Categorie: Informatiemaatschappij

About Informatiemaatschappij

Subscribe Feeds

Politie en justitie willen verbod op delen ontwerp voor 3d-geprinte vuurwapens

Geplaatst op in Informatiemaatschappij, 22 reacties
lppicture / Pixabay

De Nederlandse politie en het Openbaar Ministerie willen dat het strafbaar wordt om ontwerpen te delen waarmee met een 3d-printer wapens geprint kunnen worden. Dat meldde Tweakers vorige week. Politie en OM zien een duidelijke toename van het aantal geprinte wapens én van professionele werkplaatsen om deze dingen te printen. Het publiceren of bezitten van de ontwerpen van 3D-geprinte vuurwapens (de zogenaamde blauwdrukken) is niet strafbaar, zo meldt de politie, en men wil dit graag ter discussie stellen.

Het idee van 3d geprinte wapens doet al een tijd de rondte, ik blogde er al in 2012 over. In dat jaar was er een doorbraak: er was eindelijk een volledige blauwdruk van een vuurwapen samengesteld, zij het dat er nog een metalen slagpin in moest, maar dat kon een spijker zijn. Deze ‘Liberator’ kreeg veel aandacht, en sindsdien zijn er vele varianten verschenen waaronder zelfs semi-automatische wapens. Dat begint nu dus de spuigaten uit te lopen, zo merkt de politie, en vandaar deze oproep.

In Nederland geldt een vrij algemeen verbod op het vervaardigen van wapens, dat zo is geformuleerd dat 3d printen er gewoon onder valt, ook als je het als particulier zonder enig kwaadwillend doel doet:

Het is verboden zonder erkenning een wapen of munitie te vervaardigen, te transformeren of in de uitoefening van een bedrijf uit te wisselen, te verhuren of anderszins ter beschikking te stellen, te herstellen, te beproeven of te verhandelen.
Zoals ik toen al schreef, natuurlijk zal het heel moeilijk zijn erachter te komen of iemand met zo’n 3D printer een wapen zit te printen thuis. Dus ik kan me voorstellen dat men achter de sites aangaat die instructies of CAD-bestanden verspreiden. Maar of die verboden zijn onder de huidige wet, weet ik niet zeker. Ik kan er in ieder geval niets over vinden. Het enige dat in de buurt komt, is artikel 3 lid 1 Wwm:
De bepalingen betreffende wapens zijn mede van toepassing op hulpstukken die specifiek bestemd zijn voor die wapens, de essentiële onderdelen van vuurwapens en op de onderdelen van wapens die van wezenlijke aard zijn.
Je moet dan alleen de term ‘hulpstuk’ wel heel breed lezen: een blauwdruk van een wapen zal zeker ergens helpen om een wapen te vervaardigen, maar de term ‘hulpstuk’ gaat meestal over onderdelen en niet over voorbereidend materiaal. In ieder geval is hier geen jurisprudentie over. Dat zou dus een baanbrekend arrest of een nieuwe wettelijke regel vergen, maar omdat het dan gaat om regulering van toegang tot informatie is dat wel erg ingewikkeld.

Een tussenweg zou kunnen zijn dat je de richting uit gaat van medeplichtigheid, wat gedefinieerd is (naast behulpzaam zijn) als “opzettelijk gelegenheid, middelen of inlichtingen verschaffen tot het plegen van het misdrijf.” Een blauwdruk voor een illegaal wapen kun je zien als inlichtingen, dit is wat je in je printer moet stoppen om zonder erkenning een wapen te vervaardigen.

Enige is dan de opzet. Waar zou je bij een 3d blauwdrukplatform uit moeten afleiden dat sprake is van opzet, dat men wilde dat het misdrijf gepleegd werd? Want enkel “ik wil graag dat mensen dit downloaden” is niet genoeg, je moet echt beoogd hebben dat de downloader het wapen ging printen. Het is verdedigbaar, zeker als je met voorwaardelijke opzet aankomt: jij had een categorie “3d Vuurwapens”, dus je richt je op Nederland, je site staat vol met tutorials hoe de CAD bestanden te printen, dan aanvaard je de aanmerkelijke kans dat mensen uit de categorie Vuurwapens een CAD bestand downloaden en printen. Ik zou het als officier wel aandurven.

Lastige is dan weer dat in het wetboek van strafrecht (art. 54a) staat dat

Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.
Artikel 125p is kort gezegd de strafrechtelijke notice-takedown, gegeven door de officier van justitie met machtiging van de rechter-commissaris en na het horen van de tussenpersoon. Dat is een hele berg moeite en daarmee is dan dat ene bestand offline, maar er zullen er vast meer zijn of er zullen kopieën opnieuw opduiken. Een filterplicht is er niet, en een notice/staydown bevel behoort niet tot de mogelijkheden. Dus heel veel opties behalve achter iedere individuele link aan gaan en een berg werk maken voor één verwijdering is er op dit moment niet.

