Categorie: Informatiemaatschappij

About Informatiemaatschappij

Subscribe Feeds

Samsung introduceert reclames in koelkasten van ruim 2500 euro

Geplaatst op in Informatiemaatschappij, 14 reacties
Foto: Samsung

Stel je voor: je hebt een koelkast gekocht van 2500 euro en na verloop van tijd besluit de fabrikant deze te voorzien van reclame. Dat meldde Bright.nl onlangs. Het gaat gebeuren in de VS, maar kennelijk hebben ook Nederlanders deze family hub koelkasten want de vraag kwam natuurlijk langs: mag dat, ineens advertenties op de koelkast plakken?

Het bedrijf ziet het als “committed to innovation and enhancing every day value for our home appliance customers” en legt uit:

Advertising will appear on certain Family Hub refrigerator Cover Screens. The Cover Screen appears when a Family Hub screen is idle. Ad design format may change depending on Family Hub personalization options for the Cover Screen, and advertising will not appear when Cover Screen displays Art Mode or picture albums.
Het deed me denken aan mijn rant van even geleden over datzelfde Samsung dat advertenties in de menubalk van je superdure televisie stopt. Zoals ik toen zei:
De eerste voor de hand liggende optie is dat je het gooit op nonconformiteit: die televisie werkt niet zoals verwacht, want voor deze prijs en kwaliteitsbelofte hoef ik geen advertenties In. De. Menu. Balk. te verwachten. In ieder geval is me dat niet verteld, dit staat zeker weten niet in de productinformatie bij Coolblue en andere elektronicaleveranciers. En als ze zoiets opmerkelijks er niet bij vertellen, dan hoef ik dat niet te verwachten.

Wat zegt u, staat dat in de privacyverklaring die ik bij de installatieprocedure gedachteloos heb weggeklikt? Of de 64 pagina’s tellende gebruiksovereenkomst digitale media randapparatuur (of hoe het monstrum maar heet). Ach. Wat leuk voor ze. Maar totaal niet relevant: aan informatieplichten voldoe je niet door een jurist een lijvig document op te laten stellen, ook niet als mensen voor akkoord moeten klikken. Grofweg: staat het niet op de site of op de doos, dan telt het niet.

Er komt dan nog eens bij dat dit een over-the-air update is, dus iets dat je sowieso niet had kunnen weten al had je elke letter doorgespit bij het plaatsen van het ding. Overigens te koop bij Coolblue voor slechts 2.500 euro.

In Europa vereist zo’n update expliciete toestemming (ja, van de cookiewet) en die moet je dus kunnen weigeren. Wellicht dat dit is waarom de feature niet in Europa gepusht gaat worden. Maar het lastige is dat de wet niet voorziet in wat er moet gebeuren als je ‘nee’ zegt. Elke dag opnieuw vragen om toestemming is bijvoorbeeld legaal, net als overige updates laten wachten tot je ‘ja’ zegt.

Wanneer de Cyber Resilience Act van kracht wordt, zou dat voor security updates in ieder geval niet meer mogen. Maar of het systeem daar rekening mee houdt?

Arnoud

 

 

Mag een uitgaansgelegenheid het dragen van camerabrillen verbieden?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Uitingsvrijheid, 31 reacties
Beeld: RTL Nieuws

Een lezer vroeg me:

Vorige week las ik dat muziekpodium TivoliVredenburg in Utrecht een bezoeker met een camerabril de toegang heeft geweigerd. Inmiddels is er ook een verbod op het dragen van camerabrillen door Tivoli ingevoerd. Maar geheim cameratoezicht was toch al verboden in Nederland, waarom is dit dan nodig?
Eerste hadden we de man die in Rotterdam betrapt werd met een camerabril bij een festival, en nu dus een Utrechter in uitgaansgelegenheid TivoliVredenburg. Logisch dat organisaties hier over nadenken en met huisregels komen.

De strafwet verbiedt inderdaad stiekem filmen, in twee smaken:

  1. Aan de openbare weg is filmen van mensen verboden met een vast aangebrachte camera. Een camera in je hand houden, of zelfs eentje die vast zit aan je auto, is dus niet automatisch strafbaar, art. 441b Strafrecht.
  2. In besloten ruimtes, waaronder festivals en uitgaansgelegenheden, is alle filmen van mensen strafbaar tenzij duidelijk gemeld, art. 139f.
Punt hierbij is wel dat je pas strafbaar bent als je de beelden máákt. Een camera in je tas hebben zitten op een festival is natuurlijk nog lang niet hetzelfde als het filmen van mensen. Het simpele antwoord is dan ook dat die huisregel er is zodat men preventief kan optreden, nog voordat de camera aan gaat.

