Terugslag voor massaclaims miljoenen Nederlanders tegen TikTok, Meta, Google en Amazon

Claims voor immateriële schade bij privacyschending kun je niet voor veel gebruikers samen indienen, las ik bij Netkwesties. In oktober bepaalde de rechtbank Amsterdam namelijk dat zulke schade te persoonlijk is om te kunnen bundelen. Ook zet de rechtbank vraagtekens bij de vermeende commerciële motieven van de AVG-massaclaims, die immers allemaal met procesfinanciering worden gevoerd.

De kern van de discussie is natuurlijk of het juridisch wel de bedoeling is, dat een stichting namens een hele groep mensen een claim van zeg een tientje per persoon indient voor een AVG-overtreding. Met name vanwege die procesfinanciering: de partij die de stichting sponsort en de advocaat krijgt bij winst “veelal tussen 10 en 25 procent wat bij elkaar miljarden kan opleveren.”

Op zich is dit een legale constructie. Advocaten mogen niet op no cure no pay opereren, maar dat gebeurt hier niet, en als iemand andermans advocaat wil betalen en alleen bij een gewonnen zaak zijn investering (met winst) terugkrijgt, dan is daar niet direct een wetsartikel tegen.

Het idee van een massaclaim is alleen wel dat er massaal schade is geleden, zodat een hoop mensen tegelijk die gaan claimen en het dan efficiënter is dat met één zaak te doen. De schade is hier wat speculatief: hoe erg is het dat datafuik TikTok alles weet van je kind en een gedetailleerd profiel heeft opgebouwd? Welk schadebedrag zet je op zoiets?

De wet maakt onderscheid tussen materiële en immateriële schade. Het is die laatste categorie waar de rechter moeite mee heeft in een massaclaim: dan hebben we het over zaken als gederfde levensvreugde, angst, boosheid, stress en verontwaardiging. Dat is té persoonsgebonden, de een zal de schouders overhalen over dat profileren en de ander heeft hier langdurig last van.

Materiële schade is in beginsel op geld te waarderen, en daarmee wel geschikt om te bundelen. Dat kan ook bij gebruik van persoonsgegevens:

Deze persoonsgegevens hebben een zekere economische waarde voor degene die ze verkrijgt. … [I]ndien en voor zover persoonsgegevens worden verstrekt om daarmee een dienst te ‘kopen’, moet niet alleen worden gelet op de betaalde prijs (het verstrekken van de persoonsgegevens) maar ook op de daarvoor ontvangen tegenprestatie (de TikTok Dienst).
Dit vereist een nadere analyse van allerlei factoren (de rechtbank noemt er al zeven), maar je kunt niet op voorhand de stelling afwijzen dat er überhaupt materiële schade is geleden. En belangrijker: materiële schade is bundelbaar, al is het maar omdat er uiteindelijk een geldbedrag uitkomt per categorie slachtoffer en dat kun je dan optellen.

De claimstichtingen mogen dus door, mits ze maar focussen op materiële schade. Wel moeten ze nog eens goed kijken naar de constructie, want de rechtbank ziet daar wel vraagtekens bij de financiële onafhankelijkheid. Procesfinanciering mag namelijk niet als de financier zich inhoudelijk mag bemoeien met de procedure. Zo mag deze niet bepalen welke advocaten de zaak moeten doen.

Arnoud

Streamingdiensten moeten 5 procent van omzet in Nederlandse content steken

Grote streamingdiensten moeten vanaf 1 januari 5 procent van hun jaaromzet investeren in Nederlandse films en series. Dat meldde Nu.nl onlangs. De nieuwe wet geldt voor streamingdiensten die in Nederland jaarlijks meer dan 10 miljoen euro omzetten, zoals Netflix, Disney+ en Amazon Prime. Ik kreeg er vragen over: mag een land dat zo dicteren?

