Mag een ISO27001-gecertificeerde organisatie ChatGPT gebruiken?

| AE 14047 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

PeggyMarco / Pixabay

Een lezer vroeg me:

Kan een bedrijf dat voor ISO27001 (of NEN7510) gecertificeerd is, gebruik maken van ChatGPT of vergelijkbare tool voor het schrijven en corrigeren van code? Je kunt met deze tools immers makkelijk bedrijfsgeheimen (zoals broncodes) laten uitlekken. Hoe verhoudt zich dat tot zo’n certificering?
Tools zoals ChatGPT of Copilot van Microsoft zijn momenteel erg populair om snel software mee te schrijven of het ontwikkelproces te versnellen. Maar het zijn externe tools, dus alle data die je erin stopt, gaat naar een bedrijf buiten de organisatie dat er van alles mee kan doen. En dat kan dus zomaar eigen vertrouwelijke en waardevolle software-broncode betreffen bijvoorbeeld.

Bekend (of berucht) is het voorbeeld van Samsung, waar werknemers onder meer eigen broncodes aan ChatGPT gaven om deze op fouten te laten controleren.  Ook werden meeting-aantekeningen geupload om er notulen van te laten maken. Hoewel de aanbieder van ChatGPT natuurlijk niet direct die gegevens gaat delen met de pers, is de kans aanwezig dat het systeem er wel op bijgetraind wordt, of dat werknemers bij controle van de uitvoer dit tegenkomen en het (al dan niet onbewust) elders inzetten.

De inzet van zo’n tool is daarmee te zien als een risico voor de beveiliging van informatie, en laat dat nu precies zijn waar standaarden als ISO27001 over gaan: het identificeren en beheersen van zulke risico’s. Je zou dus verwachten dat een ISO-certified organisatie op zeker moment dit risico signaleert, en processen introduceert om de gevolgen te mitigeren. Dat zou kunnen zijn het blokkeren van ChatGPT als website, maar ook een awarenesstraining voor medewerkers of het sluiten van nieuwe contracten met de aanbieders van zulke tools.

Het is dus niet zo dat een organisatie die ISO27001 gecertificeerd is, zulke tools niet mag gebruiken. Je organisatie hoeft zeker niet volledig statisch te blijven tot de volgende audit. Het is precies omgekeerd: met zo’n certificering ben je in staat om ook dit risico tijdig te onderkennen en maatregelen te nemen.

Arnoud

Schaft Japan het auteursrecht af om de AI race te winnen?

| AE 14049 | Innovatie, Intellectuele rechten, Ondernemingsvrijheid | 2 reacties

Japan gaat all-in, las ik bij diverse tendentieuze AI-nieuwssites: het auteursrecht in dat land geldt niet tegen partijen die massaal beschermde werken kopiëren voor data mining en daar taalmodellen (“AI”) van maken. Men ziet dit als een strategische keuze van het land, want hoe meer data hoe beter je AI en dus hoe sneller je vooruitkomt in de vaart der volkeren. Newsflash: het is niets nieuws.

Het klopt dat de Japanse minister van cultuur, sport en technologie Keiko Nagaoka recent heeft gezegd dat onder het Japans auteursrecht het geen inbreuk is om werken te kopiëren voor data mining:

[I]n Japan, whether it is for non-profit purposes, commercial purposes, or acts other than duplication, it is obtained from illegal sites, etc. Minister Nagaoka clarified that the work can be used for information analysis regardless of the method, regardless of the content.
Als je dan de wetstekst erbij pakt dan staat in artikel 30-4 inderdaad iets van die strekking:
It is permissible to exploit a work, in any way and to the extent considered necessary, … if it is done for use in data analysis (meaning the extraction, comparison,classification, or other statistical analysis of the constituent language, sounds, im-ages, or other elemental data from a large number of works or a large volume of other such data;
De minister bevestigt dus dat deze brede tekst inderdaad breed bedoeld is. Dit lijkt op een discussie die in Europa al sinds 2019 woedt, toen in de Auteursrechtrichtlijn (2019/790) ook zoiets in de wet werd gezet:
1. De lidstaten voorzien in een uitzondering op of beperking van de rechten als bedoeld in artikel 5, onder a), en artikel 7, lid 1, van Richtlijn 96/9/EG, artikel 2 van Richtlijn 2001/29/EG, artikel 4, lid 1, onder a) en b), van Richtlijn 2009/24/EG en artikel 15, lid 1, van deze richtlijn voor reproducties en opvragingen van rechtmatig toegankelijke werken en andere materialen met het oog op tekst- en datamining.
Hier staat ook geen voorbehoud over al dan niet met commercieel oogmerk, hoewel er wel de beperking geldt dat het werk rechtmatig openbaar maakt moet zijn. Ook is er (niet geciteerd) de optie van een voorbehoud, dat een rechthebbende kan maken in machine-leesbare vorm waarna data miners dat moeten respecteren. Wat dat betreft lijken we dus net zo ver te zijn als Japan, en ik zou niet echt van een auteursrechtelijke “race to the bottom” willen spreken, hoewel het natuurlijk voor de AI-industrie wel goed is dat je in principe mag dataminen in alle openbare bronnen.

