Hoe kan een Britse marktautoriteit een Amerikaanse overname tegenhouden?

| AE 14009 | Ondernemingsvrijheid, Regulering | 5 reacties

Waarom het VK Microsofts megadeal wil tegenhouden, zo las ik bij Tweakers onlangs. Met een verrassend besluit maakte de Britse Competition and Markets Authority onlangs namelijk bekend dat het de geplande overname van Activision Blizzard door Microsoft zal blokkeren. Na de aankoop zou Microsoft het op twee na grootste gamingbedrijf ter wereld worden, na het Chinese Tencent en Xbox-concurrent Sony. Spannend, want Activision Blizzard maakt de wereldwijd enorm populaire titel Call of Duty en als die niet meer op de Sony Playstation beschikbaar zou zijn, dan zou dat wel eens grote verkoopgevolgen hebben. Maar het zijn twee Amerikaanse bedrijven, dus waar bemoeit die Britse CMA zich mee?

Het verbod is de uitkomst van een onderzoek gestart juli vorig jaar, maar de uitkomst was voor velen een verrassing: men maakte bezwaar vanwege de zorgen over de machtspositie op de markt voor cloudgaming. Verrassend, want dat is momenteel een relatief kleine markt (2 miljard euro versus 230 miljard voor de hele gamingmarkt) dus is dát nou de heuvel waar je op wilt sterven als toezichthouder? Ja, het is een groeimarkt maar toch:

Volgens de toezichthouder zijn Microsofts cloudtoezeggingen echter te beperkt in omvang. De CMA zegt onder meer dat in de overeenkomsten te weinig aandacht werd besteed aan verschillende businessmodellen voor cloudgaming, zoals abonnementsdiensten die toegang tot games aanbieden. Microsoft heeft zijn Game Pass Ultimate-abonnement, dat ook toegang biedt tot zijn cloudgamingdienst. De CMA zegt dat Microsoft geprikkeld zou kunnen zijn om licentieovereenkomsten met derden op dat gebied te ondermijnen, zij het door ze helemaal niet aan te gaan of door commercieel onacceptabele voorwaarden te stellen.
Met name de zorg dat vrijwel alle cloudgames (mede) op Windows moeten kunnen draaien, is een fundamentele. Want Microsoft heeft nog steeds een machtspositie in de markt voor besturingssystemen.

De vraag blijft terugkomen: waar bemoeit het VK zich mee, als twee Amerikaanse bedrijven besluiten samen verder te gaan? Dat is een kwestie van soevereiniteit: ieder land mag zelf haar regels bepalen, en dat die andermans regels tegenspreken is hooguit een probleem voor de praktijk. Dus als het VK iets verbiedt dat de VS toestaat, dan is dat juridisch helemaal in orde. De consequentie zou dan zijn dat het gefuseerde bedrijf niet in het VK mag opereren. En dat zou ingewikkeld zijn:

De CMA zegt in statements aan media dat Activision ‘is verweven in verschillende markten’ en daarom niet zomaar losgekoppeld kan worden voor alleen de Britse markt. Activision alleen binnen het Verenigd Koninkrijk zelfstandig houden lijkt dus, in ieder geval volgens de Britse marktwaakhond, geen serieuze optie voor de techgigant.
Opmerkelijk is dan nog dat de CMA alleen lijkt te staan: in zowel de VS als in de Europese Unie is toestemming gegeven voor de overname, binnen een aantal concessies en toezeggingen die Microsoft heeft gedaan (zoals nog tien jaar gegarandeerd ook op Playstation te leveren).

Arnoud

Verzekeraar moet 1,4 miljard dollar vergoeden in belangrijke ransomwarezaak

| AE 14004 | Ondernemingsvrijheid | 4 reacties

Een Amerikaanse verzekeraar moet 1,4 miljard dollar uitkeren aan Merck vanwege de NotPetya-ransomwareaanval. Dat meldde Tweakers onlangs. De verzekeraar had dit geweigerd met een beroep op de overmachtsclausule, specifiek het feit dat het om militair optreden ging: NotPetya wordt door beveiligingsexperts toegeschreven aan de Russische militaire inlichtingendienst GROe, die de ransomware wilde inzetten als sabotagedaad in het toenmalige conflict in Oekraïne. De rechtbank ziet dat als irrelevant, wat de weg makkelijker maakt voor toekomstige verzekerden.

NotPetya is een variant op de iets oudere malware Petya, waarbij er duidelijke aanwijzingen zijn voor ontwikkeling door de Russische overheid. Zo lijkt NotPetya eerder ontworpen om data te vernietigen, omdat het ontsleutelen van bestanden (na betaling) niet goed werkt. Ook was de eerste aanvalsvector gericht op Oekraïne.

Farmacie- en chemiebedrijf Merck heeft daar niet echt iets mee te maken, maar kreeg wel een aanval van NotPetya over zich heen. Dit leidde tot honderden miljoenen dollar schade en 10.000 geïnfecteerde machines. Gelukkig voor haar had ze maar liefst acht verzekeringen die dit zouden moeten dekken. Het was dan ook nogal vervelend om te horen dat Ace American Insurance weigerde de toegezegde 700 miljoen dollar uit te keren.