Het is zeker geen unieke nieuwe Nederlandse regel, dat je als contentproducent voorgeschreven krijgt dat een deel van je producties Nederlandstalig moeten zijn. Juridisch is een vergelijkbare constructie terug te vinden in de Audiovisuele Media Richtlijn die een percentage van maar liefst 30% voorschrijft:

De lidstaten zorgen ervoor dat onder hun bevoegdheid vallende aanbieders van audiovisuele mediadiensten op aanvraag een aandeel van ten minste 30 % aan Europese producties opnemen in hun catalogi en dat die producties aandacht krijgen.

Het kost enige moeite maar vrijwel alle grote platforms nemen dit zeer serieus, mede vanwege concurrentie-overwegingen:
The study argues that the increase in European titles available on streamers is due to “regulatory pressure in boosting the acquisition and production of European film and TV,” as well as the fact that global players are now competing directly with local and regional players for commissioned content. It can also be noted that streamers and broadcasters have started collaborating on ambitious series in key markets.
Maar hoe kun je een partij zo concreet verplichten om producties op een bepaalde plek te produceren? Dat lijkt te botsen met de ondernemers- en uitingsvrijheden: als onderneming bepaal ik zelf wel wat ik produceer, in welke taal en op welke plek ter wereld.

Alleen, die vrijheden zijn niet onbeperkt. De uitingsvrijheid mag bijvoorbeeld worden ingeperkt als dat noodzakelijk is om andermans rechten te beschermen (zoals bij smaadwetgeving of de AVG). Hier gaat het om een wat abstracter begrip, namelijk de pluriformiteit van het media-aanbod: het is maatschappelijk zeer wenselijk dat er mediaproducties uit Europa komen en niet alléén maar uit Hollywood, zeg maar. En gezien de machtsposities van deze productiemaatschappijen is het dan redelijk om ze zo’n verplichting op te leggen.

Arnoud

 

CISO van gehackt SolarWinds aangeklaagd vanwege cybersecurityfalen

Courtany / Pixabay

De Amerikaanse bedrijfstoezichthouder SEC komt met een aanklacht tegen de diepgaand gehackte leverancier van beheersoftware én tegen de CISO van het bedrijf. Dat meldde AG Connect onlangs. Zorgen over aansprakelijkheid voor topmanagers laaien nu weer op. Hoe zou dat in Nederland uitpakken?

Eind augustus 2021 blogde ik ook over zo’n claim tegen de CISO persoonlijk, maar dat ging toen over een civielrechtelijke claim van aandeelhouders die securities fraud zagen in de wanboel die deze man ervan had gemaakt. Nu is het dus de beurstoezichthouder, maar de insteek is hetzelfde: door enerzijds te zeggen dat de security top is, en anderzijds diezelfde security volledig te verprutsen, misleid je aandeelhouders.

Kun je zoiets de CISO persoonlijk verwijten? Dat hangt allereerst af van waar deze staat. Ondanks de C-titel is een CISO namelijk niet perse een chief, een directeur of vergelijkbaar. Zoals het NCSC het uitlegt:

De CISO heeft, als kenner van cybersecurity, een adviserende, coördinerende en controlerende rol. De CISO heeft geen zelfstandige verantwoordelijkheid voor de cybersecurity van de organisatie. De CISO is namelijk geen eigenaar van IT- of OT-systemen. Die rol wordt altijd belegd bij het lijnmanagement van de organisatie.
Een adviseur of controlerende functie in een organisatie is natuurlijk geen bestuurder en kan dan niet persoonlijk aansprakelijk gehouden worden door derden. De juridische norm van “opzet of bewuste roekeloosheid” (art. 7:661 BW) ligt zó hoog dat je dit in de praktijk vrijwel nooit haalt.

Wie wél bestuurder is (een CISO in de board, dus) zou wel als bestuurder persoonlijk aansprakelijk gesteld kunnen worden. Het criterium is dan kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
Het gaat dan vaak om zaken als willens en wetens verplichtingen aangaan die het bedrijf niet kan hebben, opzettelijk aansturen op contractbreuk enzovoorts. Maar hier gaat het primair om je werk niet goed doen, zitten te slapen in plaats van de security op orde te maken. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

Voor de falende security zelf zie ik ook geen claims richting de bestuurder-CISO persoonlijk. Dat is ‘gewoon’ tekortschieten in je werk, en geen opzet om klanten of anderen schade toe te brengen.

