Mag een winkel beveiligingscamera’s de pinapparaten laten filmen?

Een lezer vroeg me:

Een grote, bekende winkel heeft camera’s boven de balies hangen. Hierop zijn de pinpads van de pinapparaten haarscherp zichtbaar. Er wordt geen gebruik gemaakt van privacy masking, waardoor het kinderspel is om pincodes van klanten op de beelden te bekijken. Mijn vraag is: mag een winkel de pincodes van klanten filmen?
Op het eerste gezicht lijkt me dit een foutje. Men wil de balies filmen zodat bijvoorbeeld winkeldieven en onrustmakers op beeld vastliggen. Daartoe is een camera opgehangen op een gunstige plek, en niemand heeft daarbij gedacht aan de zichtbaarheid van de pinpads.

Een dergelijke fout is in dit geval een AVG issue, namelijk artikel 32 dat adequate beveiliging van persoonsgegevens vergt, en meer algemeen van artikel 24 dat eist dat je passende technische en organisatorische maatregelen neemt om naleving van de AVG te borgen. Voor mij zou het dus voor de hand liggen om een mask in te stellen bij de camerabeheersoftware, zodat precies de pinpads niet meer herkenbaar vastgelegd worden.

Je zou als winkel de afweging anders in kunnen steken, uitgaande van de aanname dat de beelden veilig opgeslagen staan en alleen bekeken worden als sprake is van een incident. Daarbij kijkt men op tijdcode bepaalde beelden terug, dus dat Wim ’s ochtends om half tien 1-2-3-4 typte zal niemand zien als we om drie uur kijken hoe Hans zich misdroeg.

Blijft over het risico van datalekken, hier dus het laten stelen van de beeldopnames. Als je de beelden automatisch wist na zeg een dag dan is dat risico redelijk beperkt, en wellicht is een opstelling mogelijk waarbij toegang tot de beelden via het netwerk onmogelijk is. (Ik realiseer me dat veel camerasystemen netwerktoegang eisen.)

Je maakt dan de afweging dat het restrisico acceptabel is, met de bijkomstige aanname dat mensen gewend zijn hun pincode af te schermen bij het typen, zodat de kans dát er een pincode in beeld komt heel klein is. Tel daarbij op dat een eventuele beelddief óók nog de pinpas van de gefilmde te pakken zou moeten krijgen, en ik zou snappen dat je dit een verwaarloosbaar risico vindt.

Arnoud

Opa daagt gokbedrijf omdat kleinzoon (17) ruim een half miljoen euro vergokte

Een 77-jarige Nederlandse man daagt gokbedrijf Bingoal voor de rechter omdat zijn 17-jarige kleinzoon in twee maanden tijd ruim 162.000 euro van opa’s spaarrekening kon verspelen zonder dat het bedrijf ingreep. Dat meldde de NOS onlangs. Het Belgisch gokbedrijf, dat ook in Nederland een vergunning heeft, zou haar zorgplicht verzaakt hebben.

Of nog iets specifieker:

Volgens [opa’s advocaat] Bussink had het bedrijf bij een dergelijk hevig speelpatroon de kleinzoon op basis van de geldende regels moeten adviseren het account tijdelijk te sluiten en zichzelf een dwingende ‘gokstop’ te geven van ten minste een halfjaar.
Het bericht deed enige wenkbrauwen fronsen: had opa dit niet zelf door moeten hebben, of zijn bank die ineens anderhalve ton naar een goksite ziet gaan?

