Internetrecht door Arnoud Engelfriet

Mijn oog viel op deze tweet van de Engelse toezichthouder, waar ik een tikje van opkeek:

Hi, orgs should not look to adopt a blanket approach in asking for ID when responding to a SAR [inzageverzoek onder de AVG]. They should consider each request on a case by case basis and identify which form of ID is most proportionate if required.

De tweet was een reactie op een vraag van de onvolprezen privacyvoorvechter Pat Walshe, die constateerde dat je bij het vragen van een kopie van je persoonsgegevens bij Engelse politieke partijen altijd een kopie ID moet meesturen. Uit de reactie valt op te maken dat dat niet mag, en dat een organisatie dus per verzoek moet kijken of de persoon duidelijk geïdentificeerd is als de betrokkene en zo nee wat in dat geval het handigste is.

Mijn wenkbrauwen fronsen bij zo’n benadering, omdat ik net daarvoor dit onderzoek las over waarom organisaties regels schenden. Iets dat voor juristen vaak moeilijk te vatten is. Het staat toch in de wet dat dat niet mag, opgelost slotje. Maar voor organisaties werkt dat niet zo:

Because organizations rely on routines for following rules, complex rules would require complex routines, which would be harder to execute reliably. As expected, both types of rule complexity increased noncompliance. The two also reinforced one another such that having many components and connections made it far more likely that the rule would be broken.

Met name die eerste zin springt in het oog natuurlijk: organisaties werken altijd met routines, met procedures. Dat is de enige manier om het werkbaar te houden voor de mensen die het moeten doen. Elk geval toetsen op de individuele merites is ongelofelijk kostbaar en geeft veel ruimte voor onduidelijkheid. Het voelt dan ook wat onwerkbaar wat de ICO hier zegt.

Natuurlijk is het niet perse zo dat je altijd een kopie ID kunt vragen en anders stomeenvoudig zeggen, uw verzoek wordt afgewezen. Je moet een controle hebben die past bij de situatie. Als mensen bijvoorbeeld zich online aanmelden voor je dienst (zoals bij de bekende “Mijn Dinges” portalen) dan is een aanvullende identificatie niet nodig. En staan ze aan de balie, dan kun je gewoon hun ID bekijken zonder dat een kopie nodig is. Dat zijn prima procedures.

Maar écht maatwerk, dat zou de uitzondering moeten zijn. Ik vrees dat het juist eerder misgaat als ieder geval als maatwerk wordt behandeld. Dat duurt langer, leidt tot willekeur en fouten.

Arnoud

Ethiek en AI, twee begrippen die steeds vaker samen genoemd worden. Want als we overal AI gaan inzetten, met name voor besluitvorming en automatische systemen, dan moeten we wel vooraf nadenken wat voor impact dat heeft en of het wel ethisch wenselijk is dat dat zo werkt. Goed dat daar steeds meer aandacht voor komt, maar het blijft wel opletten dat de juiste ethische discussie wordt gevoerd. AI is namelijk ontzettend dom, en je moet het dus vooral niet hebben over de ethische overwegingen die de AI maakt bij de besluitvorming. Het gaat om de ethiek van mensen overlaten aan AI systemen.

Wat precies AI is, weet volgens mij niemand. Ik houd het bij de cynische constatering dat AI die inzet van statistiek-gedreven voorspellingen is die griezelig lijkt op hoe mensen zouden handelen. De weersvoorspelling is dus geen AI, een machine learning systeem dat tumoren herkent is op het randje (want nieuw en computer dus griezelig) maar een humanoïde robot die contextuele grappen maakt die is AI.

De technologie achter AI is op zich vaak verrassend simpel. Meestal gaat het om machine learning, analysetechnieken op grote bakken data waarmee het systeem regels afleidt om voorspellingen te doen. Heb je een stapel met een miljoen spamberichten en een miljoen niet-spamberichten, dan komt daar een griezelig accurate herkenning voor spam uit. Ondanks dat niemand vooraf harde regels stelt (“als het uit China komt en Viagra noemt, dan is het spam”). Die regels worden “van onderaf”, uit de data dus, afgeleid. “90% van de spam komt uit China, en slechts 1% van de nietspam, dus als het uit China komt dan is het spam”.

