Mogen wij een AI onze sollicitanten laten prescreenen?

| AE 11612 | Ondernemingsvrijheid, Privacy | 10 reacties

Een lezer vroeg me:

Ik werk op de HR afdeling van de Nederlandse vestiging van een Amerikaans concern. Vanuit ‘Houston’ is ons nu opgedragen alle sollicitaties eerst door een AI-driven screening te halen. Alleen mensen die door het algoritme worden geselecteerd, mogen op gesprek komen. Mag dat wel van de GDPR?

De inzet van AI, beter gezegd machine learning, is in human resources oftewel personeelsmanagement aan een stevige opmars bezig. Het screenen van kandidaten is namelijk een tijdrovende en lastige klus om consistent en objectief te doen, en laat dat nou precies zijn waar software goed in is. Zoals PW Web het uitlegt:

Handmatig honderden cv’s doornemen kan leiden tot een enorme opeenhoping van werk, waardoor andere taken stil komen te liggen en er veel tijd en geld wordt verspild. Met behulp van AI en ML kan dit proces geautomatiseerd worden door bijvoorbeeld slimme screening software in te zetten die cv’s snel kan scannen op de voorwaarden die in de vacature genoemd worden. Gedurende dit proces leert de software wat er gevraagd wordt van toekomstige kandidaten. Op basis van ervaringen met eerder aangenomen kandidaten kan de software vervolgens bepalen welke eigenschappen een goede kandidaat bezit.

Ook steeds populairder wordt screeningsoftware waarbij je op video vragen van een computerprogramma beantwoordt. Software analyseert dan je ‘microexpressies’ en emoties en concludeert daaruit of jij door mag naar fase 2, waarbij een mens met je in contact treedt.

Dit staat inderdaad enigszins op gespannen voet met de AVG oftewel GDPR, die immers een verbod kent op geautomatiseerde besluitvorming, inclusief profileren. Artikel 22 AVG verbiedt in principe het geautomatiseerd nemen van besluiten, waarmee niet alleen juridisch bindende beslissingen worden bedoeld maar ook andere conclusies en vervolgstappen die de betrokkene in aanzienlijke mate raken. Zoals wanneer je niet door mag naar een volgende sollicitatieronde.

Lid 2 van dit artikel staat profileren en besluitvorming echter weer wel toe wanneer dit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst, waaronder ook een arbeidscontract kan vallen. Het zou dus mogen, zo’n prescreening, mits de werkgever kan aantonen dat hij echt niet anders kan – de term ‘noodzaak’ is een hoge lat, en je komt er niet door te zeggen dat het beter is dan voorheen of dat dit je werk efficiënter of makkelijker maakt.

Ik vind het moeilijk argumenten te bedenken waarom die noodzaak er zou zijn. Alleen, je komt dan al heel snel uit bij het kulargument “vroegâh kon alles handmatig en persoonlijk dus vernieuwingen zijn nergens voor nodig”. En dat kan ook weer niet de bedoeling zijn van de AVG.

Ik zie daarbij wel iets in het argument dat zo’n screening objectiever is, omdat alle cv’s nu op dezelfde wijze worden bekeken en beoordeeld. Dat voelt eerlijker dan wat je vroeger wel hoorde, dat een cv terzijde werd gelegd omdat het papier te dun was, je de verkeerde school had of omdat je op de foto mooier was dan de HR-dame die je brief openmaakte. Maar algemeen bekend is ook weer dat screeningsoftware bias heeft, en bijvoorbeeld per abuis vrouwen weglaat of alleen mannen die Jared heten en lacrosse spelen doorlaat.

Ik denk dan ook dat dit alleen kan als je hebt uitgewerkt op papier waarom dergelijke bias en selectiefouten bij jullie niet voor gaan komen. En een mooie folder van de leverancier is natuurlijk niet genoeg daarvoor.

Arnoud

Facebook moet optreden tegen bitcoinadvertenties met BN’ers

| AE 11599 | Ondernemingsvrijheid | 10 reacties

Facebook moet nepadvertenties verwijderen waarin bekende Nederlanders zogenaamd cryptovaluta aanprijzen. Dat meldde Tweakers onlangs. De advertenties wijzen mensen door naar oplichtingspraktijken, waar mensen als John de Mol en Alexander “Bitcoin ads zijn nep” Klöpping als gezicht bij gebruikt worden. De fraude is enorm; de Fraudehelpdesk heeft van tientallen slachtoffers gehoord die meer dan 1,7 miljoen euro zouden zijn kwijtgeraakt. De rechtbank acht dit onrechtmatig en eist dat Facebook hier adequaat tegen optreedt, op straffe van een dik miljoen aan dwangsommen.

