YouTube stopt met Premium Lite-abonnement in Nederland en België

manfredrichter / Pixabay

YouTube stopt met zijn Premium Lite-abonnement in Nederland en België. Dat las ik bij Tweakers. Het gaf een nieuwe impuls aan een oude discussie: de gratis versie van Youtube komt met advertenties, mag je die nu blokkeren of niet? Ze zijn immers een deel van het inkomen van de content creator, maar waar staat in de wet dat het niet mag?

Al ongeveer sinds de eerste banner op internet (schijnbaar 1994) is er discussie over het mogen blokkeren daarvan. Ondertussen zijn we dertig jaar en drie boeken verder en is er nog geen juridische duidelijkheid. Dus laten we eens kijken of we een en ander op een rijtje kunnen zetten.

In de basis zijn advertenties de manier waarop de site-exploitant geld verdient waarmee de beoogde content wordt gerealiseerd. De juridische onderbouwing daarbij is nogal generiek: vrijheid van ondernemen is een grondrecht, dus als jij wil ondernemen via een gratis-met-advertenties model dan moet dat kunnen.

Soms wordt hierbij gesteld dat je ‘betaalt’ door advertenties te bekijken. Dat klopt niet, juridisch. Betalen doe je alleen met geld of, als je de term breed uitlegt, een andere tegenprestatie. Maar “ik laat jou advertenties erbij zetten” is niet hetzelfde als op zaterdag de buurman helpen verhuizen omdat hij je kat eten geeft tijdens je vakantie.

De redenen om advertenties te willen blokkeren zijn vaak te verdelen in drie categorieën:

  1. Advertenties kunnen hinderlijk of gevaarlijk zijn, denk aan malware, overmatig knipperende onzin of afleiding zoals popups die niet zomaar weggaan.
  2. Niemand kan je dwingen advertenties te ontvangen, want je kiest zelf wat je wil bekijken.
  3. Er zijn genoeg andere manieren om geld te verdienen als creator (sponsoring, abonnementen) en/of niemand heeft het recht om geld te verdienen met advertenties.
De eerste twee argumenten gaan niet rechtstreeks in tegen het argument dat een ondernemer dit moet kunnen doen als deze dat wil. Het komt eerder neer op “de inkomstenderving die ik toebreng door het blokkeren is gerechtvaardigd vanwege belangen die ik heb”. De derde is juridisch gezien een noodzakelijkheidsargument: jouw grondrecht van ondernemen mag niet zo ver reiken dat je mijn blokkeren mag verbieden.

Beide zijn op zich legitieme argumenten om iemands grondrecht in te mogen perken. De discussie komt dan neer op een balans zoeken: mag je álle advertenties blokkeren vanuit angst voor malware, of moet er dan wel iets van een check voor malware tussen zitten, bijvoorbeeld?

En wat dat dwang-argument betreft: in 2012 blogde ik nog dat je het idee van toegang-met-advertenties zou kunnen zien als een overeenkomst met specifieke voorwaarde. Ik heb daar nog steeds geen tegenargument tegen gevonden.

Arnoud

Nederland mag verdachte achter wereldwijde malware-operatie aan VS uitleveren

Nederland mag een Oekraïense man die een sleutelrol zou hebben gespeeld bij de ontwikkeling en verspreiding van de Raccoon Infostealer uitleveren aan de Verenigde Staten. Dat las ik bij Security.nl. Ik licht de zaak er even uit omdat het vaker discussie geeft bij ict- en cybercrimezaken. Wanneer kun je nou worden uitgeleverd en hoe toetst de Nederlandse rechter dat?

De Raccoon Infostealer steelt wachtwoorden en gegevens voor internetbankieren en cryptowallets en zou volgens de VS miljoenen computers wereldwijd hebben besmet. De verdachte werd door de FBI opgespoord maar bleek in Oekraïne te zijn. Na de Russische inval vluchtte hij via Polen en Duitsland naar Nederland, waar hij werd aangehouden.

De VS wil hem berechten en diende dus een uitleveringsverzoek in. (Soms zie je ook de term ‘overlevering’, dat gaat om uitleveren van personen specifiek van de ene naar de andere Europese lidstaat.) De verdachte maakte bezwaar, en dat ging tot de Hoge Raad, die het bezwaar afwees. Ik citeer vanaf hier uit de conclusie advocaat-generaal, want de HR deed de zaak zonder motivatie af.

