Categorie: Ondernemingsvrijheid

About Ondernemingsvrijheid

Subscribe Feeds

Daar gaan we weer: nu gaan we met soevereine AI op de oceaan dobberen

Geplaatst op in Ondernemingsvrijheid, 15 reacties

De BlueSea Frontier Compute Cluster komt eraan. 10,000 NVIDIA H100 GPU’s op een groot vlot, en dat is juridisch gezien een nieuw land. Nee, dat gaat vast beter werken dan het cryptoschip Satoshi dat in 2021 helemaal niets werd. Laten we hopen dat het een grap is.

De directe aanleiding voor deze aankondiging is die executive order van gisteren, plus de ‘dreiging’ van de AI Act:

Government overreach not only stalls the pace of innovation, but also interferes with the cosmic endowment of humanity. These AI are not mere tools. They’re the embodiment of human ambition, the realization of our potential as a civilization.
(Ja, ik denk ook dat dit John Perry Barlow is die door ChatGPT is geparafraseerd.)

Afijn, het idee is natuurlijk weer dat je op de grote blauwe oceaan vrij bent van alle statelijke bemoeienis, zodat je daar je eigen land kunt beginnen. En op Wikipedia kun je nalezen wanneer je een land bent:

Their statehood is recognized through the United Nations Convention on the Law of the Sea and the Montevideo Convention. Each BSFCC fulfills the criteria for statehood: – permanent population – defined territory – a government – capacity to enter into relations with other states.
En ja, dat staat in de staatsrechtboekjes als een veelgebruikte definitie van een land. Maar daarbij wordt altijd één belangrijk detail vergeten: je bent pas een land als andere landen je als zodanig zien. Er is geen internationale rechtbank die hier uitspraken over doet of zoiets. Dus je kunt wel honderd keer roepen dat je een “defined territory” hebt, maar als andere landen vinden dat dat territorium van hen is, dan heb je pech.

Zelf ben ik meer gecharmeerd van de definitie die neerkomt op belastingen kunnen innen en je grondgebied kunnen verdedigen. Dan besta je echt, en ben je ook wat structureler in business dan wanneer je met een schip net buiten het normale bereik van de kustwacht bent.

Natuurlijk, er is een kans dat men je gewoon laat zitten, net als meneer Bates die in 1967 Sealand claimde en daarmee wegkwam omdat niemand dat verlopen geschutsplatform in de Noordzee wilde hebben.

Het grote probleem blijft het contact met het vasteland. En dat heb je nodig: je platform roest onder je weg waar je bij staat, dus je moet voor onderhoud terug. Je hebt brandstof nodig voor je schip, zonnepanelen gaat echt niet genoeg zijn. Je mensen hebben voedsel en water nodig, en dat is er niet midden op zee.

Ook zul je mensen nodig hebben die werk komen doen, en die willen graag betaald. Bij scheepspersoneel gelden allerlei regels, en een werkgever die niet op voorhand zich daaraan committeert die krijgt geen werknemers. Een zo’n regel is dat je je onderwerpt aan een bepaald land (zodat je daar gesued kan worden voor achterstallig loon, bijvoorbeeld). En als men daar dan bij je geld kan, dan kan dat ook voor andere dingen.

Plus, wat veel mensen vergeten: hoe krijg je daar internet? Nog even los van het feit dat er geen high-speed internet te krijgen is zo ver van land, je zult een contract met een private partij moeten sluiten. En die zit met zijn downlink in een land waar wél regels gelden, en zal dus al snel zich gedwongen zien je af te sluiten als jij je niet aan die regels houdt.

Arnoud

Facebook en Instagram zonder reclame? In november kan het (tegen betaling)

Geplaatst op in Ondernemingsvrijheid, 17 reacties

Vanaf november heb je op Facebook en Instagram de keuze uit een gratis versie met gepersonaliseerde reclame, of een betaalde versie zonder reclame. Dat meldde Nu.nl onlangs. Daarmee hoopt Facebook-moederbedrijf Meta te voldoen aan de strenge Europese privacywet – ze bedoelen die recente uitspraak van het Hof die in feite het businessmodel van Meta afschoot. Dus hoezo zou dit nu wél moeten gaan werken?