In Europa kan er straks onder de NIS2-richtlijn meer. Het governance-artikel (20) bepaalt namelijk in lid 1:

De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
De bestuursorganen (zoals de directie) moeten dus zorgen voor adequate cyberbeveiliging. En dan staat in artikel 29:
De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Een eindverantwoordelijke voor informatiebeveiliging zou dus in theorie aan te spreken kunnen worden onder de NIS2 regels. Maar dat gaat niet direct over “de security was bagger” maar over “je bedrijf was zo ingericht dat de security wel bagger moest zijn”, over het niet kunnen nakomen van de richtlijn vanwege te beperkte bevoegdheden.

Arnoud

Daar gaan we weer: nu gaan we met soevereine AI op de oceaan dobberen

De BlueSea Frontier Compute Cluster komt eraan. 10,000 NVIDIA H100 GPU’s op een groot vlot, en dat is juridisch gezien een nieuw land. Nee, dat gaat vast beter werken dan het cryptoschip Satoshi dat in 2021 helemaal niets werd. Laten we hopen dat het een grap is.

De directe aanleiding voor deze aankondiging is die executive order van gisteren, plus de ‘dreiging’ van de AI Act:

Government overreach not only stalls the pace of innovation, but also interferes with the cosmic endowment of humanity. These AI are not mere tools. They’re the embodiment of human ambition, the realization of our potential as a civilization.
(Ja, ik denk ook dat dit John Perry Barlow is die door ChatGPT is geparafraseerd.)

Afijn, het idee is natuurlijk weer dat je op de grote blauwe oceaan vrij bent van alle statelijke bemoeienis, zodat je daar je eigen land kunt beginnen. En op Wikipedia kun je nalezen wanneer je een land bent:

Their statehood is recognized through the United Nations Convention on the Law of the Sea and the Montevideo Convention. Each BSFCC fulfills the criteria for statehood: – permanent population – defined territory – a government – capacity to enter into relations with other states.
En ja, dat staat in de staatsrechtboekjes als een veelgebruikte definitie van een land. Maar daarbij wordt altijd één belangrijk detail vergeten: je bent pas een land als andere landen je als zodanig zien. Er is geen internationale rechtbank die hier uitspraken over doet of zoiets. Dus je kunt wel honderd keer roepen dat je een “defined territory” hebt, maar als andere landen vinden dat dat territorium van hen is, dan heb je pech.

Zelf ben ik meer gecharmeerd van de definitie die neerkomt op belastingen kunnen innen en je grondgebied kunnen verdedigen. Dan besta je echt, en ben je ook wat structureler in business dan wanneer je met een schip net buiten het normale bereik van de kustwacht bent.

Natuurlijk, er is een kans dat men je gewoon laat zitten, net als meneer Bates die in 1967 Sealand claimde en daarmee wegkwam omdat niemand dat verlopen geschutsplatform in de Noordzee wilde hebben.

Het grote probleem blijft het contact met het vasteland. En dat heb je nodig: je platform roest onder je weg waar je bij staat, dus je moet voor onderhoud terug. Je hebt brandstof nodig voor je schip, zonnepanelen gaat echt niet genoeg zijn. Je mensen hebben voedsel en water nodig, en dat is er niet midden op zee.

Ook zul je mensen nodig hebben die werk komen doen, en die willen graag betaald. Bij scheepspersoneel gelden allerlei regels, en een werkgever die niet op voorhand zich daaraan committeert die krijgt geen werknemers. Een zo’n regel is dat je je onderwerpt aan een bepaald land (zodat je daar gesued kan worden voor achterstallig loon, bijvoorbeeld). En als men daar dan bij je geld kan, dan kan dat ook voor andere dingen.

Plus, wat veel mensen vergeten: hoe krijg je daar internet? Nog even los van het feit dat er geen high-speed internet te krijgen is zo ver van land, je zult een contract met een private partij moeten sluiten. En die zit met zijn downlink in een land waar wél regels gelden, en zal dus al snel zich gedwongen zien je af te sluiten als jij je niet aan die regels houdt.