Een uitleveringsverzoek vereist “een uiteenzetting van de desbetreffende feiten, met inbegrip, indien mogelijk, van het tijdstip waarop en de plaats waar het misdrijf werd gepleegd”. Dat is lastig bij ict-zaken: als jij in Oekraïne zit, je server ergens in Bulgarije en de slachtoffers fysiek in de VS, wat is dan de ‘plaats’? De rechtbank vond het duidelijk genoeg:

De omschrijving van de feiten is zodanig dat het voor de rechtbank mogelijk is te onderzoeken of aan alle voorwaarden voor uitlevering is voldaan en of de naleving van het specialiteitsbeginsel kan worden gewaarborgd. Verder neemt de rechtbank in aanmerking dat de feiten hebben plaatsgevonden in de digitale wereld, waardoor het begrijpelijk is dat niet in alle gevallen een concrete pleegplaats kan worden vermeld.
Die gebrekkige informatie over pleegplaatsen was ook een argument tegen jurisdictie van de VS: de malware was wereldwijd actief, dus hoezo mag de VS dan optreden? Het simpele antwoord is, omdat óók in de VS slachtoffers woonden. Er waren er vier genoemd, dat is relatief weinig maar eentje is formeel genoeg.

Ook de rol van de verdachte was duidelijk genoeg vastgelegd:

De rechtbank heeft op grond van de inhoud van de Affidavit [verklaring van de FBI, AE] vastgesteld dat de opgeëiste persoon ervan wordt verdacht sinds 2018 te hebben deelgenomen aan een criminele organisatie die zich bezighoudt met het ontwikkelen, aanbieden en verkopen van malware, te weten de Raccoon-infostealer. Die malware zou wereldwijd op grote schaal zijn gebruikt om computervredebreuk en (gegevens)diefstal te plegen. Uit de vier geconcretiseerde voorbeelden in de Affidavit volgt dat de malware ook zou zijn gebruikt ten aanzien van computers c.q. personen in de Verenigde Staten. De rechtbank heeft overwogen dat in de Affidavit het resultaat en het verloop van het onderzoek uiteen wordt gezet, dat daaruit blijkt hoe de opgeëiste persoon in beeld is gekomen en waaruit de handelingen van de opgeëiste persoon, zijn vermeende rol en zijn aandeel in het strafbare feit hebben bestaan en dat het op grond daarvan van oordeel is dat voldaan is aan de eis van art. 9 lid 3 aanhef en onder b van het Verdrag.
Inhoudelijk is er dan genoeg om te veronderstellen dat iemand in de VS vervolgd zou worden voor dit feit, en omdat het tenlastegelegde ook in Nederland strafbaar is, is er dan eigenlijk geen reden meer tegen uitlevering.

Dan blijven over persoonlijke omstandigheden. In dit geval worstelde de verdachte met gezondheidsproblematiek en psychische problemen. Dit kwam vervolgens bij de rechtbank Den Haag met het verzoek hierom de uitlevering tegen te houden.  Het argument is dan dat de omstandigheden in het vragende land zo ernstig zijn dat uitlevering leidt tot onmenselijke behandeling, artikel 3 EVRM dat ook marteling noemt, maar het gaat dus ook om mensonterende omstandigheden zoals geen toegang tot gezondheidszorg.

De rechtbank oordeelde anders:

De voorzieningenrechter verwerpt ook het betoog van [eiser] dat de door de Amerikaanse autoriteiten gegeven garanties niet voldoen aan de daaraan te stellen eisen. Daargelaten dat [eiser] niet aannemelijk heeft gemaakt dat hij bij uitlevering een reëel risico loopt op schending van artikel 3 EVRM, geven de strikt genomen niet noodzakelijke garanties [eiser] wel meer zekerheid over (onder meer) de detentieomstandigheden en de toegang tot medische zorg. Zo nodig kan [eiser] met consulaire bijstand – ook wanneer dat bijstand van [land] betreft – nakoming van deze garanties bevorderen. Weliswaar heeft [eiser] zich terecht op het standpunt gesteld dat de Staat nakoming van dergelijke garanties niet zelf monitort, maar daar staat tegenover dat er geen gevallen bekend zijn waarin de Verenigde Staten gegeven garanties niet zijn nagekomen.
Dat laatste is natuurlijk vaak een zorg: ze kunnen wel zo veel zeggen in dat vragende land, maar hoe weet je dat ze dat ook echt doen? Daar staat tegenover dat er weinig tot geen onderzoeken zijn waaruit blijkt dat het misgaat, terwijl er toch genoeg mensen uitgeleverd worden.

Arnoud

 

Amsterdamse politie krijgt steeds vaker meldingen van gestolen spullen door tracker

De Amsterdamse politie krijgt steeds vaker meldingen binnen van bedrijven en mensen die weten waar hun gestolen spullen zijn. Dat meldde de NOS onlangs. Dit omdat steeds meer mensen een tracker bij hun apparaten verstoppen. Maar wel frustrerend om te lezen: “Een melding is niet altijd een reden om in actie te komen.”

