‘Reddit sluit licentiedeal met AI-gigant voor trainen AI-modellen’, mag dat?

red and white 8 logo
Photo by Brett Jordan on Unsplash

Reddit heeft een licentiedeal gesloten met een ‘groot AI-bedrijf’, ten behoeve van het trainen van AI-modellen. Dat meldde Tweakers vorige week. persagentschap Bloomberg. Het zou gaan om Google, waar Reddit in 2023 nog tegen dreigde de crawlers van te blokkeren. Diverse redditors vonden dit heel vervelend nieuws. Dus vandaar de vraag: mag Reddit dat doen?

Tweakers vult aan:

De licentiedeal zou betekenen dat de inhoud van de door gebruikers gegenereerde inhoud op Reddit zal worden gebruikt om de AI-modellen van een niet nader genoemd bedrijf te trainen, meldt Bloomberg op basis van ingewijden. Het zou gaan om een overeenkomst ter waarde van omgerekend ruim 55,5 miljoen euro op jaarbasis.
De honger naar kwalitatieve content om generatieve AI mee te trainen is enorm. Reddit is een van de grootste social news aggregatoren, waar mensen commentaar geven op nieuws en andere links die men met elkaar deelt (“read it”). De discussie is vaak van goede kwaliteit, en er is ook veel context om inhoud te duiden – reacties krijgen up- en downvotes en onderwerpen worden in zogeheten subreddits op onderwerp verdeeld. Dankbaar voer om AI mee te trainen.

De Reddit Terms of Use zijn afgelopen september aangepast. De site hanteert daarbij de gebruikelijke mooi klinkende constructie van “je blijft eigenaar maar wij krijgen een beperkte licentie”. Of nou ja, ‘beperkt’:

a worldwide, royalty-free, perpetual, irrevocable, non-exclusive, transferable, and sublicensable license to use, copy, modify, adapt, prepare derivative works of, distribute, store, perform, and display Your Content and any name, username, voice, or likeness provided in connection with Your Content in all media formats and channels now known or later developed anywhere in the world. This license includes the right for us to make Your Content available for syndication, broadcast, distribution, or publication by other companies, organizations, or individuals who partner with Reddit.
In gewoon Nederlands staat hier dat Reddit alles mag doen dat ze willen, inclusief als dataset verkopen aan andere bedrijven. En vanwege dat ‘irrevocable’ kun je die licentie dus ook niet meer snel intrekken. Je kunt natuurlijk je account opheffen, maar de licentie blijft gegeven.

In Europa kun je via de AVG eisen dat je persoonsgegevens niet langer verwerkt worden. Weghalen van je account of je naam bij publicaties is dus zeker mogelijk. Verdedigbaar is dat je posts ook persoonsgegevens kunnen zijn, afhankelijk van de inhoud. Over weghalen daarvan zegt de privacy policy:

Please note, however, that the posts, comments, and messages you submitted prior to deleting your account will still be visible to others unless you first delete the specific content. After you submit a request to delete your account, it may take up to 90 days for our purge script to complete deletion. We may also retain certain information about you for legitimate business purposes and/or if we believe doing so is in accordance with, or as required by, any applicable law.
Ik lees dat “we may retain certain information for legitimate purposes” dus als een recht om tóch je berichten te blijven gebruiken, zij het zonder je naam erbij. In de context van verhandelen voor het trainen van AI is dat een logische verwachting. Het lijkt me ook AVG-compliant, omdat een bericht zonder naam zeker niet perse een persoonsgegeven is.

Arnoud

Chatbot zat fout: Air Canada moet reiziger compenseren

ai-generated, monster, robot
Photo by AlexandraKoch on Pixabay

De Canadese luchtvaartmaatschappij Air Canada moet een passagier zijn geld terugbetalen nadat een chatbot hem verkeerd had geïnformeerd. Dat meldde RTL Nieuws vorige week. Het opmerkelijke verweer op de klacht was dat de chatbot een ‘aparte juridische entiteit’ zou zijn, ‘verantwoordelijk voor zijn eigen acties’. Wacht, wat?