Die uitspraak ging goeddeels over het mededingingsrechtelijk aspect van misbruik van persoonsgegevens, maar het Hof deed nog iets opmerkelijks: het sprak zich hard en duidelijk uit tegen de grond toestemming bij dominante platforms zoals Meta:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

De achterliggende motivatie is dat omdat Facebook zo’n dominante positie in de markt heeft, gebruikers niet zomaar ergens anders heen kunnen gaan. Er is dan niet echt een keuze, en zonder keuzevrijheid is toestemming niet rechtsgeldig.

De hint van “if necessary for an appropriate fee” werd duidelijk gehoord in Menlo Park en daarom krijgen we nu dus betaalde opties:

Voor Facebook en Instagram zonder reclame kun je vanaf november een abonnement afsluiten. Die kost via de website 9,99 euro per maand en via de app 12,99 per maand. Via de app is duurder omdat Google en Apple een commissie inhouden op betalingen via de Play Store en de App Store.
(Hogere prijzen vragen buiten de App Store om mocht dacht ik niet van Apple, maar dat terzijde.)

Meta zegt de data van betalende gebruikers niet te gebruiken voor advertenties.

Arnoud

Mag je versie 2 van je game een nieuwe game noemen?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 11 reacties

Het spel Counter-Strike 2 heeft meer dan 7,5 miljoen reviews op gamestreamingdienst Steam, met 88% positief, las ik bij Rock Paper Shotgun. Best knap voor een game die toen net een paar dagen uit was. Of wacht: die recensies zijn de afgelopen jaren afgegeven voor Counter-Strike: Global Offensive, waar CS2 feitelijk een grote update van is. Klopt dat dan nog wel?

Counter-Strike is een spel uit alweer 1999, dat na diverse updates in 2012 op de markt kwam als Global Offensive – CS:GO is tegenwoordig ongeveer synoniem met FPS, en speelbaar op vrijwel alle grote platforms (Microsoft Windows, OSX, Linux, Xbox 360 en PlayStation 3). Regelmatig zijn er grote toernooien met serieuze prijzen. Dit is dus zeg maar best een bekend merk.

Counter-Strike 2 wordt algemeen gezien als een grote update, zoals bijvoorbeeld Tweakers:

De shooter blijft free-to-play en spelers kunnen al hun skins uit CS:GO meenemen naar Counter-Strike 2. … [O]pvallende wijzigingen zijn veranderingen in de matchmaking. Spelers met een hoge CS Rating in Premier kunnen niet langer in een team zitten met spelers die dat niet hebben. Ook worden de ‘associates’ van een of meerdere spelers die hebben valsgespeeld en een permanente ban hebben gekregen, gestraft met verlaagde Profile Rank en CS Rating.
Verder is er meer veranderd:
You may find the new minimum specs exclude your computer, or that it’s simply less comfortable to play because left-handed weapons have been removed. You may find that your favourite mode – the one that prompted you to spend all that money opening in-game crates – has disappeared overnight.
Ook werkt de game niet meer op MacOS. Je kunt je dan afvragen of je dit nog wel een update van CS:GO kunt noemen. Producent Valve meent van niet, ze kozen immers voor een naamsverandering waarin nadrukkelijk “versie 2” wordt gehanteerd.

Ik denk dat het in de softwarewereld wel algemeen aanvaard is dat “versie 1” en “versie 2” als andere stukken software gezien worden. Weliswaar met een onderling verband, maar niemand zal zeggen dat Windows 2.0 en Windows 3.1 eigenlijk dezelfde software zijn, bijvoorbeeld.