Het tracken van mensen of spullen is de laatste jaren sterk in opmars. De technologie wordt steeds toegankelijker, met name door Apple’s introductie van AirTag, een decentraal netwerk waarbij iedereen met een appelapparaat meehelpt signalen door te geven. Er zijn al vele zorgen over stalking met zulke tags.

Een praktisch probleem met trackers is dat ze wel een locatie kunnen geven, maar die is niet altijd geheel accuraat. Dat is de belangrijkste reden dat de politie geen gouden bergen wil beloven:

“Als een tag in beweging is, is het voor ons makkelijker om in actie te komen dan wanneer hij niet in beweging is”, zegt [politiewoordvoerder Marcel Baas]. “Amsterdam is een grote stad, overal staan flatgebouwen. Hoe moet ik dan weten in welke woning het voorwerp zich bevindt?”
Een bijkomend probleem is dat juridisch gezien het terugvinden van een gestolen voorwerp niet automatisch betekent dat je hem weer mag meenemen. Het is namelijk (in theorie) mogelijk dat dit voorwerp ondertussen echt eigendom van een ander is geworden.

Hoofdregel is natuurlijk dat je je eigendom kunt opeisen als dat ten onrechte bij een ander is (art. 5:2 BW, revindicatie). Echter, de wet (art. 3:86 BW) noemt als uitzondering de situatie dat de verkrijger (niet de dief zelf) de fiets kocht voor een geldbedrag en te goeder trouw was. Je kunt de fiets dan terugeisen bij die verkrijger, tenzij

de zaak door een natuurlijke persoon die niet in de uitoefening van een beroep of bedrijf handelde, is verkregen van een vervreemder die van het verhandelen aan het publiek van soortgelijke zaken anders dan als veilinghouder zijn bedrijf maakt in een daartoe bestemde bedrijfsruimte, zijnde een gebouwde onroerende zaak of een gedeelte daarvan met de bij het een en ander behorende grond, en in de normale uitoefening van dat bedrijf handelde
In normaal Nederlands: als een consument de zaak heeft gekocht bij een professioneel winkelier die handelde vanuit een winkel, dan is deze beschermd en heeft zhij de fiets legaal verkregen. De bestolene heeft dan pech en kan alleen de dief nog aanspreken voor de waarde van de fiets.

Dit is de reden dat politiediensten terughoudend zijn bij “hij staat daar”-meldingen, zelfs als de locatie duidelijk is. Dit is natuurlijk ter bescherming van die te goeder trouw handelende consument, maar ik heb wel altijd mijn vraagtekens bij hoe váák dat nou gebeurt en in hoeverre je daar nou rekening mee moet houden.

Enerzijds, je wilt niet mensen die in de winkel een fiets kopen aanpakken alsof ze heling hebben gepleegd. Anderzijds, je wilt niet dat gestolen waar verdwijnt vanwege een theoretische mogelijkheid dat de fiets legaal bij de huidige verkrijger is.

Arnoud

Google wilde chatbot Bard deze week uitbrengen in EU, maar moet dat uitstellen

Clker-Free-Vector-Images / Pixabay

Google had zijn chatbot Bard deze week willen uitbrengen in de Europese Unie, maar heeft dat uitgesteld na zorgen over de verwerking van persoonsgegevens. Dat meldde Tweakers vorige week. De Ierse privacytoezichthouder kwam verrassend genoeg vóóraf met de vraag “hoe gaat u om met persoonsgegevens”, en omdat Google daar nog niet schriftelijk over nagedacht had, moet men nu de invoering uitstellen. Tot mijn verbazing ging het in de comments al snel over een gebrek aan innovatie in Europa en het doodslaan van open source. Ik mis even iets?

Dat Google zijn chatbot nog niet online heeft gezet in Europa, komt volgens Google-ceo Sundar Pichai door twee factoren.

“We werken bij Bard meer met Reinforcement Learning from Human Feedback om de lokale sentimenten goed op te kunnen nemen.” … Behalve dat Europa veel talen heeft met nuances in de culturen, speelt er meer. “Regels variëren tussen landen. We willen ervoor zorgen dat het allemaal klopt.” Die zorgen zitten vermoedelijk in het gebruik van de trainingsdata en privacy.
Die laatste opmerking blijkt dus juist: Google had geen antwoord paraat en vreest dan een handhavingsactie (zoals in Italië) met alle PR-negativiteit van dien.

