Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Vanwege de coronacrisis is het bij restaurants, pretparken en dergelijke verplicht om je naam en/of adres op te geven. Geldt daarvoor ook de AVG en wat moeten ze je hierover informeren? En mogen die gegevens voor marketing worden gebruikt?

Als hygiënemaatregel geldt inderdaad sinds kort dat men verplicht is vooraf te reserveren (en dat een gezondheidscheck plaats moet vinden). Althans bij grotere zalen of ruimtes waar 100 man of meer kan zitten. Kleine cafés hoeven dus niet met reservering te werken.

De meeste bedrijven kiezen voor online reserveren, en de bouwers van zulke sites kiezen dan voor de standaard aanpak waarbij mensen naam en contactgegevens opgeven. Dat is immers hoe het altijd ging. Je zou ook per reservering een random getal kunnen genereren dat mensen kunnen noemen; mogelijk doet men dit niet omdat klanten die getallen kwijtraken.

Maar je valt inderdaad onder de AVG als je mensen laat reserveren. Dat het wettelijk verplicht is, maakt dat niet anders. Dat betekent alleen dat je in je privacyverklaring aangeeft dat je het vraagt omdát het wettelijk verplicht is.

Alleen: het ís niet verplicht om contactgegevens te vragen. De noodverordening eist alleen dat plekken op reservering worden uitgegeven, niet dat je weet hoe die personen heten of hoe je ze kunt benaderen. Ja, de minister wil die gegevens daarvoor gebruiken maar dat kan alleen met aparte toestemming.

Als je dus contactgegevens vraagt bij een reservering, dan moet je uitleggen waarom je die nodig hebt. Dus niet “om uw reservering te beheren” maar concreet, wat doe je met die naam en met dat mailadres? Bevestig je het daarmee (en gaat het mailadres dus daarna weg) of kan men daarmee inloggen en annuleren? Stuur je informatie naar het 06-nummer dat je vroeg? Hoe lang bewaar je die gegevens, hoe krijgt men inzage en wanneer gooi je ze weg?

Er mag veel, maar je moet het wel aangeven. Ook direct marketing op die gegevens is toegestaan, maar daar moet je wel een opt-out bij aanbieden (op het reserveringsformulier dus, niet in de privacyverklaring) en je moet in de privacyverklaring uitleggen wat je ermee doet.

Maar let wel: als je zegt dat het wettelijk verplicht is om die gegevens te verstrekken, dan hang je. Dat is niet zo, en dan verwerk je ze onrechtmatig (want je gebruikt de verkeerde grondslag). En dan mag je niet zeggen “oh ja ik bedoelde uitvoering overeenkomst” of “het was stilzwijgende toestemming”.

Waarom werkt niemand eigenlijk met iets anders dan naam en contactgegevens bij reserveren?

Arnoud

Toen tijdens een van de persconferenties minister Hugo de Jonge (Volksgezondheid, CDA) alleen al het voornemen van een corona-app uitsprak, haalde men bijna collectief de neus op. Zo karakteriseerde Rosanne Hertzberger de ophef over de corona-app in een recente column in NRC. Zo raar he mensen, iedereen zet alles op Facebook maar als de overheid een snippertje data van je wil dan schieten we in de heiligste verontwaardiging en wordt 1984 bij stapels verbrand. Of zoiets. En man wat krijg ik een jeuk van dát kulargument. Maar in plaats van in een dikke factfree tirade te schieten, dacht ik ik duik eens in de literatuur of er ooit onderzoek naar gedaan is. En dat is er dus.

Met enige speurwerk vond ik het proefschrift van Joris Demmers, die in 2018 doctor werd op de vraag hoe en waarom consumenten hun data delen met bedrijven. Hij bekeek het vanuit het perspectief van marketing: hoe je consumenten verleidt om wél gegevens te geven. Daarbij speelt mee dat mensen wel degelijk de privacyzorgen kennen, en dat die zeker ook meewegen op het moment dat men een beslissing maakt (zoals iets posten of gegevens verstrekken). Het is dus niet zo dat men zich niet bewust is van de risico’s, of dat mensen het prima vinden om als een datapunt verhandeld te worden. De “privacy bestaat niet, get over it”-club is een hele kleine.

