Informatiemaatschappij Archives

Onbetrouwbaar algoritme bestempelt jongeren als toekomstig crimineel, dat is toch verboden per 2 februari?

Geplaatst op 24 januari 202521 januari 2025 in Informatiemaatschappij, Ondernemingsvrijheid, 15 reacties

Politie en justitie gebruiken een algoritme om jaarlijks van tienduizenden jongeren te voorspellen of ze in de criminaliteit belanden. Dat meldde Follow The Money onlangs. Je gelooft het niet, maar die voorspelling blijkt er vaak naast te zitten, terwijl de gevolgen groot kunnen zijn. Ik gooi een knuppel in het hoenderhok: dit is een verboden AI praktijk per 2 februari.

Het uitgangspunt is precies zoals zo veel AI systemen worden ontworpen:

Preselect is getraind met de gegevens van vijfduizend jongeren die ooit zijn verdacht van een strafbaar feit. Het algoritme leerde op basis van deze politiedata te voorspellen welke minderjarigen wel en niet recidiveren. Jongeren met een profiel dat lijkt op dat van leeftijdgenoten die eerder opnieuw in de fout gingen, krijgen een hogere risicoscore.

Alles staat of valt met de data, en 5000 is dan niet denderend veel. Met een simpele regressie-analyse kom je daarmee nog wel een eind, maar je wilt natuurlijk wel dat je data mooi verdeeld is. Maar helaas:

Maar bepaalde groepen – 12-jarigen, meisjes en jongeren die voor het eerst in aanraking komen met de politie – zijn maar in kleine aantallen in deze ‘trainingsdata’ vertegenwoordigd.

Ik lees ook nergens hoe veel mensen er in gestopt zijn die nooit verdacht zijn van een strafbaar feit. Als je alleen verdachten in een dataset stopt, kan daar bij wijze van spreken uitkomen dat “melk drinken” een top-voorspeller is omdat ze dat allemaal doen.

Dit nog even los van de vraag of die 5000 data-items wel eerlijk gekozen zijn. Als de politie Mohammed van 14 als verdachte aanmerkt, en Jan-Hendrik met een waarschuwing wegstuurt, dan krijg je een ontzettend scheef beeld bijvoorbeeld. Het artikel meldt niets over de achtergronden van de verdachten, dus we weten het niet.

En dat is uiteindelijk het grootste probleem: niemand weet of en hoe goed dit werkt. Het algoritme staat niet in ons beroemde Algoritmeregister, waar het wel zou moeten gezien de hoge risico’s.

Zelf vind ik de link naar de AI Act nog wel interessant. We hebben het hier over een recidivevoorspeller, en daar Vond Men Wat Van bij het maken van die wet. Er zijn twee smaken: predictive policing op basis van profilering is verboden (art. 5.1(d) AIA) en recidiverisicobeoordeling en predictive policing anders dan op basis van profilering is hoogrisico (Annex III.6d AIA).

Dit is verboden per 2 februari:

AI-systeem voor risicobeoordelingen van natuurlijke personen om het risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen, uitsluitend op basis van de profilering van een natuurlijke persoon of op basis van de beoordeling van diens persoonlijkheidseigenschappen en -kenmerken;

Wat “profilering” dan weer is, staat in de AVG:

elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

En dat komt vrijwel letterlijk overeen met wat in het artikel wordt aangeduid met “Jongeren met een profiel dat lijkt op dat van leeftijdgenoten die eerder opnieuw in de fout gingen, krijgen een hogere risicoscore.” We voorspellen jouw gedrag (risico van plegen strafbaar feit) op basis van jouw persoonlijke aspecten in vergelijking met bekende data.

Het systeem doet een aanbeveling:

Het leidt tot een ‘score’ die een groot verschil kan maken: gaat de jongere naar Halt voor een leer- of werktraject, of wordt het een strafrechtelijke aanpak die hem of haar een strafblad bezorgt.

Is dat hetzelfde als “risico dat een natuurlijke persoon een strafbaar feit pleegt te beoordelen of te voorspellen”? Ja. Want dit moet je in de context zien: je gaat naar Halt als dat risico klein is en je krijgt een strafrechtelijk traject als het risico groot is. Want kennelijk(?) is ooit bedacht dat wie toch al gaat recidiveren, beter hard kan worden aangepakt.