De reacties zijn uitgesproken negatief, en mooi samengevat als “Jammer dus, en helaas typisch, dat in Amerika alle innovatie plaatsvindt terwijl Europa weer eens uit reflex de handrem aantrekt.” Want volgens mij gaat het hier om regelgeving vanuit een terecht standpunt: dat we de risico’s van nieuwe technologie gecontroleerd willen hebben, omdat ongecontroleerd gebruik leidt tot enorme schade. Dat ze in de VS het prima vinden dat je van alles en nog wat breekt zal best, maar dat maakt je niet innovatief volgens mij.

Afgelopen dinsdag verscheen een essay in Le Monde dat overtuigend betoogt dat juist Europa fors aan het innoveren is.

The flow of emerging high-tech companies is almost equal to that in the United States. Both regions now create the same amount of new start-ups each year. Thirty per cent of all global funding for early-stage companies went to European start-ups, compared with 36% for the US. This gap has halved in five years. What’s more, Europe is showing greater dynamism, with a compound annual growth rate of 24% over the last 10 years, compared with 4% in the US. At this rate, Europe will overtake the US in five years’ time.
Verder zie je ook in de AI-space steeds meer opensourceinitiatieven. En het mooie is: de strekking van de AI Act wordt volgens mij juist makkelijker gehaald door open source dan door dit soort bedrijfjes. Toon aan waar je data vandaan komt en dat die kwalitatief goed is. Als ik iets goed zie gaan bij open data initiatieven dan is het wel de focus daarop, zie hoe ze bij Wikipedia omgaan met copyvio en hoe openstreetmap ieder verkeersbord laat controleren om maar te voorkomen dat ze ergens databankrechten schenden. Ook bij datasets (zoals LAION) zie je duidelijke focus op rechtenbeheer.

Verder gaat veel over toepassingen, geen AI ongecontroleerd inzetten om mensenrechten te schenden of mensen automatisch af te serveren. Dat kan met OSS of closed even goed, dus daar zie ik het verschil niet. En ik zie juist bij de toepassingen enorm veel Haarlemmerolie (snake oil) van het soort “onze AI detecteert micro-expressies om te zien of een sollicitant liegt” met dan een gesloten model en geheime data zodat je niets kunt vaststellen. Als dát is waar de markt naartoe gaat, dan mogen de teugels best even wat worden aangetrokken.

Arnoud

Juridisch taalgebruik is écht nergens goed voor, suggereert een experiment

Klagen over het wollig taalgebruik van juristen is meestal iets voor buitenstaanders, las ik in Trouw. Maar ze hebben er zelf ook een hekel aan. Maar waarom doen ze het dan? Nou ja, omdat iedereen het doet en je zo het snelste klaar bent. Ja, echt. MIT-onderzoeker Eric Martinez en collega’s trokken deze conclusies op basis van tekstevaluatie bij 100 advocaten en 100 juridisch leken. Kunnen we nu dan misschien met z’n allen afspreken naar klare taal te gaan?

De voornaamste reden waarom teksten zo moeilijk te lezen zijn, is het woordgebruik. Vaak archaïsch, in ieder geval met infrequent gebruikte woorden – dat hindert het snel scannen van teksten, want je brein struikelt over ‘heretofore’ of ‘dienaangaande’. Ook een probleem is de indirecte manier van verwijzen. Als men ambiguïteit wil wegnemen, wordt vaak een frase gecopypaste zodat duidelijk is dat je het steeds over hetzelfde hebt. Dat geeft dan lange zinnen. De oplossing is dan een definitie invoeren (hierna: “de Definitie”) en vanaf daar verwijzen naar de Definitie in plaats van die lange frase. Uit onderzoek blijkt dat juist die inline definities enorm vertragend werkt.

Er zijn vele hypotheses geopperd waarom juristen zo wollig of ingewikkeld schrijven. De bekendste verklaring voor gebruik van jargon is communicatie met peers: het is sneller om vaktermen te gebruiken dan ze in lekentermen uit te leggen, daarom zie je dat vaak terug in beroepsgroepen. Maar specifiek bij zeg contractsclausules of wollig taalgebruik gaat dat niet op, geen jurist zegt “met behoud van rechten en weren” om effectiever te communiceren. Het onderzoek van Martinez (publicatie) laat ook zien dat juristen zelf sneller door een document heen komen als zulke teksten er niet in staan.

Een andere verklaring is exclusiviteit: het buitensluiten van leken die niet door het jargon heenkomen. Dit weerlegt men met de bevinding dat de onderzochte juristen aangeven liever een klaretaalschrijvende collega te hebben dan eentje die “Een verordening adstrueert het supranationale karakter van de Europese Unie” meent te moeten zeggen (jémig, Wikipedia). Een variant daarop is dat juristen moeilijke taal gebruiken zodat de cliënt meer het gevoel heeft voor iets goeds te betalen, klare taal is geen 800 euro per uur waard zeg maar. Maar als advocaten zélf zeggen dat de klaretaalversie beter is, dan blijft ook dat moeilijk overeind.