Een iets lastiger bijkomende vraag is wat de organisatie mag doen als iemand toch die beelden maakt. Eruit zetten, tuurlijk. Aanhouden op heterdaad en de politie bellen, ook mogelijk (139f is een misdrijf).

Maar de beelden wissen, zoals in Rotterdam gebeurde? Daar weet ik even geen optie voor in de wet. Sterker nog: ik zou dringend adviseren die beelden te laten staan, zodat de politie zelf ook kan zien dat het misdrijf begaan is. Anders is “ik heb niets gefilmd” een wel héél makkelijk excuus achteraf.

Arnoud

Richtlijn voor schermgebruik kinderen is welkom, maar ‘kabinet ook zelf aan zet’

Geplaatst op in Informatiemaatschappij, 21 reacties
Photo by HelenJank on Pixabay

Ouder- en scholenorganisaties zijn overwegend positief over een advies van het demissionaire kabinet om kinderen tot vijftien jaar niet toe te laten op sociale media en smartphones pas toe te staan vanaf groep acht. Dat meldde Nu.nl vorige week. Kritiek is wel dat er geen regelgevende kracht achter zit.

Het advies noemt zichzelf ‘Duidelijk‘: wacht met sociale media tot 15 jaar. Want:

Bijna 13% van de jongeren loopt zelfs risico op problematisch sociale media gebruik. We willen dat kinderen gezond en veilig kunnen opgroeien en ouders daarbij ondersteunen. Daarom komen we nu met heldere, eenduidige richtlijnen om hen daarbij te helpen.
Deze komen neer op een tweestapsplan. Vanaf begin middelbare school laat je kinderen starten met chatapps, met begeleiding en uitleg. En vanaf ongeveer 15 jaar kunnen ze dan social media gaan gebruiken. De reden hiervoor is dat chatomgevingen iets geslotener zijn, je krijgt niet steeds nieuw aanbod.

Het probleem wordt treffend samengevat in deze quote: “Ouders en kinderen kunnen in hun eentje niet op tegen de verslavende elementen van sociale media.” Want daar zit te kern. Al langer erger ik me dood aan de dooddoener “het ligt aan de ouders”. Want er komt zó veel manipulatief geweld op je af en er is zó veel actief misleidende informatie daar omheen dat je werkelijk niet kunt verwachten dat individuele mensen met ook gewoon andere zorgen zich óók nog staande kunnen houden tegen deze dienstverleners.

Natuurlijk snap ik ook dat een verbod best ingewikkeld is. Want wat ga je dan verbieden? Bezit van smartphones door mensen onder de zestien? Accounts op social media zonder leeftijdsverificatie? Ik zou ook niet weten hoe dat te handhaven, gezien die clubs in de VS zitten en onbeperkt geld hebben om welke maatregel dan ook oneindig te traineren.

Er moet toch iets in het midden mogelijk zijn.

Arnoud

 

Hoofdaanklager van ICC heeft geen toegang meer tot Microsoft-mail na sancties VS

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 21 reacties
Photo by Morgane Perraud on Unsplash

De hoofdaanklager van het Internationaal Strafhof in Den Haag kan zijn werk amper doen omdat hij geen toegang meer heeft tot zijn Microsoft-e-mail. Dat meldde Tweakers vrijdag. Bij de AP wordt gemeld dat de reden Amerikaanse sancties tegen het ICC zijn, deel van een pakket dat in februari is aangenomen. Hopelijk komt de discussie over digitale soevereiniteit nu eens echt op gang.

De sancties dateren uit februari, zo meldt AP:

Neither the U.S. nor Israel is a member of or recognizes the court, which has issued an arrest warrant for Israeli Prime Minister Benjamin Netanyahu for alleged war crimes over his military response in Gaza after the Hamas attack against Israel in October 2023. Tens of thousands of Palestinians, including children, have been killed during the Israeli military’s response.
De sancties zijn bedoeld om de “baseless arrest warrants” tegen Netanyahu ongedaan te maken. Diensten leveren aan een gesanctioneerde partij is in principe dan verboden naar Amerikaans recht, vandaar dat Microsoft de MS365 mailbox van de hoofdaanklager heeft opgeheven. (Hij werkt nu met Proton.)