Inderdaad zijn dat legitieme vragen, maar die staan los van de zorgplicht die een goksite heeft. Zoals de KSA het uitlegt:

Die zorgplicht houdt in dat aanbieders op tijd moeten ingrijpen als ze constateren dat spelers een gokverslaving hebben of ontwikkelen en/of grote financiële schade lijden door onmatig gokgedrag. Dit risico bestaat vooral bij de risicovolle, short odd-kansspelen, zowel online als in speelhallen en casino’s.
Juridisch gezien komt het neer op de vraag of de aanbieder “redelijkerwijs [kan] vermoeden dat de speler door onmatige deelname of door kansspelverslaving zichzelf of zijn naasten schade kan berokkenen” (artikel 27j lid 1 Wet op de kansspelen). En als ik dit dan lees, dan zou ik toch denken dat er ergens een AI een seintje had moeten geven:
Op zijn eerste speeldag, vrijwel exact een jaar geleden, verloor [de kleinzoon] meteen al 17.500 euro bij Bingoal. In de weken daarna liepen de verliezen razendsnel op. Vooral omdat hij de speellimieten op het absolute maximum had gezet. Daardoor kon hij 30.000 euro per week op zijn account storten en achttien uur per dag online gokken bij Bingoal.
In plaats van snelle actie leidde dit enkel tot een paar e-mails en een graduele verlaging (over twee maanden) van de spellimiet. Pas in juli sloot de aanbieder het account definitief, na een brief van advocaat Bussink.

Arnoud

 

 

 

 

Mag de onderaannemer van de zonnepanelen deze uitzetten als je niet betaalt?

Intrigerende bij Tweakers:

Vorig jaar zijn bij mij zonnepanelen aangelegd. De omvormers en gateway zijn van Enphase. Het hele proces was bijzonder rommelig, en achteraf werd ik gebeld door iemand die claimt de onderaannemer te zijn. Die gaf aan dat de hoofdaannemer failliet is gegaan, en dat ik aan hem moest betalen. Als ik dat niet zou doen, dan zou hij de zonnepanelen op afstand buiten werking stellen.
Dat “buiten werking stellen” is een administratief eenvoudig dingetje: standaard worden installateurs van deze systemen als “maintainer” in de beheersoftware aangemerkt. Alleen zij kunnen dan dingen aanpassen. De klant kan alleen lezen en heeft verder geen controle.

De praktische workaround is zelf een bedrijf aanmelden bij Enphase (dit hoeft niet echt te bestaan) en die als maintainer op te voeren. Alleen is onduidelijk of daarmee de oude maintainer wordt verwijderd. De dreiging van afsluiting zit dus nog steeds in de lucht.

De vraag of het mág wordt daarmee relevant. In principe mag een dienstverlener of aannemer maatregelen nemen als hij niet wordt betaald. Denk aan de aannemer die de voordeursleutel niet geeft (of een hek om de schuur zet) als de klant de factuur niet betaalt. Alleen: dat moet je vóór levering doen, want “het retentierecht eindigt doordat de zaak in de macht komt van de schuldenaar of de rechthebbend” (art. 3:294 BW). Wel moet dat dan “vrijwillig en zonder voorbehoud” gebeuren.

Bij het Tweakers-bericht lees ik dat de zonnepanelen “vorig jaar” zijn geplaatst. Dan mag ik wel vermoeden dat ze ondertussen opgeleverd en in gebruik genomen zijn, zodat volgens mij die regel over einde retentierecht opgaat. Dus de aannemer mag ze niet meer terug in zijn macht nemen en eisen dat er betaald wordt.

Een extra complicatie is natuurlijk dat het hier gaat om een onderaannemer, niet de contractspartij van de consument. Die heeft nooit betaald gekregen van die hoofdaannemer, omdat die in de tussentijd failliet is gegaan.

Het simpele antwoord is dan: ik heb als consument niets te maken met die onderaannemer, omdat ik daar geen contract mee heb. Die mag me dus niet dwingen tot betalen en al helemáál niet de spullen weghouden tot ik dat doe.