Arnoud

Meerdere algoritmen van de overheid voldoen niet aan de basiseisen (excuses, lange blog maar dit is zeg maar mijn ding)

Geplaatst op in Informatiemaatschappij, Innovatie, 10 reacties

De algoritmes die door de Rijksoverheid worden gebruikt, voldoen lang niet altijd aan de basiseisen. Van de negen getoetste algoritmes voldeden er zes niet aan de eisen, las ik bij Nu.nl. Dit blijkt uit onderzoek van de Algemene Rekenkamer. Deze zes bieden dan ook bijzondere risico’s: gebrekkige controle op prestaties of effecten, vooringenomenheid, datalek of ongeautoriseerde toegang. En omdat het kan gaan om algoritmisch besluiten (zoals verkeersboetes), is dat best schokkend.

Het toegepaste toetsingskader komt uit een eerder onderzoek, Aandacht voor Algoritmes, en bestaat uit 5 perspectieven waarbij het perspectief ethiek als rode draad verbonden is met de andere 4 perspectieven:

  • Sturing en verantwoording: eenduidigheid doel;
  • Model en data: in lijn met doelstellingen;
  • Privacy: ondermeer wettelijke verplichting verwerkingsregister;
  • ITGC: toegankelijke loginformatie;
  • Ethiek: ethische richtlijnen.
Voor wie het wil toepassen: er is een downloadbaar Excel-model om in te vullen. En wie meer wil weten over dat perspectief ethiek, in september begint onze cursus AI Compliance en Governance weer.

Het rapport Algoritmes Getoetst past het kader nu toe op negen overheidsalgoritmes, namelijk:

  1. Rijksdienst voor Identiteitsgegevens: Ondersteuning bij de beoordeling van de kwaliteit van foto’s voor identiteitsbewijzen
  2. Rijksdienst voor Ondernemend Nederland: Risicomodel dat gebruikt wordt bij de beoordeling van aanvragen voor de Tegemoetkoming Vaste Lasten (TVL)
  3. Belastingdienst Toeslagen: Ondersteuning bij de beoordeling van aanvragen voor huurtoeslag in het toeslagenverstrekkingensysteem (TVS)
  4. Centraal Bureau Rijvaardigheidsbewijzen: Ondersteuning bij de beoordeling van de medische rijgeschiktheid van mensen
  5. Politie: het Criminaliteits Anticipatie Systeem (CAS) voorspelt waar en wanneer het risico op incidenten hoog is
  6. Directoraat-generaal  (DG) Migratie: Zoekt intelligent in vreemdelingenpersoonsgegevens of iemand al eerder in Nederland is geregistreerd
  7. Centraal Justitieel Incassobureau (CJIB): Koppelt gegevens voor verkeersboetes aan op kenteken geconstateerde verkeersovertredingen
  8. SZW Inlichtingenbureau: Levert signalen aan gemeenten voor rechtmatigheidscontrole op bijstandsuitkeringen
  9. Sociale Verzekeringsbank (SVB): Ondersteuning bij de beoordeling van AOW-aanvragen.
Allemaal algoritmes, maar niet allemaal van dezelfde soort. Het rapport legt netjes uit dat ook een simpele beslisboom telt als een algoritme, net als data-koppelingen voor uitwisseling (als dit veld door filter X komt dan is het een datum en dan is het volgende veld een achternaam, zulke dingen). Maar er zijn ook algoritmes die ik ervan verdenk machine learning te zijn, zoals dat fotokwaliteitsbeoordelingssysteem van de RvIG of het lerende algoritme van de politie.

Verder hebben de algoritmes verschillende functies: vaak ondersteuning (technisch voorbereiden van data, een preselectie klaarzetten, zoekresultaten sorteren) maar soms ook besluitvorming (agent 40404 bij het CJIB) en soms van die twijfelgevallen zoals bij de ‘signalen’ van de SZW die best sturend kunnen worden opgevat – precision bias, het vooroordeel dat de computer gelijk heeft omdat deze objectief rekent en tien cijfers achter de komma heeft. Of omdat er bij iedereen wel wat te vinden is als je goed zoekt (iedere lezer van deze blog schendt minstens één regel van socialezekerheids- of belastingrecht, gegarandeerd).

Besluitvormend gaat overigens niet perse samen met complex: het toekennen van toeslagen is een simpel algoritme dat toch besluiten neemt (u heeft recht op huurtoeslag, u bent medisch geschikt om te rijden). Dat kan logisch lijken in een standaardsituatie, zoals het rapport uitlegt:

Een aanvraag wordt automatisch goedgekeurd wanneer de aanvraag door het algoritme als laag risico is aangemerkt, bijvoorbeeld omdat het bedrag waarop de aanvrager aanspraak maakt laag is en er geen aanwijzingen voor misbruik of oneigenlijk gebruik zijn. In dat geval komt er geen ambtenaar meer aan te pas.
Bij elektronicawinkel Coolblue is er (volgens mij) zo’n simpel algoritme: een vaste klant (meer dan X aankopen in 6 maanden) die een product van minder dan 10 euro koopt en retourneert, mag het houden en krijgt zijn geld terug. En bij voedselbezorgers geldt vaak ook zoiets: minder dan X klachten per maand/kwartaal/jaar, dan klacht automatisch goedkeuren en geld terug. De kosten/baten analyse is dan evident.