Het voelt dan laten we zeggen een tikje misleidend om dit spel dan tóch op de pagina van de vorige versie te presenteren, omdat je als professionele partij zoals Valve moet weten dat alle positieve recensies blijven staan en CS2 dan meteen een héle mooie start krijgt in alle rankings.

Is dit nu iets waarvan je kunt zeggen dat Valve hiermee “het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt”? Dat is namelijk het criterium om van een verboden oneerlijke handelspraktijk te spreken. In het Burgerlijk Wetboek is daar een hele regeling over opgenomen, inclusief een zwarte lijst van misleidende praktijken.

Helemaal onderaan (punt aa) staat als altijd verboden praktijk:

het plaatsen of doen plaatsen van valse beoordelingen of aanbevelingen van consumenten of op misleidende wijze voorstellen van consumentenbeoordelingen of sociale media-aanbevelingen, teneinde producten te promoten.
Je zou dan zeggen dat je mensen misleidt door beoordelingen van CS:GO te presenteren als beoordelingen van CS2. Die misleiding komt dan doordat je er niet bij zet “let op, recensie van oude versie”. Die tekst zie je regelmatig bij recensies, dus een gekke gedachte is dit niet.

Daar staat tegenover dat het conceptueel nog steeds wel hetzelfde spel is. Nieuwe kaarten, nieuwe wapens, diverse cosmetische aanpassingen: dat zijn we gewend van games:

Since the initial release of Global Offensive, Valve has continued to update the game by introducing new maps and weapons, game modes, and weapon balancing changes.[32] One of the first major additions to the game post-release was the “Arms Deal” update. Released on August 13, 2013, the update added cosmetic weapon finishes, or skins, to the game. These items are obtainable by a loot box mechanism; players would receive cases that could be unlocked using virtual keys, purchased through in-game microtransactions.[33][25] Global Offensive has Steam Workshop support, allowing users to upload user-created content, such as maps, weapon skins, and custom game-modes. Some popular user-created skins are added to the game and are obtainable from unboxing them in cases.[34]
En in het verleden was dat nooit een reden om bij de reviews ineens te vermelden “betreft oudere versie”.

Ondertussen heeft de community actie genomen: er staan nu een kleine miljoen negatieve reviews op Steam, dit maakt CS2 de laagst scorende game ooit. Dit is mede te wijten aan de bugs:

The first major reason for CS2’s low scores is the gameplay itself. A lot of bugs and glitches have frustrated gamers of all skill levels. A lot of game modes and content from CS:GO have also been removed and many players feel CS2 is “unfinished” and lacking content. … Many Counter-Strike players were frustrated that the arrival of CS2 spelled the end of CS:GO. CS:GO’s game file was also automatically replaced with CS2 for those who had the game downloaded. Not only were fans angry to have their favorite game removed, but others felt that Valve was being deceitful.
Op die manier lost het zichzelf wellicht op, maar toch lijkt het mij een goed idee recensies voortaan te voorzien van een versienummer of label van het exacte spel waar ze op betrekking hebben.

Arnoud

 

 

 

Kun je als werknemer tekenen voor doorzoeken van je privéapparatuur?

Geplaatst op in Ondernemingsvrijheid, Privacy, 32 reacties

Via Reddit deze intrigerende vraag:

Recently, my employer (a private company in the tech industry) has updated their “security policy” which all employees are required to sign. In the new policy, it states that in the case of an HR investigation or suspected breach of company policies, employees consent that the company may “conduct a forensic investigation, including of personal devices, when necessary”.
Waarbij de vraag natuurlijk is “mag dat”. Het gaat hier wel heel erg ver met dat “ook persoonlijke apparatuur”, maar het komt zeker vaker voor dat je moet tekenen voor zo’n doorzoekbevoegdheid.

Om maar met dat tekenen te beginnen, het voegt buitengewoon weinig toe om werknemers een handtekening te laten zetten onder welk bedrijfsbeleid dan ook. Hooguit kun je daarmee bewijzen dat de werknemer het gezien heeft, al weet ik weinig situaties waarin dat écht van belang is.