Arnoud

Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Geplaatst op 17 januari 202516 januari 2025 in Informatiemaatschappij, Ondernemingsvrijheid, Privacy, Regulering, 20 reacties

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?

De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

De woningstichting wil deursloten vervangen met app, mag dat?

Geplaatst op 13 december 20247 december 2024 in Informatiemaatschappij, Ondernemingsvrijheid, 15 reacties

Via Reddit:

Ik woon in een studentenhuis met eigen kamer en een gemeenschappelijke voordeur. De huurbaas/Woningstichting stuurt ons vandaag een mail met het bericht dat zij van plan zijn de voordeursloten te veranderen voor digitale sloten, bediend door een app. Hier hebben wij verder geen inspraak of aankondiging op gehad.

De vraagsteller denkt dat het om sloten van het merk iLoq gaat; “toonaangevende, modulaire software en diensten voor al uw toegangsbehoeften” aldus de ronkende website. Een unieke toegangsbehoefte is dat je geen fysieke sleutel meer hebt, maar alleen een “breed scala aan slimme toegangsfuncties” met een app op je telefoon.

Het eerste wat je je dan kunt afvragen is wat er gebeurt als je batterij leeg is net op het moment dat je dringend naar buiten moet. Zoals bij een brandalarm, om eens wat te noemen. Wie kan vinden waar staat dat deze sloten van binnenuit zonder app te openen zijn, ik hoor het graag.

Ook interessant zijn de vele slimme rond toegang gegroepeerde behoeftes, zoals deze:

Houd actuele informatie bij over wie waar en wanneer toegang heeft. Gebruik audittrailrapporten om gevallen van onbevoegde toegang te voorkomen of te helpen oplossen.

In het Nederlands: dit slot houdt bij wie wanneer het slot open deed, en dat kun je correleren aan bevoegd en onbevoegd gebruik. Je kunt bijvoorbeeld een code geven aan bezoek, die dan op jouw gezag naar binnen gaat. De beheerder kan dan terugzien dat er dinsdag om 14:23 iemand naar binnen is gegaan dankzij jouw autorisatie. Volgens het privacybeleid is iLoq daarbij de verwerker en de gebouwbeheerder de verwerkingsverantwoordelijke.

Een aanverwante zorg van de vraagsteller/huurder is dat hiermee de verhuurder naar binnen zou kunnen gaan. Dat is inderdaad een risico, maar niet anders dan met fysieke sleutels waar men immers ook een duplicaat of loper zou kunnen hebben. Het mag natuurlijk absoluut niet zonder toestemming.

Normaal vervang je dan de cilinder (en bewaar je de originele) en dan is binnengaan onmogelijk. Maar hier zou je dan een bijzetslot moeten plaatsen. En als je dat ook van buifenaf bedienbaar wil maken, dan moet je dus een slotgat in je deur maken en dát is even iets heftiger dan een schroef losmaken en de cilinder vervangen.

Binnen het huurrecht is een niet-afsluitbare toegangsdeur een gebrek categorie A7. Het gaat dan om aan twee zijden afsluitbaar zijn, niet alleen aan de binnenzijde (waar een schuif nog een doe-het-zelf optie zou zijn). Je kunt dus naar de huurcommissie, in theorie is hiermee de huur tot 20% te verlagen totdat de verhuurder een deugdelijk slot heeft geplaatst.

Alleen: ís het wel een ondeugdelijk slot? De privacy policy leest solide, de verhuurder zal beleid overleggen dat niet binnengetreden wordt zonder toestemming of uitzonderlijke situatie en er zit een CE keurmerk op de slotelementen. Dan blijven theoretische speculaties over onveiligheid over, en daar kom je niet zo ver mee.

Ook dat van naar buiten bij brand is niet doorslaggevend. Ik lees dat iLoq speciale dingesen verkoopt die hetzelfde werken maar dan de vormfactor van een sleutel hebben. Die zouden tegen een redelijke meerprijs verstrekt kunnen worden, en hebben geen batterij nodig.