De kern was een klacht over het willen gebruiken van het ‘rouwtarief’, een bereavement flight. Dit concept komt erop neer dat je voor een vlucht naar een uitvaart een goedkoper lastminute ticket kunt krijgen. Het bestaat nauwelijks meer,  maar Air Canada had dat in 2022 nog wel:

In November 2022, following the death of their grandmother, Jake Moffatt booked a flight with Air Canada. While researching flights, Mr. Moffat used a chatbot on Air Canada’s website. The chatbot suggested Mr. Moffatt could apply for bereavement fares retroactively. Mr. Moffatt later learned from Air Canada employees that Air Canada did not permit retroactive applications.
Het probleem was dus dat de chatbot zei dat je dat rouwtarief met terugwerkende kracht kon claimen op een al geboekt ticket. In die uitspraak zat een link naar de “Bereavement policy” van Air Canada, waar dan weer in staat dat je alleen recht hebt op dat tarief als je er vooraf om vraagt.

Zowel in Nederland als in Canada is het zo dat als een medewerker van een bedrijf een duidelijke toezegging doet, je daar als klant in principe op mag vertrouwen. Uitzonderingen kunnen altijd, met name als jij moet weten dat die medewerker zoiets niet mag toezeggen.

Air Canada gooide het over een iets andere boeg:

Air Canada argues it cannot be held liable for information provided by one of its agents, servants, or representatives – including a chatbot. It does not explain why it believes that is the case. In effect, Air Canada suggests the chatbot is a separate legal entity that is responsible for its own actions. This is a remarkable submission. While a chatbot has an interactive component, it is still just a part of Air Canada’s website. It should be obvious to Air Canada that it is responsible for all the information on its website. It makes no difference whether the information comes from a static page or a chatbot.
De uitspraak gaat hier wat snel van “cannot be held liable” naar “is a separate legal entity”, maar de kern is duidelijk: Air Canada vond dat zij niet gehouden kon worden aan de toezegging van de chatbot. Je had de ‘echte’ bron maar moeten controleren.

Het tribunaal gaat daar niet in mee. Hoe zou een consument moeten weten dat de ene informatiebron betrouwbaarder is dan de andere? Air Canada zet ze beiden op haar site, dus moet ze de gevolgen daarvan dragen. Je kunt niet verwachten dat mensen alles dubbelchecken. Ook een beroep op de algemene voorwaarden bij het ticket wordt afgewezen, hoewel met het argument dat Air Canada die voorwaarden niet had overlegd in de procedure.

Ik lees de uitspraak dus niet als een discussie over het “aparte juridische entiteit” zijn van de chatbot. Waar het om gaat, is waar de consument staat als bron A zegt dat iets wel mag en bron B dat dat niet mag. Dan geldt dus wat de bron zegt waar de consument op afgegaan is, omdat je bij een duidelijke toezegging deze niet hoeft te dubbelchecken. Het roept de filosofische vraag op of de klager recht zou hebben op een gedeeltelijke teruggaaf als hij achteraf de chatbot had geraadpleegd, na eerst een duur ticket te hebben gekocht omdat de Bereavement Policy dat zei.

De rechter benoemt nadrukkelijk dat hij geen verschil ziet tussen een statische webpagina en een chatbot. Ik zie dat zelf anders: de indruk die je wekt met een chatbot is ergens toch serieuzer, specifieker. Een webpagina zegt hoe het in het algemeen is. Een chatbot helpt jou met jouw probleem, je hebt jouw specifieke feiten genoemd en je vraagt een advies over jouw situatie. Dan komt daar iets uit dat voor jou opgaat, en dat zou best anders kunnen zijn dan de algemene regel.

Ik ben een beetje bezorgd dat uitspraken als deze ertoe gaan leiden dat chatbots ieder gesprek openen met een disclaimer dat je alles moet dubbelchecken dat ze zeggen, en dat ze geen bindende toezeggingen kunnen doen.

Arnoud

 

Mag mijn werkgever me dwingen mijn BYOD te voorzien van Microsoftsoftware?

my workstations – windows laptop” by anotherjesse is licensed under CC BY-NC-SA 2.0

Een lezer vroeg me:

Mijn werkgever wil het BYOD beleid voor onze organisatie zodanig aanpassen, dat er alleen nog met laptops gewerkt kan worden, die volledig op Microsoft producten draaien. (Windows 11, Office365, enz). Ik heb gewetensbezwaren tegen het gebruik van software van Big Tech bedrijven en werk al 25 jaar zonder problemen met open source. Hoe sterk sta ik als ik bezwaar wil maken tegen deze beleidswijziging?
Ik moet nu even cru zijn: nee. De werkgever kiest de gereedschappen en bepaalt hoe het werk gebeurt. Gewetensbezwaren brengen vrijwel altijd met zich mee dat je ontslag moet nemen. Van je werkgever eisen dat die het werk anders inricht vanwege jouw gewetensbezwaren kan enkel heel soms bij een kernaspect van een religieuze overtuiging en alleen als er een reëel alternatief is.