Wat ging er zoal mis bij deze overheidsalgoritmes? Bij drie organisaties ging het eigenlijk om de IT-processen er omheen (beheer, beveiliging, toegang), dat sla ik even over. Een relevanter risico is de governance bij uitbesteding: de ontwikkeling en implementatie van de algoritmes of datamodellen wordt dan door een externe partij gedaan, maar de overheidsinstantie moet daar wel toezicht op houden. Dat ging bijvoorbeeld mis bij dat fotokwaliteitsbeoordelingssysteem, dat was een black box waar alleen goed/onvoldoende uit kwam zonder dat men kon zien waarom, laat staan bijstellen.

Het rapport noemt nog een belangrijke fout die ik ook herken uit de praktijk:

Vaak wordt bij de verwerking van gegevens in massale processen vertrouwd op foutmeldingen en gaat men ervan uit dat de afwezigheid van foutmeldingen een garantie is voor de juiste werking van het algoritme. Dat is niet altijd het geval.
Zeker als het gaat om ‘zwakke’ klanten (zoals bij bijstand of toeslagen) moet je echt meer hebben dan een piepsysteem. Dit is trouwens ook waarom dat systeem van “laag risico = automatisch goedkeuren” riskant is, mensen kunnen onterecht in de bak laag risico zitten (of juist niet) en dat wordt dan niet opgemerkt.

De laatste die ik eruit licht, is de bias of vooringenomenheid in model of data. Dit is een lastige, want er is veel over te doen maar dit onderwerp zit ook vol met misverstanden. Zo stellen mensen bias vaak gelijk aan het strafbare feit discriminatie. Bias kan echter over van alles gaan, denk aan een aselecte steekproef uit de brondata, zonder dat je meteen een ethische groep, gender of andere groep op de korrel wil nemen. En zelfs als zo’n systeem expliciet onderscheid maakt naar zeg gender of ethiciteit dan kan dat onbedoeld zijn, of het gevolg van een onbewust onderscheid bij de mensen die de dataset hebben gevoed.

Het onderzoek laat zien dat er zelden wordt gecontroleerd op bias of de over- of ondervertegenwoordiging van bepaalde groepen. Dat is wel belangrijk, want het kan zomaar je data in sluipen:

Stel dat in het verleden samenwoonfraude intensiever is aangepakt en dat met deze gegevens een algoritme wordt ontworpen voor fraudedetectie. Dan zal het algoritme samenwoonfraude beter voorspellen, omdat deze vorm van fraude vaker voorkomt in de data. En als samenwoonfraude vooral door vrouwen wordt gepleegd dan is sprake van bias naar vrouwen toe.
Van eerdere blogs weet ik dat er nu reacties komen van het soort: maar fraude is fraude, als je zo dus meer samenwoonfraude door vrouwen weet te vinden dan heb je meer fraude gevonden en die kun je dan bestrijden. Dat mag zo zijn, maar als overheid heb je ook de plicht om je fraudebestrijding eerlijk te verdelen, zonder onderscheid naar kenmerken zoals gender of etniciteit. Als de politie alleen mannen boetes geeft voor door rood licht fietsen, en de vrouwen laat gaan, dan klopt dat gewoon niet. Ook niet als de mannen het tien keer vaker doen.

Dan nog het onderwerp transparantie, wat van belang is omdat je (onder meer vanwege de AVG) moet uitleggen hoe zo’n systeem werkt, wat er gebeurt en hoe de uitkomst tot stand is gekomen. Het rapport maakt onderscheid tussen technische en procedurele transparantie, en merkt terecht op dat weinig mensen willen weten hoe het technisch precies werkt. De procedurele transparantie (welke data en waarom, welke controle op de machine en waarom überhaupt een algoritme) blijkt echter vaak afwezig, terwijl dat juist is wat de burger nodig heeft.

Het rapport sluit af met een set aanbevelingen om bovenstaande beter door te voeren, ook bij organisaties die meer op afstand staan van de Rijksoverheid. Ik zou zeggen: ook de private sector kan dit prima oppakken.

Arnoud

 

 

OM: vorig jaar bijna 15.000 gevallen van cybercrime geregistreerd

Geplaatst op in Informatiemaatschappij, Security, 7 reacties

Vorig jaar heeft de politie bijna 15.000 gevallen van cybercrime geregistreerd, een stijging van 33 procent ten opzichte van 2020. Dat meldde Security.nl vorige week. Dit aantal staat in schril contrast met het aantal veroordelingen: drie-en-dertig. Wel meer dan 25 in 2020, maar toch. De jaarcijfers van het OM over 2021 zijn wel heel inzichtelijk.

“Cybercrime is moeilijk op te sporen en vraagt om veel kennis en specialisten die zich voortdurend blijven ontwikkelen om hackers bij te blijven.” Dat is zeker waar, en verklaart voor een groot deel het gebrek aan veroordelingen. Dat, en het feit dat veel daders zich in het buitenland bevinden of dat opsporing eindigt bij een IP-adres in een ver buitenland.

