Een rijbewijs is een geldig identiteitsbewijs en toch hoeft de bank dat (soms) niet te accepteren

Voorkant rijbewijs 2014

Al sinds 2005 staat in de wet dat het rijbewijs geldt als “document waarmee in bij de wet aangewezen gevallen de identiteit van personen kan worden vastgesteld”. Ik kom echter anno 2025 nog steeds organisaties tegen die dit roze kaartje afwijzen als je je moet identificeren. U begrijpt dat ik dus even opkeek van deze uitspraak van het Kifid: een bank hoeft geen rijbewijs te accepteren omdat daar de volledige voornamen van de betreffende persoon niet op staan vermeld.

In deze zaak had de consument een bankrekening geopend, maar (her)identificatie lukte niet omdat zijn rijbewijs niet werd herkend. Daarop blokkeerde de bank de rekening, wat tot renteverlies leidde en de consument een klacht indiende.

De bank stelde vervolgens dat zij toch echt een paspoort of Nederlandse identiteitskaart nodig heeft, omdat daar alle voornamen van de betrokkene op staan. Een rijbewijs bevat alleen je voorletters, vaak wel je eerste naam zoals op het specimen hierboven (dat van de RDW afkomstig is en afgelopen november verliep).

Bij het aanvragen van de rekening had de consument wél een paspoort (met alle namen) overlegd. Bij de heridentificatie ontbraken er dus een of meer voornamen. Ik geef toe dat er een káns is dat een voorletternaamgenoot met zelfde geboortedatum én sterk gelijkende pasfoto kan zijn, maar dat heeft wel een sterk “kom nou toch” gehalte.

Toch is het standpunt van het Kifid juist, zij het zeer formeel. Het eerste argument daarvoor is dat artikel 33 Wwft eist dat de bank “de geslachtsnaam, de voornamen, de geboortedatum [etc]” vastlegt. En met een rijbewijs kun je niet alle voornamen vaststellen.

Daar staat tegenover dat artikel 4 Uitvoeringsregeling Wwft expliciet “een geldig Nederlands rijbewijs” noemt als instrument waarmee je je identificeert onder de Wwft. Je zou zeggen dat je er dan bent: de wet zegt dat dit genoeg is, dus is het genoeg.

Echter, je mag als bank strengere regels stellen, en “wij willen alle voornamen van klanten weten” is in dat kader toegestaan. Een iets diepgravender reden voor die afwijzing lees ik in een uitspraak uit 2022:

De bank voert daartoe aan dat de app de NFC-chip uitleest en dat een rijbewijs niet over een dergelijke chip beschikt. Bovendien bevat het rijbewijs niet de volledige voornamen en geen gegevens over verblijfsstatus en nationaliteit, aldus de bank. Dit verweer slaagt. Zoals hiervoor onder 3.25 is overwogen staat het de bank vrij om bij het cliëntenonderzoek gebruik te maken van de chip op het identiteitsdocument. De bank mag er dus voor kiezen om vanwege die reden geen rijbewijzen te accepteren.
Als een bank het handig of wenselijk vindt dat mensen uitsluitend via een app bankieren, dan mogen ze daarbinnen dus invullen dat identificatie gebeurt door uitlezen van de NFC chip daarvan. Dan valt het rijbewijs als vanzelf af, geheel los van de discussie over voornamen.

Meelezende CISO’s en andere beveiligingsmensen die nu reden zien om het rijbewijs weer af te gaan keuren bij de identiteitscontrole: bovenstaande gaat specifiek over banken. Een andere organisatie moet zelf motiveren waarom voornamen écht nodig zijn bij het identificeren van (medewerkers van) je klanten.

Arnoud

Mag een promocodedienst stiekem commissie vangen als je deze gebruikt?

Photo by Ron_Hoekstra on Pixabay

PayPal Honey neemt geld af van adverteerders en biedt klanten niet altijd wat de dienst belooft, meldde Tweakers net na de kerst. Zo krijg je minder korting dan je voorgeschoteld werd, en worden affiliate-vergoedingen van adverteerders afgeroomd doordat Honey de onderliggende codes verandert. En dan nu de vraag: is dat strafbaar eigenlijk?

De dienst PayPal Honey is een coupondienst: ze sprokkelen internet af op zoek naar kortingscodes, en als jij (met hun plugin gewapend) ergens wat koopt, krijg je relevante coupons voorgeschoteld. Korting, altijd leuk, en Honey verdient er ook wat aan: zij voorzien jouw aankoop van een zogeheten affiliatecode, zodat de winkel hen een kickback geeft voor de klant.