De oplichterij is op zich vrij simpel: er wordt een snelgeldverdienenmodel met Bitcoin aangeprezen, met 250 euro inschrijfgeld. Wie dat betaalt, krijgt een advies om meer te betalen. Doe je dat niet, dan ben je je geld kwijt. Doe je dat wel, dan ben je ook het meer betaalde kwijt. Dat is natuurlijk lastig verkopen, vandaar de inzet van bekende Nederlanders zoals De Mol of Klöpping die zogenaamd met hun echte baan stoppen omdat ze lekker binnenlopen op de bitcoin.

In juni stapte De Mol naar de rechter om Facebook (waar de meeste van die advertenties opduiken) tot stoppen te dwingen. Facebook vond dat ze al genoeg deden, men had een formulier waarmee je advertenties kon melden en die werden dan voor jou verborgen plus op onnavolgbare wijze negatief gemarkeerd. Je zou zeggen dat meer dingen doen niet heel moeilijk moet zijn, maar toch deed Facebook het niet. (Pardon, wél, maar pas toen de rechtszaak eraan kwam.)

Uit het vonnis haal ik dat Facebooks voornaamste argument is dat ze een neutraal doorgeefluik willen zijn. Ook voor advertenties. Anders ben je natuurlijk voor álles aansprakelijk, niet alleen voor evidente nepbitcoinadvertenties maar ook voor andersoortig nepnieuws en andere onrechtmatigheden. Maar daar gaat de rechter niet in mee. Facebook is veel dichter betrokken bij advertenties dan bij updates en dergelijke die mensen posten, en daarom moeten ze gewoon inhoudelijk aan de bak als er iets niet klopt in een advertentie. In ieder geval als dat structureel misgaat in steeds dezelfde situatie.

Maar hoe moet Facebook dat dan precies doen? Gezichtsherkenning op de foto, trefwoorden filteren, iets anders? Daar laat de rechter zich niet over uit. En terecht, dat is het probleem van Facebook. Ook dat dit mankracht en geld kost, is geen reden het niet te doen. Daarvoor is de verantwoordelijkheid van Facebook voor haar eigen advertentieplatform te groot en hebben de valse advertenties te veel impact.

Ik ben benieuwd; Facebook heeft hoger beroep aangetekend.

Arnoud

Ziggo hoeft geen NAW-gegevens van downloaders af te staan

| AE 11587 | Intellectuele rechten, Ondernemingsvrijheid | 14 reacties

Ziggo hoeft gegevens van klanten die illegaal een film via BitTorrent zouden hebben gedownload niet af te staan aan filmdistributeur Dutch Film Works (DFW). Dat meldde Security.nl vorige week. Dit bepaalde het Gerechtshof in hoger beroep van een zaak uit februari waarin de rechtbank hetzelfde bepaalde. In theorie kan DFW nog naar de Hoge Raad, maar ik zie weinig aanknopingspunten voor een succesvolle uitkomst voor het mediabedrijf. De reden voor deze beslissing zit hem in het grote pijnpunt bij auteursrechthandhaving online: wat kost dat nou eigenlijk, een inbreuk?

De rechtszaak was het logisch gevolg van DFW’s plan downloaders aan te spreken op illegaal downloaden, inclusief boete, pardon schikkingsvoorstel van 50, pardon 150 euro, pardon een nader te bepalen maatregel per download. Nodig daarvoor is dat providers NAW-gegevens verstrekken wanneer DFW een IP-adres verstrekt en een rapportje dat er daarmee gedownload is. In theorie kan dat: het Lycos/Pessers-arrest uit 2006 bepaalt dat je bij evidente inbreuk gewoon die gegevens moet verschaffen.

Het Gerechtshof gaat er echter eens goed voor zitten en bekijkt de vier criteria uit dat arrest nog eens streng. Het gaat hier om een ‘kleine’ inbreuk (één keer een film), onduidelijk is hoe DFW aan het bedrag komt en wat doe je als de IP-adreshouder niet zelf de downloader blijkt? Je moet echt een goede onderbouwing geven van deze zaken alvorens een provider NAW-gegevens moet geven, en DFW heeft die niet overlegd.