Veel vormen van online criminaliteit betreffen eigenlijk gewoon fraude en oplichting, en dan toevallig via internet. Dit is vaak een discussie bij de term cybercrime: wanneer is iets nou écht cyber, echt internet? Oplichting via Marktplaats vind ik daar niet bij horen. Ransomware wel, ook volgens het OM:

Maar ook vormen van echte cybercrime, zoals hacken, DDoS- of ransomwareaanvallen namen volgens de politieregistratie in 2021 verder toe. Nadat het aantal bij de politie bekende gevallen van cybercrime in 2020 met maar liefst 132 procent was toegenomen, steeg het aantal in 2021 verder met 33 procent tot 14.900 gevallen.
Het OM stipt daarbij trouwens nog een verklaring aan voor het lage aantal verdachten: op internet kan een verdachte veel meer misdrijven tegelijk begaan, dus daar komen dan ook veel meer meldingen van.

Arnoud

Verkopers IoT-apparaten vanaf 27 april wettelijk verplicht updates te leveren

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 14 reacties

Verkopers van Internet of Things (IoT)-apparaten, zoals smart tv’s en horloges, printers, camera’s en babyfoons, zijn vanaf 27 april wettelijk verplicht om software- en beveiligingsupdates te leveren. Dat las ik bij Security.nl vorige week. Nadat in februari de Tweede Kamer akkoord was met een updateplicht, stemt nu ook de Eerste Kamer in. En ja, 27 april was vorige week maar de stemming was op 19 april en het ging om invoering van een Europese regel, dus heel veel rek was er niet meer.

De kern van de updateplicht staat in artikel 7:18 lid 4 BW:

Bij een zaak met digitale elementen zorgt de verkoper ervoor dat de updates, waaronder beveiligingsupdates, die nodig zijn om te bewerkstelligen dat de afgeleverde zaak aan de overeenkomst beantwoordt, aan de koper worden gemeld en geleverd gedurende de periode die de koper redelijkerwijs kan verwachten, gezien de aard en het doel van de zaak en de digitale elementen, en rekening houdend met de omstandigheden en de aard van de overeenkomst als de koop voorziet in levering van de digitale inhoud of digitale dienst.
Een zaak met digitale elementen is hoe wetgevingsjuristen een IoT-apparaat of “slim apparaat” omschrijven: een ding dat op je tenen valt (en dan pijn doet) maar met software erin. De regel geldt dan weer niet voor los verkochte software op een drager, en ook niet voor software-als-download.

De wet schrijft dus niet een specifieke periode voor, maar koppelt deze -net als de ‘gewone’ verwachting omtrent goed werken- aan de redelijke verwachting van de koper. Dat is dus iets dat we in de rechtspraak moeten gaan zien wat redelijk is. Bij een slimme vaatwasser (ik heb er een: hij appt me als hij klaar is, dit schijnt slim te zijn) mag je denk ik langer updates verwachten dan bij een speelgoedlaptop voor kleuters, om eens wat te noemen. Maar simpelweg weigeren updates te leveren, of verwijzen naar de fabrikant, dat zit er niet meer in.

Zoals ik in februari al blogde, er is een gaatje in lid 6 van datzelfde artikel:

Van het niet beantwoorden van de afgeleverde zaak aan de overeenkomst in de zin van de leden 2 of 4 is geen sprake indien de koper er bij het sluiten van de overeenkomst uitdrukkelijk van in kennis werd gesteld dat een specifiek kenmerk van de zaak afweek en de koper die afwijking bij het sluiten van de overeenkomst uitdrukkelijk en afzonderlijk heeft aanvaard.
Mij is nog steeds niet duidelijk of dit een verplicht te aanvaarden vinkje mag zijn. Ik vermoed ondertussen van wel, mits maar duidelijk in de begeleidende informatie staat dat het zonder updates komt.

Een interessante signalering nog in de comments bij Security.nl:

Er komt een certificering Cyberveiligheid van consumenten IoT, zie https://www.kiwa.com/nl/nl/service/etsi-en-303-645-beveiliging-iot-consumentenelectronica/. De betreffende norm (ETSI EN 303 645) is redelijk specifiek in waar aan voldaan moet worden.
Een winkel zou bij haar inkoopbeleid dan kunnen eisen dat fabrikanten een dergelijke ETSI-certificering hebben, zodat zij weten dat de software goed te updaten is.

Arnoud

Servers van iot-maker Insteon zijn zonder aankondiging offline gehaald, mag dat?

Geplaatst op in Informatiemaatschappij, 12 reacties
khaase / Pixabay

Smarthomeaanbieder Insteon heeft zijn servers offline gehaald, meldde Tweakers onlangs. Het bedrijf heeft dat niet aan klanten laten weten en medewerkers van het bedrijf lijken al hun online aanwezigheid te hebben verwijderd. Vervelend: zit je dan met je slimme huis, maar omdat alle communicatie via Insteon-servers moet gaan, kun je vrijwel niets meer. Gelukkig wordt het mooi weer de komende tijd.