Ik realiseer me dat dit weinig opwekkend is, maar ik zie geen manier hier juridisch wat tegen te doen totdat het aantoonbaar een keer misgegaan is.

Arnoud

Wat kan ik doen tegen een drone die over mijn achtertuin vliegt?

Geplaatst op 3 december 202425 november 2024 in Informatiemaatschappij, 12 reacties

Bron: Bord verboden voor drones - reflecterend, Informatiebord.nl

Een lezer vroeg me:

Ik woon in een vrijstaand huis in een landelijk gebied. Kennelijk is het daar interessant voor dronebestuurders, want ongeveer dagelijks vliegt er wel zo’n ding over mijn achtertuin. Nu vroeg ik me af, is daar juridisch wat aan te doen? Het is toch een schending van mijn eigendomsrecht.

De lucht boven je grond is inderdaad deel van je eigendom. Art. 5:21 BW zegt “De bevoegdheid van de eigenaar van de grond om deze te gebruiken, omvat de bevoegdheid tot gebruik van de ruimte boven en onder de oppervlakte.” En daaronder valt ook het recht anderen dat gebruik te ontzeggen.

Daar zit wel een grens aan, lid 2 van dit artikel zegt dat anderen wél die ruimte mogen gebruiken als “de eigenaar geen belang heeft zich daartegen te verzetten”. En belangrijker: lid 3 bepaalt dat het voorgaande niet geldt bij vliegen. Dit is opgenomen om te voorkomen dat luchtvaartmaatschappijen met iedere grondeigenaar moeten onderhandelen bij een vliegroute.

Of een drone ‘vliegt’, is al een decennium onderwerp van discussie. Bij invoering van dit wetsartikel ging het vooral over vliegtuigen die 300 meter of hoger vliegen. Dat is wat anders dan een drone die een metertje of anderhalf over je dak vliegt, of een tijdje boven je koikarpervijver blijft hangen. Ook lijkt de bepaling alleen te gaan over bemand vliegen, afgaande op de parlementaire behandeling (“zich door de lucht voortbewegen”).

Natuurlijk is er meer regelgeving voor drones. De Rijksoverheid vat deze netjes samen, waarbij mij dan opvalt dat alleen bij open categorie A3 expliciet staat dat je “minimaal 150 meter afstand van woon-, handels-, industrie- of recreatiezones” moet houden. De regels gaan vooral over afstand houden tot mensen of gebouwen. Impliciet zit hier denk ik achter dat je enkel met je eigendomsrecht te weinig belang hebt om je tegen overvliegende drones te verzetten.

Meestal gaat de reden voor het verbod om iets anders dan enkel de eigendom. Denk aan een drone met camera die steeds opnames maakt, of een drone die de kippen van de leg krijgt door zijn gebrom. Het continue gebrom (als je bij een populaire vliegplek woont) kan ook behoorlijk irritant zijn. Die redenen kunnen op zichzelf ook het vliegen onrechtmatig maken, maar dat moet dan wel apart aangetoond worden.

Arnoud

Overheid komt met API’s voor datadelen tussen burger en private partijen

Geplaatst op 13 november 20248 november 2024 in Informatiemaatschappij, Ondernemingsvrijheid, 5 reacties

De overheid komt met API’s (application programming interfaces) voor het delen van data tussen burgers en private partijen, ter vervanging van de praktijk met convenanten. Dat meldde Security.nl vorige week. Het gebruik van convenanten werd immers in augustus verboden door de Autoriteit Persoonsgegevens. En het is een mooie stap op weg naar de implementatie van de Data Governance Act (DGA).

DGA kennen de meesten als directeur-grootaandeelhouder, maar in 2022 werd Verordening 2022/868 aangenomen die ook zo heet – de Nederlandse naam is Datagovernanceverordening. Doel ervan is een kader voor hergebruik van overheidsinformatie, databemiddelingsdiensten en data-altruïsten te stellen. (Dit staat dan naast wetten zoals de Wet open overheid die aangeven wélke data hergebruikt mag worden.)

De kaders komen neer op regels over het gestructureerd en machinaal op kunnen vragen van data, en toepassen van technieken voor anonimisering of differentiële privacy zodat het bijvoorbeeld AVG-compliant gaat. Dan kom je al heel snel uit bij de applicatieprogrammainterface (API), omdat je daarin formeel vastlegt welke data kan worden opgevraagd en wat er moet gebeuren als zo’n aanvraag binnenkomt.