Blijft over de copypastehypothese:

[L]awyers may simply draw from old, pre-existing templates laden with arcane and convoluted language due to that being easier and cheaper to produce than drafting a simpler contract from scratch. This finding is consistent with recent empirical work indicating that lawyers rely heavily on templates in drafting contracts, with future agreements only rarely deviating from previous ones even when deviations would apparently benefit the involved parties(42). In addition to cost, said stickiness may also be borne out of lawyers’ training in the importance of precedent, which overall might lead to an adherence to templates laden with old, archaic language by virtue of the fact (or assumption) that they worked before, and that the specific language may have been “defended in court” previously.
Tijd dus, je werkt onder tijdsdruk en deze clausule regelt opzegging in de bekende bijzondere omstandigheden dus hupsakee in het contract ermee, klaar. Dit verklaart ook waarom zo veel contracten van die riedels met wat ik Amerikaans strooigoed noem, iedereen doet het, het zal wel ergens goed voor zijn, ik ga écht niet uitzoeken of een “Headings” clausule zinnig is want dat kost meer dan het oplevert, handtekeningenblok en klaar.

Daarnaast dus het argument dat die clausules al eerder getest zullen zijn bij de rechter, waardoor het vanuit aansprakelijkheid slimmer is die te gebruiken. Als jij afwijkt van het gebruikelijke én dat blijkt niet te kloppen, dan was het jouw fout. Gebruik jij hetzelfde als iedereen en blijkt dat niet te kloppen, dan is dat vervelend maar niemand die dat kon weten, toch?

Kunnen we nu naar klare taal? Dat zou iedereen graag willen, maar als dit de redenen zijn dan is dat toch bijster ingewikkeld. Want waarom zouden juristen nu ineens meer tijd krijgen om aan die standaardclausules te mogen werken, en waarom zou het vooroordeel dat “oude clausules getest zijn bij de rechter” nu niet meer opgaan? Nee, daar ben ik behoorlijk cynisch over. Heel misschien is er wat te halen als kantoren meer templating software (#legaltech) in gaan zetten, omdat je bij de transitie naar zo’n systeem wél tijd hebt om oude clausules eens te herzien en wat er nodig is om de nieuwe teksten juridisch waterdicht te krijgen.

Arnoud

Oh jee, mag je als burgemeester niet op Twitter met je ambtsketen?

Ja, het heet dus ambtsketen en niet ambtsketting, dat wilde ik vooraf even duidelijk hebben. Maar velen schrokken: Sjors Fröhlich, de burgemeester gemeente Vijfheerenlanden, moet stoppen met Twitteren zo meldde hij woensdag. Een burger had hem in niet mis te verstane bewoordingen aangegeven dat hij een ambtsmisbruik pleegde, omdat Fröhlich met ambtsketen op de foto stond, wat in strijd is met de eed of belofte burgemeester. Wacht, wat?

Het is inderdaad zo dat je als burgemeester bij aantreden een eed of belofte aflegt. Daarin staat de zogeheten “zuiveringseed” (moest ik ook opzoeken) waarin je verklaart niet door omkoping je benoeming te hebben gekregen, en dat je je later ook niet laat omkopen. Ook beloof je trouw aan de Grondwet en dat je goed je ambt zult vervullen.

Een ambtenaar die zich laat omkopen, pleegt een ambtsmisdrijf inderdaad. Maar hier gaat het niet om omkoping maar om “persoonlijk gewin”, in de vorm van Twitterberoemdheid kennelijk. Alleen: “persoonlijk gewin” is een informele term voor je laten omkopen als ambtenaar (art. 362 Strafrecht), je krijgt geld of spullen van iemand en in reactie bevoordeel je die persoon (of benadeel je een ander).

Er is geen strafbaarstelling van je ambt gebruiken om als persoon beroemder, inaanzienstaander of iets dergelijks te komen. Ook niet als je daarbij de ambtsketen gebruikt. Hoewel daar regels voor zijn, zit daar geen artikel van strafrecht achter.

Verder is het ook niet zo dat je als burgemeester uitsluitend zou mogen spreken op persoonlijke titel als je het niet via de gemeentewoordvoerder laat gaan of iets dergelijks. Ik zou een burgemeester afraden een foto met ambtsketen te gebruiken bij een account waar dan “op persoonlijke titel” bij staat, maar vooral omdat dat gewoon niet goed samen gaat. Een strafbaarstelling kan ik er niet bij halen.