Oké, dat laatste viel mee: je kunt lokaal (dus in huis zelf) alles nog wel bedienen, maar als je vanaf je werk de gordijnen wilt opendoen of de afwas alvast aanzetten, dan gaat dat niet. Maar nog steeds best vervelend dus.

Het is geen technisch probleem, maar een finance issue aldus de site:

In 2019, the onset of the global pandemic brought unforeseen disruption to the market, but the company continued to move forward. … [A] sale was expected to be realized in the March timeframe. Unfortunately, that sale did not materialize. Consequently, the company was assigned to a financial services firm in March to optimize the assets of the company.
In gewoon Nederlands, ja sorry we zijn failliet. En ja, dan houdt het wel een beetje op met je dienstverlening natuurlijk. Want SaaS en clouds, dat is juridisch gewoon dienstverlening met een stekker, en die kan er gewoon uit als er niet meer wordt betaald, als de dienstverlening stopt of als het bedrijf dat doet.

Zeker bij dat laatste is er natuurlijk geen juridisch redmiddel, het bedrijf zal verdwijnen en daarmee ook alle assets waarmee de dienst geleverd zou worden. Maar ook als men zou besluiten om een afgeslankte doorstart te maken, of gewoon deze dienst eruit te gooien om de boel gezond te krijgen, dan houdt het gewoon op. Dit is een gevolg van de gebrekkige regeling in de wet (niet alleen hier, maar ook in de VS) als het gaat om ict-dienstverlening: de regels zijn dezelfde als voor zeg schoonmakers of minstrelen, als ze geen zin meer hebben dan mogen ze stoppen, en jij moet maar een ander zoeken.

Arnoud

 

 

 

Wat is de juridische definitie van social media?

Geplaatst op in Informatiemaatschappij, 8 reacties

De voorman van actiegroep Viruswaarheid is opnieuw aangehouden, zo meldde RTL Nieuws onlangs. Dit vanwege de schending van de afspraken bij zijn voorwaardelijke invrijheidsstelling, concreet dat hij zich zou “onthouden van uitingen op social media”. De schending zou mogelijk zitten in een optreden in een video op het YouTube-kanaal Café Weltschmerz. Een aanhouding volgde, maar de rechter besloot desondanks opnieuw tot invrijheidsstelling te gaan. Wat de vraag oproept: wat is “social media” dan precies?

Op 29 maart deed de rechtbank uitspraak over de man, die toen in voorlopige hechtenis zat wegens verdenking van opruiing. De rechtbank oordeelde toen dat er geen zwaarwegende redenen waren om hem nog langer vast te houden, maar stelde wel onder meer de eis dat “verdachte zich [zal] onthouden van uitingen op social media”. Deze eis was op aanbod van de verdachte zelf, dus mijn gedachte is dat de rechtbank het toen duidelijk genoeg vond.

Enkele dagen later volgde een optreden in een video op het YouTube-kanaal Café Weltschmerz, en weer iets later een arrestatie. (Het OM heeft nooit bevestigd dat dit de reden was, maar wel tegen diverse media gemeld dat men “de video gezien had”.) Vervolgens moet de rechtbank zich dan weer uitlaten over de schending, en dat klonk opmerkelijk:

De rechtbank is weliswaar van oordeel dat de verdachte de voorwaarden die aan de schorsing van de voorlopige hechtenis zijn verbonden, niet is nagekomen, maar is desondanks van oordeel dat de schorsing moet voortduren, omdat de hiervoor onder 5 genoemde, weliswaar namens verdachte geopperde, voorwaarde te ruim omschreven is. Daarom wordt de vordering van de officier van justitie afgewezen en komt de onder 5 genoemde voorwaarde te vervallen.
De term “social media” wordt vaak gebruikt alsof we weten wat we ermee bedoelen. Wikipedia hanteert als definitie bijvoorbeeld “een verzamelbegrip voor online platformen waar de gebruikers, zonder of met minimale tussenkomst van een professionele redactie, de inhoud verzorgen”. Dat helpt bij het afbakenen tegen traditionele redactiegestuurde media, maar niet bij de vraag of meewerken aan een interview dat op Youtube komt, een “uiting op social media” is, laat staan een die je de verdachte kunt verwijten.

De rechtbank kiest hier dan ook de enige wijze route: dit is zo slecht geformuleerd dat het onwerkbaar is. Een meer specifiek verbod had wel kunnen werken (“zal via een door hem beheerd / aan hem gekoppeld Twitter-account niets verkondigen”) maar daar is het nu te laat voor.

Arnoud

Rechter fluit OM terug wegens stiekem lezen e-mails van advocaten

Geplaatst op in Informatiemaatschappij, 11 reacties
talhakhalil007 / Pixabay

De rechtbank in Den Bosch heeft het Openbaar Ministerie (OM) dinsdag hard op de vingers getikt, meldde het FD onlangs. Een opsporingsteam kreeg in een strafzaak tegen een vermogensbeheerder inzage in duizenden e-mails tussen advocaten en hun cliënten. Dat is keihard onrechtmatig vanwege het verschoningsrecht.