Naast de klacht dat Honey lang niet altijd de beste kortingscodes heeft (en vaak met ‘eigen’ kortingen komt in plaats van een betere) gaat het hier over de klacht dat Honey eventuele bestaande affiliatecodes vervangt door de hare. Wanneer iemand een review van een product plaatst, kan die daar ook zo’n code aan hangen, zodat zhij voor mensen die dankzij de review besluiten te kopen ook een kickback krijgt.

Wat Honey dus doet, is die bestaande code vervangen door de eigen. Logisch vanuit haar businessmodel, maar erg vervelend voor die reviewer die uiteindelijk óók daarmee het geld moet verdienen.

Dit probleem is niet nieuw natuurlijk. Het kon al veel langer gebeuren dat er twee partijen waren die een product aanraadden: een review hier en een overzichtssite daar. Die geven dan beide zo’n code mee (via een cookie), en de webwinkel wil natuurlijk maar één keer de affiliatevergoeding betalen.

De best practice in de markt is dan “last-click attribution”, de laatste partij waar je geweest was voordat je bestelde krijgt de vergoeding. Dit is waar Honey zich op beroept als verdediging. Maar die praktijk is natuurlijk ontstaan onder marketingsites waarbij de ene keer de een wint en de andere keer de andere. Hier pakt Honey altijd die laatste klik, dat dwingen ze zelf af met hun plugin.

Strafbaar is dat niet, althans ik kan geen artikel bedenken uit het wetboek van strafrecht. Termen als diefstal of oplichting liggen voor de hand, maar zijn vooral emotie en niet zozeer een juridische kwalificatie. Al is het maar omdat de praktijk van het vervangen van andermans affiliatecode gangbaar is.

Is het misleidend, zodat bijvoorbeeld de ACM kan optreden? Daar twijfel ik over. Want de consument merkt niet dat dit gebeurt, het afrekenen met Honey of de marketingwebsite gebeurt buiten hem of haar om en dan ben je zo ongeveer alle regels van de oneerlijke handelspraktijk al kwijt.

Ik zie heel misschien een lichtpuntje in punt x van de zwarte lijst (art. 6:193g BW):

het verschaffen van zoekresultaten in reactie op een online zoekopdracht van een consument zonder duidelijk aan te geven dat het een betaalde reclame betreft of er een betaling is gedaan die specifiek was bedoeld om een hogere rangschikking voor producten te verkrijgen;
De vermelding in Honey zou dan een “zoekresultaat” moeten zijn, waarbij Honey dan niet duidelijk is dat zij betaald krijgt van de webwinkel en het dus een betaalde reclame is. Dit gaat me wat ver, met name omdat Honey niet zelf zoekresultaten toont maar bij een door jou gezocht product zegt “met deze coupon krijg je 10% korting”.

Natuurlijk heb je ook nog de open norm: iedere handelspraktijk kan oneerlijk zijn (art. 6:193b BW). Alleen is daarvoor vereist dat de consument er last van heeft, “het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt”. En dat gebeurt gewoon niet met deze truc.

Arnoud

 

Een duim omhoog appen kan een bindende rechtsverklaring zijn, zegt rechtbank Saskatchewan

Photo by Rowen Smith on Unsplash

Het Hof van Beroep van Saskatchewan (Canada) heeft een eerdere beslissing bekrachtigd dat een duim-omhoog-emoji een bevestiging was van een contract tussen twee agrarische bedrijven. Dat meldde CBC News eind december. Wel woog mee dat de twee bedrijven al een lopende zakelijke relatie had, zodat je eerder van gewekt vertrouwen kunt spreken.

Ik blogde over de uitspraak in 2023:

The matter came to court after Mr Achter failed to deliver 86 tonnes of flax that grain buyer Kent Mickleborough was looking to purchase in 2021, prompting Mr Mickleborough to take legal action.
Als ik meen 86 ton vlas te mogen leveren en daarvoor betaald te krijgen, dan stap ik ook wel naar de rechter. Traditioneel laat je dan een ondertekend stuk papier zien, maar juridisch hoeft dat natuurlijk niet: een overeenkomst komt tot stand door aanbod en aanvaarding, wat op iedere manier kan gebeuren. Ook in Canada.
De communicatie hier verliep via WhatsApp, waarbij de ene partij appte “please confirm flax contract” en de ander daar de “thumbs-up” emoji als reactie op stuurde. Het Hof van Beroep signaleert heel slim dat daar natuurlijk ook metadata bij zat, zoals het telefoonnummer van de afzender.