Hier gaat het om bring-your-own-device beleid, waarbij werknemers de eigen laptop met eigen software mogen inzetten voor werkzaken. Dat kan, en in zo’n vrije setting is het dan helemaal prima dat jij dat met een laptop met FreeBSD en LibreOffice doet in plaats van Windows 11 en Office 365.

Maar ook als dit al enige jaren het beleid is, blijft de werkgever gerechtigd van gedachten te veranderen en over te willen stappen naar een meer gecontroleerde omgeving. Goed werkgeverschap vereist dat hij hier wel enige vooraankondiging en overgangstijd voor laat, dus niet op vrijdag 13:00 aankondigen dat iedereen maandag op Windows 11 moet zitten of dat om 9:00 de IT-afdeling langskomt met een installatie-CD.

Daar staat tegenover dat een werknemer niet verplicht kan worden de eigen laptop mee naar het werk te nemen. BYOD in deze vorm is een keuze, en die keuze impliceert niet dat je dat device voor altijd moet blijven gebruiken. Je kunt dus als werknemer met gewetensbezwaren de BYOD regeling opzeggen en een laptop van de werkgever verlangen. Wel zal daar dan natuurlijk Windows 11 en Office 365 op staan.

Arnoud Dit is een update van een vraag in de comments van een blog uit 2017. Ik ben sinds de discussie daar van gedachten veranderd.

Alweer controle bij de zelfscankassa? Mogelijk vindt AI je gedrag verdacht

Cashierless supermarket self-checkout” by CoCreatr is licensed under CC BY-SA 2.0

“Er komt meer cameratoezicht in alle winkels en er komen meer en slimmere steekproeven bij zelfscankassa’s”, las ik bij PrivacyNieuws. Men citeert supermarktketen Jumbo, dat AI-technologie wil gaan inzetten voor gerichte steekproeven bij de zelfscankassa. Hoe zinnig is dat?

Vrijwel alle supermarkten hebben zelfscankassa’s. Dat scheelt immers een hoop geld aan salarissen voor cassières (m/v/x), maar je krijgt er wel meer winkeldiefstal voor terug. Daar moet technologie dan een oplossing voor bieden, en het breed gedragen gevoel is dan dat een steekproef gebaseerd op willekeur niet goed genoeg werkt. Daarom de greep naar AI.

Het lijkt erop dat men niet gaat controleren op kenmerken van de persoon, maar op gedrag:

Retaildeskundige Eelco Hos legde begin dit jaar in het Brabants Dagblad uit hoe dit soort AI-controlesystemen eruit kunnen zien. Camera’s zouden kunnen checken wat de klant koopt en scant. Als een product dan niet wordt gescand, vraagt het zelfscanapparaat de klant om dat alsnog te doen. Een andere mogelijkheid is dat een medewerker door de computer wordt gewaarschuwd als iemand niet alles afrekent. Een camera bij de kassa maakt dan een foto van de winkelmand aan de kassa.
Deze aanpak heeft in ieder geval niet het nadeel dat men gaat proberen een AI te leren hoe “een gemiddelde winkeldief” eruit ziet – een fundamenteel onjuiste aanpak. Het leidt natuurlijk wel tot een enorme berg aan extra camera’s, en het trainen van een model dat scant wat iemand uit het rek pakt is ook niet triviaal (denk aan terugleggen of 2 stuks pakken, of een donkere verpakking in de hand van een persoon van kleur).

De geciteerde zorg van Bits of Freedom is inderdaad niet onterecht:  “Je hoeft maar een verkeerde beweging te maken en je kunt onterecht als verdacht worden aangemerkt.” Als de camera niet helemaal goed ziet welk product je pakt, dan zal de kassa een discrepantie zien tussen jouw mandje en de werkelijkheid in het systeem, en dat pakt altijd in het nadeel van de klant uit. De Jumbo heeft hier nog geen nadere uitleg over gegeven.

Arnoud PS: Lezen hoe het wel moet? Mijn boek AI and Algorithms gaat in detail in op de juridische en ethische randvoorwaarden van inzet van AI.