Het ligt alleen iets complexer. Zolang de zonnepanelen nog eigendom zijn van de onderaannemer, mag deze ze onder zich houden tot zíjn opdrachtgever – de hoofdaannemer dus – betaald heeft. Dat is zeg maar hetzelfde als een leverancier die de panelen niet levert zodat installatie niet kan gebeuren. Vereist is dan wel dat de panelen dan eigendom zijn van de onderaannemer, en dat hangt natuurlijk sterk af van hoe de taakverdeling was. Én de boel mag nog niet opgeleverd zijn.

Arnoud

Apple krijgt 1,8 miljard boete voor hinderen muziekstreamingdiensten als Spotify

space gray iPhone 8 and Apple AirPods
Photo by Jaz King on Unsplash

Apple krijgt een hoge boete van de Europese Unie, meldde Nu.nl: 1,8 miljard Euro. Het bedrijf hindert muziekstreamingdiensten als Spotify om goedkopere abonnementen buiten Apple om aan te bieden, en dat is een vorm van machtsmisbruik. Het blijft een slepende saga.

De kern is denk ik bekend: Apple eist dat mensen die via een app iets bestellen, dat via de eigen betaalmethode(n) van Apple doen en daarbij hetzelfde bedrag betalen als ze elders kwijt zouden zijn. Uit het persbericht:

In particular, the Commission found that Apple applied restrictions on app developers preventing them from informing iOS users about alternative and cheaper music subscription services available outside of the app (‘anti-steering provisions’). This is illegal under EU antitrust rules.
Dit speelde maar liefst tien jaar, aldus de Commissie, en dat is zwaar onrechtmatig. Vandaar de (voor Europese begrippen) best hoge boete plús een verbod om hiermee door te gaan. En ja, 1,8 miljard is ook voor Apple een vervelend bedrag, al is het maar omdat de aandeelhouders dan boos worden dat zij dat niet als dividend hebben gekregen (en 3% koersdaling, everything is securities fraud dus wachten op de rechtszaak).

Tien jaar is lang in de diensteneconomie, eigenlijk te lang om zulk gedrag door te laten gaan. Dat is altijd de makke geweest van het mededingingsrecht. Weet iemand nog, Netscape was heel groot en Microsoft maakte het kapot? Ook dat mocht niet – 500 miljoen boete – maar ondertussen was Netscape volledig verdwenen.

Het is dan misschien ook maar goed dat we sinds kort de Digital Markets Act hebben, die expliciet een heleboel dingen verbiedt die daardoor veel makkelijker aan te pakken zijn. Meer over de DMA en zijn grote zus de DSA lees je in mijn recente Tweakers-artikel!

Arnoud

Hola, nu moet de rechtbank gaan bepalen of ChatGPT een superintelligentie is?

a close up of a computer screen with a message on it
Photo by Jonathan Kemper on Unsplash

OpenAI en topman Sam Altman worden aangeklaagd door Elon Musk, meldde BNR onlangs. Zij zouden afspraken hebben geschonden met Musk als medeoprichter van OpenAI. Die organisatie is opgericht als een nonprofit die Artificial General Intelligence op verantwoorde wijze zou realiseren, maar is nu verworden tot een Microsoft-puppet die alleen maar geld wil verdienen. Of zoiets.

Normaal zou je zeggen: je was inderdaad medeoprichter maar je bent weggegaan, dus helaas voor jou wij doen wat wij nu willen. Echter, als je aandeelhouder bent, dan kun je nog steeds klagen over zulke dingen want dat kan de koers aantasten. Alleen is OpenAI dus een stichting (nonprofit) en geen bedrijf – het bedrijf is een dochter van de stichting, en afspraken zoals met Microsoft zijn met die dochter.