Het betrof de zogeheten Castor-zaak, een fraudezaak tegen vermogensbeheerder Box, die onder meer werkt voor het Koninklijk Huis. Meer dan drieduizend mails van advocaten bleken bij het OM op diverse plekken op te duiken, onder meer in tuchtklachten tegen diezelfde advocaten. Dat is heel erg niet de bedoeling, het verschoningsrecht (in Amerikaanse series: privileged communication) is een belangrijk deel van de bijzondere rol van advocaten.

In het Box-onderzoek zijn hele bergen met e-mails gevorderd bij de provider, Winvision. Dat kan, en daar kunnen dan ook natuurlijk mails onder verschoningsrecht tussen zitten. Daar houd je als opsporingsambtenaar rekening mee, bijvoorbeeld door te filteren op de naam van bekende advocaten in de zaak en door, als je dan toch iets ziet, direct de officier van justitie in te lichten en de boel verder te laten liggen. Dat gebeurde hier niet: men ging zelf wat filteren en intern overleggen, kreeg het advies dat alle 3000 mails vernietigd moesten worden maar besloot dat niet op te volgen, waarna 875 van die mails bij het opsporingsteam terecht kwamen. Eh, wat.

Dit terwijl de schending van het verschoningsrecht in het onderzoek Castor bij de kennisname van de Winvision gegevens op eenvoudige wijze grotendeels op voorhand voorkomen had kunnen worden. Immers, aangezien de Staat al meer dan vijf maanden voordat Winvision werd bevolen om alle e-mails van Box c.s. aan de FIOD en het Openbaar Ministerie af te geven, in de wetenschap verkeerde dat [eisers] voor Box c.s. optraden, had de Staat Winvision kunnen opdragen slechts die digitale gegevens te verstrekken die niet afkomstig waren van of gericht waren aan (rechtstreeks dan wel in cc) één van de betrokken advocaten.
De rechter verbiedt justitie voortaan om e-mails te lezen van advocaten die bij de zaak betrokken zijn. Men krijgt een concreet stappenplan omdat kennelijk niet duidelijk was hoe te handelen: niet vragen om mails met deze personen in To, From of CC, als je die namen aantreft dan de mails vernietigen, en in een proces-verbaal vastleggen hoe dit alles is verlopen. Je zou zeggen dat dit vanzelfsprekend was.

Dan nog even een kleine pet peeve over die cc. Dat is weer iets uit Amerikaanse series, dat informatie privileged is zodra er een advocaat in cc staat. Iets dat de Bad Guy dan triomfantelijk in het gezicht van onze held kan smeren. Dat is dus niet zo. Waar het om gaat, is of sprake is van communicatie met de advocaat in die specifieke rol, bijvoorbeeld een juridische vraag, een advies van de advocaat, juridische stukken ter controle, dat soort dingen. Mails met mijn compagnon over het oplichten van een klant blijven te vorderen als bewijs, ook al cc ik elke keer mijn advocaat.

Arnoud

Zijn de boekenrecensiebots van NBD Biblion een goede ontwikkeling? #legaltechtuesday

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 13 reacties
ahmedgad / Pixabay

De beslissing van bibliotheekorganisatie NBD Biblion om boekrecensies voortaan uitsluitend te laten produceren door AI leidt tot heftige reacties. Dat las ik in tijdschrift Neerlandistiek. Niet in het minst omdat de 700 menselijke recensenten nogal onverwacht met ontslag werden gestuurd, maar ook omdat het voelt als een verschraling: de handgeschreven recensies in bloemrijke taal worden nu vier schuifjes: activiteit (van relax naar concentratie); stemming (van vrolijk naar duister); seks (van geen naar veel); geweld (van geen naar veel). Wie wordt daar blij van?

Wie een paar voorbeelden wil: klik hier. De achterliggende boosheid lijkt met name op de gedachte te rusten dat het recenseren van boeken toch een zuiver menselijke activiteit is, die je niet aan een robot/AI kunt overlaten. Het raakt aan de fundamentele discussie of een AI nu wel of niet goed een tekstanalyse kan maken.

Een aantal lezers vroeg me dan ook, geldt ditzelfde niet ook voor jouw contractenrobot? Niet helemaal, denk ik. Bij analyseren van een zakelijke tekst zoals een contract zoek je naar concreet wat er staat. Welke looptijd heeft dit, wordt hier AVG compliant afgesproken, wat is het plafond qua aansprakelijkheid. Daar zit natuurlijk een stukje interpretatie in (denk aan “hoe streng zijn de security-eisen”) maar dat gaat op een vaste manier, en je kunt dat meten.