Tonen van foto en ter beschikking stellen van camerabeelden geen inbreuk op AVG

edwardbrownca / Pixabay

Het delen van beeldmateriaal naar aanleiding van een misstand is niet perse een inbreuk op de AVG. Dat maak ik op uit een recent Rotterdams vonnis over een niet geheel alledaagse botsing tussen een werknemer, een clubbezoek onder werktijd en de werkgever.

De eiser in deze zaak had afgelopen januari een exclusieve club van exploitant Villasa bezocht. Hij had op dat moment standbydienst bij een bedrijf, en was dan ook met de bedrijfsbus en in kleding van het bedrijf aanwezig.

“In verband met incidenten die die avond waren voorgevallen” is iets later een medewerker van de club naar de directie van dat bedrijf gegaan met een foto van de beveiligingsbeelden. Het verzoek was uiteraard die persoon te identificeren, zodat men hem kon aanspreken op de financiële gevolgen. De misdragingen waren zelfs zo ernstig dat de club de man een toegangsverbod wilde opleggen.

In reactie verzocht het bedrijf om de camerabeelden:

zodat [bedrijf01] inzicht kon krijgen in de hoeveelheid alcohol die [eiser01] die avond had genuttigd. Villasa heeft dat verzoek ingewilligd en in [naam club01] (een deel van) de camerabeelden getoond aan [bedrijf01] . Een medewerker van [bedrijf01] heeft van de betreffende beelden video-opnames gemaakt. [bedrijf01] heeft deze video-opnames verstrekt aan haar jurist.
De man maakte hiertegen bezwaar op grond van de AVG: foto- en filmbeelden zijn immers persoonsgegevens, en die mag je niet zomaar verwerken laat staan aan een derde geven.

Niet zomaar, maar de rechter ziet hier wel degelijk een grond: het gerechtvaardigd belang. De club had een duidelijk belang bij het willen identificeren van de man, gezien de ernst van de incidenten. Andere routes dan de werkgever vragen (die via bus en trui te achterhalen was), had de club eigenlijk niet.

Voor de werkgever was een en ander kennelijk ook ernstig genoeg:

Dat [bedrijf01], nadat Villasa bij haar op kantoor was langsgekomen, meer wilde weten over het gedrag van [eiser01] op de avond dat hij stand-by dienst had, is alleszins begrijpelijk. [eiser01] reed in de bedrijfsbus van [bedrijf01] waarin (zoals door Villasa gesteld en door [eiser01] niet betwist) gevaarlijke stoffen lagen en [bedrijf01] had er, met het oog op de veiligheid, een gerechtvaardigd belang bij inzicht te krijgen in de hoeveelheid alcohol die [eiser01] die avond had genuttigd. Daarnaast is aannemelijk geworden dat het tonen van (een deel van) de beelden noodzakelijk was om het gerechtvaardigd belang van [bedrijf01] te behartigen. Het is begrijpelijk dat [bedrijf01], om een inschatting te kunnen maken van de ernst van de situatie en eventuele (arbeidsrechtelijke) consequenties te kunnen verbinden aan het gedrag van [eiser01], de beelden met eigen ogen wilde zien (en bijvoorbeeld niet af wilde gaan op alleen de woorden van Villasa).
Oftewel: jij gaat met een bus met gevaarlijke stoffen ergens heen en drinkt alcohol terwijl je standbydienst hebt, dan moet je de gevolgen maar dragen. De AVG staat hier niet in de weg.

Arnoud

Duits bedrijf vindt honderden auteursrechtenschendingen per week, claimt geld bij Nederlands mkb

Het Duitse Copytrack vindt elke week honderden gevallen van verkeerd gebruikt beeldmateriaal en stuurt – vooral kleine – Nederlandse ondernemers claims voor soms voor meer dan duizend euro. Dat meldde BNR vorige week. Bekend verhaal, maar extra dubieus: Wie bij Copytrack online betaalt moet akkoord gaan met de algemene voorwaarden van het bedrijf. Hiermee verplichten gebruikers zich tot het betalen van de boeterekening van 900 euro, als foto’s nogmaals online worden gevonden.