De reden? De kleine lettertjes natuurlijk, meer specifiek zou geen uitkering plaatsvinden bij:

Loss or damage caused by hostile or warlike action in time of peace or war, including action in hindering,  combating, or defending against an actual, impending, or expected attack: (a) by any government or sovereign power (de jure or de facto) or by any authority maintaining or using military, naval, or air forces; (b) or by military, naval, or air forces; (c) or by an agent of such government, power, authority, or forces[.]
De verzekeraar nam namelijk het standpunt in dat NotPetya een “attack” was, die was “orchestrated by actors working for or on behalf of the Russian Federation.” Nou is dit taal die al decennia in verzekeringspolissen staat, maar verzekeraars hebben zelden reden om die in te roepen. De Russische aanslag op MH17 was de enige keer dat dit recent relevant werd.

Cyberaanvallen komen natuurlijk heel wat vaker voor, en er is dan ook grote discussie of dit een oorlogsdaad is, terrorisme of gewoon iets dat je in cyberspace kan overkomen. En dat maakt natuurlijk behoorlijk uit voor cyberverzekeringen, die ook in Nederland allemaal een oorlogs- of molest-uitzondering hebben.

De Amerikaanse rechter begint met te stellen dat je verzekeringspolissen hun “plain meaning” moet geven – er staat wat er staat, en bijdehand lezen is niet de bedoeling. Verzekeringen zijn immers bedoeld om duidelijkheid te creëren, en worden eenzijdig aangegaan want er valt weinig te onderhandelen.

Wat is dan de plain meaning van deze bepaling? Nou ja, dat het schadebrengende feit zelf een oorlogshandeling (of vergelijkbaar) is. Een handeling dus door strijdkrachten met een militair motief of doel. Men wil een brug veroveren en schiet daarbij jouw huis kapot. Je bedrijf wordt gebombardeerd omdat de kogellagers die je produceert, essentieel zijn voor de oorlogsproductie. Een tank rijdt over je auto heen in haar opmars naar het vijandelijk hoofdkwartier. Zulke dingen.

Merck is een chemiebedrijf en kreeg NotPetya over zich heen zonder dat daar enig militair motief aan te koppelen is. Dat is dus eerder “er lag een verdwaalde vliegtuigbom onder de parkeerplaats” dan een oorlogshandeling. En dat ziet de Amerikaanse rechter niet als een geldig beroep op de uitsluiting:

Coverage could only be excluded here if we stretched the meaning of “hostile” to its outer limit in an attempt to apply it to a cyberattack on a noncombatant firm that provided accounting software updates to various noncombatant customers, all wholly outside the context of any armed conflict or military objective. But that approach would conflict with our basic construction principles requiring a court to narrowly construe an insurance policy exclusion.
De zaak is natuurlijk Amerikaans, maar het principe is zeer redelijk en internationaal toepasbaar. In Nederland is de hoofdregel (Haviltex) dat je kijkt wat de bedoeling van partijen is, maar hoe grootzakelijker de partijen, en hoe meer standaard het contract, hoe dichter men bij de letterlijke tekst mag blijven. Dus ook daar zou het niet snel lukken om “oorlogsdaad” gelijk te stellen aan “iedere schade van malware waarvan de productie gelinkt kan worden aan een statelijke actor”.

Arnoud

ChatGPT is opnieuw beschikbaar in Italië na eerder verbod

| AE 14002 | Ondernemingsvrijheid | Er zijn nog geen reacties

AlexandraKoch / Pixabay

ChatGPT is opnieuw beschikbaar in Italië, meldde Tweakers onlangs. Eigenaar OpenAI heeft diverse stappen genomen om aan de bezwaren van de Italiaanse privacytoezichthouder tegemoet te komen: er is meer informatie over datagebruik online gezet en er zijn bezwaar- en leeftijdsverificatietools op de site opgenomen. Hoewel de GPDP niet volledig tevreden is, is dit voorlopig genoeg om de dienst weer toegankelijk te maken. De vraag is dan ook, wat gaat er nu nog meer komen?

Begin april verbood de Italiaanse Autoriteit Persoonsgegevens (Garante per la Protezione dei Dati Personali, GPDP) OpenAI om de dienst aan te bieden in Italië, omdat kort gezegd niet werd voldaan aan de accuraatheidsverplichting uit de AVG. Ook een probleem was dat niemand is verteld welke informatie over hem of haar in het taalmodel is opgenomen. Er is wel een privacyverklaring maar die gaat niet echt in op de dataverwerking bij het stofzuigen van heel internet.