Kan Europa hier wat tegen doen? MS bevelen dit ongedaan te maken? Dat ligt formeel wat ingewikkeld, omdat het Strafhof geen Europees orgaan is maar een VN-orgaan. Als een en ander wél onder EU-jurisdictie valt, dan is er sinds 1996 de mogelijkheid om via de Blocking statute een partij als Microsoft juridische bescherming te bieden zodat ze door kunnen gaan met levering.

Velen moeten natuurlijk denken aan eind april, toen Microsoft bekend maakte snel naar de rechter te zullen stappen als de Amerikaanse overheid Europese digitale veerkracht in gevaar zou brengen:

Brad Smith pledged during an event in Brussels on Wednesday to protect Microsoft’s European customer data and “agreed to challenge any government demand for EU public sector or enterprise customer data where we have a legal basis for doing so.”
Als jurist vind ik dit geen héle sterke bewering maar de uitspraak had natuurlijk de context van Amerikaanse bevelen tot toegang bij Europese data. En het ICC is geen Europese organisatie dus valt buiten de toezegging. Maar het doet wel vreemd aan, die twee dingen zo kort na elkaar.

De zaak laat voor mij vooral zien dat de juridische en de praktische werkelijkheid fors uit elkaar liggen. En dat de problemen acuut zijn: die stekker eruit is geen proces van maanden. Je probeert in te loggen en dat mag niet, en dat is het dan. Heb je dáár al een strategie voor?

Arnoud

 

 

 

Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel, dat is toch verboden per 2 februari?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 15 reacties
Photo by and machines on Unsplash

Politie en justitie gebruiken een algoritme om jaarlijks van tienduizenden jongeren te voorspellen of ze in de criminaliteit belanden. Dat meldde Follow The Money onlangs. Je gelooft het niet, maar die voorspelling blijkt er vaak naast te zitten, terwijl de gevolgen groot kunnen zijn. Ik gooi een knuppel in het hoenderhok: dit is een verboden AI praktijk per 2 februari.

Het uitgangspunt is precies zoals zo veel AI systemen worden ontworpen:

Preselect is getraind met de gegevens van vijfduizend jongeren die ooit zijn verdacht van een strafbaar feit. Het algoritme leerde op basis van deze politiedata te voorspellen welke minderjarigen wel en niet recidiveren. Jongeren met een profiel dat lijkt op dat van leeftijdgenoten die eerder opnieuw in de fout gingen, krijgen een hogere risicoscore.
Alles staat of valt met de data, en 5000 is dan niet denderend veel. Met een simpele regressie-analyse kom je daarmee nog wel een eind, maar je wilt natuurlijk wel dat je data mooi verdeeld is. Maar helaas:
Maar bepaalde groepen – 12-jarigen, meisjes en jongeren die voor het eerst in aanraking komen met de politie – zijn maar in kleine aantallen in deze ‘trainingsdata’ vertegenwoordigd.
Ik lees ook nergens hoe veel mensen er in gestopt zijn die nooit verdacht zijn van een strafbaar feit. Als je alleen verdachten in een dataset stopt, kan daar bij wijze van spreken uitkomen dat “melk drinken” een top-voorspeller is omdat ze dat allemaal doen.

Dit nog even los van de vraag of die 5000 data-items wel eerlijk gekozen zijn. Als de politie Mohammed van 14 als verdachte aanmerkt, en Jan-Hendrik met een waarschuwing wegstuurt, dan krijg je een ontzettend scheef beeld bijvoorbeeld. Het artikel meldt niets over de achtergronden van de verdachten, dus we weten het niet.

En dat is uiteindelijk het grootste probleem: niemand weet of en hoe goed dit werkt. Het algoritme staat niet in ons beroemde Algoritmeregister, waar het wel zou moeten gezien de hoge risico’s.

Zelf vind ik de link naar de AI Act nog wel interessant. We hebben het hier over een recidivevoorspeller, en daar Vond Men Wat Van bij het maken van die wet. Er zijn twee smaken: predictive policing op basis van profilering is verboden (art. 5.1(d) AIA) en recidiverisicobeoordeling en predictive policing anders dan op basis van profilering is hoogrisico (Annex III.6d AIA).