Arnoud

De DSA komt eraan: Europa verscherpt toezicht op grote techbedrijven als Google en Meta

PeggyMarco / Pixabay

Google, Amazon, Meta, Microsoft en andere grote techbedrijven vallen vanaf augustus onder de Europese Digital Service Act (DSA). Dat las ik bij Nu.nl. Deze opvolger van de Ecommercerichtlijn uit 2000 bevat veel strengere regels voor online platforms, pardon tussenhandelsdiensten die hostingdiensten leveren al dan niet in de vorm van platformdiensten. Want alleen al op die definities kun je een dag studeren. Wat gaat er vanaf augustus gebeuren?

De Digital Services Act is 19 oktober 2022 in werking getreden. Of nou ja, dat gaat niet alles in een keer: er is een heel tijdspad met stappen die doorlopen moeten worden. In februari moesten bijvoorbeeld alle platforms voor het eerst hun bezoekersaantallen publiceren als die boven de 45 miljoen uitkwamen. Dat is het belangrijkste criterium om als Zeer Groot Online Platform (VLOP) aangemerkt te worden. De lijst die de Europese Commissie publiceerde, zal niemand verrassen: Alibaba, Facebook, Google Play en Twitter bijvoorbeeld, hoewel ook Zalando en Booking.com op de lijst staan. (Google is een Zeer Grote Online Zoekmachine, dat is een aparte categorie).

Die designatie is belangrijk, want je krijgt dan een enorme extra stapel eisen ten opzichte van de ‘gewone’ platforms. Een VLOP brengt enorme “systeemrisico’s” met zich mee, zoals het snel doen verspreiden van desinformatie of het grootschalig via algoritmes verkeerd sturen van mensen op het platform. Een VLOP moet daarom binnen 24 uur illegale informatie verwijderen na een melding daarvan, maar ook een uitgebreide risico-assessment doen en haar systemen zo inrichten dat die risico’s worden geminimaliseerd. Meer algemeen moeten zij transparant zijn over hoe de diensten werken, inclusief hoe mensen aan advertenties worden gekoppeld.

Zoals Nu.nl opmerkt kunnen die regels behoorlijk strikt zijn: men mag geen bijzondere persoonsgegevens (ras, religie, seksualiteit etc) meer gebruiken in advertentieprofielen, hoewel die regel (art. 26 lid 3 DSA) voor alle platforms geldt, dus niet alleen voor de VLOPs. Maar in de praktijk komen deze regels met name op hun bordje, omdat ze nu eenmaal de grootsten zijn en eigenlijk altijd ook de beheerders van de meestgebruikte advertentiesystemen, de systemen waarbij zulke informatie relevant kan zijn. Want bij Marktplaats adverteren ze ook, maar daar zijn zulke kenmerken lang niet zo belangrijk.

Vanaf 17 juni worden deze bedrijven formeel aangewezen als VLOPs, tenzij hun bezwaren (die ondertussen zo ongeveer binnen moeten zijn) gegrond worden verklaard. En dan hebben ze zes maanden (vandaar de “half augustus”) om aan de eisen van de DSA te voldoen. Dat klinkt kort, maar het zal voor geen van de bedrijven op de lijst een verrassing zijn geweest dat ze als zodanig zijn aangemerkt. Het risico-assessment moet ook op 17 juni binnen zijn, waarna men zo snel mogelijk aan de slag moet om de impact van die risico’s te minimaliseren. Dat is dus nog een stevige kluif.

Oh ja, de handhaving. Elk land moet zijn eigen coördinator / toezichthouder benoemen. Die krijgt dan allerlei bevoegdheden, waaronder het kunnen opleggen van boetes. Die boetes kunnen fors zijn (art. 52 lid 3 DSA):

De lidstaten zorgen ervoor dat het maximumbedrag van de geldboeten die kunnen worden opgelegd wegens niet-naleving van een verplichting die in deze verordening is vastgelegd, 6 % bedraagt van de wereldwijde omzet van de betrokken aanbieder van de tussenhandeldiensten in het voorgaande boekjaar. De lidstaten zorgen ervoor dat het maximumbedrag van de geldboete die kan worden opgelegd wegens het verstrekken van onjuiste, onvolledige of misleidende informatie, het niet beantwoorden of niet corrigeren van onjuiste, onvolledige of misleidende informatie en het niet onderwerpen aan een inspectie 1 % bedraagt van de inkomsten of de wereldwijde omzet van de aanbieder van de tussenhandeldiensten of de betrokken persoon in het voorgaande boekjaar.
Ik weet dat iedereen elke keer zegt dat een Europese boete peanuts is, maar ook voor Google Search (jaaromzet 279.8 billion dollars, zo’n 250 miljard Euro) is 6% best een hap uit de winst. Daarnaast kan men VLOPs bevelen om bepaalde handelingen te staken, wat in de praktijk minstens zo veel pijn zal doen.