Uit handtekeningen wordt vaak een akkoord afgeleid, en dat gaat hem hier zeker niet worden. Die handtekening is niet vrijelijk gezet, men is immers letterlijk verplicht om te tekenen. Juridisch gezien ontbreekt dan de wil op het aangaan van een overeenkomst, het geven van toestemming of wat de werkgever maar hoopte te bereiken. En dan is het ding juridisch niet bindend.

Zou je het eenzijdig kunnen opleggen? Die handtekening is voor de vorm, even de schrik erin jagen, laten zien dat iedereen tekent dus verzet heeft geen zin, ja gezellig bedrijf zou dat zijn. Maar de echte vraag is dan: mag je als werkgever bij een onderzoek jezelf toegang verschaffen tot allerlei apparaten?

Het antwoord komt neer op “als dat écht nodig is gezien het concrete bedrijfsbelang in de specifieke zaak en je geen andere manieren hebt om aan dat belang te komen”. Zomaar wekelijks alle laptops doorsnuffelen op mogelijke overtredingen is natuurlijk niet in orde, bij een specifieke verdenking van fraude/verduistering door de werknemer de laptop gericht doorzoeken op bewijs is een heel ander verhaal.

Deze zaak uit 2014 maakt een duidelijke afweging. Een collega stuurde WhatsApp-berichten van de werknemer door naar de directie. Deze vond de inhoud zo ernstig dat ze de werknemer direct ontsloegen. Daarbij werd ook de werklaptop doorzocht:

De kantonrechter is van oordeel dat [werkgever], gelet op de verklaring van [collega] en de naar zeggen van [werkgever] door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [werknemer]. [Werkgever] heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van [werkgever], en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [werknemer] tijdens het dienstverband van en met bedrijfsmiddelen van [werkgever] heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van [werkgever], van [collega] verkregen informatie, kan niet worden gezegd dat [werkgever] bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [werknemer] minder belastende, wijze had kunnen plaatsvinden.
Bij dit alles is eventuele toestemming van de werknemer dus niet relevant.

Bij het doorzoeken van privéapparatuur moet je als werkgever nóg terughoudender zijn. Daar heb je immers sowieso niets te zoeken, dus het is moeilijk voorstelbaar dat er dan toch een bedrijfsbelang ontstaat waarmee je in die apparatuur zou moeten. Daar komt bij dat je dan zaken moet doen zoals wachtwoorden raden of beveiliging omzeilen die in principe strafbaar zijn.

Misschien wordt het tijd om een nieuwe slogan toe te voegen aan mijn arsenaal. Na “data is niets” en “toestemming vraag je bij nieuwsbrieven en anders doe je het fout” zou dat dan iets van “werknemers tekenen alleen hun arbeidscontract, de rest is saai toneel” kunnen zijn. Meh, nog even aan werken.

Arnoud

Rechter beboet Criteo voor plaatsen trackingcookies

Geplaatst op in Ondernemingsvrijheid, Privacy, 11 reacties

Criteo, een exploitant van reclametechnologie, kreeg vorige week te horen dat het moet stoppen met haar cookiepraktijken wegens strijd met de AVG. Dat meldde Emerce vorige week. De Nederlandse rechter volgt daarmee de uitspraak van de Franse CNIL van afgelopen zomer en voegde daar “flagrante schending van de wet” aan toe. Oké.

Criteo biedt, zoals wel meer marktpartijen, tussenhandeldiensten aan voor advertenties en zet daarbij multi-site tracking in. Zij kreeg dus afgelopen zomer een boete (40 miljoen euro), met name omdat zij dit deed zonder adequate toestemming van de personen die zo werden getrackt.

De eiser in deze zaak had gemerkt dat hij nog steeds tracking cookies kreeg van Criteo, zonder daarbij om toestemming te zijn gevraagd. Kan kloppen, aldus het bedrijf, maar wij eisen van onze afnemers dat zij die toestemming regelen. Dus u moet niet bij ons zijn. Wie de afnemers zijn, dat weten we eigenlijk niet maar ze zijn zorgvuldig geselecteerd. Daarop stapte de man naar de rechter.