Een boekrecensie is naar zijn aard een stuk persoonlijker. Zoals ze bij Neerlandistiek schrijven:

Presteert een groep van om en nabij de zevenhonderd mensen beter dan een paar digitale bots die boeken beschrijven? In de zevenhonderd menselijke hoofden in deze groep zitten allerlei cultureel bepaalde aannames over wat een goed geschreven boek is. Er zitten ook allerlei subjectieve meningen in over welke onderwerpen belangrijk en interessant zijn, over welke verhalen saai zijn, wat cliché-beeldspraak is en over wat een mooie stijl is.
Het laat wel zien hoe moeilijk het dan is om uit zo’n dataset de relevante informatie te halen waarmee je goede uitspraken kunt doen. Bij Tzum citeren ze bijvoorbeeld het boek Alexandra:
De computer vindt dat er niet heel veel geweld in Aleksandra voorkomt en je vraagt je af hoe de computer de communistische terreur, de Tweede Wereldoorlog, de oorlog op de Krim met plunderingen en moorden beoordeelt met een schuifje bij geweld dat in het midden staat.
Het gevaar dat hier achter zit, is dat het systeem getraind is op boeken waarbij geweld een heel andere rol speelt, denk aan Scandinavische moord-detectives. Dan is een verhaal met als achtergrond de oorlog op de Krim niet zo gewelddadig inderdaad.

Het zou een mooie case zijn, zoals ze bij Neerlandistiek bepleiten, om dit algoritme eens helemaal door te lichten. Op welke data is getraind, hoe zijn de labels tot stand gekomen, hoe worden uitkomsten periodiek bijgesteld? Omdat het om boeken gaat, is daarbij geen AVG-risico (zoals vaak bij AI het probleem is).

Arnoud

Grootste internetproviders blokkeren sites RT en Sputnik, moet dat eigenlijk wel?

Geplaatst op in Informatiemaatschappij, 28 reacties

Internetproviders VodafoneZiggo, T-Mobile en KPN blokkeren vanaf vandaag de websites van RT (voorheen Russia Today) en Sputnik News. Dat meldde de NOS dinsdag. De blokkade is een uitvloeisel van de maatregel waarover ik vorige week blogde, want daarin werden ook internetproviders aangemerkt als “exploitanten” die deze twee media moeten blokkeren. Provider Freedom gaat al in bezwaar. Niet heel raar, want naast dat dit érg vergaand is, kun je ook gerust juridische vraagtekens stellen bij de interpretatie.

De kern van het verbod is een brede volzin:

Het is exploitanten verboden inhoud die door de in bijlage XV vermelde rechtspersonen, entiteiten of lichamen wordt verstrekt, uit te zenden of de uitzending van die inhoud mogelijk te maken, te faciliteren of anderszins daartoe bij te dragen, onder andere door transmissie of distributie, ongeacht het middel, bijvoorbeeld via kabel, satelliet, IP-TV, internetproviders, internetplatforms of applicaties voor het delen van video’s, ongeacht of deze nieuw of voorgeïnstalleerd zijn.
Ik heb twee woorden vet gemaakt die essentieel zijn voor de blokkade door VodafoneZiggo en consorten. Allereerst dat verbod. Logisch voelt dat een internetprovider door de ACM wordt gecontroleerd, maar dat staat dus anders in de Telecommunicatiewet (artikel 15.3a):
Ingeval bij of krachtens deze wet regels worden gesteld ter uitvoering van het Internationaal Telecommunicatieverdrag dan wel ter uitvoering van verordeningen, richtlijnen of besluiten als bedoeld in artikel 288 van het Verdrag inzake de werking van de Europese Unie op het gebied van openbare elektronische communicatienetwerken en -diensten, kan overtreding van die regels ook als strafbaar feit worden aangemerkt dan wel worden bestraft met een bestuurlijke sanctie indien deze regels in de Engelse taal zijn gesteld en bekend gemaakt.
We hebben het hier immers over een verordening die uit de EU komt (dat artikel 288 VWEU) en het betreft dienstverleners op zulke netwerken. Dus mag het als strafbaar feit aangemerkt worden, en logisch dat het OM daar dan op handhaaft.

En waarom is het een strafbaar feit? Daarvoor moeten we terug naar de Verordening uit 2014, ingevoerd bij de eerste inval van Rusland. Daar hoort een Nederlands Besluit bij verbiedt in Nederland wat de Europese Verordening allemaal opdraagt te verbieden, en dan gaan we weer een stapje omhoog naar de Sanctiewet 1977 (die Nederland toestaat zo’n besluit in te voeren) en van daaruit opzij naar de Wet op de economische delicten, die in artikel 1 de Sanctiewet noemt en in artikel 2 zegt dat het overtreden daarvan een misdrijf oplevert. Waartegen het OM dus in actie kan komen.

Dan het begrip ‘uitzenden’. Dat is natuurlijk een klassieke media-term, een kabelprovider mag dus RT niet meer in haar pakketten aanbieden. Maar we hebben het hier over internettoegangsproviders, die verlenen toegang tot internet en verzorgen geen uitzendingen. Men blokkeert nu een website, in plaats van een uitzending. Valt dat wel onder het bereik van het sanctieverbod?