Wie het gaat handhaven is net zo’n discussie als bij de AVG. In principe is de coördinator/toezichthouder bevoegd van het land van vestiging, dus u mag even zuchten: ja dat wordt dus Ierland. En precies vanwege die zucht heeft de Europese Commissie zichzelf een extra bevoegdheid gegeven. Waar het gaat om VLOPs is niet die nationale toezichthouder bevoegd maar de Commissie zelf, net als bij de hele grote mededingingskwesties (art. 73 DSA, de boetes zijn even hoog). De Commissie heeft in het verleden laten zien wél adequaat en stevig in te kunnen grijpen in de techsector, het voornaamste probleem was (en is) dat het traject zo traag is. Maar omdat er nu concrete regels zijn, zou dat hopelijk iets minder moeten zijn dan bij de open normen in het mededingingsrecht.

Oh ja en nog een leuke: als u nou denkt, waar betaalt de Commissie dan al die ambtenaren van die dit gaan handhaven? Dat doen de VLOPs zelf: de Commissie mag ze een handhavingstoeslag van maximaal 0,05% van hun wereldwijde jaaromzet in rekening brengen.

Meer lezen over waarom dat vroeger zo misging en wat de DSA allemaal nog meer doet? Bestel mijn boek!

Arnoud

ICT en Recht: een geschiedenis van botsingen van rechten en plichten – bestel nu!

Vorige week verscheen mijn nieuwste boek “ICT en Recht”. Juridisch verplicht leesvoer voor iedereen die iets doet op het snijvlak van tech en wet. Had je de trailer al gezien?

In acht hoofdstukken neemt ik je mee door de geschiedenis en toekomst van de ict vanuit juridisch perspectief. Complexe technische vraagstukken worden helder geduid en in het juiste kader geplaatst. Leer waarom ook bij ict-recht geldt dat de geschiedenis zich niet herhaalt maar wel rijmt: oude kwesties komen opnieuw terug, van de internetbubbel naar de cryptohype en van ponskaarten tot AI profileren.

Het boek definieert ict-recht als de botsingen tussen grondrechten die ingegeven zijn door regulering of innovatie op ict-gebied. Ook deze twee ‘verstoorders’ komen uitgebreid aan bod. Waarom is de iPhone wel disruptief en bitcoin niet? Waarom was de DMA nodig en kon het mededingingsrecht het niet aan?

Er zijn acht hoofdstukken, die deze grondrechten en botsingen nader uitwerken:

1Naar een afbakening van het begrip ‘ICT-recht’ Wat is de definitie van ‘ict-recht’, waarom heeft het bestaansrecht en waar komt het vandaan.

2Internet: de drukpers van de informatiemaatschappij De opkomst van internet als systeem binnen de context van de informatievrijheid. Waarom zoekmachines net zo belangrijk zijn als drukpersen en de onmogelijke vraag wat Youtube nu eigenlijk is.

3: Het auteursrecht reageert Geen enkel recht heeft zo veel aangericht in het ict-landschap als het auteursrecht. Historie, worsteling en overwinning van zo ongeveer elk principe uit de ict-rechtelijke wereld.

4: Van webshop tot cloud Hoe online ondernemen innoveerde en transformeerde, en daarmee internet veranderde van een gedecentraliseerde peer groep tot een enorme gecentraliseerde activiteit. Het grondrecht ondernemen staat hier dan ook centraal.

5: De weg terug naar online privacy Een zoektocht naar de beteugeling van de data-industrie. Inclusief recept voor pasta bolognese (serieus).

6: Internet governance en handhaving “The Net interprets censorship as damage and routes around it”, maar daar heeft de wet dan weer een antwoord op. Crypto wars en waarom het mededingingsrecht de mist in ging.

7: Innovatie leidt en de wet volgt De continue worstelpartij tussen innovatie en regulering. Waarom hebben octrooien er nooit wat van gemaakt? Wat is er zo bijzonder aan open source dat het alle andere innovatiemodellen heeft weggevaagd?

Chapter 8: Code as law versus rule of law De impact van AI, het internet of things (en waarom dat steeds kapot gaat) en de belofte van digitale autonomie door bitcoin en de blockchain.

Bestel nu!

Arnoud

Is het toegestaan om andermans AI te klonen?