Zoals ik ook tegenover de BNR journalist aangaf: Het frustrerende is, dit alles speelt binnen de wet. Als je een foto overneemt zonder toestemming dan moet je (als zakelijke partij) betalen. Alleen: hoe veel? De Hoge Raad heeft véle jaren geleden gezegd dat de gemiste licentie-inkomsten de schade zijn. Dus, wat vraagt die fotograaf normaal, wat kost deze foto in de beeldbank. Is dat een foto van 15 euro, dan is de schade 15 euro. Ben jij een exclusieve fotokunstenaar en krijg je 5000 euro per kopie dan is dat je schade. Net zoals het bekrassen van een custom built Spyder meer kost dan het oplappen van een oude Opel Corsa.

Schimmig wordt het vanwege de vele verhogingen die er arbitrair ingefietst worden. CopyTrack spant de kroon: je kunt alleen betalen via hun portaal, waar je en passant akkoord zou gaan met hun algemene voorwaarden met daarin een boetebeding(!). Dat kan, als deel van een schikking mág je afspreken dat vervolginbreuken 1000 euro kosten ongeacht de schade. Maar normaal lijkt me dat je daarover onderhandelt, niet dat je een stiekem vinkje ergens onderaan de pagina laat bungelen.

Mijn advies is en blijft dan ook: zoek zelf uit wat de foto écht kost, en betaal dat met 25% opslag (jurisprudentie). Ga niet in discussie, zij hebben geen énkele interesse in jouw argumenten en ze gaan nooit van z’n leven erkennen dat het bedrag omlaag mag. Maak het bedrag dus over en negeer de discussie. Dat werkt, ik ken niemand die vervolgens voor het verschil (hun eis minus jouw betaling) is aangeklaagd.

Je mág ook heel principieel in discussie gaan, bijvoorbeeld door te weigeren te betalen tot men een machtiging liet zien of een notariële akte die de inbreuk documenteert. Die ga je niet krijgen; wat je wél kan krijgen dan is een dagvaarding waar jij als weigerachtige inbreukmaker ingeschilderd wordt.

Dát is dan weer niet handig bij de kantonrechter die zich afvraagt waarom jij als persoon in de fout (je had immers een recht geschonden, dat weet je anders had je de factuur van de gekochte foto wel laten zien) niet gewoon betaalt wat de schade was.

Wat er wél aan te doen is? Klagen bij de opdrachtgevers, waarom ze met zo’n schimmige club in zee gaan. BNR vroeg DPG Media over de samenwerking met Copytrack:

DPG Media laat weten dat de samenwerking met het bedrijf tegen de loep wordt gehouden. ‘Wij hebben recent signalen ontvangen dat de communicatie van Copytrack stevig overkomt’, schrijft een woordvoerder. ‘Wij zullen deze signalen met Copytrack bespreken en zo nodig de werkwijze aanpassen.’ DPG zegt niet bekend te zijn met de hoge boetes die het bedrijf in rekening brengt.
Arnoud

 

Mag een incassobureau blijven incasseren als de webshop failliet is en ik daar heb ontbonden?

Een lezer vroeg me:

Een webshop verkoopt producten op achterafbetaling aan consumenten, en verkoopt de vorderingen aan een incassobureau (en krijgt dus meteen haar geld minus 10%). De consument wil ontbinden binnen 14 dagen, maar de webshop is net failliet gegaan. Moet de consument nu betalen aan het incassobureau omdat de vordering is verkocht, of vervalt de betalingsplicht door de ontbinding?
Het recht van de consument om de koop op afstand te ontbinden (art. 6:230o BW) vervalt niet omdat de webwinkel failliet is. De algemene regel uit de wet is immers dat een faillietverklaring geen gevolgen heeft voor lopende overeenkomsten. Dus als je tegen een failliet bedrijf meldt dat je ontbindt, dan is dat rechtsgeldig.

Door ontbinding van de koop vervallen alle vorderingen die daarop zijn gebaseerd. Dat is immers het hele punt van ontbinding. Het product moet terug omdat dit weer eigendom van de webwinkel is, en een eventuele betaling moet teruggestort want er is geen koop meer. Is er nog niet betaald, dan vervalt de plicht om nog te betalen – want er is dus geen koopovereenkomst meer.

Webwinkels verkopen nog wel eens zo’n betalingsplicht aan een incassobureau. Dat is handig, want je hebt meteen je geld, zij het minus een bepaald percentage omdat het bureau het risico van wanbetalen wil meenemen. Maar bij zo’n verkoop moet je dus als bureau beseffen dat de koop rechtmatig zomaar ontbonden kan worden.

