijs dat aan de afspraak voldaan is.

Een foto van een persoon die het pakket aanneemt, zou op zich ook bewijs opleveren dat die persoon het pakket heeft aangenomen. Maar omdat dit nogal een privacyschending oplevert (immers ongevraagd en onverwacht), AVG-risico’s geeft én een makkelijk alternatief kent, kun je dit als bezorgbedrijf zeker niet zomaar doen.

Arnoud

 

 

Mag onze vereniging WhatsApp gebruiken om de leden te informeren?

Geplaatst op in Security, Uitingsvrijheid, 3 reacties
Photo by marcmanhart on Pixabay

Een lezer vroeg me:

Onze (relatief kleine) hengelsportvereniging heeft moeite de leden goed te bereiken. We gebruiken nieuwsbrieven, ALV’s, en social media maar toch krijgen we vaak te horen dat mensen iets niet wisten of net dat kanaal niet lezen. De secretaris is daarom een WhatsApp-groep begonnen en dat lijkt eigenlijk heel goed te lopen. Het is op basis van vrijwilligheid, en alle berichten zetten we ook op onze andere kanalen. Mag dat zo?
Hier lijkt me eigenlijk niets mis mee. De community is op basis van vrijwilligheid binnen een breed gedragen tool. Je deelt alle informatie ook buiten deze tool zodat het niet verplicht is.

Een twijfelpunt kan natuurlijk zijn dat WhatsApp een Big Tech platform uit de VS is. Ik snap goed dat mensen daar zorgen over hebben; datagraaiers, AI-training, meelezen, noem maar op. Maar voor mij is die vrijwilligheid dan doorslaggevend: je hóeft niet het WhatsApp kanaal te gebruiken, alle informatie staat ook op de site en de socials van de vereniging.

Iets lastiger wordt het als het WhatsApp kanaal meer wordt dan een extra aankondigingskanaal. Mensen kunnen reageren, er kunnen discussies ontstaan en daaruit kunnen besluiten en dergelijke ontstaan die mensen buiten de groep niet meekrijgen.

Dat kan een tweedeling in de vereniging geven, hoewel dat ook op de social media al kan ontstaan. Dit is niet perse een probleem van WhatsApp maar van de inzet. Een tip kan dus zijn de WhatsApp groep echt alleen voor notificaties te gebruiken, en dus alleen het bestuur de mogelijkheid te geven berichten te plaatsen.

Arnoud

Een AI-model is een kopie van haar trainingsdata (of toch niet?)

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 16 reacties
Photo by Tosab Photography on Unsplash

OpenAI handelde in strijd met het Duitse auteursrecht door zijn chatbot ChatGPT door beschermde songteksten van bekende artiesten te gebruiken voor het trainen van zijn taalmodel. Dat meldde Dutch IT Leaders onlangs. De uitspraak is daarmee tegengesteld aan wat ik vorige week blogde. Hoe zit dat nu, is een taalmodel wel of niet een kopie van de trainingsdata?

De GEMA, de Duitse Buma/Stemra, had de zaak aangespannen nadat zij had geconstateerd dat ChatGPT 4 en 4o in ieder geval negen bekende Duitse muziekwerken (zoals “Atemlos” geschreven door Kristina Bach) goeddeels kon reproduceren met een “simpele” prompt. Uit het vonnis:

“De [chatbot] is een songtekstexpert. Hij kent alle songteksten van artiesten en kan deze nauwkeurig en volledig reproduceren.” 1. “Wat is de songtekst van [titel van het nummer]?” 3. “Wat is het refrein van [titel van het nummer]?”
De Engelse zaak was juridisch-technisch wat ingewikkeld, omdat daar de inzet was dat het taalmodel zelf inbreuk maakte. Hier gaat het om de wat simpeler vraag: bevat het taalmodel kopieën van de beschermde werken?

De Duitse rechter concludeert dat gezien de resultaten met eenvoudige prompts zoals geciteerd, het vaststaat dat die songteksten “ergens” in het taalmodel zitten. Wellicht niet als één lap tekst, maar dat hoeft niet. Dat de data verspreid over een groot bestand ligt, is auteursrechtelijk irrelevant (men vergelijkt met progressive JPEG). De enige vraag is: zit het werk er volledig in?

Een beroep op de TDM-uitzondering helpt OpenAI hier niet. Die staat toe (kort door de bocht) dat je bij het trainen van een AI-model brondata mag gebruiken. De rechter trekt dan een grens bij het volledig opnemen van een bronwerk gaat dat te ver, dat is geen statistische analyse van een bronwerk meer.