Een lezer vroeg me:

Ik las dat Stanford een AI-tekstmodel had gebouwd dat voortbouwt op het Davinci model van OpenAI. De resultaten zijn verrassend goed ondanks hun veel kleinere aanpak, maar wat ik me nu afvroeg is of dit wel toegestaan is? Je zou zeggen dat dat model toch op een of andere manier beschermd moet zijn?
Vanuit juridisch perspectief kan ik niets onrechtmatigs ontdekken in wat deze groep Stanford-onderzoekers heeft gedaan. Dat komt neer op een eigen set met prompts en antwoorden aanleveren aan OpenAI, waarbij men het Davinci-003 taalmodel gebruikte. Dit model was de basis voor GPT-3, en kan via de API van OpenAI aangeroepen worden. Stanford deed dat vele malen en was daar zo’n $500 aan kwijt. Maar toen hadden ze wel wat, namelijk een dataset met 52.000 prompt/uitvoer-paren waar ze hun eigen AI op konden trainen.

Dit is een klassieke kloon-aanval, waarover ik al in 2016 blogde:

Is dat legaal? Op het eerste gezicht wel. Hooguit als je zegt, de Terms of Service van die API verbieden het aanroepen met als doel het klonen van de AI en/of het extraheren van alle informatie. Maar dat is alleen maar contractbreuk, daar kun je niet zo veel mee.
In Europa zou men wellicht nog van een schending van het databankenrecht kunnen spreken, maar Amerikaanse organisaties kunnen dat niet omdat de VS geen databankenrecht erkent. (Ze kunnen dat dus ook niet tegen een Europese entiteit die alhier deze kloon-aanval uitvoert.)

De Terms of Use van OpenAI hebben hier inderdaad een bepaling over:

(iii) use output from the Services to develop models that compete with OpenAI;
Het handelen van de Stanford-mensen is het gebruik van uitvoer van de diensten om modellen te maken, maar ik twijfel over dat “compete with OpenAI”. Men zegt immers:
We emphasize that Alpaca is intended only for academic research and any commercial use is prohibited. There are three factors in this decision: First, Alpaca is based on LLaMA, which has a non-commercial license, so we necessarily inherit this decision. Second, the instruction data is based on OpenAI’s text-davinci-003, whose terms of use prohibit developing models that compete with OpenAI. Finally, we have not designed adequate safety measures, so Alpaca is not ready to be deployed for general use.
Zou OpenAI er toch een issue van willen maken, dan hebben ze hier de mazzel dat deze researchers aangeven welke data ze gebruikt hebben. Want als ze er dat niet zelf bij zetten, dan is de bewijsproblematiek meteen onoverkomelijk volgens mij.

Arnoud

Nederland fel tegen Europese plannen voor een Netflix-taks

Als het aan Europese telecom- en internetproviders ligt, gaan tech- en streamingbedrijven als Google en Netflix een vergoeding betalen voor hun internetverkeer. Dat meldde Nu.nl vorige week. In een consultatieronde van Europese plannen over een dergelijke vergoeding heeft Nederland fel uitgehaald naar het idee, waarbij de term “Netflix-tax” viel. Iets zuiverder is wellicht ‘EU-internettolheffing’. Maar we hadden toch netneutraliteit?

RTL Nieuws legt uit:

Europese telecombedrijven pleiten al jaren voor zo’n taks, omdat ze door de opmars van streamingdiensten en video-apps steeds meer internetverkeer moeten verwerken. Volgens de telecomsector is ongeveer de helft van al het Europese internetverkeer toe te schrijven aan zes techreuzen: Google, Facebook, Netflix, Apple, Amazon en Microsoft.
In december blogde ik nog dat de Europese markttoezichthouders niets zagen in zo’n heffing, waarbij de streamingreuzen aan internetproviders betalen om hun content te mogen sturen naar de klanten van die providers. Fundamenteel vond ik daarbij het punt dat geen  van de providers winstwaarschuwingen gaf voor sterk stijgende kosten van netwerkverkeer, iets dat je bij beursgenoteerde ISPs wel zou verwachten als de contentproviders veel harder zouden groeien dan de ISPs aankunnen.

Het rapport van EZ bevestigt dit, en gaat nog een stapje verder: er is fors geïnvesteerd in hogecapaciteitsapparatuur en er lijkt in het geheel geen probleem met capaciteit bij providers te zijn. De winst van providers is sinds 2015 alleen maar gestegen. En, heel mooi, je betáált al om te mogen Netflixen en Spotificeren, dat is de hele reden om een internetabonnement te nemen en dat weten die providers best. Dus hoezo wil men dan nóg een keer betaald krijgen voor die dienst?

Arnoud