Autoriteit Persoonsgegevens gaat toezien op AI en algoritmes

| AE 11779 | Ondernemingsvrijheid, Privacy | 2 reacties

De Autoriteit Persoonsgegevens gaat toezien op het gebruik van kunstmatige intelligentie (AI) en algoritmes waarbij persoonsgegevens worden gebruikt. Dat las ik bij Security.nl. De grens tussen ‘wat geweldig dat dit kan’ en ‘bloedlink wat hier gebeurt’ kan juist hier soms akelig dicht bij elkaar komen, aldus de toezichthouder. Iedereen die verantwoordelijk is voor de inzet van algoritmes en AI moet weten wat hij doet en daar transparant over zijn. Mogelijk gaat de AP AI inzetten voor dit toezicht; men heeft immers een zwaar menstekort.

Oké dat was nodeloos cynisch en/of clickbait. Maar toch: het voelt gek om zo’n technisch pittig onderwerp tot focus te verklaren als je nu maar 138 van de 20.000 klachten tot onderzoek bombardeert, en het aantal boetes met binair stelsel op de vingers van één hand te tellen zijn. Desondanks is het een goede stap, omdat veel organisaties tot nu toe AI aangereikt kregen in mooie brochures als prachtige beloftes van objectiviteit, en nu de FG en/of jurist van zo’n organisatie met enige onderbouwing kan wapperen dat er toch risico’s aan deze nieuwe technologie zitten.

Het beoogde toezicht van de AP bevat voor mij geen écht nieuwe stappen. Het komt neer op invullen van de eisen uit de AVG, met name transparantie en uitlegbaarheid van wat je doet en de verantwoordingsplicht waarmee je moet onderbouwen waarom je transparant bent en hoe je echte uitleg geeft. (De verantwoordingsplicht is het grofste geschut dat de AVG heeft; hele hordes doen het keurig maar kunnen het niet verantwoorden en overtreden dus alsnog de AVG.)

De leukste hobbel om te moeten nemen alvorens je een algoritme in gaat zetten is dat je een DPIA moet uitvoeren. Het valt al heel snel onder een “systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen” (art. 35 AVG), of dat nou gaat om het weigeren van leningen of het niet uitnodigen van sollicitanten. Daar zitten risico’s aan omdat je niet weet hoe zo’n algoritme werkt, terwijl je de klant of sollicitant dat wél moet kunnen uitleggen.

En de kicker: als je die DPIA uitvoert en je concludeert dat je niet eenvoudig aan de AVG kunt voldoen, dan mag het niet totdat je toestemming van de AP hebt. Wat volgens mij de overgrote meerderheid gaat krijgen, want hoe ga je die risico’s managen als je niet weet hoe de tool werkt? Of iets preciezer gezegd, als je niet weet hoe de dataset opgebouwd is en hoe je geborgd hebt dat deze alleen de gewenste, eerlijke factoren betrekt in de analyse? Dan is een bulletpoint op de doos “free of bias” van de fabrikant echt niet genoeg.

En ja, ik kan ook nog een hele tirade voeren over het feit dat we het steeds hebben over “inzet van algoritmes” terwijl het hele punt van AI juist is dat je geen algoritme inzet maar een enorme Excelsheet die correlaties presenteert als harde regels. Maar dat is niet goed voor de bloeddruk.

Arnoud

Hoe moet je omgaan met bronvermeldingen versus de AVG?

| AE 11770 | Ondernemingsvrijheid, Privacy | 8 reacties

Interessante discussie via Twitter: wanneer moet of mag je nu bronvermeldingen geven met persoonsgegevens daarin, en hoe moet je omgaan met verwijderverzoeken van mensen die zich in de bron herkennen? Dit speelt vaak bij publicaties van genealogische gegevens zoals stambomen. Men wil graag de juiste bron noemen, ook voor andere onderzoekers, maar die bron kan best een persoon zijn of verwijzen naar een persoon. En dan loop je tegen de AVG aan. Wat dan?

Genealogie is een discipline van de geschiedkunde die zich bezighoudt met voorouderonderzoek dan wel de afstamming van de familienaam. Dat betekent vaak spitten in bronnen, en die wil je dan ook graag noemen bij je publicatie van de resultaten. Dat is wetenschappelijk gezien netjes, en het helpt andere onderzoekers om weer verder te komen met hun onderzoek. Maar zoals gezegd kan zo’n bron een persoon zijn: de naam van de persoon die de brondocumenten aanbood bijvoorbeeld, of de auteur van een boek waar je de gegevens in aantrof.