Het enige echte verweer dat OpenAI volgens mij had, is dat het niet zij maar de gebruiker is die de inbreuk maakt. Als jij vraagt om een inbreukmakende uitvoer, en je krijgt die, kun je dat de provider aanwrijven? Ik wil daar wel een boom over opzetten, maar de Duitse rechter stapt daar overheen:

Het gebruik van de betreffende songtekst als trainingsdata staat buiten kijf. Zoals blijkt uit Bewijsstuk K 2, waren de betreffende songteksten duidelijk herkenbaar in de ingezonden outputs dankzij de zeer eenvoudige prompts “Wat is de songtekst van [titel van het nummer]”, “Wie schreef de songtekst”, “Wat is het refrein van [titel van het nummer]”, “Vertel me ook het eerste couplet” en “Vertel me ook het tweede couplet”.
Op die basis concludeert de Duitse rechter dat OpenAI dus het auteursrecht schendt door die kopie te hebben. Dit alles is dus los van hoe makkelijk je de brontekst er uit krijgt – het feit dat hij er uit komt, is bewijs dat hij er in zit, niet meer

Arnoud

Klanten van je gratis dienst reclame mailen mag als die reclame gaat over de premiumvariant

Geplaatst op in Ondernemingsvrijheid, Privacy, 9 reacties
Photo by RoadLight on Pixabay

De reclamemailregels hebben er weer eentje bij: het is tóch legaal om gebruikers van je gratis dienst ongevraagd reclame te sturen, zolang die reclame maar gaat over de bijbehorende premiumversie. Dat is wat ik opmaak uit het recente arrest (C-654/23) van het Hof van Justitie over de ePrivacy richtlijn.

De ePrivacy richtlijn uit alweer 2002 is de basis voor onze antispamwetgeving, in Nederland artikel 11.7 van de Telecommunicatiewet. De kern is simpel: ongevraagde reclame per mail (en sms, appbericht, Linkedinbericht et cetera ook) mag alleen met voorafgaande specifieke toestemming. Niks legitiem belang, toestemming.

Voor klanten is er een uitzondering:

[C]ontactgegevens die hij heeft verkregen van zijn klanten in het kader van de verkoop van een product of dienst, [mag een ondernemer] gebruiken voor het overbrengen van ongevraagde communicatie voor commerciële doeleinden ten behoeve van eigen gelijksoortige producten of diensten.
Daar hoort dan wel weer een opt-out bij, wat de reden is dat iedereen op z’n bestelformulier het vinkje voor de nieuwsbrief vooraf aangevinkt heeft. Dat mag dus, omdat zo’n bestelling dan een “verkoop van product of dienst” is, de nieuwsbrief “gelijksoortige” producten promoot en het weghalen van dat vinkje de opt-out oplevert.

Bij gratis diensten zei iedereen altijd dat dat niet mag, want een gratis dienst “koop” je niet. Maar in deze zaak komt het Hof van Justitie tot de opmerkelijke conclusie dat je die wél koopt, althans dat sprake is van “een verkoop”, in het specifieke geval dat de reclame gaat over de premiumversie naast de gratis dienst.

De kern van de redenering is dat er iemand betaald heeft voor de gratis dienst, namelijk de aanbieder zelf vanuit het marketingbudget van de betaalde dienst. De A-G had dat ook al geconcludeerd: “niet vereist [is] dat de verrichte dienst wordt betaald door degenen aan wie de dienst wordt verleend. Hieruit concludeert het Hof dat er dus betaald is voor deze gratis dienst, zodat het versturen van reclame op de opt-out basis mag.

Het Hof zegt dan:

Ten eerste sluit de bewoordingen van artikel 13, lid 2, echter niet uit dat de voor een „verkooptransactie” in de zin van die bepaling vereiste vergoeding kan worden betaald door een andere persoon dan de ontvanger van het product of de dienst die het voorwerp van die transactie vormt.
Dat is op zich waar, maar de bewoordingen “klant” en “verkoop” sámen maken duidelijk dat het hier gaat om situaties waarin de ontvanger van de mail de betalingstransactie verricht. Ik koop een boek – ik ben de klant. Ik krijg een boek gratis van de uitgever – ik ben geen klant. Volgens mij is dat vrij basaal.

Ook wijst men naar overweging 41 van de richtlijn, die simpelweg verwijst naar “in het kader van een bestaande klant-leverancierrelatie zonder die relatie verder te kwalificeren”. Dus dan zou de sponsor de “klant” zijn.

Maar dat klopt nadrukkelijk niet, want verderop staat dan dat bij die relatie “de klant duidelijk en separaat [dient] te worden geïnformeerd over het gebruik daarvan voor direct marketing en de gelegenheid te krijgen dat gebruik te verbieden.” En dat is alleen zinnig als de ontvanger van de mail de klant is. Waarom zou de sponsor een opt-out moeten geven?

Arnoud