Dat zulke tracking cookies plaatsen zonder toestemming niet mag, daarover was iedereen het wel eens. Het ging dus over de vraag waar Criteo stond als niemand om toestemming vroeg, en hoe veel informatie het bedrijf moet geven over haar partners.

Volgens de rechter is het klip en klaar: je mag wel naar je partners kijken, en als die het regelen dan is dat mooi, maar als die het niet doen dan krijg jij het gevolg juridisch op je bordje. Zoals de CNIL het deze zomer zei:

“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”
Criteo dient te waarborgen dat vooraf toestemming wordt verkregen, en mag niet vertrouwen op contractuele afspraken en ingrijpen na een piepsysteem. Waarborgen betekent dat je het regelt én dat je blijft kijken of het werkt. En zo nodig zélf de toestemming vraagt, of niet verwerkt als je niet zeker weet dat er toestemming is verkregen.
Volgens Criteo kan zij niet meer doen dan zij doet; zij heeft ongeveer 21.000 partners en het uitvoeren van audits op al deze partners is een zeer complexe aangelegenheid. Daar tegenover stelt [eiser] dat het “kinderlijk eenvoudig” is voor Criteo om haar partners geautomatiseerd te controleren, maar dat Criteo uit winstbejag liever blijft stilzitten totdat er iemand klaagt.
Men citeert deskundige Floor Terra die desgevraagd aangeeft in een middag een scriptje in elkaar te kunnen draaien dat in een nacht 10.000 websites controleert of ze cookies sturen zonder toestemmingsvraag. Als je zó eenvoudig al een basic compliance check kunt doen, dan heb je echt geen argument meer waarom je dat niet zou hoeven doen.

Dit moet stoppen, en wel nu:

Criteo is niet van plan haar huidige werkwijze te veranderen. Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een – naar voorlopig oordeel – flagrante schending van de wet en [eiser] heeft er alleen al daarom voldoende (spoedeisend) belang bij dat dit stopt. Van hem kan niet worden gevergd dat hij deze schending nog langer duldt in afwachting van de uitkomst van een eventuele bodemprocedure.
Hoe Criteo dit wil gaan inregelen, is niet duidelijk. Maar ze zullen wel moeten: 250 euro per dag dat het weer gebeurt.

Ook moet Criteo een volledige lijst geven van alle partners die de gegevens gekoppeld aan het cookie hebben gekregen. Het Hof van Justitie had in januari al bepaald dat dat moet; enkel categorieën van ontvangers noemen mag wel in je privacyverklaring maar als iemand doorvraagt dan moet je concreet worden. Dit omdat je als doorvragende iemand natuurlijk die partners wilt aanspreken op bijvoorbeeld onrechtmatige verwerking.

Arnoud

Wat gaat de EU doen met generatieve AI en foundation models in de AI Act?

Geplaatst op in Ondernemingsvrijheid, 1 reacties
AlexandraKoch / Pixabay

De Europese wetgever trekt een sprint om de regulering van generatieve AI vast te leggen, las ik bij Euractiv. De snelle opkomst van GPT was een nogal onverwacht dingetje, waar men maar niet uitkomt. “This is the last thing still standing in the negotiation,” aldus Europarlementariër Dragos Tudorache nog dit voorjaar. Dat viel dus een tikje tegen.

De voorgenomen AI Act – die in januari van kracht moet worden – ging altijd uit van concrete systemen met specifieke toepassingen. GPT en collega’s zijn het tegenovergestelde van waar de wet van uit ging: ze zijn general-purpose oftewel foundational voor specifieke toepassingen. De hele opzet van systemen met doelen en risico’s past dus eigenlijk niet goed.