Een incassobureau weet natuurlijk niet dat de consument tegen de webwinkel de ontbinding heeft ingeroepen. Daarom zegt de wet (art. 6:149 BW) dat de consument de nieuwe schuldeiser zo snel mogelijk op de hoogte brengen van het feit dat hij gebruik heeft gemaakt van zijn herroepingsrecht. Daarna houdt het dus meteen op voor het incassobureau.

Arnoud

Xbox-president: DMA-beleid Apple is een stap in de verkeerde richting

person wearing orange and gray Nike shoes walking on gray concrete stairs
Photo by Bruno Nascimento on Unsplash

Xbox-president Sarah Bond heeft gezegd dat Apple een stap in de verkeerde richting zet wat het DMA-beleid betreft dat op 7 maart van kracht gaat. Dat meldde Tweakers dinsdag. Apple maakte eerder deze maand plannen bekend waarmee men wil voldoen aan de Europese Digital Markets Act, maar stuitte daarbij op veel kritiek. Wat is hier aan de hand?

Vorige week noemde ik de DMA het sjacherijnige broertje van de Digital Services Act (DSA). Waar de DSA spelregels stelt voor platforms en hosters die met name gericht zijn op transparantie en eerlijk zijn naar je gebruikers, komt de DMA met een hele lijst verboden en verplichtingen voor ‘poortwachters’ oftewel bedrijven die gewoon heel machtig zijn in de ict/internet-wereld. Die lijst is gebaseerd op een hoop dingen die misgegaan zijn in het (recente) verleden, dus die wet zit inderdaad mopperend en zuchtend “káp hier nou eens mee” te klagen.

In dit zwartboek van het ict-recht zien we een aantal halen naar Apple:

7.   De poortwachter verlangt van eindgebruikers niet dat zij gebruikmaken van een identificatiedienst, een browser-engine of een betalingsdienst, of van technische diensten die het aanbieden van betalingsdiensten ondersteunen, zoals betalingssystemen voor in-app-aankopen, van die poortwachter, noch van zakelijke gebruikers dat zij die gebruiken, aanbieden of ermee interageren in het kader van diensten die zij aanbieden via kernplatformdiensten van die poortwachter.
Dit is natuurlijk letterlijk de situatie met Apple’s App Store, waar je 30% betaalt van alle transacties via de app. Onder meer Spotify is daar heel boos over, dus de hoop was sterk dat Apple dankzij de DMA een alternatief zou verzinnen.

Dat alternatief is er nu, maar je hebt er weinig aan:

A completely new 0.50 cent Euro fee per download, every year, in perpetuity, to Apple for just allowing developers to exist on iOS.

Apple is still charging a 17% rent on developers for existing in the App Store if they offer alternative payment methods or link out to their own website.

Met deze (en andere) maatregelen is het natuurlijk búitengewoon onaantrekkelijk om over te stappen naar een andere appstore of een andere betaalmethode. En dat lijkt dan ook precies de bedoeling van Apple te zijn geweest: oké, we moeten van de DMA een alternatief bieden, dit is een alternatief dus haha ja we voldoen hoor.

Ik had ooit de “ja haha” regel: als je dat in je juridisch argument gebruikt, dan is het argument onjuist. Die is niet zo’n succes gebleken maar hij klopt wel precies met dit geval.

Het lastige is natuurlijk: wat gaan we eraan doen als Europa zijnde? Snel doorpakken vanuit de Commissie en direct een bindende aanwijzing zou het verstandigste zijn – boetes hebben weinig effect, maar “je product moet van de schappen tenzij je deze maatregel doorvoert” zal een stuk meer pijn doen.

Arnoud

 

Je vraagt geen akkoord op privacyverklaringen, maar hoe moet het dan wel?

Een lezer vroeg me:

Ik ben bestuurder van een stichting die lotgenoten van een medische aandoening wil helpen. Hiertoe koppelen wij patiënten aan buddy’s, en wij hebben een portaal ingericht waar je je aan kunt melden. Momenteel staat daar “Ik ga akkoord met de privacyverklaring”, maar ik had begrepen dat dat niet genoeg is. Hoe moet het wel?
Al geruime tijd roep ik inderdaad dat mensen op moeten houden met akkoord vragen op privacyverklaringen. De achterliggend gedachte is dat een privacyverklaring een toelichting is. Zie het als de bijsluiter bij medicatie: daarin staat vooral details zoals hoe vaak innemen, bijwerkingen en wat als je een dosis gemist hebt.