Ik schrok eerlijk gezegd een beetje toen ik las hoe het nu gaat:

Gebruikers moeten in dit geval eerst een app downloaden en vervolgens zelf, vanuit de app, via DigiD inloggen op de verschillende overheidswebsites, bijvoorbeeld van DUO, het UWV of de Belastingdienst. Na het inloggen via DigiD heeft de app toegang tot alle gegevens die over de gebruiker op de betreffende overheidswebsite staan. Deze gegevens worden eerst door de datadeler-app gescrapet. Daarna selecteert de applicatie benodigde set gegevens, en stuurt deze, na toestemming van de gebruiker, door aan de dienstverlener, bijvoorbeeld een bank.

De achterliggende reden is dat er geen formele manier (lees: API) is om die gegevens op te halen. De app doet zich dus voor als de burger zelf, logt in en scrapet alles waar ie met zijn vieze regex-vingers bij kan. Daarna wordt bij de dienstverlener uitgezocht wat er nodig is. Nee, word ik niet vrolijk van.

Hoe dat op te lossen? Het ministerie zag weinig heil in verbieden van scrapen, met name omdat je feitelijk niet kunt zien of iemand zelf inlogt dan wel of een app dat namens hem doet. Dat niveau van kat-en-muisspel is zelfs voor Facebook of Linkedin forsehoofdpijngevend. Een convenant, waarin de diensten afspreken zich keurig aan de wet te houden? Liever niet, zegt de AP:

Zolang en voor zover in dit convenant sprake is van verwerkingen die in strijd zijn met de AVG, acht de AP het ongewenst dat het ministerie van BZK die verwerkingen zou reguleren en daarmee zou legitimeren. … de AP acht het niet juist om om die redenen verwerkingen te faciliteren die, naar het zich laat aanzien, in strijd zijn met de AVG en grote risico’s met zich mee brengen voor de bescherming van persoonsgegevens van burgers.

De enige echte route is dus het implementeren van een formeel protocol waarmee wél genuanceerd informatie kan worden opgevraagd. En dat is precies het kader dat de DGA ook eist.

Bij Tweakers wijst men op het al bestaande Solid Project (van Tim Berners-Lee, die ja) dat precies hiervoor is bedoeld. In Zweden is hiermee bijvoorbeeld het datauitwisselingsplatform iGrant.io mee gerealiseerd. Het Nederlandse Yivi zou ook een hele mooie implementatie zijn om te kiezen.

Arnoud

WhatsApp moet open van Europa en dat kan veilig, maar kent ook risico’s

Geplaatst op 8 april 20243 april 2024 in Informatiemaatschappij, 6 reacties

WhatsApp-gebruikers moeten van de Europese Unie binnenkort kunnen chatten met mensen op andere apps, zoals Signal of Telegram. Dat las ik bij Nu.nl. “De beveiliging loopt wel een deuk op” kwam er achteraan, en dat kostte me een kop koffie. Want hoewel de nuance verderop wel opduikt, versterkt dit toch het PR-blaatpraatje dat interoperabiliteit éigenlijk raar en gevaarlijk is. En het wás al zo’n gedoe, die DMA aannemen.

In januari hadden we het ook over het aan elkaar koppelen van diensten, in dat geval Threads en Mastodon. Zoals ik toen schreef, dit moet van de Digital Markets Act (DMA). Die bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.

WhatsApp is ook zo’n poortwachtersdienst met “nummeronafhankelijke interpersoonlijke communicatiediensten” (juridisch voor ‘chatdienst’) en moet dus interoperabel zijn met andere diensten zoals Signal of Telegram. Dat gaan ze ook doen, maar toch vond “men” het nodig even wat angst in de markt te zetten:

Ook WhatsApp ziet de risico’s. “Zonder eigenaarschap van beide eindpunten kunnen we de veiligheid van berichten die ontvangen of verzonden worden via een andere app niet garanderen”, schrijft de dienst.