Arnoud

Facebook en Instagram zonder reclame? In november kan het (tegen betaling)

Vanaf november heb je op Facebook en Instagram de keuze uit een gratis versie met gepersonaliseerde reclame, of een betaalde versie zonder reclame. Dat meldde Nu.nl onlangs. Daarmee hoopt Facebook-moederbedrijf Meta te voldoen aan de strenge Europese privacywet – ze bedoelen die recente uitspraak van het Hof die in feite het businessmodel van Meta afschoot. Dus hoezo zou dit nu wél moeten gaan werken?

Die uitspraak ging goeddeels over het mededingingsrechtelijk aspect van misbruik van persoonsgegevens, maar het Hof deed nog iets opmerkelijks: het sprak zich hard en duidelijk uit tegen de grond toestemming bij dominante platforms zoals Meta:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

De achterliggende motivatie is dat omdat Facebook zo’n dominante positie in de markt heeft, gebruikers niet zomaar ergens anders heen kunnen gaan. Er is dan niet echt een keuze, en zonder keuzevrijheid is toestemming niet rechtsgeldig.

De hint van “if necessary for an appropriate fee” werd duidelijk gehoord in Menlo Park en daarom krijgen we nu dus betaalde opties:

Voor Facebook en Instagram zonder reclame kun je vanaf november een abonnement afsluiten. Die kost via de website 9,99 euro per maand en via de app 12,99 per maand. Via de app is duurder omdat Google en Apple een commissie inhouden op betalingen via de Play Store en de App Store.
(Hogere prijzen vragen buiten de App Store om mocht dacht ik niet van Apple, maar dat terzijde.)

Meta zegt de data van betalende gebruikers niet te gebruiken voor advertenties.

Arnoud

Mag je versie 2 van je game een nieuwe game noemen?

Het spel Counter-Strike 2 heeft meer dan 7,5 miljoen reviews op gamestreamingdienst Steam, met 88% positief, las ik bij Rock Paper Shotgun. Best knap voor een game die toen net een paar dagen uit was. Of wacht: die recensies zijn de afgelopen jaren afgegeven voor Counter-Strike: Global Offensive, waar CS2 feitelijk een grote update van is. Klopt dat dan nog wel?

Counter-Strike is een spel uit alweer 1999, dat na diverse updates in 2012 op de markt kwam als Global Offensive – CS:GO is tegenwoordig ongeveer synoniem met FPS, en speelbaar op vrijwel alle grote platforms (Microsoft Windows, OSX, Linux, Xbox 360 en PlayStation 3). Regelmatig zijn er grote toernooien met serieuze prijzen. Dit is dus zeg maar best een bekend merk.

Counter-Strike 2 wordt algemeen gezien als een grote update, zoals bijvoorbeeld Tweakers:

De shooter blijft free-to-play en spelers kunnen al hun skins uit CS:GO meenemen naar Counter-Strike 2. … [O]pvallende wijzigingen zijn veranderingen in de matchmaking. Spelers met een hoge CS Rating in Premier kunnen niet langer in een team zitten met spelers die dat niet hebben. Ook worden de ‘associates’ van een of meerdere spelers die hebben valsgespeeld en een permanente ban hebben gekregen, gestraft met verlaagde Profile Rank en CS Rating.
Verder is er meer veranderd:
You may find the new minimum specs exclude your computer, or that it’s simply less comfortable to play because left-handed weapons have been removed. You may find that your favourite mode – the one that prompted you to spend all that money opening in-game crates – has disappeared overnight.
Ook werkt de game niet meer op MacOS. Je kunt je dan afvragen of je dit nog wel een update van CS:GO kunt noemen. Producent Valve meent van niet, ze kozen immers voor een naamsverandering waarin nadrukkelijk “versie 2” wordt gehanteerd.