Dit is nog een heel gepuzzel, waar ik eerlijk gezegd nog niet helemaal uit kom. De kern is dat een ‘uitzending’ gedefinieerd wordt gericht op de klassieke manier: een transmissie naar het publiek die het dan kan bekijken. On-demand valt er niet onder, en alleen al daarom zouden internetdiensten (zoals een website met een videoplayer) er niet bij moeten horen. Dit staat ook nog eens in de e-commerce richtlijn, overweging 18:

Televisieomroepactiviteiten in de zin van Richtlijn 89/552/EEG en radio-omroepactiviteiten zijn geen diensten van de informatiemaatschappij omdat zij niet op individueel verzoek verricht worden. Diensten daarentegen die van punt tot punt worden doorgegeven, zoals video op verzoek of het verlenen van commerciële communicatie via elektronische post, zijn wel diensten van de informatiemaatschappij.
Tegelijk blijf je dan zitten met de vraag: wat doen die internetproviders dan in de lijst, als zij niets langskrijgen dat een “uitzending” is en dus niets te blokkeren hebben?

Een mogelijke oplossing is dat je zegt, het gaat er niet om dat internetproviders ‘uitzenden’, maar dat ze “bijdragen” aan uitzendingen doordat ze terugkijken via de website mogelijk maken, of omdat je een livestream kunt bekijken die gelijk is aan de klassieke uitzending. Toegang tot een livestream van een televisie-uitzending geven kun je immers op één lijn stellen met het doorgeven van de uitzending zelf.

Helemaal bevredigend is het niet. Het helpt niet dat de betrokken overheidspartijen – ACM en OM met name – geen toelichting geven. De ACM komt niet verder dan “dit is niet in strijd met netneutraliteit” en dat is inderdaad zo, want iets blokkeren op basis van een wettelijk verbod is gewoon een vaste uitzondering op netneutraliteit. Maar het helpt niet bij de vraag wat en waarom men moet blokkeren.

Arnoud

Hoe ver mag je gaan als burgervrijwilliger in de Oekraïense invasie?

Geplaatst op in Informatiemaatschappij, 24 reacties

Via Twitter:

Maar een blogpost van AE @ictrecht over hoe ver je kan en mag gaan als normale burger of als cyber militia (of wat is Anonymous eigelijk?) zou ik zeer boeiend vinden.
Zeker na de berichtgeving over Anonymous dat Rusland terug wil aanvallen heb ik veel mails gekregen van mensen die mee wilden doen. Of die lid willen worden van het Oekraïense IT-leger, of zelfs het fysieke leger (for lack of a better term).

Om daarmee maar te beginnen: dat mag, in vreemde krijgsdienst gaan als Nederlander. Je overtreedt dan geen wet (tenzij je Nederlands militair bent of je tegen Nederland/een NAVO land gaat vechten), je verliest ook niet je paspoort et cetera. Het enige is, je moet dan wel echt bij een krijgsdienst van een land ingeschreven worden. Of dat nu het Franse Vreemdelingenlegioen is of de Oekraïense landmacht, dat maakt dan niet uit.

Maar let op: het werven van Nederlanders voor vreemde krijgsdienst is wél strafbaar (art. 205 Strafrecht). Een website bouwen waarin mensen zich kunnen organiseren om samen te gaan vechten, is dus juridisch zeer onverstandig. (Het helpen van mensen die toch al wilden gaan aanmelden voor het Oekraïense leger valt er dan buiten, die mensen wilden al en die werf jij dus niet meer.)

Gewoon gaan vechten is juridisch iets heel anders dan lid worden van een leger. Als je als gewoon burger bijvoorbeeld ddos-aanvallen uitvoert, dan is dat gewoon een strafbaar feit – net zoals iemand omleggen moord is, ook al zou die iemand bezig zijn met Kiev aanvallen of verboden clustermunitie laden voor een bombardement. Heel misschien kom je dan weg met een beroep op overmacht of noodweer, maar ik zou er niet op rekenen.

Een realistisch risico is dat het OM zo’n cyberaanval ziet als een poging om Nederland bij de oorlog in Oekraïne te betrekken, en dat is strafbaar met tot tien jaar cel (art. 100 Strafrecht):

hij die, in geval van een oorlog waarin Nederland niet betrokken is, opzettelijk enige handeling verricht waardoor het gevaar ontstaat dat de staat in een oorlog wordt betrokken, of enig van regeringswege gegeven en bekendgemaakt bijzonder voorschrift tot handhaving van het niet deelnemen aan de oorlog opzettelijk overtreedt;
Het argument is dan dat wie bijvoorbeeld een ddos-aanval uitvoert op zeg Russische brandstofvoorzieningen, daarmee de Russische opmars saboteert, wat Rusland kan zien als oorlogshandeling en daar Nederland op aankijkt. (Het maakt niet uit dat Rusland dit een “speciale militaire interventie” noemt, er is geen oorlogsverklaring zoals bedoeld in artikel 96 Grondwet nodig).

Alles bij elkaar: doe het niet. Gewoon niet. Helpen bij opvang van vluchtelingen of het verzorgen van noodhulp lijkt me veel productiever. En als je écht unieke skills hebt waarmee Oekraïne gediend zou zijn, meld je dan bij Defensie.

Arnoud