Het probleem: hoe moet je die duim omhoog opvatten? Inderdaad ligt “ik stem in met het contract” voor de hand, maar dat duimpje sturen mensen óók vaak om te zeggen “ik heb dit gelezen en ga het doen #komtgoed”. Dat laatste is dan niet meer dan een ontvangstbevestiging dat het contract gelezen gaat worden.

De rechter in eerste aanleg had geconcludeerd dat in dit specifieke geval het duimpje omhoog als aanvaarding van het contract moest worden opgevat. Dit afgaande op de woordenboekbetekenis van de emoji van “assent, approval or encouragement in digital communications”. Maar ook woog mee dat de wederpartij wel vaker heel kort reageerde:

It is important to note that each time [Mr. Mickleborough] added to the offered contract “Please confirm terms of durum contract” and [Mr. Achter] did so by succinctly texting “looks good”, “ok” or “yup”. The parties clearly understood these curt words were meant to be confirmation of the contract and not a mere acknowledgement of the receipt of the contract by [Mr. Achter]. There can be no other logical or creditable explanation because the proof is in the pudding. [Mr. Achter] delivered the grain as contracted and got paid.
Als je meerdere keren “yup”-achtige termen appt op een contractsvoorstel en vervolgens het contract nakomt, dan bedoel jij met die termen dus “ik aanvaard het aanbod”. Dan kun je niet een volgende keer zeggen dat je alleen maar “ik ga het lezen en laat je weten” bedoele met een equivalente korte term.

Arnoud

 

Bunq ondervraagt klant via bankapp na onlinekritiek, mag dat?

Photo by MART PRODUCTION on Pexels

Klanten die zich online negatief uitlaten over Bunq, wordt via de bankapp gevraagd hun toon te matigen. Dat meldde het FD net voor de kerst. Eerder dook op Reddit een concreet voorbeeld op, van een persoon die werd aangesproken op Wikipedia-edits op het lemma van de banq, pardon bank. Het gaf vele vragen of dat wel mag, klanten opzoeken in het CRM en ze dan aanspreken op wat ze online doen.

Op zich is het zeker legitiem dat een bank bij een klacht – ook indien gedaan in externe bronnen – nagaat of die klacht echt is. De klant erbij zoeken is dan logisch, want alleen in het klantdossier zul je de informatie vinden om die klacht te verifiëren.

Het punt is: wat ga je daarna doen? Je interne processen reviewen kan natuurlijk (daar gaat dat “kwaliteitsdoeleinden”  van al die bandjes volgens mij over), maar contact opnemen met de klant om het uit te spreken ligt ook redelijk voor de hand.

Op zo ongeveer alle reviewsites van zo ongeveer elke branche of doelgroep bestaat de mogelijkheid te klagen. En vrijwel altijd mag het bedrijf dan ook reageren, en dat kan slim zijn vanuit reputatiemanagement: een niet-weersproken klacht over muizen onder het bed kan een b&b ruïneren, bijvoorbeeld. En weerspreken vereist opzoeken.

Een verschil is voor mij wel dat een reactie op een recensie logisch en te verwachten is. Bovendien gebeurt dat op dezelfde plek als waar je de recensie plaatste. “Beste A.E. je was helemaal niet op 10 januari in onze b&b dus van die muis klopt niet” is in die context denk ik prima.

Alleen, als ik niet mijn echte naam had genoemd en de b&b zegt dán “A.E.”, wat dan? Daarover blogde ik in oktober:

Sommige reacties noemen het doxxing, het strafbare feit uit art. 285d Sr van het verspreiden van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen”. Dat gaat me wat ver, maar ik zie hoe het intimiderend over kan komen. En het is denkbaar, dat je iemands echte naam gebruikt in de hoop dat die schrikt en de recensie weghaalt – dan gaat de reactie met echte naam ook weg.
Bunq benadert mensen individueel, zo te lezen via de chat van de bankierenapp, afgaande op de marketingmeelbal dat “Bij Bunq staan we dagelijks in contact met onze gebruikers om naar hun feedback en ervaringen te luisteren”.

Voor mij is de kern dat wie op zo’n platform recenseert, kan en mag verwachten dat de dienstverlener reageert – op het platform. Wie dat elders doet, hoeft er geen rekening mee te houden dat dat kan gebeuren. Ja, ook in het echte leven zóu het kunnen dat Ali Niknam een stoel verderop zit in het café en dan “gewoon wil luisteren en leren van feedback, omdat het helpt om gebruikers beter van dienst te zijn” (quote bunq Legal). Maar geef toe, dat zou jij ook raar vinden.