Dit is verboden per 2 februari:

AI-systeem voor risicobeoordelingen van natuurlijke personen om het risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen, uitsluitend op basis van de profilering van een natuurlijke persoon of op basis van de beoordeling van diens persoonlijkheidseigenschappen en -kenmerken;
Wat “profilering” dan weer is, staat in de AVG:
elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;
En dat komt vrijwel letterlijk overeen met wat in het artikel wordt aangeduid met “Jongeren met een profiel dat lijkt op dat van leeftijdgenoten die eerder opnieuw in de fout gingen, krijgen een hogere risicoscore.” We voorspellen jouw gedrag (risico van plegen strafbaar feit) op basis van jouw persoonlijke aspecten in vergelijking met bekende data.

Het systeem doet een aanbeveling:

Het leidt tot een ‘score’ die een groot verschil kan maken: gaat de jongere naar Halt voor een leer- of werktraject, of wordt het een strafrechtelijke aanpak die hem of haar een strafblad bezorgt.
Is dat hetzelfde als “risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen”? Ja. Want dit moet je in de context zien: je gaat naar Halt als dat risico klein is en je krijgt een strafrechtelijk traject als het risico groot is. Want kennelijk(?) is ooit bedacht dat wie toch al gaat recidiveren, beter hard kan worden aangepakt.

Arnoud

Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Privacy, Regulering, 20 reacties

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?
De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

De woningstichting wil deursloten vervangen met app, mag dat?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 15 reacties
Iloq elektronisch slot

Via Reddit:

Ik woon in een studentenhuis met eigen kamer en een gemeenschappelijke voordeur. De huurbaas/Woningstichting stuurt ons vandaag een mail met het bericht dat zij van plan zijn de voordeursloten te veranderen voor digitale sloten, bediend door een app. Hier hebben wij verder geen inspraak of aankondiging op gehad.
De vraagsteller denkt dat het om sloten van het merk iLoq gaat; “toonaangevende, modulaire software en diensten voor al uw toegangsbehoeften” aldus de ronkende website. Een unieke toegangsbehoefte is dat je geen fysieke sleutel meer hebt, maar alleen een “breed scala aan slimme toegangsfuncties” met een app op je telefoon.

Het eerste wat je je dan kunt afvragen is wat er gebeurt als je batterij leeg is net op het moment dat je dringend naar buiten moet. Zoals bij een brandalarm, om eens wat te noemen. Wie kan vinden waar staat dat deze sloten van binnenuit zonder app te openen zijn, ik hoor het graag.

Ook interessant zijn de vele slimme rond toegang gegroepeerde behoeftes, zoals deze:

Houd actuele informatie bij over wie waar en wanneer toegang heeft. Gebruik audittrailrapporten om gevallen van onbevoegde toegang te voorkomen of te helpen oplossen.
In het Nederlands: dit slot houdt bij wie wanneer het slot open deed, en dat kun je correleren aan bevoegd en onbevoegd gebruik. Je kunt bijvoorbeeld een code geven aan bezoek, die dan op jouw gezag naar binnen gaat. De beheerder kan dan terugzien dat er dinsdag om 14:23 iemand naar binnen is gegaan dankzij jouw autorisatie. Volgens het privacybeleid is iLoq daarbij de verwerker en de gebouwbeheerder de verwerkingsverantwoordelijke.

Een aanverwante zorg van de vraagsteller/huurder is dat hiermee de verhuurder naar binnen zou kunnen gaan. Dat is inderdaad een risico, maar niet anders dan met fysieke sleutels waar men immers ook een duplicaat of loper zou kunnen hebben. Het mag natuurlijk absoluut niet zonder toestemming.

Normaal vervang je dan de cilinder (en bewaar je de originele) en dan is binnengaan onmogelijk. Maar hier zou je dan een bijzetslot moeten plaatsen. En als je dat ook van buifenaf bedienbaar wil maken, dan moet je dus een slotgat in je deur maken en dát is even iets heftiger dan een schroef losmaken en de cilinder vervangen.

Binnen het huurrecht is een niet-afsluitbare toegangsdeur een gebrek categorie A7. Het gaat dan om aan twee zijden afsluitbaar zijn, niet alleen aan de binnenzijde (waar een schuif nog een doe-het-zelf optie zou zijn). Je kunt dus naar de huurcommissie, in theorie is hiermee de huur tot 20% te verlagen totdat de verhuurder een deugdelijk slot heeft geplaatst.

Alleen: ís het wel een ondeugdelijk slot? De privacy policy leest solide, de verhuurder zal beleid overleggen dat niet binnengetreden wordt zonder toestemming of uitzonderlijke situatie en er zit een CE keurmerk op de slotelementen. Dan blijven theoretische speculaties over onveiligheid over, en daar kom je niet zo ver mee.