Musk heeft niet echt een contract met OpenAI, dus wat dat betreft staat de claim ietwat op lemen voeten. Er waren wel wat emails met eisen en voorstellen, maar geraadpleegde juristen zijn skeptisch:

While contracts can be formed through a series of emails, the lawsuit cites an email that appears to look like a proposal and a “one-sided discussion,” said Brian Quinn, a law professor at Boston College Law School. “To the extent Musk is claiming that the single e-mail in Exhibit 2 is the ‘contract,’ he will fall well short,” Quinn said.
Er is echter nog een interessant punt in die klacht van Musk: “GPT-4 is an AGI algorithm, and hence expressly outside the scope of Microsoft’s September 2020 exclusive license with OpenAI.” AGI in deze context staat dus voor “Artificial General Intelligence”, zeg maar een algemeen gerichte AI die ongeveer op mensniveau kan denken en doen.

AGI is iets waar Musk wakker van ligt, het was een van de redenen om OpenAI mede op te richten: verantwoorde ontwikkeling van AGI en niet zomaar voor de poen snel wat op de markt brengen. En dat is volgens mij de onderliggende boosheid die deze rechtszaak stimuleert. (Naast dat OpenAI had beloofd alle broncodes en parameters open te maken, wat dus niet gebeurd is.)

De constructie van OpenAI is namelijk dat ze pre-AGI technologie mag verkopen, maar niet AGI technologie. Microsoft heeft (exclusieve) toegang tot diverse AI modellen van OpenAI, en deel van de klacht van Musk is dus dat dat niet mag omdat GPT4 een AGI is, en anders in ieder geval het eerstvolgende model wel. Alleen: volgens de statuten bepaalt de raad van bestuur van OpenAI wanneer iets AGI is. Het is dus de vraag wat de rechter daar over mag zeggen, omdat een bestuur in principe zelf beslist.

Arnoud

 

Europees Hof van Justitie: IAB-systeem voor cookiepop-ups in strijd met AVG

Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat meldde Tweakers. In iets juridischer taal oordeelde het Hof van Justitie dat het IAB de (mede) verwerkingsverantwoordelijke is voor alle tracking die daar aan hangt.

Zoals Tweakers uitlegt:

IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem.
In dit framework zit iets dat een “transparency and consent string” (TC string) heet, waarmee consent centraal beheerd wordt en door alle leveranciers uitgelezen kan worden:
A TC String’s primary purpose is to encapsulate and encode all the information disclosed to a user and the expression of their preferences for their personal data processing under the GDPR. Using a Consent Management Platform (CMP), the information is captured into an encoded and compact HTTP-transferable string. This string enables communication of transparency and consent information to entities, or “vendors”, that process a user’s personal data. Vendors decode a TC String to determine whether they have the necessary legal bases to process a user’s personal data for their purposes. The concise string data format enables a CMP to persist and retrieve a user’s preferences any time they’re needed as well as transfer that information to any vendors who need it.
Hiermee kun je op één site consent geven voor bijvoorbeeld adverteerders A en B, waarna die consent ook ingezet kan worden op een andere site. De TC string wordt daarom gedeeld met alle sites waar het framework wordt ingezet. Klinkt dit spannend qua AVG? Ja, dat dacht ik ook.

De Belgische toezichthouder stelde een onderzoek in en vond dat het IAB – beheerder van het framework – eigenlijk de verwerkingsverantwoordelijke was voor de TC string, waar immers persoonsgegevens in zitten. IAB ging daartegen in beroep, want die string wás niet eens een persoonsgegeven en bovendien waren het de afnemers van het framework die de gegevens gebruikten, niet zij.

Het Hof van Justitie kreeg dit als prejudiciële vragen voorgelegd, en kwam niet geheel verrassend tot de conclusie dat (a) de TC string persoonsgegevens bevat en (b) het IAB wel degelijk verwerkingsverantwoordelijke daarvoor is.

Allereerst het persoonsgegeven-zijn. Die TC-string is letterlijk alleen een reeks voorkeuren en consents, terwijl een persoonsgegeven tot een identificeerbaar persoon herleidbaar moet zijn. Dat laatste is het geval, aldus het Hof:

45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren (…)
Dit is genoeg: het is niet nodig dat je vervolgens met het IP-adres tot een naam en adres of contactgegevens kunt komen. Dit bevestigt dus mijn opvatting dat onder de AVG “127.0.0.1/20240308-08:09” je identiteit is en niet slechts een code waarmee je nog een ‘echte’ identiteit (zoals je naam) moet gaan halen.