De bron is het persbericht van Meta, waarin ze nader ingaan op hun “e2ee promise”, oftewel het versleuteld houden van de communicatie tussen twee eindgebruikers. Natuurlijk kan Meta niet zien of andere bedrijven datzelfde doen, en natuurlijk is het mogelijk dat een ander zégt e2ee toe te passen maar toch een achterdeur ingebouwd te hebben. Of gewoon cryptotechnisch prutswerk te hebben geleverd. Alleen: is dat iets waar Meta wat van moet vinden?

De DMA laat zien dat de keuze van de wetgever was om de grote gesloten platforms open te trekken. Dat er daarna meer geregeld moet worden op security-gebied, dat is een apart probleem waar óók de nodige aandacht voor is (NIS2, CRA, AVG/AI Act security). Ik snap dat op de korte termijn dit een probleem is dat schade kan veroorzaken. Maar op de lange termijn is een open ecosysteem beter dan het gesloten model met vijf grote bedrijven dat we nu hebben.

Arnoud

Wat zou de toegevoegde waarde zijn van een minister van Digitale Zaken?

Geplaatst op 26 maart 202421 maart 2024 in Informatiemaatschappij, 6 reacties

Een minister voor Digitale Zaken heeft alleen zin als deze minstens evenveel doorzettingsmacht krijgt als de minister van Financiën. Dat las ik in een opinie bij iBestuur van de bekende Bert Hubert. Toevallig kreeg ik ook een aantal vragen hierover, dus laten we eens breder kijken: wat zou het toevoegen, een speciale minister over dit onderwerp?

Het onderwerp lijkt op de agenda te zijn gezet na onder meer een oproep aan informateur Plasterk van het Adviescollege ICT-toetsing. Ik ken de oproep voor een minister van ICT of minister van digitale zaken al langer (zoals deze oproep uit 2000). De onderliggende motivatie is hetzelfde: ICT is enorm belangrijk, er moet expertise en sturing komen dus een gezaghebbende autoriteit op ministerieel niveau is dan nodig.

Mijn voornaamste bezwaar is dat ICT niet een apart ‘ding’ is, zoals Defensie los staat van Infrastructuur en Waterstaat bijvoorbeeld. ICT wordt overal gebruikt, en expertise daarover moet dus overal aanwezig zijn.

In de oproep wordt nader gemotiveerd wat de taak van zo’n minister zou moeten zijn:

De minister voert rijksbreed de regie over versterking van de digitale capaciteiten van de overheid. Dit kan bijvoorbeeld door het CIO-stelsel verder te ontwikkelen, samenwerking tussen verschillende overheden te stimuleren, kaders te stellen voor ICT-projecten, het lerend vermogen van de overheid aan te jagen en kwaliteits- en financieringsnormen aan te reiken voor het onderhoud en beheer van ICT-infrastructuur.

Interoperabiliteit (technische samenwerking) en coördinatie van werkzaamheden is zeker van belang, en een stevig sturend iemand kan daar zeker het verschil maken. Dat weten we uit alle mogelijke standaardisatiegroepen. Elk ministerie heeft al een Chief Information Officer (CIO), met bindende bevoegdheden. Dat zou al een heel eind moeten helpen, al lijkt dat nog wat tegen te vallen hier en daar.

Hubert ziet één mogelijke oplossing:

Een minister van Digitale Zaken kan helpen, maar die moet dan wel evenveel macht hebben als de minister van Financiën. Misschien is het zelfs wel een idee de digitale minister bij dat ministerie onder te brengen, want ze zijn daar al gewend om iedereen stevig achter de broek te zitten.

Want inderdaad, als er één ding is waar alle ministeries naar luisteren dan is het wel naar Financiën. Gevoelsmatig vind ik ict niet hetzelfde als het financiële, maar organisatorisch zie ik wel hoe dat zou kunnen werken. Al blijf ik zitten met “MinFin is streng, dus als we de MinICT daar stoppen dan zal deze ook als streng worden ervaren”, wat geen vanzelfsprekendheid is.

Arnoud

Thuisadressen getuigen vindbaar via online vonnissen, hoe erg is dat?