AI kun je gebruiken om ‘echte’ beslissingen te maken. Grofweg sloop je dan de mens uit het proces en koppel je de uitkomst van de AI aan de input van het vervolgsysteem. Kom hier met die stapel financiële gegevens, laat de AI zeggen of een hypotheek risicovol is en gebruik de ja/nee om de afwijsbrief dan wel het contract te genereren. En dát is waar je die ethiek zo broodnodig hebt.

AI is dom. Althans, doet rechtlijnig wat er uit de data volgt. Dat klinkt heel logisch en fair, maar veronderstelt dat die data-analyse op een faire manier gebeurt. En dat is een risicovolle veronderstelling, want die data is vaak niet fair – en daarmee de AI ook niet. Wees je in het verleden vaak hypotheken af van mensen die Achmed heten, dan doet de AI dat net zo braaf. Dat het bij jou toeval was, doet er niet eens meer toe. Maar die AI is niet onethisch omdat die zo blind aan het discrimineren is. Die doet gewoon wat de data hem ingeeft. De AI is a-ethisch.

Ethiek bij AI komt dus altijd pas een stap later. De AI zegt nee, wat gaan we daarmee doen? Is het wenselijk om die uitvoer te vertrouwen, kunnen we randgevallen herkennen en wat gaan we doen als achteraf een besluit niet in orde blijkt te zijn?

Op mijn congres The Future is Legal gaat prof. Natali Helberger (UvA/IvIR) dieper in op deze en aanverwante kwesties rond AI.

Algoritmische agenten doordringen ons online bestaan. Op basis van onze digitale profielen – ontstaan door massale surveillance – rangschikken algoritmische agenten zoekresultaten, verbergen en tonen nieuwsitems op sociale netwerken en proberen te raden welke producten we zouden kunnen kopen. Opkomende algoritmische agenten zijn in staat content te bieden die speciaal voor ons is gemaakt en kunnen contact met ons opnemen via unieke, gepersonaliseerde interacties. Het bestuderen van deze algoritmische agenten biedt tal van methodologische, ethische en logistieke uitdagingen.

Meediscussiëren? Leuk! Maar je moet er wel snel bij zijn want de kaarten vliegen de deur uit.

Arnoud

Facebook heeft zijn eigen Supreme Court, las ik laatst. Dit interne orgaan heeft de hoogste macht om directiebeslissingen (met name die van Zuckerberg zelf) tegen te houden. Ik dacht eerst dat dit een hogerberoepsorgaan was voor bezwaren vanuit de gemeenschap; een van de grootste problemen met dit soort platforms is namelijk de onmogelijkheid om echt een claim tegen je account of postings aan te vechten. Maar het lijkt er niet op dat dat er gaat worden. Ik ben er nog niet over uit of dat nou een goed idee zou zijn of niet.

Al sinds het begin van internet is het zo dat de eigenaar van een site daar de baas is. Niet heel raar, het is jouw site en jouw server, dus jouw eigendom. In Nederland werd dat in 2004 al bevestigd in het Ab.fab arrest van de Hoge Raad: de eigenaar van een server mag zeggen wat er op die site gebeurt. Willen ze geen spammers die mails aanbieden, dan hoeven ze dat gewoon niet te tolereren. Niks belangenafweging, gewoon eigendom.

Veel site-eigenaren stellen huisregels; Compuserve was volgens mij de eerste die met Terms of Service kwam om het netjes te houden in de discussies op haar prikbordforum. Helemaal prima, welk café heeft er geen huisregels? Maar die TOSsen op internet gaan ondertussen wel een heel stuk verder dan de huisregels van het café op de hoek, waar je eruit gezet wordt als je je misdraagt maar na een persoonlijke babbel met de eigenaar er toch weer in mag. Of niet.

Dit doet wel heel raar aan. Als je een geschil hebt met Youtube of Facebook dan moet je reageren op een vrij anoniem formulier, waarna je moet hopen dat je teruggesteld wordt in de vorige toestand, in plaats van het cryptische bericht “Uw bericht heeft de gemeenschapsrichtlijnen overtreden. Hiertegen is geen beroep mogelijk.” Zou een rechtbank op die manier haar vonnissen formuleren, dan zouden we die rechters meteen afzetten. En terecht. Maar zo’n platform laten we ermee wegkomen, terwijl hun invloed veel groter is dan van de gemiddelde kantonrechter. Waarom is dat zo?