Er zit nog een belangrijke angel in deze uitzondering: de zogeheten driestappentoets geldt ook bij de uitleg van deze uitzondering. Deze toets komt uit de Berner Conventie (artikel 9) en het TRIPS verdrag (artikel 13), en komt erop neer dat een uitzondering niet het uitgangspunt van het auteursrecht mag verstoren – je mag niets zonder toestemming. De drie stappen zijn:

  1. De beperking mag alleen gelden voor bepaalde bijzondere gevallen.
  2. De wettige belangen van de rechthebbende mogen niet onredelijk worden geschaad.
  3. Er mag geen afbreuk worden gedaan aan de normale exploitatie van werken of ander materiaal.
Het gaat hier om een interpretatieregel. Het is bijvoorbeeld dus niet de vraag of jouw specifieke situatie een “bijzonder geval” is, maar of de beoogde toepassingssituaties in algemene zin “bijzondere gevallen” te noemen zijn. De thuiskopie-regeling voldoet bijvoorbeeld: voor jezelf kopiëren is een bijzonder (beperkt omschreven) geval, er wordt een vergoeding afgedragen dus er is geen onredelijke schade, en de normale exploitatie (kopen, downloaden, streamen) blijft gewoon bestaan.

Wat levert deze toets op in het geval van deze data mining uitzondering? Het lijkt een bijzonder geval, en de normale exploitatie blijft ook gewoon bestaan. Die wettige belangen is een iets lastigere, er wordt immers geen vergoeding afgedragen. Maar daar staat tegenover dat je als rechthebbende een opt-out kunt doen, zodat je jouw belangen vervolgens zelf kunt behartigen door bijvoorbeeld data mining licenties te verkopen tegen een zelf te kiezen vergoeding.

Omdat Japan ook lid is van de Berner Conventie en de Wereldhandelsorganisatie, geldt deze toets ook voor Japan. Wederom: juridisch gezien dus niets nieuws. Het is vooral opmerkelijk dat in de VS, waar men die driestappentoets voornamelijk negeert en alleen vagelijk wuift naar fair use als het om machine learning gaat, er zo veel wordt gedatamined.

Arnoud

FIOD en OM halen IPTV-dienst offline die 10.000 zenders en Netflix aanbood

| AE 14035 | Intellectuele rechten, Regulering | 25 reacties

De Nederlandse FIOD heeft samen met het Openbaar Ministerie een grote IPTV-dienst offline gehaald, las ik bij Tweakers. De streams werden aangeboden vanaf een datacenter in Den Helder, en omvatte ruim 10.000 tv-zenders en streamingdiensten als Netflix, Viaplay, Videoland, ESPN en Disney+. Dat tientje per maand ben je kwijt als afnemer van die dienst, maar echt zorgen maken over strafvervolging hoeft nou ook weer niet.

De FIOD kwam in beeld omdat het bedrijf inkomsten op grote schaal witwaste, en zoals iedereen weet wordt je uiteindelijk altijd gepakt op de belastingen (hoi Al Capone). Er is bij mijn weten geen actieve strategie om achter IPTV-aanbieders aan te gaan vanuit het Openbaar Ministerie, wat natuurlijk te maken heeft met het feit dat die aanbieders zelden in Nederland gevestigd zijn. Staand beleid is al lange tijd dat men alleen ingrijpt bij bedreiging volksgezondheid, banden met georganiseerde misdaad of grootschalige piraterij die de markt verstoort. En dat is niet direct aan de orde bij zo’n IPTV dienst.

Opzettelijke inbreuk op auteursrecht is een misdrijf (art. 31 Auteurswet), en omdat downloaden uit illegale bron ook niet mag, geldt dit formeel dus ook voor welbewust downloaden uit illegale bron. Wie 10 euro per maand betaalt en daarvoor toegang tot 10.000 zenders verwacht, is volgens mij echt welbewust de wet aan het overtreden. Tegelijkertijd: het opsporen is de moeite niet waard, dus dat zal echt niet gebeuren.