Natuurlijk heeft IAB geen toegang tot de logs van haar leden, zodat zij niet aan de string kan zien om welke persoon het gaat. Maar in het dossier was terug te vinden dat die leden “verplicht zijn om [IAB] op haar verzoek alle informatie te verstrekken waarmee zij gebruikers kan identificeren van wie de gegevens zijn opgeslagen in een TC-string.” Nee, ik weet ook niet waarom, maar het staat er, dus kan IAB óók de bezoekers identificeren.

Is het IAB dan verwerkingsverantwoordelijke? Dat ben je als je doel en middelen vaststelt. En dat hebben ze gedaan:

Wat in de eerste plaats het doel van die verwerking van persoonsgegevens betreft, blijkt (…) dat het door IAB Europe opgestelde TCF een standaard is die ertoe strekt te waarborgen dat de AVG wordt nageleefd wanneer de persoonsgegevens van gebruikers van een internetsite of applicatie worden verwerkt door bepaalde ondernemingen die deelnemen aan de online veiling van advertentieruimte.

[Verder blijkt] dat het TCF een standaard is die de leden van IAB Europe worden geacht te aanvaarden wanneer zij zich bij deze vereniging willen aansluiten.

Het IAB stelt dus vast waar het TCF voor gebruikt wordt (doel) en hoe je dit doel moet realiseren als lid (middelen). Dat is genoeg, dat in de praktijk het IAB niet betrokken is bij de dagelijkse werking is niet relevant. Daarmee zijn ze dus verwerkingsverantwoordelijke, zij het gezamenlijk met de leden die immers de gegevens verwerven die ze voor eigen doeleinden (het afstemmen van marketing en reclame) gebruiken.

De kop van het Tweakers-artikel zegt “TCF in strijd met AVG”. Dat gaat wat ver: hooguit kun je zeggen dat IAB als verwerkingsverantwoordelijke haar plichten (zoals informatieverstrekking en faciliteren van rechten) niet is nagekomen. Als ze dat (en de andere AVG eisen) gaat doen, dan zou het TCF kunnen blijven bestaan. Echter, in de Belgische procedure is al een boete (250.000 euro) opgelegd en twee maanden de tijd om een actieplan in te dienen met verbeterpunten. Dat suggereert dat een verbod de volgende stap gaat zijn.

Arnoud

 

 

 

 

 

Hoe online boodschappen doen soms misgaat: ‘Had 9 kilo appels’

By Wonderlane licensed under CC BY 2.0

Je let even niet op en je hebt zomaar veel te veel producten besteld bij je online boodschappen. Herkenbaar? Die retorische vraag stelde RTL Nieuws onlangs. Dat bleek vaak met appels te maken te hebben: je wilt er 5 en je krijgt 5 kilo. Ik kreeg de link ook, want mensen willen weten wat of hier een juridisch haakje aan zit.

Het is vaak je eigen fout, zo wordt de situatie juridisch kortweg geduid. Weggeven dus, want bij fruit en andere bederfelijke waar (80% van wat de supermarkt verkoopt, zeg maar) is er geen recht van retour.

“Niet gezien hebben” dat ze per kilo in plaats van per stuk gaan, dat is het enige waar ik eventueel wat van zou kunnen maken. De wet eist namelijk (art. 6:230m) dat de winkelier op duidelijke en begrijpelijke wijze allerlei informatie verstrekt, waaronder de voornaamste kenmerken van de zaken of de diensten. Het aantal in de verpakking (of “per stuk/kilo”) lijkt me daar wel onder vallen.