Van mijn stoel val ik van deze Reddit-melding:

So a few days ago I pointed out that bunq’s support is shit after I had to wait for 3+ days on a reply. And suddenly I got this message.. Are they even legally allowed to terminate my account when I just give my opinion about their support?
De persoon wordt hier aangesproken op onrespectvol taalgebruik in een Redditbericht over de bank. De reactie van de bank leest alsof meneer dat in de chat mét de bank deed. Ik kan aanspreken op taalgebruik in die laatste situatie billijken, maar het is natuurlijk onzin dat je aangesproken wordt op T&C schending vanwege een bericht op Reddit.

Afijn. Terug naar de juridische basis. Dat zou dan moeten zijn: het koppelen van een op social media gevonden klacht aan een klant. De basis daarvoor moet de AVG zijn met legitiem belang, reputatiebewaking is nou eenmaal iets wat moet kunnen. Maar is het noodzakelijk en proportioneel gezien de verrassing die het bij de klant teweegbrengt?

Bij Tweakers nog een aanvullende reactie van de geciteerde uit het FD artikel:

M’n main-Reddit account, waarmee ik de reactie aanvankelijk postte is net zo anoniem als die throwaway – op één foto van mijn auto met zichtbaar kenteken na. Wat mij dus het meeste frustreert is dat ze kennelijk bepaalde bevoegdheden/databronnen gebruiken om te achterhalen wié ik ben, om me vervolgens privé te kunnen benaderen. Er klopt hier gewoon echt helemaal niks van.
Hier val ik ook even stil van. Ik zou de DPIA wel eens willen lezen die uitlegt waarom je kentekens van social media mag gebruiken om een klant te identificeren.

Arnoud

Met deze ict-wetgeving krijg je in 2025 vast een keer te maken

Photo by Matheus Bertelli on Pexels

Welke wetgeving voor de ict-sector komt er op ons af in dit nieuwe jaar? Iedereen kent natuurlijk het algemene overzicht van de Kamer van Koophandel, maar dat betreft vooral fiscale veranderingen en randzaken. De nieuwe regels voor onze sector komen natuurlijk allemaal uit Europa, waar de term “Digital Decade” centraal staat.

De Digital Decade is het Europese wetgevingsprogramma dat technologische innovatie verbindt met fundamentele rechten en maatschappelijke waarden, van identiteit en privacy tot platformeconomie en cyberveiligheid. Ik hanteer daarbij een verdeling in acht thema’s (waarover een andere keer meer) en zal per thema relevante wetgeving noemen:

  • De Markets in Crypto-Assets Regulation (MiCA) (2023/1114) trad 30 december 2024 in werking en voert een EU-breed vergunningstelsel in voor crypto-dienstverleners. De wet stelt eisen aan wallet-providers en andere bewaarders van digitale activa, vergelijkbaar met traditionele financiële instellingen. Dit past in het bredere EU-raamwerk voor betrouwbare digitale identiteiten en transacties.
  • Data & Privacy: De AI Act (2024/1689) introduceert een risico-gebaseerd systeem voor AI-regulering met strenge eisen voor hoog-risico toepassingen en enkele absolute verboden. Die laatste treden al per 2 februari in werking (net als de eis voor AI-geletterdheid).
  • Mensgericht & Inclusief: De Toegankelijkheidsrichtlijn (2019/882) verplicht alle marktdeelnemers tot integreren van toegankelijkheid van producten, diensten en interfaces. Deze verplichting gaat vanaf 28 juni 2025 gelden voor alle nieuwe producten of interfaces – dus vanaf je eerste update na die datum.
  • Cyber & Weerbaarheid: De Nederlandse Cyberbeveiligingswet implementeert de NIS2-richtlijn (2022/2555) in Q3 2025 met nieuwe eisen voor digitale dienstverleners en vitale aanbieders rond cybersecurity en incidentrapportage.
  • Data & Privacy: In 2025 wordt de European Health Data Space Regulation verwacht die veilige uitwisseling van gezondheidsdata tussen EU-landen met sterke privacywaarborgen faciliteert.
  • Data & Privacy: De Dataverordening (2022/868) geldt al, maar voor databemiddelingsdiensten geldt de deadline van 24 september 2025.
  • Digitale Identiteit: De nieuwe European Digital Identity Framework (2024/1183) treedt gedeeltelijk in werking – met name de technische normen zullen gaan gelden.
  • Digitale Economie: De Corporate Sustainability Due Diligence Directive (2024/1760) verplicht vanaf juli 2026 techbedrijven tot het monitoren en aanpakken van mensenrechten- en milieurisico’s in hun waardeketen. Zaak dus om in 2025 alvast een en ander te gaan inventariseren.
  • Inhoud & Expressie: Vanaf de zomer gaan regels gelden voor transparantie bij politieke advertenties dankzij de Political Advertising Regulation (2024/900), het was al reden voor Google om daarmee te stoppen.
  • Infrastructuur: De Gigabit Infrastructure Act (2024/1309) stroomlijnt de uitrol van snelle internetverbindingen. Nieuw is ook dat gebouwen voortaan ‘gigabit-ready’ moeten zijn bij grote renovaties. Vanaf 12 november 2025 gaan de regels gelden.
  • Mensgericht & Inclusief: De Right to Repair Directive (2024/1799) geeft consumenten recht op reparatie van elektronische apparaten en verplicht fabrikanten tot het beschikbaar stellen van reserveonderdelen en reparatie-informatie. Dit moet vanaf 31 juli 2026 gaan gelden, maar in 2025 zul je al het nodige tegenkomen.
  • Digitale Economie: De Platform Work Directive (2024/2831) versterkt de positie van platformwerkers door criteria vast te leggen voor arbeidsrelaties en transparantie over algoritmes die werk toewijzen. Deze moet vanaf 2 december 2026 gaan gelden. Je contracten en werkrelaties vóór die tijd op orde hebben is natuurlijk wel zo verstandig.
  • Soevereiniteit: De Critical Raw Materials Act (2024/1252) moet Europa’s toegang tot cruciale grondstoffen voor digitale infrastructuur veiligstellen via productietargets en supply chain monitoring. Hoewel de meeste eisen pas in 2026 gaan gelden, moeten projecten inzake kritieke grondstoffen hier nu al rekening mee houden.
  • Digitale Soevereiniteit: Het Strategic Technologies for Europe Platform (STEP) (2024/795) bundelt investeringen in strategische technologieën als AI, quantum en chips.
  • Cyber & Weerbaarheid: De Cyber Resilience Act (2024/2847) stelt minimale beveiligingseisen aan alle connected producten, van IoT-apparaten tot industriële systemen. Ik noem hem alvast, maar je hebt tot 11 december 2027 om je implementatie te regelen.
Dit is natuurlijk een enorme berg om rekening mee te houden. Ik ben dan ook onlangs begonnen met een nieuw boek: Wetwijs in het digitale decennium. Je kunt je alvast voorintekenen, dan blijf je op de hoogte van inhoud & vormgeving.

Oh ja, de beste wensen nog voor 2025!

Arnoud

Fijne feestdagen en een juridisch correct 2025!

Vanaf vandaag ben ik met kerstvakantie. Maandag 6 januari leest u hier weer nieuwe blogs. Voor nu fijne feestdagen en een juridisch correct (maar ook rustig en voorspoedig) 2025 toegewenst!

Cadeautips en/of goede voornemens:

Tips voor boeken die ik zelf moet lezen: zet ze in de comments!

Arnoud Afbeelding: US20100000065A1, een pop-up kerstboom van twee meter hoog

Wetsvoorstel geeft Nederlandse politie toegang tot besloten appgroepen voor ordehandhaving

Er is een wetsvoorstel in de maak om de Nederlandse politie de bevoegdheid te geven om besloten appgroepen te infiltreren voor handhaving van de openbare orde. Dat meldde Tweakers afgelopen maandag. Dat gaf enige ophef in de inbox, want wat wordt hier dan mee beoogd?

Een en ander is te herleiden tot het recentste halfjaarbericht van het ministerie van J&V over de staat van de politie. Hierin wordt onder meer gereageerd op een motie van Kamerlid Dilan Ye?ilgöz over de politie “meer mogelijkheden te bieden undercover mee te kijken in (besloten) telegramgroepen”. En dat is weer te herleiden tot de gebeurtenissen van 7 op 8 november waarbij de politie aangaf niet zomaar in allerlei groepen te kunnen kijken.

Op zich is het al mogelijk dat de politie online onderzoek doet, wat de wetgever “stelselmatig informatie inwinnen” noemt. Alleen vereist dat een verdenking van een misdrijf (art. 126j Strafvordering):

In geval van verdenking van een misdrijf kan de officier van justitie in het belang van het onderzoek bevelen dat een opsporingsambtenaar als bedoeld in de artikelen 141, onderdelen, b, c en d, en 142, zonder dat kenbaar is dat hij optreedt als opsporingsambtenaar, stelselmatig informatie inwint over de verdachte.
Bij een (dreigende of gaande) openbare-ordeverstoring is niet perse altijd sprake van strafbare feiten. Dit is dezelfde discussie als bij online ordeverstoringen – die zijn echt een lichtere categorie dan de ‘misdrijven’ waar het wetboek van strafvordering het over heeft, en zelfs van de ‘overtredingen’ die daar in staan. Een ordeverstoring hoeft niet strafbaar te zijn.