Maar we hebben een wet, GPT is een AI en dus moet en zal deze gaan passen. Inderdaad, hamer en spijker en zo. De kern van het probleem is dat de AI Act uitgaat van systemen met een specifiek doel, de “intended purpose” zoals vastgelegd in de documentatie. Deze AI doet toegangscontrole, die AI bestuurt een auto en die laatste verzorgt ouderen. Foundation models zijn breed georienteerd: ze kunnen alles, hoewel je ze vaak nog wel bij moet sturen om een specifiek ding te kunnen.

De snelle opkomst van ChatGPT met name heeft ertoe geleid dat het Europees Parlement heel snel een bepaling hierover heeft toegevoegd. Maar hoe dat zou moeten passen in het bredere systeem, blijft de vraag: wat moet je met eisen over documentatie die je doelstelling willen weten, als je geen doelstelling hébt?

Het voorgestelde compromis komt erop neer dat de eisen beperkt worden tot transparantie over hoe de systemen gebouwd zijn (data, parameters, evaluaties over bias, zulke dingen) en dat je voor de rest alleen aanreikt wat anderen nodig hebben om een specifieke AI te bouwen met jouw systeem.

Maar er is meer: een “zeer capabel” foundation model moet ook nog extra regels krijgen omdat haar mogelijkheden onverwacht en onvoorspelbaar zijn. Zeg maar “we willen niet nóg een keer overvallen worden door AI’s die kunnen toveren”. Wat daarover precies vast moet liggen, is nog niet duidelijk.

Wil je weten hoe dit allemaal praktisch uit gaat pakken? Bestel dan mijn nieuwste boek: AI and Algorithms, mastering legal & ethical compliance.

Arnoud

Privacyexpert dient klacht in tegen adblocker-detectie YouTube

Geplaatst op in Ondernemingsvrijheid, Privacy, 31 reacties
Sophieja23 / Pixabay

Privacyexpert Alexander Hanff heeft bij de Ierse privacytoezichthouder DPC een klacht ingediend over de detectie van adblockers door YouTube. Dat meldde Security.nl onlangs. Googles videoplatform zou de Telecommunicatiewet overtreden (de ePrivacyrichtlijn, eigenlijk), omdat het detecteren van adblockers neerkomt op uitlezen van gegevens bij de gebruiker, en dat vereist toestemming.

De aanleiding is dat YouTube recent is begonnen met het blokkeren van gebruikers die een adblocker hebben geïnstalleerd. Ik blogde hier in februari over, maar kon geen goede juridische tegenargumenten bedenken, afgezien van (dank, tipgever) de Telecomwet:

ik kreeg de tip dat de EC dit ooit illegaal had genoemd, omdat je met zo’n blockerdetector informatie uitleest van de client zonder directe noodzaak. Dat is dan in strijd met de cookiewet, oftewel de op randapparaten lezen- en schrijvenwet. Ik ben niet helemaal overtuigd, je leest niet uit welke addons geïnstalleerd zijn, je kijkt in de DOM van je eigen pagina of een bepaald element zichtbaar is dan wel of iets op je eigen server opgevraagd werd.
Dit is dus ook de insteek die Hanff kiest, en hij hoopt dat de Ierse privacytoezichthouder snel actie onderneemt wanneer er veel mensen gaan klagen.

Hoe houdbaar is het nu echt? Dat verbod op uitlezen van informatie op randapparatuur gaat over snuffelen, spioneren, rondkijken waar je niet hoort te zijn. Het detecteren of iets van je eigen pagina geladen of getoond wordt vind ik niet echt daarmee in lijn.

De webpagina is geconfigureerd om te kijken of een bepaald vakje op die pagina (genaamd “_banner”) wel of niet zichtbaar is in het browservenster. Zo niet, dan concludeer je dat er een adblocker in het spel is. Dat is volgens mij niet uitlezen van informatie op het randapparaat, dat is uitlezen in je zelf verzonden informatie.