Wie iets overtypt uit een boek (of andere publicatie) zal gelijk denken, daar heb ik vast het citaatrecht voor nodig. En dat eist inderdaad dat je de bron, waaronder de naam van de maker noemt. Echter, dat geldt alleen als je iets overneemt dat anders het auteursrecht zou schenden. Typ je enkel feiten over (zoals een naam en geboortedatum) dan heb je niets met auteursrechten te maken en hoef je dus ook geen bron of maker/auteur te noemen.

Het mág natuurlijk wel, want ik snap goed dat het netjes voelt om een bron te noemen waar je je op baseert. Al is het maar dankbaarheid of een wetenschappelijke ethos. Maar dan kom je weer bij een andere wet terecht, namelijk die vermaledijde AVG die dat dan een verwerking van persoonsgegevens noemt en dan héél streng schijnt te doen over toestemming en recht te worden vergeten. Zit je dan met je ethos.

Gelukkig denk ik dat het specifiek hier wel meevalt. Het noemen van de naam van een bron zie ik als journalistieke verwerking onder de AVG, het is een vorm van feiten en informatie delen met het publiek immers. Daarmee zit je op het eigen belang (artikel 6 lid 1 sub f AVG) waardoor toestemming niet meer aan de orde is.

Natuurlijk moet je dan wel een privacy-afweging maken, maar als het gaat om een naam die de persoon zelf ook al publiek maakte bij een gelijksoortige publicatie dan heb ik héle grote moeite een te respecteren privacybelang te bedenken. Als er bijzondere redenen zijn, dan is dat wel iets om rekening mee te houden (artikel 21 AVG) maar dat is meer dan “ik vind het niet prettig”. En de persoon in kwestie moet zich dan eerst melden met die onderbouwde persoonlijke redenen.

Het verwijderrrecht geldt niet bij journalistieke verwerkingen (artikel 17 lid 3 AVG) en meer algemeen niet als jij gewoon een belang hebt bij publicatie. Wissen van gegevens moet pas als je ze eigenlijk toch al weg had moeten gooien.

Arnoud

Grote YouTube-kanalen moeten vanaf september Kijkwijzer hanteren

| AE 11767 | Ondernemingsvrijheid | 12 reacties

Nederlandse YouTube-kanalen met veel abonnees moeten vanaf september de Kijkwijzer hanteren, en leeftijdsaanduidingen en adviespictogrammen tonen. Dat meldde Tweakers onlangs. Wie niet meewerkt aan de Kijkwijzer, loopt het risico op boetes. Dit is het gevolg van Europese Richtlijn 2018/1808 die de Mediawet wijzigt, waardoor diensten als Youtube aangemerkt worden als ‘mediadienst op aanvraag’ en daarmee onder de Mediawet vallen. Waarmee dus meteen de vraag ontstaat wie zich dan aan die wet moet houden, is dat iedere vlogger, of alleen de grote jongens/meisjes met hun dikverdienende kanalen?

Het grote probleem bij diensten als Youtube is dat het in feite een tweetrapsraket is, in tegenstelling tot ‘gewone’ televisie. Daar is er een zenderbeheerder die programma’s kiest, en daarmee is er één partij die je kunt aanspreken op compliance-items als de Kijkwijzer of het niet uitzenden van voor minderjarigen ongeschikte dingen voor acht uur ’s avonds.

Bij Youtube werkt dat niet echt, omdat iedereen daar zelf kiest wat hij of zij uploadt. (Oh wacht even, zegt nu menig IT-er, dus als de televisie de zendercoördinator ontslaat en iedereen zijn eigen filmpjes laat uitzenden dan vallen ze ook buiten de Mediawet? Eh ja soort van, in ieder geval als je als toezichthouder dat tien jaar laat gaan onder het motto “het is maar internet” en dan merkt dat die bak met bagger-video’s zo groot is dat het niet meer te handhaven is. Sorry, mijn cynisme schoot even naar boven.)