Dat is in zoverre een probleem dat de politie deze bevoegdheid alleen mag inzetten als sprake is van een (verdenking van een) misdrijf. Immers, wanneer handelen van de politie in “meer dan geringe mate” de grondrechten van burgers inperkt moet daar een specifieke wettelijke regeling voor zijn. Dat weten we van het doorzoeken van mobiele telefoons, bijvoorbeeld.

De politie heeft de algemene taakstelling van “daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven” (art. 3 Politiewet), maar die heeft dus als grens dat de grondrechten daarbij niet meer dan gering mogen worden geraakt.

Bij online rondstruinen op zoek naar informatie is in principe niet snel sprake van schending van grondrechten. Althans, zolang het gaat om publieke informatie. Die mag ook een agent gewoon lezen. Als het achter een login zit, dan wordt het iets spannender – ben je undercover, ga je een besloten plaats binnen, allemaal dingen die we normaal een serieuze grondrechtenkwestie vinden.

In de praktijk wordt de grens getrokken bij wel of niet voor het publiek toegankelijk. Bij wachtwoorden of accounts gaat het niet perse om het aantal leden, maar om het toegangscriterium. Wanneer mag je bij de groep? Als dat antwoord neerkomt op een inhoudelijk beperkt criterium, dan is de groep besloten en dan mag de agent niet naar binnen.

Een groot forum dat posts afschermt van zoekmachines en daarom accounts vereist om te mogen lezen, is dus niet ‘beperkt’. Iedereen mag lid worden en ieder lid mag alles lezen. In theorie kan de hele wereld lid worden. Een WhatsApp-groep waar alleen de mensen in mogen die Bul Super persoonlijk kent, is natuurlijk wél ‘beperkt’. Een agent zou het kunnen vragen, maar als deze zich dan voordoet als de heer Bommel in plaats van de heer Snuf, dan mag dat formeel niet.

Het wetsvoorstel is overigens bij lange na nog niet af:

Het streven is om in de eerste helft van 2025 een wetsvoorstel in consultatie te brengen waarin de bevoegdheid tot stelselmatige informatievergaring in publiek toegankelijke online bronnen wordt geregeld. Dit voorstel wordt met een zorgvuldige onderbouwing van nut en noodzaak en een kader van checks and balances voorbereid. Met prioriteit wordt parallel gewerkt aan de mogelijkheid om in het kader van de openbare-ordehandhaving de politie ook toegang tot besloten app- en chatgroepen te geven, indachtig de motie Ye?ilgöz-Zegerius c.s.
Arnoud

 

Nederlandse overheid werkt aan classificatiesysteem voor sociale media

Het Nederlandse ministerie van Binnenlandse Zaken gaat in 2025 na hoe een onafhankelijk classificatiesysteem voor digitale diensten zoals sociale media kan worden opgezet. Dat meldde Tweakers onlangs. In een Kamerbrief verwijst men naar het systeem Gamecheck, met icoontjes bij games voor ouders die aangeven welke verleidingstechnieken er in een game zitten.

In de brief legt men uit:

Naast dat bedrijven hun digitale diensten voor minderjarigen veilig moeten maken, moeten ouders hun kinderen goed begeleiden bij het gebruik van digitale diensten. Ik zie dat ouders vaak niet goed weten wat digitale diensten precies inhouden. De meeste ouders gebruiken apps als SnapChat of Roblox zelf niet en weten daardoor niet goed wat de risico´s zijn. Betere informatie hierover is van belang.
Die informatie wil men dus primair verstrekken met icoontjes, omdat je dan in één oogopslag ziet waar het over gaat. Dat is dus precies zoals de Kijkwijzer, vandaar het plaatje hiernaast dat die laat zien. Er is ook de Gamewijzer (ik denk dat dit hetzelfde is als Gamecheck), en die werkt onafhankelijk:
Wij signaleren welke games populair zijn onder kinderen en jongeren. Deze games krijgen een Gamewijzer: een overzicht van alles wat je als opvoeder over deze game moet weten. Welke games populair zijn bepalen we op basis van verkoop- en downloadcijfers en feedback van consumenten.
Kijkwijzer is (indirect) wettelijk verplicht: beeld “waarvan de vertoning schadelijk is te achten voor personen beneden de leeftijd van zestien jaar” (art. 240a Sr) mag deze personen niet worden vertoond. Een Kijkwijzer-icoon “alle leeftijden” dient dan als bewijs dat dit beeld voor niemand schadelijk is. Het icoon “12” maakt dat het schadelijk is te achten voor mensen onder die leeftijd.