De vraag is dan dus, was de vermelding zodanig dat een gemiddeld oplettende consument deze zou herkennen als “per kilo” in plaats van per stuk? Als dat zo is, dan ligt het inderdaad aan jou.

Ik kijk dan even bij de Albert Heijn, biologische appels: ik zie een verpakking met zeven appels, een prijs van €3,49 die ik wat duur zou vinden voor één appel en de tekst “Een kilo heerlijk zoete biologische appels”. Ook staat er in grijze lettertjes “1kg” onder de titel van het product. Hetzelfde beeld krijg ik bij de Jumbo: ook €3,49, en hier “1kg” zowel in de titel van het product als eronder in lichtgrijs. Geen vermelding van gewicht in de lopende tekst, maar dat lijkt me hier niet echt nodig.

De enige waarbij ik marginaal enige discussie zou kunnen voeren is de Ekoplaza: alleen de “600gram” vermelding onder de titel geeft het gewicht, verder heb je alleen de foto (4 stuks) en de prijs €2,99 om te vermoeden dat dit niet om één appel gaat. Maar dan blijft de foto bij mij een hele sterke: hoezo denk je dat je één appel krijgt als de foto je er vier toont?

Arnoud

Avast krijgt 16,5 miljoen dollar boete voor verkopen van data aan adverteerders – en méér

text
Photo by Tamanna Rumee on Unsplash

Antivirusbedrijf Avast krijgt in de Verenigde Staten een boete van 16,5 miljoen dollar omdat het jarenlang gebruikersdata verkocht aan adverteerders. Dat meldde Tweakers onlangs. Het gaf wat ophef: op een jaaromzet van een slordige 1 miljard dollar is dat niet echt imposant. Maar er is meer.

De Amerikaanse toezichthouder FTC meldt:

Since at least 2014, Avast has distributed browser extensions that it promoted through promising users enhanced privacy. It claimed, for example, that its products would “block[] annoying tracking cookies that collect data on your browsing activities” and “[p]rotect your privacy by preventing . . . web services from tracking your online activity.” It also stated that any sharing of user information would be in “anonymous and aggregate” form. (…) The complaint details how Avast collected highly detailed browsing data from millions of users and then, through its subsidiary Jumpshot, sold those browsing records to over a hundred clients, including major advertising firms. Avast also released this data in individualized, re-identifiable form, allowing these browsing histories to be traced back to specific people—in direct contravention of what Avast had promised.
De boete is dan wel voor de FTC de hoogste ooit in de categorie privacyschending, maar ik zie wel hoe dit gedrag met meer bestraft zou moeten worden dan enkel een bedrag overmaken.

Gelukkig ís er ook meer, zo blijkt uit het eigenlijke besluit (dank aan Floor T. die het quotte op Tweakers):

  • Prohibition on Selling Browsing Data: Avast will be prohibited from selling or licensing any browsing data from Avast-branded products to third parties for advertising purposes;
  • Obtain Affirmative Express Consent: The company must obtain affirmative express consent from consumers before selling or licensing browsing data from non-Avast products to third parties for advertising purposes;
  • Data and Model Deletion: Avast must delete the web browsing information transferred to Jumpshot and any products or algorithms Jumpshot derived from that data;
  • Notify Consumers: Avast will be required to inform consumers whose browsing information was sold to third parties without their consent about the FTC’s actions against the company; and
  • Implement Privacy Program: Avast will be required to implement a comprehensive privacy program that addresses the misconduct highlighted by the FTC.
Ik had het al eerder gezegd, maar zo’n bevel om data te wissen én om dat bij je klanten te gaan effectueren hakt er natuurlijk veel meer in. Dat zouden meer toezichthouders moeten doen.