Ik denk dat het in de softwarewereld wel algemeen aanvaard is dat “versie 1” en “versie 2” als andere stukken software gezien worden. Weliswaar met een onderling verband, maar niemand zal zeggen dat Windows 2.0 en Windows 3.1 eigenlijk dezelfde software zijn, bijvoorbeeld.

Het voelt dan laten we zeggen een tikje misleidend om dit spel dan tóch op de pagina van de vorige versie te presenteren, omdat je als professionele partij zoals Valve moet weten dat alle positieve recensies blijven staan en CS2 dan meteen een héle mooie start krijgt in alle rankings.

Is dit nu iets waarvan je kunt zeggen dat Valve hiermee “het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt”? Dat is namelijk het criterium om van een verboden oneerlijke handelspraktijk te spreken. In het Burgerlijk Wetboek is daar een hele regeling over opgenomen, inclusief een zwarte lijst van misleidende praktijken.

Helemaal onderaan (punt aa) staat als altijd verboden praktijk:

het plaatsen of doen plaatsen van valse beoordelingen of aanbevelingen van consumenten of op misleidende wijze voorstellen van consumentenbeoordelingen of sociale media-aanbevelingen, teneinde producten te promoten.
Je zou dan zeggen dat je mensen misleidt door beoordelingen van CS:GO te presenteren als beoordelingen van CS2. Die misleiding komt dan doordat je er niet bij zet “let op, recensie van oude versie”. Die tekst zie je regelmatig bij recensies, dus een gekke gedachte is dit niet.

Daar staat tegenover dat het conceptueel nog steeds wel hetzelfde spel is. Nieuwe kaarten, nieuwe wapens, diverse cosmetische aanpassingen: dat zijn we gewend van games:

Since the initial release of Global Offensive, Valve has continued to update the game by introducing new maps and weapons, game modes, and weapon balancing changes.[32] One of the first major additions to the game post-release was the “Arms Deal” update. Released on August 13, 2013, the update added cosmetic weapon finishes, or skins, to the game. These items are obtainable by a loot box mechanism; players would receive cases that could be unlocked using virtual keys, purchased through in-game microtransactions.[33][25] Global Offensive has Steam Workshop support, allowing users to upload user-created content, such as maps, weapon skins, and custom game-modes. Some popular user-created skins are added to the game and are obtainable from unboxing them in cases.[34]
En in het verleden was dat nooit een reden om bij de reviews ineens te vermelden “betreft oudere versie”.

Ondertussen heeft de community actie genomen: er staan nu een kleine miljoen negatieve reviews op Steam, dit maakt CS2 de laagst scorende game ooit. Dit is mede te wijten aan de bugs:

The first major reason for CS2’s low scores is the gameplay itself. A lot of bugs and glitches have frustrated gamers of all skill levels. A lot of game modes and content from CS:GO have also been removed and many players feel CS2 is “unfinished” and lacking content. … Many Counter-Strike players were frustrated that the arrival of CS2 spelled the end of CS:GO. CS:GO’s game file was also automatically replaced with CS2 for those who had the game downloaded. Not only were fans angry to have their favorite game removed, but others felt that Valve was being deceitful.
Op die manier lost het zichzelf wellicht op, maar toch lijkt het mij een goed idee recensies voortaan te voorzien van een versienummer of label van het exacte spel waar ze op betrekking hebben.

Arnoud

 

 

 

Kun je als werknemer tekenen voor doorzoeken van je privéapparatuur?

Via Reddit deze intrigerende vraag:

Recently, my employer (a private company in the tech industry) has updated their “security policy” which all employees are required to sign. In the new policy, it states that in the case of an HR investigation or suspected breach of company policies, employees consent that the company may “conduct a forensic investigation, including of personal devices, when necessary”.
Waarbij de vraag natuurlijk is “mag dat”. Het gaat hier wel heel erg ver met dat “ook persoonlijke apparatuur”, maar het komt zeker vaker voor dat je moet tekenen voor zo’n doorzoekbevoegdheid.