De ACM gaf iets later nog aan dat zij het niet als overtreding van de Telecomwet zien, vanwege de Nederlandse uitzondering op de cookiewet over gebruik dat slechts zeer gering of geen inbreuk op de privacy maakt. En inderdaad kan ik het detecteren van een adblocker moeilijk als een serieuze schending van mijn persoonlijke levenssfeer zien. Maar dat is een Nederlands bedenksel in de wet waarvan de vraag is of dat überhaupt wel mag.

Arnoud

Heb ik recht op een kopie van ingezonden formulieren?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Privacy, 11 reacties

Een lezer vroeg me:

Als ik informatie upload naar een bedrijf (verhuurder, installatie onderhoudsbedrijf, etc.) heb ik dan het recht om die informatie terug te krijgen/eisen?

Neem een simpel geval zoals een contactformulier. Vaak krijg je geen kopie van je ingezonden formulier, dus moet je dat zelf kopiëren of schermafdrukken voordat je het instuurt. Heb ik niet gewoon recht op een kopie?

Er is geen algemene regel dat informatie ‘van jou’ is, in de zin dat je zonder meer een kopie daarvan op kunt eisen bij partijen die deze onder zich hebben. (Dat kan bij ‘gewoon’ eigendom wel, dat eis je terug via revindicatie.)

Veel mensen denken nu misschien aan auteursrecht. Dat klopt, ook op een relatief simpele tekst zoals een vraag in een contactformulier kun je auteursrecht claimen. Alleen: het auteursrecht is een verbodsrecht. Hiermee kun je dus hooguit de organisatie verplichten je bericht te wissen. Afgifte van een kopie kun je er niet mee afdwingen.

De AVG dan? Een bericht van jou afkomstig is te zien als een persoonsgegeven betreffende jou, en via je inzagerecht kun je dan een kopie daarvan krijgen (art. 15 lid 3). Dat is niet echt ’terugeisen’ maar je krijgt dan wel je tekst.

Alleen is het niet gezegd dat je dit krijgt in het bronformaat, een pdf met screenshot van je bericht is genoeg om aan het inzagerecht te voldoen. Een beroep op de dataportabiliteit (art. 20) zou je wél een mooi mailtje moeten opleveren. Daar zitten wel nogal wat juridische discussies aan, zoals onder welke AVG-grondslag je werkt als je een contactformulier invult. En dat maakt uit, want alleen bij toestemming of overeenkomst geldt dataportabiliteit.

Het belangrijkste voor mij is dat deze route buitengewoon omslachtig en tijdrovend is. Wie gewoon even zijn dossier op orde wil hebben (12 april contact gezocht via formulier, 26 april opvolging per telefoon) die zal hier niet op zitten wachten.

Volgens mij is het al jaren een aanbeveling dat formulieren een kopie mailen van het ingezonden bericht. Je kunt dat eventueel optioneel maken. En ja, er is dan een risico van misbruik voor overlast/spam (vul andermans adres in) maar dat zal hoe dan ook spelen wanneer de organisatie contact gaat zoeken.

Arnoud

Een e-bike is geen motorfiets, althans verzekeringstechnisch dan

Geplaatst op in Ondernemingsvrijheid, Regulering, 19 reacties

Een elektrische fiets is geen motorvoertuig, heeft de Europese rechter bepaald. Dat las ik bij TaxLive. Het ging hier om een fiets met trapondersteuning, geen volledige motoraandrijving. Desondanks: dat ding heeft een motor, zou je zeggen als techneut. Maar we zitten hier in het verzekeringsrecht, en dat heeft haar eigen definities.

Het ging in deze zaak om een speed pedelec, een e-bike die maar liefst 45km/uur kan. Dat is harder dan normaal, maar het gaat hier dus om trapondersteuning. Voor een speedpedelec gelden dezelfde regels als voor de bromfiets, aldus de Rijksoverheid. Denk aan een helmplicht en een geel plaatje.