Arnoud

‘Reddit sluit licentiedeal met AI-gigant voor trainen AI-modellen’, mag dat?

red and white 8 logo
Photo by Brett Jordan on Unsplash

Reddit heeft een licentiedeal gesloten met een ‘groot AI-bedrijf’, ten behoeve van het trainen van AI-modellen. Dat meldde Tweakers vorige week. persagentschap Bloomberg. Het zou gaan om Google, waar Reddit in 2023 nog tegen dreigde de crawlers van te blokkeren. Diverse redditors vonden dit heel vervelend nieuws. Dus vandaar de vraag: mag Reddit dat doen?

Tweakers vult aan:

De licentiedeal zou betekenen dat de inhoud van de door gebruikers gegenereerde inhoud op Reddit zal worden gebruikt om de AI-modellen van een niet nader genoemd bedrijf te trainen, meldt Bloomberg op basis van ingewijden. Het zou gaan om een overeenkomst ter waarde van omgerekend ruim 55,5 miljoen euro op jaarbasis.
De honger naar kwalitatieve content om generatieve AI mee te trainen is enorm. Reddit is een van de grootste social news aggregatoren, waar mensen commentaar geven op nieuws en andere links die men met elkaar deelt (“read it”). De discussie is vaak van goede kwaliteit, en er is ook veel context om inhoud te duiden – reacties krijgen up- en downvotes en onderwerpen worden in zogeheten subreddits op onderwerp verdeeld. Dankbaar voer om AI mee te trainen.

De Reddit Terms of Use zijn afgelopen september aangepast. De site hanteert daarbij de gebruikelijke mooi klinkende constructie van “je blijft eigenaar maar wij krijgen een beperkte licentie”. Of nou ja, ‘beperkt’:

a worldwide, royalty-free, perpetual, irrevocable, non-exclusive, transferable, and sublicensable license to use, copy, modify, adapt, prepare derivative works of, distribute, store, perform, and display Your Content and any name, username, voice, or likeness provided in connection with Your Content in all media formats and channels now known or later developed anywhere in the world. This license includes the right for us to make Your Content available for syndication, broadcast, distribution, or publication by other companies, organizations, or individuals who partner with Reddit.
In gewoon Nederlands staat hier dat Reddit alles mag doen dat ze willen, inclusief als dataset verkopen aan andere bedrijven. En vanwege dat ‘irrevocable’ kun je die licentie dus ook niet meer snel intrekken. Je kunt natuurlijk je account opheffen, maar de licentie blijft gegeven.

In Europa kun je via de AVG eisen dat je persoonsgegevens niet langer verwerkt worden. Weghalen van je account of je naam bij publicaties is dus zeker mogelijk. Verdedigbaar is dat je posts ook persoonsgegevens kunnen zijn, afhankelijk van de inhoud. Over weghalen daarvan zegt de privacy policy:

Please note, however, that the posts, comments, and messages you submitted prior to deleting your account will still be visible to others unless you first delete the specific content. After you submit a request to delete your account, it may take up to 90 days for our purge script to complete deletion. We may also retain certain information about you for legitimate business purposes and/or if we believe doing so is in accordance with, or as required by, any applicable law.
Ik lees dat “we may retain certain information for legitimate purposes” dus als een recht om tóch je berichten te blijven gebruiken, zij het zonder je naam erbij. In de context van verhandelen voor het trainen van AI is dat een logische verwachting. Het lijkt me ook AVG-compliant, omdat een bericht zonder naam zeker niet perse een persoonsgegeven is.

Arnoud

Chatbot zat fout: Air Canada moet reiziger compenseren

ai-generated, monster, robot
Photo by AlexandraKoch on Pixabay

De Canadese luchtvaartmaatschappij Air Canada moet een passagier zijn geld terugbetalen nadat een chatbot hem verkeerd had geïnformeerd. Dat meldde RTL Nieuws vorige week. Het opmerkelijke verweer op de klacht was dat de chatbot een ‘aparte juridische entiteit’ zou zijn, ‘verantwoordelijk voor zijn eigen acties’. Wacht, wat?