Een leuke discussie ontspint zich nog in de comments bij Tweakers: dit had niet gemogen, er is geen sprake van omzetverlies et cetera want de mensen die dit afnemen willen eigenlijk vooral buitenlandse zenders/aanbod kijken dat hier niet legaal te krijgen is. Plus, als je dit allemaal legaal afneemt is het veel te duur – je kunt al snel aan 60 tot 100 euro per maand zitten als je al die diensten afneemt.

Ik vind het moeilijk sympathie voor die argumenten op te brengen. Met name dat “buitenlandse zenders” voelt als een te gezocht argument. Maar goed.

Arnoud

 

Kan mijn werkgever met deze bepaling eigendom claimen van een boek dat ik in mijn vrije tijd schrijf?

| AE 14028 | Intellectuele rechten | 7 reacties

Die titel zag ik via Reddit, en laat “een boek in mijn vrije tijd schrijven” nou altijd mijn standaardvoorbeeld zijn van iets waar je werkgever géén rechten op kan claimen. Maar hier ligt het iets subtieler: Dit is een bepaling in de arbeidsovereenkomst van een bedrijf waar ik aan de slag zal gaan als copywriter…. Lees verder

Deze fotograaf kreeg een rekening omdat hij zijn foto uit de LAION dataset wilde hebben

| AE 14000 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een Duitse stockfotograaf eiste bij de beheerders van de LAION dataset verwijdering van zijn foto’s, maar kreeg een factuur van $979 in plaats van excuses. Dat las ik bij VICE, en ik wou dat ik zulke clickbaittitels kon schrijven. De zaak is interessant genoeg, zeker nu de fotograaf een rechtszaak is begonnen. Het Duitse LAION… Lees verder

Wat is er aan de hand met de nieuwe merkenregels van programmeertaal Rust?

De nieuwe trademark-regels van het open source Rust project doen nogal wat stof opwaaien, las ik bij DevClass. Rust is een relatief populaire programmeertaal, die problemen met andere talen oplost. De taal wordt vanuit de opensourcegedachte aangeboden inclusief alle benodigde tooling, en in 2020 werd een stichting opgericht waarbij de naam als merk werd vastgelegd. De… Lees verder

Als je klant je broncode wist, dan hou je een leeg auteursrecht over, succes verder

| AE 13908 | Intellectuele rechten, Security | 10 reacties

“Eiser heeft al vrijwilliger software ontwikkeld voor gedaagde.” Een zin in een arrest waar menig ict-jurist rillingen van krijgt: weinig dingen gaan zo vervelend verkeerd als afspraken tussen vrijwilligers. Ook in deze zaak: de software was heel handig, maar op zeker moment is de samenwerking beëindigd, en oh ja oeps, toen “heeft gedaagde de computer… Lees verder

Van wie is mijn werk als ik ChatGPT mijn werk laat doen?

| AE 13898 | Intellectuele rechten | 5 reacties

Een lezer vroeg me: Ik ben programmeur en in mijn arbeidscontract staat dat alle software die ik maak, eigendom van mijn werkgever is. Fair enough, maar ik gebruik vaak ChatGPT om basis-stukjes code op te zetten of oplossingen te suggereren voor problemen waar ik tegenaan loop. Is dan alleen die ene uitkomst van de bot… Lees verder

De US Copyright Office accepteert geen registraties van (mede) door AI gegenereerd werk, nou en?

| AE 13870 | Innovatie, Intellectuele rechten | 9 reacties

De US Copyright Office, waar je auteursrechtelijk beschermde werken registreert als je rechtszaken wilt voeren, weigerde recent de registratie van de graphic novel Zarya of the Dawn omdat een deel van het werk door AI Midjourney gegenereerd was. Dat las ik bij The Verge. Weliswaar erkent men dat de tekst en plot en dergelijke het werk zijn van de mens Kris… Lees verder

Usenetprovider NSE droeg niet bij aan copyrightinbreuken maar ging wel ten onder, hoezo?

| AE 13834 | Intellectuele rechten | 14 reacties

De Hoge Raad heeft in een zaak tussen usenetprovider News-Service Europe en Stichting Brein bepaald dat de provider geen inbreuk heeft gemaakt op het auteursrecht en in die zin niet onrechtmatig heeft gehandeld tegenover rechthebbenden. Dat meldde Tweakers vorige week. Een Pyrrhus-overwinning, want NSE is al lang (2011) gestopt met haar dienstverlening. Wat natuurlijk vele… Lees verder