Het punt is dat privacyzorgen abstract zijn, terwijl wat daar tegenover staat juist concreet is: ik wil nu dat spelletje spelen, ik wil dit product hebben en ik wil graag reageren op die stelling. Het is een bekend fenomeen dat mensen abstracte risico’s als minder ernstig zien wanneer er concrete voordelen tegenover staan. Zo zal Hertzberger vast weten dat alcohol slecht voor je is, maar als er concreet een mooi wijntje op tafel komt bij het diner dan zal zij zoals de meeste mensen toch dat glas nemen. (Doe ik ook hoor.) Dat is dan concreet en fijn, en het abstracte risico van leverkwalen en ander drankgerelateerde ongein dat zakt dan weg. Maar hoe maak je die afweging?

Demmers laat in zijn onderzoek zien (p. 66-68) dat daarbij van belang is hoe dichtbij de kosten en de baten staan. Als de baten zeer dichtbij zijn, zeer concreet – nú snel inloggen – en de kosten zeer abstract en ver weg – Google weet nu iets meer van je – dan zullen de baten de doorslag geven. Dan ga je dus via Google inloggen. Zijn de kosten dichterbij – een autoverzekeraar wil je rijgedrag in detail hebben, elke rit – en de baten wat verder weg – je premie gaat 10% omlaag – dan laten mensen zich leiden door de kosten, de risico’s. Die verzekering neem je dus niet.

Demmers:

We showed that consumers hold relatively high-level, abstract mindsets in attitudinal privacy preference contexts, whereas they hold more concrete, low-level mindsets in behavioral contexts, which is in line with the idea to which an event is directly experienced determines the way it is mentally processed (Wakslak, 2007). In disclosure situations that are characterized by the common configuration of psychologically close benefits versus distant costs of disclosure, these diverging mindsets cause people to focus on the psychologically close benefits in behavioral privacy preference contexts, but on the psychologically distant, more abstractly construed costs in attitudinal contexts.

Een argument dat zegt “mensen plaatsen alles op Facebook dus moeten ze niet zeuren over een overheids-app” slaat de plank dus mis omdat het twee onvergelijkbare situaties betreft. Bij Facebook zijn de risico’s abstract en lastig inzichtelijk, en zijn de baten er direct en concreet. Het is léuk om iets op Facebook te zetten, met vrienden te interacteren en spelletjes te spelen. En concreter dan “dan krijg je meer reclame op maat” wordt het niet, qua kosten-analyse. Dus ik zie wel hoe men dan uitkomt bij gewoon doorgaan met Facebook. (Nog even los van dingen als het netwerkeffect of FOMO).

Terwijl bij zo’n overheidsapp de baten zeer abstract zijn maar de kosten reëel: je wordt ieder moment gevolgd, de overheid kijkt mee. Dat maakt dat de afweging dus heel begrijpelijk zeer anders uitvalt. Dus nee, het slaat nergens op om dit te zeggen – je vergelijkt appels met peren.

Arnoud

Hoe Westers is AI? Met die vraag bleef ik zitten na het lezen van een Q&A-artikel over Ubuntu-ethiek, waar je een heel andere kijk ziet op mens en maatschappij. Het idee alleen al dat je de datasubjecten, de mensen dus, betrekt bij het maken en reviewen van je AI model.. ik moet het eerste AI-bedrijf nog tegenkomen dat daarom vraagt. Ook kun je in deze ethische visie niet zomaar een AI inzetten om wat van mensen te vinden.

Eens nader lezen dus. De geïnterviewde (Sabelo Mhlambi, Berkman Klein Center, Harvard) werkte zijn ideeën al eerder uit in een paper waar ik uit haal dat de inzet van AI (machine learning) niet eens een privacydiscussie is maar een isolatieprobleem: in de Afrikaanse visie ben je als mens deel van de gemeenschap, en wie mensen apart zet of individualiseert ontdoet mensen van die verbinding.

Dat gaat dus nog een stap verder: waar wij zouden zeggen dat je in je privéleven geschonden wordt, zegt hij dat je in je menszijn geschonden wordt. Ik citeer:

The process of individualization that breaks a person’s connectedness, humanity, is a process of dehumanization. As artificial intelligence is not able to infer causality in the data it processes, it is difficult to provide recommendations that are based on the assessment of user’s needs. Most widely used recommendation systems are not able to determine the motivations behind a user’s interaction in their platform and are not able to provide value based recommendations.