De kern was een klacht over het willen gebruiken van het ‘rouwtarief’, een bereavement flight. Dit concept komt erop neer dat je voor een vlucht naar een uitvaart een goedkoper lastminute ticket kunt krijgen. Het bestaat nauwelijks meer,  maar Air Canada had dat in 2022 nog wel:

In November 2022, following the death of their grandmother, Jake Moffatt booked a flight with Air Canada. While researching flights, Mr. Moffat used a chatbot on Air Canada’s website. The chatbot suggested Mr. Moffatt could apply for bereavement fares retroactively. Mr. Moffatt later learned from Air Canada employees that Air Canada did not permit retroactive applications.
Het probleem was dus dat de chatbot zei dat je dat rouwtarief met terugwerkende kracht kon claimen op een al geboekt ticket. In die uitspraak zat een link naar de “Bereavement policy” van Air Canada, waar dan weer in staat dat je alleen recht hebt op dat tarief als je er vooraf om vraagt.

Zowel in Nederland als in Canada is het zo dat als een medewerker van een bedrijf een duidelijke toezegging doet, je daar als klant in principe op mag vertrouwen. Uitzonderingen kunnen altijd, met name als jij moet weten dat die medewerker zoiets niet mag toezeggen.

Air Canada gooide het over een iets andere boeg:

Air Canada argues it cannot be held liable for information provided by one of its agents, servants, or representatives – including a chatbot. It does not explain why it believes that is the case. In effect, Air Canada suggests the chatbot is a separate legal entity that is responsible for its own actions. This is a remarkable submission. While a chatbot has an interactive component, it is still just a part of Air Canada’s website. It should be obvious to Air Canada that it is responsible for all the information on its website. It makes no difference whether the information comes from a static page or a chatbot.
De uitspraak gaat hier wat snel van “cannot be held liable” naar “is a separate legal entity”, maar de kern is duidelijk: Air Canada vond dat zij niet gehouden kon worden aan de toezegging van de chatbot. Je had de ‘echte’ bron maar moeten controleren.

Het tribunaal gaat daar niet in mee. Hoe zou een consument moeten weten dat de ene informatiebron betrouwbaarder is dan de andere? Air Canada zet ze beiden op haar site, dus moet ze de gevolgen daarvan dragen. Je kunt niet verwachten dat mensen alles dubbelchecken. Ook een beroep op de algemene voorwaarden bij het ticket wordt afgewezen, hoewel met het argument dat Air Canada die voorwaarden niet had overlegd in de procedure.

Ik lees de uitspraak dus niet als een discussie over het “aparte juridische entiteit” zijn van de chatbot. Waar het om gaat, is waar de consument staat als bron A zegt dat iets wel mag en bron B dat dat niet mag. Dan geldt dus wat de bron zegt waar de consument op afgegaan is, omdat je bij een duidelijke toezegging deze niet hoeft te dubbelchecken. Het roept de filosofische vraag op of de klager recht zou hebben op een gedeeltelijke teruggaaf als hij achteraf de chatbot had geraadpleegd, na eerst een duur ticket te hebben gekocht omdat de Bereavement Policy dat zei.

De rechter benoemt nadrukkelijk dat hij geen verschil ziet tussen een statische webpagina en een chatbot. Ik zie dat zelf anders: de indruk die je wekt met een chatbot is ergens toch serieuzer, specifieker. Een webpagina zegt hoe het in het algemeen is. Een chatbot helpt jou met jouw probleem, je hebt jouw specifieke feiten genoemd en je vraagt een advies over jouw situatie. Dan komt daar iets uit dat voor jou opgaat, en dat zou best anders kunnen zijn dan de algemene regel.

Ik ben een beetje bezorgd dat uitspraken als deze ertoe gaan leiden dat chatbots ieder gesprek openen met een disclaimer dat je alles moet dubbelchecken dat ze zeggen, en dat ze geen bindende toezeggingen kunnen doen.

Arnoud