Meer algemeen vindt het Hof eigenlijk dat DFW zich er te makkelijk van afgemaakt heeft. Ik zou het wellicht zelfs lezen als afstraffen van arrogantie, “geef nou maar die NAW gegevens want het is verdorie auteursrechtinbreuk, dan mogen we doen wat we willen”:

Door niet transparant te zijn over de criteria die zij aanlegt bij de inzet van de door haar voorgenomen acties worden de belangen van de betrokken Ziggo-klant aangetast. DFW behoudt zich immers het recht voor pas nadat zij de persoonsgegevens heeft gekregen, eenzijdig en zonder enige motivering of toelichting de actie te kiezen die haar goeddunkt. Dat leidt naar het oordeel van het hof tot een verstoring van het te vinden evenwicht, met name in de situatie dat onzeker is of de betrokken Ziggo-klant ook daadwerkelijk de inbreukmaker is, zoals Ziggo c.s. gemotiveerd en onderbouwd met diverse producties heeft aangevoerd.

Zoals ik in februari al zei, geef je ze die namen, gaan ze blafbrieven sturen waarin op hoge toon van vaststaande inbreuk wordt gesproken die gerechtelijk gestraft wordt met een conform de jurisprudentie berekende staffel van 150 euro, gelieve binnen 14 dagen te betalen bij gebreke waarvan een procedure zal worden gestart waarbij volledige proceskosten ex 1019h Rechtsvordering zullen worden geëist dewelke kunnen oplopen tot 8.000 euro conform het door de Rechtspraak goedgekeurde tarievenmodel. Toch een iets andere brief dan “kunnen wij even praten, volgens mij heeft u een auteursrecht van ons geschonden”, nietwaar?

Ik zie eerlijk gezegd niet hoe DFW dit anders zou kunnen doen. De situatie dat de IP-adreshouder niet de downloader is, is een fundamenteel probleem. Dat los je alleen op door botweg te zeggen, je bent aansprakelijk voor je account. En dan krijg je ook nog het schadebedrag waar al tien jaar over gesteggeld wordt – wat kost dat nou, zo’n illegale download? Is dat de prijs van de DVD, de Blu-Ray, de single play van Videoland of 1/30e van een Netflix maandabonnement? Ik denk niet dat je daar ooit uitkomt.

Arnoud

“Het probleem is niet databescherming, maar dataverzameling.”

| AE 11585 | Ondernemingsvrijheid, Privacy | 4 reacties

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het… Lees verder

Hoe hou je je verwerkersovereenkomsten op één lijn?

| AE 11569 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Als ICT-dienstverlener krijg ik van al mijn klanten verwerkersovereenkomsten. Dat is tot daar aan toe, ik ben eigenlijk altijd ook wel verwerker. Maar iedereen doet het weer anders – en eist daarbij ook nog eens wat anders dan wat mijn leveranciers mij kunnen bieden. Hoe hou je dat nou op een… Lees verder

Rechter dwingt ex-werknemer om wachtwoord Facebookpagina af te staan

| AE 11562 | Ondernemingsvrijheid | 14 reacties

Een voormalig medewerkster van een dierenopvangtehuis moet het wachtwoord en beheer van een Facebookpagina overdragen aan haar voormalige werkgever, meldde Security.nl onlangs. Dit op gezag van de rechtbank Gelderland die dat bepaalde, versterkt met een dwangsom van 1000 euro per dag dat ze dit niet. De Facebookpagina was tijdens haar dienstverband aangemaakt en draagt de… Lees verder

VS rechter: ‘Pas websites aan op gehandicapten’

| AE 11549 | Ondernemingsvrijheid | 18 reacties

Het Hooggerechtshof van de Verenigde Staten verplicht eigenaren van websites om deze toegankelijk te maken voor mensen met een handicap. Dat meldde Emerce onlangs. Een man had Domino’s pizza aangeklaagd omdat hun website niet accessible was, en tot de Supreme Court werd bevestigd dat een dergelijke claim mogelijk is onder de Americans with Disabilities act…. Lees verder

Hoe ethisch verantwoord mag een opensourcelicentie zijn?

| AE 11538 | Ondernemingsvrijheid, Uitingsvrijheid | 23 reacties

Een nieuwe toevoeging aan het opensourcefirmament: de Hippocratische licentie, grofweg de MIT licentie met de toevoeging dat de software niet mag worden ingezet voor doelen die de Universele Verklaring van de Rechten van de Mens schenden. Iets preciezer: die mensen in gevaar brengt of hun well-being aantast op een wijze in strijd met de UVRM…. Lees verder

Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

| AE 11534 | Ondernemingsvrijheid, Uitingsvrijheid | 8 reacties

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde… Lees verder