Ook dat van naar buiten bij brand is niet doorslaggevend. Ik lees dat iLoq speciale dingesen verkoopt die hetzelfde werken maar dan de vormfactor van een sleutel hebben. Die zouden tegen een redelijke meerprijs verstrekt kunnen worden, en hebben geen batterij nodig.

Ik realiseer me dat dit weinig opwekkend is, maar ik zie geen manier hier juridisch wat tegen te doen totdat het aantoonbaar een keer misgegaan is.

Arnoud

 

Wat kan ik doen tegen een drone die over mijn achtertuin vliegt?

Geplaatst op in Informatiemaatschappij, 12 reacties
Bron: Bord verboden voor drones - reflecterend, Informatiebord.nl

Een lezer vroeg me:

Ik woon in een vrijstaand huis in een landelijk gebied. Kennelijk is het daar interessant voor dronebestuurders, want ongeveer dagelijks vliegt er wel zo’n ding over mijn achtertuin. Nu vroeg ik me af, is daar juridisch wat aan te doen? Het is toch een schending van mijn eigendomsrecht.
De lucht boven je grond is inderdaad deel van je eigendom. Art. 5:21 BW zegt “De bevoegdheid van de eigenaar van de grond om deze te gebruiken, omvat de bevoegdheid tot gebruik van de ruimte boven en onder de oppervlakte.” En daaronder valt ook het recht anderen dat gebruik te ontzeggen.

Daar zit wel een grens aan, lid 2 van dit artikel zegt dat anderen wél die ruimte mogen gebruiken als “de eigenaar geen belang heeft zich daartegen te verzetten”. En belangrijker: lid 3 bepaalt dat het voorgaande niet geldt bij vliegen. Dit is opgenomen om te voorkomen dat luchtvaartmaatschappijen met iedere grondeigenaar moeten onderhandelen bij een vliegroute.

Of een drone ‘vliegt’, is al een decennium onderwerp van discussie. Bij invoering van dit wetsartikel ging het vooral over vliegtuigen die 300 meter of hoger vliegen. Dat is wat anders dan een drone die een metertje of anderhalf over je dak vliegt, of een tijdje boven je koikarpervijver blijft hangen. Ook lijkt de bepaling alleen te gaan over bemand vliegen, afgaande op de parlementaire behandeling (“zich door de lucht voortbewegen”).

Natuurlijk is er meer regelgeving voor drones. De Rijksoverheid vat deze netjes samen, waarbij mij dan opvalt dat alleen bij open categorie A3 expliciet staat dat je “minimaal 150 meter afstand van woon-, handels-, industrie- of recreatiezones” moet houden. De regels gaan vooral over afstand houden tot mensen of gebouwen. Impliciet zit hier denk ik achter dat je enkel met je eigendomsrecht te weinig belang hebt om je tegen overvliegende drones te verzetten.

Meestal gaat de reden voor het verbod om iets anders dan enkel de eigendom. Denk aan een drone met camera die steeds opnames maakt, of een drone die de kippen van de leg krijgt door zijn gebrom. Het continue gebrom (als je bij een populaire vliegplek woont) kan ook behoorlijk irritant zijn. Die redenen kunnen op zichzelf ook het vliegen onrechtmatig maken, maar dat moet dan wel apart aangetoond worden.

Arnoud

 

 

Overheid komt met API’s voor datadelen tussen burger en private partijen

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 5 reacties
Photo by the_iop on Pixabay

De overheid komt met API’s (application programming interfaces) voor het delen van data tussen burgers en private partijen, ter vervanging van de praktijk met convenanten. Dat meldde Security.nl vorige week. Het gebruik van convenanten werd immers in augustus verboden door de Autoriteit Persoonsgegevens. En het is een mooie stap op weg naar de implementatie van de Data Governance Act (DGA).

DGA kennen de meesten als directeur-grootaandeelhouder, maar in 2022 werd Verordening 2022/868 aangenomen die ook zo heet – de Nederlandse naam is Datagovernanceverordening. Doel ervan is een kader voor hergebruik van overheidsinformatie, databemiddelingsdiensten en data-altruïsten te stellen. (Dit staat dan naast wetten zoals de Wet open overheid die aangeven wélke data hergebruikt mag worden.)

De kaders komen neer op regels over het gestructureerd en machinaal op kunnen vragen van data, en toepassen van technieken voor anonimisering of differentiële privacy zodat het bijvoorbeeld AVG-compliant gaat. Dan kom je al heel snel uit bij de applicatieprogrammainterface (API), omdat je daarin formeel vastlegt welke data kan worden opgevraagd en wat er moet gebeuren als zo’n aanvraag binnenkomt.