Om maar met dat tekenen te beginnen, het voegt buitengewoon weinig toe om werknemers een handtekening te laten zetten onder welk bedrijfsbeleid dan ook. Hooguit kun je daarmee bewijzen dat de werknemer het gezien heeft, al weet ik weinig situaties waarin dat écht van belang is.

Uit handtekeningen wordt vaak een akkoord afgeleid, en dat gaat hem hier zeker niet worden. Die handtekening is niet vrijelijk gezet, men is immers letterlijk verplicht om te tekenen. Juridisch gezien ontbreekt dan de wil op het aangaan van een overeenkomst, het geven van toestemming of wat de werkgever maar hoopte te bereiken. En dan is het ding juridisch niet bindend.

Zou je het eenzijdig kunnen opleggen? Die handtekening is voor de vorm, even de schrik erin jagen, laten zien dat iedereen tekent dus verzet heeft geen zin, ja gezellig bedrijf zou dat zijn. Maar de echte vraag is dan: mag je als werkgever bij een onderzoek jezelf toegang verschaffen tot allerlei apparaten?

Het antwoord komt neer op “als dat écht nodig is gezien het concrete bedrijfsbelang in de specifieke zaak en je geen andere manieren hebt om aan dat belang te komen”. Zomaar wekelijks alle laptops doorsnuffelen op mogelijke overtredingen is natuurlijk niet in orde, bij een specifieke verdenking van fraude/verduistering door de werknemer de laptop gericht doorzoeken op bewijs is een heel ander verhaal.

Deze zaak uit 2014 maakt een duidelijke afweging. Een collega stuurde WhatsApp-berichten van de werknemer door naar de directie. Deze vond de inhoud zo ernstig dat ze de werknemer direct ontsloegen. Daarbij werd ook de werklaptop doorzocht:

De kantonrechter is van oordeel dat [werkgever], gelet op de verklaring van [collega] en de naar zeggen van [werkgever] door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [werknemer]. [Werkgever] heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van [werkgever], en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [werknemer] tijdens het dienstverband van en met bedrijfsmiddelen van [werkgever] heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van [werkgever], van [collega] verkregen informatie, kan niet worden gezegd dat [werkgever] bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [werknemer] minder belastende, wijze had kunnen plaatsvinden.
Bij dit alles is eventuele toestemming van de werknemer dus niet relevant.

Bij het doorzoeken van privéapparatuur moet je als werkgever nóg terughoudender zijn. Daar heb je immers sowieso niets te zoeken, dus het is moeilijk voorstelbaar dat er dan toch een bedrijfsbelang ontstaat waarmee je in die apparatuur zou moeten. Daar komt bij dat je dan zaken moet doen zoals wachtwoorden raden of beveiliging omzeilen die in principe strafbaar zijn.

Misschien wordt het tijd om een nieuwe slogan toe te voegen aan mijn arsenaal. Na “data is niets” en “toestemming vraag je bij nieuwsbrieven en anders doe je het fout” zou dat dan iets van “werknemers tekenen alleen hun arbeidscontract, de rest is saai toneel” kunnen zijn. Meh, nog even aan werken.

Arnoud

Rechter beboet Criteo voor plaatsen trackingcookies

Criteo, een exploitant van reclametechnologie, kreeg vorige week te horen dat het moet stoppen met haar cookiepraktijken wegens strijd met de AVG. Dat meldde Emerce vorige week. De Nederlandse rechter volgt daarmee de uitspraak van de Franse CNIL van afgelopen zomer en voegde daar “flagrante schending van de wet” aan toe. Oké.

Criteo biedt, zoals wel meer marktpartijen, tussenhandeldiensten aan voor advertenties en zet daarbij multi-site tracking in. Zij kreeg dus afgelopen zomer een boete (40 miljoen euro), met name omdat zij dit deed zonder adequate toestemming van de personen die zo werden getrackt.

De eiser in deze zaak had gemerkt dat hij nog steeds tracking cookies kreeg van Criteo, zonder daarbij om toestemming te zijn gevraagd. Kan kloppen, aldus het bedrijf, maar wij eisen van onze afnemers dat zij die toestemming regelen. Dus u moet niet bij ons zijn. Wie de afnemers zijn, dat weten we eigenlijk niet maar ze zijn zorgvuldig geselecteerd. Daarop stapte de man naar de rechter.