Een game is een “beeld” in de zin van het strafrecht. Daarom mogen games met PEGI classificatie 16 of 18 niet aan minderjarigen worden verkocht. Gamewijzer is daar geen vervanger voor. Deze moet je eerder zien als een uitleg waarom:

  • We vertellen je waar de game over gaat, en wat het doel is. Sommige games hebben een begin, midden en eind. Andere games hebben geen verhaal maar verschillende modes, elk met hun eigen uitdagingen.
  • Je leest wat het PEGI leeftijdsadvies van de game is, en waarom. Zit er grof taalgebruik in, of geweld? En hoe ziet dat geweld er dan uit?
  • Sommige games kunnen op pauze, maar bij veel populaire games is dat niet zo eenvoudig. Als je ‘zo maar’ stopt verlies je. Wij leggen uit hoe je afspraken maakt over deze games.
Ik zie hoe een serie iconen hier nuttig bij kan zijn, maar dit gaat dus eerder over een gestandaardiseerde bijsluiter met symbolen om er snel doorheen te scannen, dan om drie extra iconen naast PEGI of Kijkwijzer.

Arnoud

Als je afspreekt backups te maken, dan zijn niet-gemaakte backups echt voor jouw rekening (ongeacht je algemene voorwaarden)

Photo by Markus Spiske on Pexels

“Leverancier [zal] met inachtneming van de schriftelijk overeengekomen periodes, en bij gebreke daarvan eens per week, een volledige back-up maken van de bij hem in bezit zijnde gegevens van klant.” Toen ging de backup mis en eiste de klant een half miljoen aan schadevergoeding. Kan Leverancier zich dan beroepen op de beperking van aansprakelijkheid uit de voorwaarden?

De klant had met de leverancier gecontracteerd voor ICT beheer bij diverse van haar vestigingen. Daarbij hoorde “Dagelijkse back-up controle” als ict-dienst, en apart gecontracteerd was wekelijks een volledige backup maken. Dit alles voor €150.000 per jaar.

Zoals dat gaat in de ict ging er op zeker iets mis:

Op 3 oktober 2024 bleken na een verdere analyse meerdere servers gecrasht en defect. [Leverancier] heeft de gecrashte servers vervangen, opdat back-ups daarop konden worden geplaatst. Tijdens het herplaatsen is duidelijk geworden dat er sinds juli 2022 geen back-up is gemaakt van de nieuwe server, met als gevolg dat alle data van de nieuwe server vanaf juli 2022, die door de crash verloren zijn gegaan, niet teruggeplaatst konden worden maar definitief verloren zijn gegaan.
Nee, die 2022 was geen typefout:
Vast staat dat de server waar de oude versie van het ERP-systeem op draaide één van de servers was waarvan [leverancier] conform de overeenkomst back-ups maakte. Na de vervanging van deze server door [leverancier] (zie 2.6), is [leverancier] abusievelijk gedurende een jaar lang back-ups blijven maken van de oude server die fysiek niet was verwijderd maar niet langer een functie had. Van de gegevens op de nieuwe server heeft [leverancier] geen back-ups gemaakt.
Diverse lezers zien “ERP-systeem” en schrikken zich nu rot. Want inderdaad is dat een bedrijfskritisch proces, de bedrijfsvoering en het productieproces van de klant ligt nu (gedeeltelijk) stil. En dat is iets dat zeker meeweegt als je als ict-beheerder optreedt.
De voorzieningenrechter acht het dan ook onbegrijpelijk dat [leverancier] in haar hoedanigheid van ICT-beheerder van [klant], na de vervanging van de server waarop dit ERP-systeem draaide, back-ups is blijven maken van de oude server, die niet meer in gebruik was, en geen back-ups heeft gemaakt van (de mutaties op) de nieuwe server. Anders dan door een menselijke fout is dit niet te verklaren.
Wanprestatie dus. Maar zoals vrijwel iedereen in de ict had ook deze leverancier algemene voorwaarden met daarin een stevige exoneratie. Alleen “directe schade tot maximaal het bedrag van de voor die overeenkomst bedongen prijs” van het afgelopen jaar kwam voor vergoeding in aanmerking. [Pet peeve: ‘directe schade’ is geen Nederlands juridisch begrip]

Kun je je daarop beroepen in zo’n situatie? Normaal wel, het zijn twee grootzakelijke partijen en die mogen zo ongeveer alles afspreken dat ze willen over ict-dienstverlening. Maar dat voelt hier wel héél onbillijk. En dat triggert artikel 6:248 lid 2 BW:

Een tussen partijen als gevolg van de overeenkomst geldende regel is niet van toepassing, voor zover dit in de gegeven omstandigheden naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn.
De belangrijkste omstandigheid die de rechter hier laat meewegen is dat het maken van backups een kernverplichting is van de leverancier. Die term verwijst naar afspraken die de essentie van de overeenkomst raken: dit is waar je voor betaalt, dit is wat je afgesproken had, hoezo mag je dít nalaten zonder dat dat gevolgen heeft?