In haar persbericht legt de GPDP uit welke stappen OpenAI heeft genomen:

  1. Toelichting over hoe en welke persoonsgegevens worden gebruikt (ik kan de link even niet vinden maar dat ligt aan mij)
  2. Voorafgaande uitleg over wat er met je gegevens gebeurt als je registreert als gebruiker
  3. Iedere Europeaan krijgt een opt-out mogelijkheid om zhaar persoonsgegevens te laten verwijderen uit de OpenAI dataset; dat formulier staat hier (krankzinnige URL, dank TechCrunch)
  4. Een mogelijkheid voor betrokkenen om onjuiste uitvoer over henzelf te markeren als onjuist, met de kanttekening dat men nu technisch niet in staat is deze vervolgens tegen te houden
  5. Een aparte popup voor Italiaanse gebruikers over bovenstaande
De stappen klinken goed, maar leggen de bal nog wel sterk bij de mensen die last hebben van ongewenste of onjuiste GPT-uitvoer. Zo moet je op dat bezwaarformulier per prompt aangeven waarom de uitvoer ongewenst is. Maar goed, het is beter dan niets en de volgende stap is dan het privacy by design herontwerpen van GPT zodat dergelijke fouten gewoon niet meer voorkomen.

Arnoud

Deze fotograaf kreeg een rekening omdat hij zijn foto uit de LAION dataset wilde hebben

| AE 14000 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

Een Duitse stockfotograaf eiste bij de beheerders van de LAION dataset verwijdering van zijn foto’s, maar kreeg een factuur van $979 in plaats van excuses. Dat las ik bij VICE, en ik wou dat ik zulke clickbaittitels kon schrijven. De zaak is interessant genoeg, zeker nu de fotograaf een rechtszaak is begonnen. Het Duitse LAION… Lees verder

Wordt het tijd voor een beschermd persoonlijkheidsrecht vanwege al die AI-kloonsystemen?

| AE 13997 | Innovatie, Ondernemingsvrijheid, Privacy | 7 reacties

Op TikTok en YouTube wemelt het van de liedjes die met kunstmatige intelligentie (AI) zijn gemaakt, las ik bij Nu.nl. Een voorbeeld is dit nummer van Drake met The Weeknd, en eerder blogde ik over de Eminem-sample in een werk van David Guetta die uit AI kwam. Voor een grapje of om een punt te maken zie ik… Lees verder

Onder ede verklaren of je eerdere uitspraken deepfakes zijn, kan dat?

| AE 13994 | Ondernemingsvrijheid, Uitingsvrijheid | 13 reacties

Tesla-topman Elon Musk moet onder ede komen verklaren over eerdere uitlatingen over Autopilot, berichtte Reuters onlangs. Die eerdere uitlatingen staan op video, maar zoals RTL Nieuws eerder berichtte, het zou een deepfake-video kunnen zijn. “Musks advocaten zeggen dat de topman zich niks herinnert van dat interview.” (Hoi Mark) De rechtbank wil hem nu alsnog langshebben. Het… Lees verder

Mijn werkgever eist dat wij mailen met voor- en achternaam, mag dat?

| AE 13986 | Ondernemingsvrijheid, Privacy | 39 reacties

Via Reddit: Ik ben werkzaam op een technische helpdesk. Nu is er sprake van een klein brandje aangezien het bedrijf eist dat wij onze mails beantwoorden met volledige voor- en achternaam. Dit heeft al geleid tot collega’s die privé worden gecontacteerd via bijvoorbeeld social media. Nou zal het echt geen juridisch conflict worden, maar mag… Lees verder

Ziggo zet particuliere abo’s automatisch om naar zakelijke op basis van KvK-data, mag dat?

| AE 13983 | Ondernemingsvrijheid | 27 reacties

Ziggo lijkt sommige klanten met een particulier abonnement automatisch om te zetten naar een zakelijk abonnement, gebaseerd op Kamer van Koophandelnummers die klanten hebben opgegeven. Dat meldde Tweakers woensdag. “[W]e zien in uw klantgegevens dat u een KvK-nummer heeft. Grote kans dat u uw Ziggo-diensten zakelijk gebruikt. Daarom registreren we u vanaf juni als zakelijke… Lees verder

Hoe een versleuteld bericht toch bewijs kan zijn van schending geheimhouding

| AE 13973 | Ondernemingsvrijheid, Security | 16 reacties

Een oud-werknemer moet een boete van ruim 15.000 euro betalen omdat hij een overeengekomen geheimhoudingsbeding en een beding over bedrijfseigendommen had geschonden door een bestand met bedrijfsgegevens naar zijn privé e-mail adres te sturen. Dat is de samenvatting van een recent Amsterdams vonnis in een arbeidszaak met een ict-tintje: het bestand was namelijk versleuteld, en hij… Lees verder

Familie van F1-coureur Schumacher klaagt tijdschrift aan vanwege AI-interview

| AE 13978 | Ondernemingsvrijheid, Uitingsvrijheid | 17 reacties

De familie van Formule 1-rijder Michael Schumacher klaagt een Duits tijdschrift aan vanwege een vermeend interview met de autocoureur. Dat las ik bij Tweakers. ‘Vermeend’, want ondanks uitspraken als “No meagre, nebulous half-sentences from friends. But answers from him! By Michael Schumacher, 54!” bleek het te gaan om AI-gegenereerde teksten. Iets dat je past wist als… Lees verder