Ik schrok eerlijk gezegd een beetje toen ik las hoe het nu gaat:

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.
De achterliggende reden is dat er geen formele manier (lees: API) is om die gegevens op te halen. De app doet zich dus voor als de burger zelf, logt in en scrapet alles waar ie met zijn vieze regex-vingers bij kan. Daarna wordt bij de dienstverlener uitgezocht wat er nodig is. Nee, word ik niet vrolijk van.

Hoe dat op te lossen? Het ministerie zag weinig heil in verbieden van scrapen, met name omdat je feitelijk niet kunt zien of iemand zelf inlogt dan wel of een app dat namens hem doet. Dat niveau van kat-en-muisspel is zelfs voor Facebook of Linkedin forsehoofdpijngevend. Een convenant, waarin de diensten afspreken zich keurig aan de wet te houden? Liever niet, zegt de AP:

Zolang en voor zover in dit convenant sprake is van verwerkingen die in strijd zijn met de AVG, acht de AP het ongewenst dat het ministerie van BZK die verwerkingen zou reguleren en daarmee zou legitimeren. … de AP acht het niet juist om om die redenen verwerkingen te faciliteren die, naar het zich laat aanzien, in strijd zijn met de AVG en grote risico’s met zich mee brengen voor de bescherming van persoonsgegevens van burgers.
De enige echte route is dus het implementeren van een formeel protocol waarmee wél genuanceerd informatie kan worden opgevraagd. En dat is precies het kader dat de DGA ook eist.

Bij Tweakers wijst men op het al bestaande Solid Project (van Tim Berners-Lee, die ja) dat precies hiervoor is bedoeld. In Zweden is hiermee bijvoorbeeld het datauitwisselingsplatform iGrant.io mee gerealiseerd. Het Nederlandse Yivi zou ook een hele mooie implementatie zijn om te kiezen.

Arnoud

 

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

Geplaatst op in Informatiemaatschappij, 6 reacties
Photo by Christian Wiediger on Unsplash

WhatsApp-gebruikers moeten van de Europese Unie binnenkort kunnen chatten met mensen op andere apps, zoals Signal of Telegram. Dat las ik bij Nu.nl. “De beveiliging loopt wel een deuk op” kwam er achteraan, en dat kostte me een kop koffie. Want hoewel de nuance verderop wel opduikt, versterkt dit toch het PR-blaatpraatje dat interoperabiliteit éigenlijk raar en gevaarlijk is. En het wás al zo’n gedoe, die DMA aannemen.

In januari hadden we het ook over het aan elkaar koppelen van diensten, in dat geval Threads en Mastodon. Zoals ik toen schreef, dit moet van de Digital Markets Act (DMA). Die bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.
WhatsApp is ook zo’n poortwachtersdienst met “nummeronafhankelijke interpersoonlijke communicatiediensten” (juridisch voor ‘chatdienst’) en moet dus interoperabel zijn met andere diensten zoals Signal of Telegram. Dat gaan ze ook doen, maar toch vond “men” het nodig even wat angst in de markt te zetten:
Ook WhatsApp ziet de risico’s. “Zonder eigenaarschap van beide eindpunten kunnen we de veiligheid van berichten die ontvangen of verzonden worden via een andere app niet garanderen”, schrijft de dienst.
De bron is het persbericht van Meta, waarin ze nader ingaan op hun “e2ee promise”, oftewel het versleuteld houden van de communicatie tussen twee eindgebruikers. Natuurlijk kan Meta niet zien of andere bedrijven datzelfde doen, en natuurlijk is het mogelijk dat een ander zégt e2ee toe te passen maar toch een achterdeur ingebouwd te hebben. Of gewoon cryptotechnisch prutswerk te hebben geleverd. Alleen: is dat iets waar Meta wat van moet vinden?

De DMA laat zien dat de keuze van de wetgever was om de grote gesloten platforms open te trekken. Dat er daarna meer geregeld moet worden op security-gebied, dat is een apart probleem waar óók de nodige aandacht voor is (NIS2, CRA, AVG/AI Act security). Ik snap dat op de korte termijn dit een probleem is dat schade kan veroorzaken. Maar op de lange termijn is een open ecosysteem beter dan het gesloten model met vijf grote bedrijven dat we nu hebben.

Arnoud