Tegelijkertijd zou het ook niet heel handig zijn als ieder geschil over een scheldwoord of een blootfoto tot een procedure bij de rechter moet leiden. Dat is duur en tijdrovend, een intern proces met op maat gesneden beoordeling en maatregelen (je mag doorgaan maar geen advertentie-inkomsten meer, om eens wat te noemen) is dan zeer wenselijk. Maar omdat het zo veel tijd en moeite kost – en vooral omdat het niet bijdraagt aan de core business, vermoed ik – worden die interne processen al heel snel geminimaliseerd. Geautomatiseerde afwijzingen, ongemotiveerde beoordelingen en een intern bezwaarteam dat ook maar zelden echt naar de zaak kijkt.

Op dat niveau is het nog wel te begrijpen. Maar ook op groter niveau hebben deze platforms en andere grote dienstverleners wel héél veel macht, waarin ze niet alleen mensen aanspreken op de regels maar ook de regels maken én ze handhaven met sancties. Die situatie is uniek voor internet; heel logisch gezien hoe het werkt maar heel raar gezien hoe de maatschappij in elkaar zit. Op welk punt zeggen we, dit bedrijf is zo groot, die moet gewoon onafhankelijke rechtspraak met dezelfde status en kwaliteit als de ‘gewone’ rechter?

Meediscussiëren over dit onderwerp? Op 15 november geeft Michiel Steltman een debatlezing over dit onderwerp op mijn congres The Future is Legal:

In de fysieke wereld heeft de overheid het monopolie op geweld en de regie over middelen om onrechtmatigheid te stoppen. Maar in de digitale wereld vraagt de overheid aan bedrijven om onrechtmatigheid en ongewenste uitingen te stoppen. Zo worden internetbedrijven – politie, OM, rechter en deurwaarder tegelijk. En worden ze machtiger dan goed voor ons is. In deze sessie schetst Michiel de situatie en verkent mogelijkheden om het tij te keren: hoe herstellen we de rechtsstaat voor het internet?

Tot dan!

Arnoud

Waarover ging het eerste vonnis op het gebied van internetrecht? Volgens de onvolprezen jurisprudentiebundel van mr. Tina van der Linden was dat een Bulletin Board System (BBS) dat werd aangesproken op illegaal ter download aangeboden software. BBS’en bestaan niet meer, illegale software nog wel. Maar de kwestie van hoe illegale downloads onder het recht vallen,… Lees verder

Stel er wordt een creditcard op je naam aangevraagd en gebruikt, hoe bewijs je dan dat jij dat niet was? Met die vraag zag een man in Noord-Holland zich onlangs geconfronteerd, toen hij werd gedagvaard door American Express wegens het niet voldoen van de schuld die op die kaart was opgebouwd. De kaart was via… Lees verder

Move fast & break things, is al jaren het motto in Silicon Valley. De term komt van Facebook en was ooit bedoeld om hun interne processen en cultuur te schetsen, maar past heel goed bij hoe internetdiensten zich hebben gemanifesteerd. Snel de markt op, snel groeien en daarna kijken we wel wat er eventueel stuk… Lees verder

Een robot in de rechtbank zal niet snel voorkomen, want het werk van advocaten „is heel moeilijk te automatiseren”. Dat las ik in NRC Handelsblad onlangs. Het idee is hardnekkig: de robots en/of de AI’s komen eraan, en ze gaan onze banen inpikken (South Park referentie optioneel). Waarbij de illustrator van dienst dan vaste prik… Lees verder

Wie als jurist problemen met internet moet duiden, kwam lange tijd standaard als eerste met het auteursrecht aan zetten. Of sinds 25 mei 2018 natuurlijk de AVG. Heel logisch en die wetten zijn heel belangrijk, maar binnen het internetrecht is de uitingsvrijheid minstens zo belangrijk – het is één van de vier grondrechten die centraal… Lees verder

De macht van de platforms, de buzzphrase van 2019 in het internetrecht volgens mij. Want waar internet ooit begon als een open ruimte waar iedereen z’n eigen stalletje kon inrichten, zitten we nu met een paar hele grote silo’s waar je moet zijn om je klanten, partners of bezoekers te kunnen bereiken. Niemand schrijft meer… Lees verder