Geplaatst op 21 februari 202417 februari 2024 in Informatiemaatschappij, Privacy, 13 reacties

De adressen van burgers die camerabeelden delen met de politie zijn in sommige gevallen te herleiden uit online gepubliceerde vonnissen, blijkt uit onderzoek van BNR. Wie vonnissen goed leest met Maps erbij, kan zo vaststellen waar de camera’s hangen waar beelden van zijn gebruikt door justitie in ernstige strafzaken. De Raad voor de Rechtspraak laat in een reactie weten dat ze het probleem herkent.

Het onderzoek is een vervolg op waar ik in januari over blogde: De politie vordert vaak beelden van deurbelcamera’s waardoor adressen van nietsvermoedende burgers in strafdossiers terecht kunnen komen. Dat vorderen moet juridisch gezien, want anders mag de politie de beelden niet meenemen (vrijwillig ongevraagd ze krijgen van een burger daargelaten).

Letterlijke adressen (“op de camerabeelden van de camera aangebracht op het pand te Jollemanhof 12 Amsterdam”) worden netjes geanonimiseerd. Maar dat is niet genoeg: vaak wordt de context geschetst om de beelden te duiden, en wie dan een beetje handig is met Maps, kan dan alsnog de originele plek terugvinden:

De positie van de camera, het merk van de deurbel, de namen van aangrenzende straten: allen komen uitgebreid aan bod. [Getuige] Clara’s naam en adres zijn digitaal ‘weggelakt’, maar er staan zoveel details in de uitspraak, dat aan de hand van een kaart te achterhalen is waar de deurbelcamera ongeveer gehangen moet hebben. Foto’s op Google Streetview laten zien dat alleen bij Clara een deurbel van het genoemde merk hing ten tijde van de moord.

Waar ik dan mee blijf zitten: hoe ernstig is dit nu werkelijk, qua inbreuk op de persoonlijke levenssfeer? Het gaat hier niet om beschrijvingen van interieurs of persoonlijke aangelegenheden, maar een beschrijving van de locatie en wat er op die camera te zien was op de openbare weg. Die beelden hebben dan verder niets met de camera-eigenaar te maken, die was toevallig de getuige en dat was het.

Arnoud

Chinese spionagesoftware ontdekt op computersysteem van Nederlandse krijgsmacht

Geplaatst op 12 februari 20246 februari 2024 in Informatiemaatschappij, 4 reacties

white Macintosh computer — Photo by bert b on Unsplash

China heeft een computersysteem van de Nederlandse krijgsmacht geïnfecteerd met geavanceerde spionagesoftware, meldt de MIVD dinsdag. Dat las ik bij Nu.nl. De impact lijkt beperkt maar de ontdekking is bijzonder genoeg. Het riep ook vele vragen op: is dit juridisch gezien bijvoorbeeld een oorlogsdaad?

Het achterliggende rapport is bij de NCSC te downloaden. De kern is dat de malware via een bekende kwetsbaarheid in FortiGate-apparaten van leverancier Fortinet binnendringt en toegang op afstand faciliteert. Technisch niet heel spannend, het is vooral opmerkelijk dat de MIVD hiermee naar buiten treedt én zo expliciet China aanwijst als organisator.

Is het nu oorlog? Niemand die het ziet, maar juridisch gezien is hier weinig over te zeggen. Er is namelijk niet echt een definitie van ‘oorlog’. In de Conventie van Genève van 1952 is staat bijvoorbeeld “any difference arising between two states and leading to the intervention of members of the armed forces”, oftewel het is oorlog als de strijdkrachten van twee landen tegen elkaar vechten.

De MIVD is deel van onze strijdkrachten en laten we aannemen dat deze malware ingezet is door de Chinese People’s Liberation Army Strategic Support Force, zeg maar hun cyberstrijdkrachten. Maar is dit een “interventie”, is hier sprake van gebruik van wapens?

Los daarvan: het is pas echt oorlog als minstens een van de twee landen dat vindt, of als een hogere macht (zoals de VN) dat verklaart. Daar is bij deze malware geen sprake van.

Arnoud

Heb je auteursrecht op iets dat je met behulp van AI schrijft?