Wat het medicijn doet en hoeveel je moet nemen, staat op de doos (en zegt de apotheker). Hier ook: je moet dus op het formulier aangeven waarom je die gegevens vraagt en wat daarmee gebeurt. Die tekst kun je dan laten verwijzen naar de privacyverklaring (“voor meer informatie, zie”) maar alléén een “zie de privacyverklaring voor wat we doen met je gegevens” is niet genoeg.

Akkoord vragen is dus irrelevant: dit gaat om informeren en toelichten, niet om de AVG-toestemmingsvraag.

Natuurlijk kan het zijn dat je de gegevens verwerkt op basis van toestemming als AVG-grondslag. In dat geval heb je een toestemmingsvraag nodig, maar ook dan verwijs je niet naar de privacyverklaring want daarin kan geen toestemmingsvraag staan en de inhoud van de verklaring is geen deel van de vraag.

Bij mensen met elkaar in contact brengen is toestemming denk ik de enige mogelijke grondslag. Specifiek bij een contactformulier kun je je echter afvragen of je nog wel een aparte vraag nodig hebt. De strekking van het formulier is immers duidelijk: deze gegevens gaan naar potentiële buddy’s (of jouw gegevens als buddy naar een patiënt die bij jou zou passen), dus hoe kun je invullen en opsturen anders opvatten dan een toestemming, een “Ja graag, doe maar”.

Arnoud

Kabinet wil dat Twitter-alternatieven snel aan elkaar worden gekoppeld

assorted electric cables
Photo by John Barkiple on Unsplash

Het zou goed zijn als gebruikers van socialemediaplatform Threads snel kunnen praten met mensen op Mastodon en andersom, las ik bij Nu.nl. De Nederlandse overheid experimenteert namelijk sinds vorig jaar juni met een eigen Mastodon-omgeving, maar men zou graag willen dat de communicatie ook naar Meta’s X-concurrent Threads kan lopen. Het gaf wat ophef in de zin van “waar bemoeit de overheid zich mee” of “hoe dom kun je zijn”, maar juridisch is dit zo raar nog niet.

Technisch is het ook al helemaal niet zo raar:

Threads en Mastodon gebruiken allebei het protocol ActivityPub, waardoor ze in principe kunnen samenwerken. Als ze gekoppeld worden, zou een bericht op Threads daardoor ook zichtbaar zijn voor gebruikers op Mastodon. Mogelijkheden voor deze koppeling worden nu op kleine schaal getest, zonder zicht op een grootschalige uitrol.
Het lijkt dus primair een implementatieprobleem dat vanwege de nieuwigheid wat langer duurt dan je zou verwachten. Maar de bezwaren zijn fundamenteler, dit is toch iets dat je niet kunt eisen? Iedereen timmert zijn eigen platform toch helemaal dicht en waarom zou je de concurrent erop laten?

Nou, omdat dat moet, zei de jurist. De Digital Markets Act (DMA), het chagrijnige broertje van de DSA, bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.
Het ‘aanwijzingsbesluit’ is het besluit van de Europese Commissie dat je poortwachter bent, oftewel een ict-dienstverlener met aanzienlijke impact, een belangrijke toegangspoort voor zakelijke afnemers naar hun (potentiële, b2b en/of b2c) klanten en dat nog duurzaam en verankerd ook nog.

Meta is vorig jaar aangewezen als poortwachter, en daarbij is hun dienst Messenger genoemd. Meta vecht dat nu aan, met als argument onder meer dat het consument-consument communicatie is en geen belangrijke toegangspoort voor bedrijven. Voor Threads kan ik het zo snel niet vinden, maar dat kan zijn omdat het net te laat (zomer ’23) werd geïntroduceerd.

Twitter (X) specifiek is géén poortwachter, hun omzet is te klein om ze hiervoor in aanmerking te laten komen. Die hoeven dus niet interoperabel te zijn met Mastodon, Threads of Messenger.

(De grote knaller is natuurlijk dat Apple voor iMessage wél als poortwachter voor chatdiensten is aangemerkt, en dus open zou moeten. Apple is het daar Heel. Erg. Niet. Mee. Eens.)

Arnoud