Ook weegt mee dat het bedrag dat onder die AV moet worden betaald, niet in verhouding staat tot de werkelijke schade. Dit wordt niet uitgespeld maar lijkt te gaan om het verschil tussen € 29.187 wegens uitval productielijnen en € 368.861,73 dat de rechter uiteindelijk toekent. Hadden de AV een plafond van zeg anderhalve ton ingesteld, dan was de discussie mogelijk anders verlopen.

Arnoud

Waar zit het verschil tussen een AI, een algoritme en een beslisregel?

Graafgebaseerde fraude-analyse, bron Grab.com

Wat is het verschil tussen AI, algoritmes en beslisregel? Die vraag krijg ik steeds vaker langs, onder meer bij die recente discussie over het DUO-algoritme dat neerkwam op R1*(R2+R3) en wat vuistregels over die drie variabelen. Is dat wezenlijk anders dan een data-analyse op een set met miljoenen datapunten en maakt het nog uit of je het door ChatGPT haalt voordat je het besluit communiceert?

De wet doet niet echt uitspraken over de technische complexiteit van je systeem. Grofweg zijn er twee wetten die inhoudelijk relevant zijn:

  1. De AI Act, die een systeem “AI” noemt als dat zelfstandig afleidt wat de regels zijn en wat de uitvoer moet zijn gegeven de invoer.
  2. De AVG, die “geautomatiseerde besluitvorming” verbiedt, wat dan weer neerkomt op geen (betekenisvolle) menselijke tussenkomst bij een besluit. Maar niet perse dat dat besluit door AI moet zijn genomen.
Dan zijn er indirect nog wat kaders, met name de Algemene wet bestuursrecht (Awb) waar een jurisprudentie-kader staat over motivatie en duidelijkheid van geautomatiseerde overheidsbesluiten.

Mijn eigen grove schets:

  • Besluiten kunnen via regels worden genomen, waarbij de uitkomst uit een berekening volgt. “Wie meer dan 100 euro besteedt krijgt gratis verzending” is zo’n regel. Dit ter onderscheid van vagere regels als “vaste klanten krijgen korting”.
  • Een samenstel van regels noemen we algoritmes als ze complex beginnen te klinken (ja, zeer subjectief) maar wel via berekeningen tot uitkomsten leiden. Het belastingaangifteformulier is een algoritme: je stopt er allerlei gegevens in, het systeem weegt dit af tegen grenswaarden en criteria en er komt een aangiftebedrag uit. Het dikkeduimsysteem van DUO met hun R1*(R2+R3) is ook een algoritme.
  • Een algoritme noemen we AI als de regels niet door mensen zijn geformuleerd maar door de computer zijn afgeleid. Dat kan bij het bouwen van het systeem (een ML model) of bij het toepassen van het systeem op een casus.
Het plaatje bij deze blog komt van platformdienst Grab, dat veel onderzoek doet naar fraude. Het is een tweedimensionale plot van fraudegevallen en echte bestellingen. Datagedreven inzicht, dus AI in mijn categorisering hierboven. Maar iedereen ziet twee mooie geclusterde groepen fraude (de rode bolletjes), en daar zijn vrij eenvoudig beslisregels van te maken: (X > 25) OR (X > -25 AND Y > 50) isoleren volgens mij 90% van de fraudegevallen.

Een bestelling afwijzen wegens fraude met deze regels is dus algoritmisch, en als daar geen mens bij komt kijken dan loopt dat onder het verbod van de AVG. De regels zijn via data-analyse tot stand gekomen, dus noemen we dat een AI systeem. (Fraude-detectie bij ecommerce is geen hoogrisico-toepassing dus daar komt men mooi weg onder die wet.)

Ik zie in de praktijk veel systemen waarbij die regels door mensen geformuleerd zijn – zoals die regel hierboven – maar wel uit data komen. Dat is dan nog steeds een AI-model in de zin van de AI Act, ook al heeft een mens de exacte grenzen getrokken. Enige menselijke tussenkomst maakt niet dat je systeem geen AI meer is.

Arnoud