Geplaatst op 16 januari 202411 januari 2024 in Informatiemaatschappij, 5 reacties

Een film die geheel met generatieve kunstmatige intelligentie (AI) was geproduceerd, kreeg in Korea voor het eerst auteursrechtelijke erkenning als ‘bewerkt werk’. Dat las ik bij de (Koreaanstalige) AI Times. Het is wereldwijd het tweede geval waarin een dergelijk werk wél voor auteursrecht in aanmerking kwam – de trend in het Westen is juist de andere kant op.

De film kwam vrijwel geheel via AI tools tot stand:

Bij de productie werd een aantal AI-programma’s gebruikt. Na het maken van scenario’s met grote taalmodellen (LLM) zoals ‘GPT-4’, ‘ClovaX’ en ‘GPT-3.5’, werden afbeeldingen gemaakt met behulp van ‘Midjourny’ en ‘Stable Diffusion’. Video’s zijn gemaakt met behulp van AI voor videocreatie, zoals ‘Zen 2’ en ‘D-ID’, en zelfs de stemmen van de personages zijn gemaakt met behulp van ‘Clova Dubbing’. Uiteindelijk is de muziek gemaakt met behulp van ‘Soundrow’.

Enigszins kort door de bocht kun je dus zeggen dat alles door AI is gegenereerd met alleen een aantal handige prompts van de regisseur. Dat was eerder bij de US Copyright Office niet genoeg, zo blijkt uit een beslissing uit december:

The Office stated that despite Sahni’s claim that the work includes some human creative input, the work is not registrable, as “this human authorship cannot be distinguished or separated from the final work produced by the computer program.”

In deze Amerikaanse visie gaat het erom wie de “traditional elements of authorship” heeft geïntroduceerd. Dat zijn zaken als wie de literaire of artistieke keuzes maakte, of bij beeld zaken als de belichtingstijd, hoek, compositie en dergelijke. In het werk van Sahni waren die elementen wel aanwezig maar kon niet worden gezegd of de mens dan wel de computer deze had geïntroduceerd.

De Koreaanse insteek lijkt hier sterk op, aldus het AI Times artikel:

Als elementen van het traditionele auteursrecht worden geïmplementeerd door kunstmatige intelligentietechnologie, wordt het auteursrecht niet erkend, maar hoewel mensen het kunstmatige intelligentieproduct hebben gewijzigd wat betreft selectie, rangschikking, enz., wordt het auteursrecht erkend als in beperkte mate.

Dit is voor mij eigenlijk hetzelfde argument, alleen dan andersom geformuleerd. Als je de menselijke bewerking van de AI-uitvoer kunt aanwijzen, en die bewerking brengt op zichzelf ook elementen van auteurschap in, dan heb je daar auteursrecht op. Is jouw bewerking en die van de AI niet te onderscheiden, dan kun je dus niet zeggen wie de maker was.

In Nederland bestaat deze constructie ook. Denk aan het creatief oppoetsen van een publiek-domeinwerk: dat geeft je ook auteursrecht op het opgepoetste resultaat (maar natuurlijk niet op het bronmateriaal). Ik zie geen reden waarom dit anders zou moeten werken als je een AI-werk ‘oppoetst’.

We komen dan terug bij de discussie over de invloed van de prompt waarmee het werk wordt gemaakt. Deze initieert het proces van genereren, maar met de mate van invloed op het creatieve gebeuren kun je veel kanten op. Ook bij een uitgebreide prompt die veel input geeft kun je nog fors verschillende resultaten krijgen, nog los van diensten als Midjourney die bij één prompt hoe dan ook meerdere resultaten genereren.

Dat laatste speelde begin 2023 toen werk van Kris Kashtanova werd afgekeurd voor (Amerikaans) auteursrecht met het argument dat Midjourney altijd meerdere beelden genereert en dus eigen creativiteit inbrengt bovenop de prompt. En omdat dergelijke creativiteit niet menselijk is, komt het werk niet voor auteursrecht in aanmerking.

De eigen creativiteit van Kashtanova zat enerzijds in de formulering van de prompt en anderzijds in de keuze van welke van de gegenereerde beelden moest worden gebruikt. Die laatste keuze is te weinig, en bij de formulering van de prompt zit het probleem dat je die niet echt terugziet in het werk zelf. En bij alle creatieve inbreng is nu eenmaal vereist dat je die in het werk zelf herkent.

Arnoud