Men lijkt er nu – na ook stevig onderhandelen met Google – uit te zijn dat wat Youtube doet, in principe wél onder de Mediawet gaat vallen. Althans, voor wie eigenlijk gewoon een eenmanstelevisiezender is. De grote commercieel ingestelde videomakers dus, niet de ‘hobbyisten’ zoals dat dan gelijk wat neerbuigend heet. Het Commissariaat heeft vooralsnog geen specifiekere richtsnoeren uitgevaardigd, dus ik zou voor nu aannemen dat als ik de inkomsten bij Youtube moet opgeven als inkomsten uit werk / overige arbeid bij de belastingdienst, of als ik bij de KVK ingeschreven sta, dat ik dan hier tegenaan loop.

Oh ja, en naast de Kijkwijzer is het dan ook wettelijk verplicht om te melden dat je kanaal reclame of productplaatsing bevat. Dat is nu eigenlijk alleen een aanbeveling uit de Reclamecode, die geen wet is.

Het wetsvoorstel ligt nu nog bij de Tweede Kamer, maar omdat we bij Richtlijnen als deze weinig te zeggen hebben, is er geen reden om te denken dat er dingen heel erg anders gaan worden tot aan de deadline.

Arnoud

Tesla schakelt features achteraf uit bij tweedehands auto, wat krijgen we nou?

| AE 11765 | Intellectuele rechten, Ondernemingsvrijheid | 10 reacties

Autofabrikant Tesla heeft bij de wederverkoop van een tweedehands Tesla enkele features uitgeschakeld, las ik bij The Verge. De wederverkoper had deze features per abuis meegekregen bij de aanschaf bij Tesla zelf(!), dus pardon wij komen even uw auto downgraden, sorry foutje bedankt. De wederverkoper zou niet hebben betaald voor die features “Enhanced Autopilot” en… Lees verder

Die journalisten van Trouw hadden dikke mazzel dat ze een scoop vonden bij hun computervredebreuk

| AE 11749 | Ondernemingsvrijheid, Security | 24 reacties

Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit… Lees verder

Rechter: Nintendo hoeft klanten geen kans te geven om pre-orders te annuleren

| AE 11751 | Ondernemingsvrijheid | 16 reacties

Nintendo is niet verplicht om een mogelijkheid te maken om pre-orders te annuleren, aldus Tweakers onlangs. De Duitse rechter bepaalde aldus in een proefproces van Duitse en Noorse consumentenorganisaties. Kern van de zaak is of je het “Ik doe afstand van mijn ontbindingsrecht”-vinkje ook mag inzetten bij een pre-order die pas veel later geleverd wordt…. Lees verder

Avast verkoopt data van gebruikers gratis antivirussoftware onder pseudoniem

| AE 11747 | Ondernemingsvrijheid, Privacy | 7 reacties

Beveiligingsbedrijf Avast verkoopt op grote schaal gepseudonimiseerde data van gebruikers van de gratis versie aan adverteerders. Dat meldde Tweakers vorige maand. Het gaat onder andere om de browsegeschiedenis, die onder andere aan grote bedrijven zoals Google, Microsoft, Pepsi en McKinsey wordt verkocht. Na enige herrie stopt men daarmee, want “Mensen beschermen is onze topprioriteit en… Lees verder

Heb je nou voor pentesten óók al een verwerkersovereenkomst nodig?

| AE 11732 | Ondernemingsvrijheid, Privacy | 2 reacties

Wie penetration testing oftewel securityonderzoek naar binnendringmogelijkheden uitvoert, moet een verwerkersovereenkomst sluiten met zijn opdrachtgever. Dat maak ik op uit een recente Linkedinblog die me attendeerde op een uitspraak van de Saksische Autoriteit Persoonsgegevens van die strekking. Wat natuurlijk enige onrust gaf bij professionele pentesters, want je hébt al zo’n papierwinkel voordatje aan de slag… Lees verder

Tesla-eigenaren kochten per ongeluk peperdure updates

| AE 11730 | Innovatie, Ondernemingsvrijheid | 10 reacties

Sinds kort is het mogelijk om in de app van je Tesla een software-update te kopen, waaronder de zelfrijdende AutoPilot-functies. Sommige mensen deden dat per ongeluk en werden verrast met een rekening van bijna 10.000 dollar. Dat meldde Bright onlangs. Men noemt het voorbeeld van een acceleratieboost die je voor 2000 euro een halve seconde… Lees verder

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

| AE 11726 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me: Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in… Lees verder