Dat zulke tracking cookies plaatsen zonder toestemming niet mag, daarover was iedereen het wel eens. Het ging dus over de vraag waar Criteo stond als niemand om toestemming vroeg, en hoe veel informatie het bedrijf moet geven over haar partners.

Volgens de rechter is het klip en klaar: je mag wel naar je partners kijken, en als die het regelen dan is dat mooi, maar als die het niet doen dan krijg jij het gevolg juridisch op je bordje. Zoals de CNIL het deze zomer zei:

“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”
Criteo dient te waarborgen dat vooraf toestemming wordt verkregen, en mag niet vertrouwen op contractuele afspraken en ingrijpen na een piepsysteem. Waarborgen betekent dat je het regelt én dat je blijft kijken of het werkt. En zo nodig zélf de toestemming vraagt, of niet verwerkt als je niet zeker weet dat er toestemming is verkregen.
Volgens Criteo kan zij niet meer doen dan zij doet; zij heeft ongeveer 21.000 partners en het uitvoeren van audits op al deze partners is een zeer complexe aangelegenheid. Daar tegenover stelt [eiser] dat het “kinderlijk eenvoudig” is voor Criteo om haar partners geautomatiseerd te controleren, maar dat Criteo uit winstbejag liever blijft stilzitten totdat er iemand klaagt.
Men citeert deskundige Floor Terra die desgevraagd aangeeft in een middag een scriptje in elkaar te kunnen draaien dat in een nacht 10.000 websites controleert of ze cookies sturen zonder toestemmingsvraag. Als je zó eenvoudig al een basic compliance check kunt doen, dan heb je echt geen argument meer waarom je dat niet zou hoeven doen.

Dit moet stoppen, en wel nu:

Criteo is niet van plan haar huidige werkwijze te veranderen. Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een – naar voorlopig oordeel – flagrante schending van de wet en [eiser] heeft er alleen al daarom voldoende (spoedeisend) belang bij dat dit stopt. Van hem kan niet worden gevergd dat hij deze schending nog langer duldt in afwachting van de uitkomst van een eventuele bodemprocedure.
Hoe Criteo dit wil gaan inregelen, is niet duidelijk. Maar ze zullen wel moeten: 250 euro per dag dat het weer gebeurt.

Ook moet Criteo een volledige lijst geven van alle partners die de gegevens gekoppeld aan het cookie hebben gekregen. Het Hof van Justitie had in januari al bepaald dat dat moet; enkel categorieën van ontvangers noemen mag wel in je privacyverklaring maar als iemand doorvraagt dan moet je concreet worden. Dit omdat je als doorvragende iemand natuurlijk die partners wilt aanspreken op bijvoorbeeld onrechtmatige verwerking.

Arnoud

Wat gaat de EU doen met generatieve AI en foundation models in de AI Act?

AlexandraKoch / Pixabay

De Europese wetgever trekt een sprint om de regulering van generatieve AI vast te leggen, las ik bij Euractiv. De snelle opkomst van GPT was een nogal onverwacht dingetje, waar men maar niet uitkomt. “This is the last thing still standing in the negotiation,” aldus Europarlementariër Dragos Tudorache nog dit voorjaar. Dat viel dus een tikje tegen.

De voorgenomen AI Act – die in januari van kracht moet worden – ging altijd uit van concrete systemen met specifieke toepassingen. GPT en collega’s zijn het tegenovergestelde van waar de wet van uit ging: ze zijn general-purpose oftewel foundational voor specifieke toepassingen. De hele opzet van systemen met doelen en risico’s past dus eigenlijk niet goed.

Maar we hebben een wet, GPT is een AI en dus moet en zal deze gaan passen. Inderdaad, hamer en spijker en zo. De kern van het probleem is dat de AI Act uitgaat van systemen met een specifiek doel, de “intended purpose” zoals vastgelegd in de documentatie. Deze AI doet toegangscontrole, die AI bestuurt een auto en die laatste verzorgt ouderen. Foundation models zijn breed georienteerd: ze kunnen alles, hoewel je ze vaak nog wel bij moet sturen om een specifiek ding te kunnen.