Heftig. Maar het zet me ook aan het denken: welke rol moet de mens gaan spelen in het AI-ecosysteem. Welke rol heeft de consument, de burger, ja wat is eigenlijk het juiste woord om de ethische en beleidsaspecten van deze discussie mee te beschrijven?

Dit is een van de vier thema’s uit de IT Law Summer School die ik eind juli organiseer: de mens als datapunt. (Ik moet eerlijk zeggen dat ik toen ik die term formuleerde ik nog niet zo diep als dit had nagedacht over het onderwerp.) Binnen dit thema zou je dus “de visie op AI in de wereld” kunnen pakken als onderwerp, bijvoorbeeld het contrast tussen Europese, Amerikaanse, Chinese en Afrikaanse visies. En dat zou je dan uitwerken als bijvoorbeeld een visueel verhaal dat die contrasten laat zien, met toetsvragen door kunst te tonen waar de lezer uit moet kiezen. Ik zou dat in ieder geval heel gaaf vinden.

Ondertussen zit ik dan ineens met de vraag wat de Europese ethische visie op AI en machine learning is. Wat ik namelijk opmerkelijk vind aan deze hele discussie, is dat de term AI vaak gebruikt wordt terwijl men eigenlijk ML bedoelt, maar daarbij meteen maar fors extrapoleert van wat ML eigenlijk kan. Een stuk onbekendheid met de materie vermoed ik, maar het is wel jammer want je loopt gelijk voorbij het waarschijnlijke. Ik zie over tien jaar geen AI-politici bijvoorbeeld maar wél AI-HR-medewerkers. En dat heeft volgens mij minstens zo veel impact op de maatschappij.

Arnoud

Gaan we toe naar een afgesloten Europees internet naar het voorbeeld van de ‘Great Chinese Firewall’? Dat las ik bij Linkedin, een update van DDMA-counsel Matthias de Bruyne. Hij reageerde op een Europese studie over New Developments in Digital Services, waarin men op de korte, middellange en lange termijn. In de kern: Diensten van buiten… Lees verder

Wil jij deze zomer écht iets nieuws leren op het snijvlak van recht en techniek? Dan heb ik de uitdaging voor je. Of je nu jurist of IT’er bent: mijn IT Law Summer School neemt je op diepgravende en unieke wijze mee door de toekomst van het internetrecht. Vijf weken lang, elke week een ander,… Lees verder

Kijk. Dit is dus wat ik gisteren bedoelde. “Studenten ervaren software voor online tentamens als een inbreuk op hun privacy”, meldde de Volkskrant onlangs. Schandalig, je moet tijdens tentamens iemand mee laten kijken via je webcam (én je mobiel die je op 3 meter afstand op je werkplek moet richten) zodat ze kunnen nagaan of… Lees verder

Maar pas deze week zag ik welk fundamenteel maatschappelijk misverstand door dat rare begrip ‘privacy’ is ontstaan. Dat schreef Maxim Februari vorige week in NRC Handelsblad. Hij noemt het een ‘gruwelijk misverstand’ dat het steeds maar over de private kwestie van privacy gaat – de omgang met persoonsgegevens is een kwestie van algemeen belang. Het… Lees verder

Videobelbedrijf Zoom heeft zijn excuses aangeboden voor de vele beveiligingslekken die in de software blijken te zitten. Dat meldde Tweakers onlangs. En dat was weer vlak nadat mijn kantoor blogde dat Zoom AVG-compliant is en nadat ik zelf een webinar met die tool gaf. Dit is dus waarom juristen altijd “in principe” bij zoiets zeggen…. Lees verder

Oké het is vrijdag na twee weken thuiswerken, dus dan mag ik mezelf even een uitstapje veroorloven. Recent deed ik mee aan een Tweakersdiscussie over het bericht dat WhatsApp gebruikers oproept om niet zomaar informatie die verspreid wordt over het nieuwe coronavirus te delen. De discussie focuste daar op de vraag waarom mensen hun informatie… Lees verder

Het verwijderen van een gps-tracker van je auto is geen diefstal, zo las ik bij Ars Technica. En dan ging het hier dus over een gps tracker van de politie; hij werd gevolgd op verdenking van het handelen in methamfetamine. Na zes dagen verdween het signaal, waarop de politie bij hem binnenviel wegens diefstal van… Lees verder