De snelle opkomst van ChatGPT met name heeft ertoe geleid dat het Europees Parlement heel snel een bepaling hierover heeft toegevoegd. Maar hoe dat zou moeten passen in het bredere systeem, blijft de vraag: wat moet je met eisen over documentatie die je doelstelling willen weten, als je geen doelstelling hébt?

Het voorgestelde compromis komt erop neer dat de eisen beperkt worden tot transparantie over hoe de systemen gebouwd zijn (data, parameters, evaluaties over bias, zulke dingen) en dat je voor de rest alleen aanreikt wat anderen nodig hebben om een specifieke AI te bouwen met jouw systeem.

Maar er is meer: een “zeer capabel” foundation model moet ook nog extra regels krijgen omdat haar mogelijkheden onverwacht en onvoorspelbaar zijn. Zeg maar “we willen niet nóg een keer overvallen worden door AI’s die kunnen toveren”. Wat daarover precies vast moet liggen, is nog niet duidelijk.

Wil je weten hoe dit allemaal praktisch uit gaat pakken? Bestel dan mijn nieuwste boek: AI and Algorithms, mastering legal & ethical compliance.

Arnoud

Privacyexpert dient klacht in tegen adblocker-detectie YouTube

Sophieja23 / Pixabay

Privacyexpert Alexander Hanff heeft bij de Ierse privacytoezichthouder DPC een klacht ingediend over de detectie van adblockers door YouTube. Dat meldde Security.nl onlangs. Googles videoplatform zou de Telecommunicatiewet overtreden (de ePrivacyrichtlijn, eigenlijk), omdat het detecteren van adblockers neerkomt op uitlezen van gegevens bij de gebruiker, en dat vereist toestemming.

De aanleiding is dat YouTube recent is begonnen met het blokkeren van gebruikers die een adblocker hebben geïnstalleerd. Ik blogde hier in februari over, maar kon geen goede juridische tegenargumenten bedenken, afgezien van (dank, tipgever) de Telecomwet:

ik kreeg de tip dat de EC dit ooit illegaal had genoemd, omdat je met zo’n blockerdetector informatie uitleest van de client zonder directe noodzaak. Dat is dan in strijd met de cookiewet, oftewel de op randapparaten lezen- en schrijvenwet. Ik ben niet helemaal overtuigd, je leest niet uit welke addons geïnstalleerd zijn, je kijkt in de DOM van je eigen pagina of een bepaald element zichtbaar is dan wel of iets op je eigen server opgevraagd werd.
Dit is dus ook de insteek die Hanff kiest, en hij hoopt dat de Ierse privacytoezichthouder snel actie onderneemt wanneer er veel mensen gaan klagen.

Hoe houdbaar is het nu echt? Dat verbod op uitlezen van informatie op randapparatuur gaat over snuffelen, spioneren, rondkijken waar je niet hoort te zijn. Het detecteren of iets van je eigen pagina geladen of getoond wordt vind ik niet echt daarmee in lijn.

De webpagina is geconfigureerd om te kijken of een bepaald vakje op die pagina (genaamd “_banner”) wel of niet zichtbaar is in het browservenster. Zo niet, dan concludeer je dat er een adblocker in het spel is. Dat is volgens mij niet uitlezen van informatie op het randapparaat, dat is uitlezen in je zelf verzonden informatie.

De ACM gaf iets later nog aan dat zij het niet als overtreding van de Telecomwet zien, vanwege de Nederlandse uitzondering op de cookiewet over gebruik dat slechts zeer gering of geen inbreuk op de privacy maakt. En inderdaad kan ik het detecteren van een adblocker moeilijk als een serieuze schending van mijn persoonlijke levenssfeer zien. Maar dat is een Nederlands bedenksel in de wet waarvan de vraag is of dat überhaupt wel mag.

Arnoud