Het maakt juridisch nogal uit of je op een fiets of een bromfiets bij een ongeval betrokken raakt. Een ‘zwakke’ verkeersdeelnemer heeft eerder recht op schadevergoeding, zo staat in de Nederlandse wet (art. 185 Wegenverkeerswet). Het moet dan wel gaan om een verkeersongeval tussen een motorrijtuig en een niet-motorrijtuig. Er ontstaat dan risico-aansprakelijkheid: ook als het niet de schuld van de bestuurder van het motorrijtuig was, moet deze de schade van de wederpartij vergoeden.

In deze zaak – aangebracht door een Belgische verzekeraar – kwam het argument naar voren dat een speed pedelec een motorrijtuig is. Er zit immers een motor in, en dat die het handmatig trappen versterkt in plaats van het wiel geheel zelf te dragen, hoort niet relevant te zijn. Dus geen sprake van een botsing motorvoertuig/zwakkere, dus geen risico-aansprakelijkheid.

Deze risicoverdeling komt uit Europese regels (Richtlijn 2009/103), dus de Belgische rechter legde de kwestie voor aan het Hof van Justitie. De kern van het argument:

Op basis van de door de fabrikant van de betrokken elektrische fiets verstrekte informatie, heeft de rechtbank vastgesteld dat de motor van de fiets, ook in boostfunctie, enkel trapondersteuning biedt, en dat deze functie pas kan worden geactiveerd nadat er spierkracht is gebruikt, door te trappen, door te lopen met de fiets of door deze te duwen. De rechtbank heeft daaruit afgeleid dat het slachtoffer geen bestuurder was van een motorrijtuig in de zin van artikel 1 van de wet van 21 november 1989 en dat het in het kader van artikel 29 bis van die wet als „zwakke weggebruiker” aanspraak kon maken op schadevergoeding (…).
Wat is dan precies een ‘motorvoertuig’? Die Richtlijn geeft een aanwijzing:
alle rij- of voertuigen die bestemd zijn om zich anders dan langs spoorstaven over de grond te bewegen en die door een mechanische kracht kunnen worden gedreven, alsmede al dan niet aan de rij- of voertuigen gekoppelde aanhangwagens en opleggers;
Mechanische kracht, dus als tegenstelling van menselijke of dierlijke kracht (de ossenwagen). Maar betekent dat ‘kunnen’ dat ze enkel en alleen in staat zijn om mechanisch te worden gedreven, of is het genoeg dat ze ook mechanisch kunnen worden gedreven?

Dit staat nergens, en er zijn dus geen aanknopingspunten om hiermee verder te gaan. In haar arrest (C-286/22) kiest het Hof dan ook een andere insteek:

Vervoermiddelen die niet uitsluitend door mechanische kracht worden aangedreven en die zich dus niet over de grond kunnen voortbewegen zonder dat er spierkracht wordt gebruikt, zoals de in het hoofdgeding aan de orde zijnde elektrische fiets, die overigens zonder trappen een snelheid van 20 km/u kan bereiken, kunnen derden evenwel geen lichamelijke of materiële schade berokkenen die qua ernst of omvang vergelijkbaar is met de schade die kan worden veroorzaakt door motorfietsen, auto’s, vrachtwagens of andere voertuigen (…)
Het doel van die risicoverdeling uit de wet is het beschermen van zwakkere partijen. Dat noemen we dan wel “gemotoriseerd versus ongemotoriseerd” maar je moet het eigenlijk lezen als “kan mechanisch en met hele grote snelheid aan komen rijden” versus “kan alleen ondersteuning aan spierkracht bieden”. Met dit criterium is de speed pedelec dus géén motorrijtuig en is haar bestuurder dus een zwakke verkeersdeelnemer.

Het roept wel vragen op: kennelijk is een scooter (met maximumsnelheid van 25km/u) nu ook ongemotoriseerd? Immers, die kan niet “een zekere snelheid bereiken die aanzienlijk hoger is dan die welke met [motoraangedreven] vervoermiddelen kan worden bereikt, en thans nog steeds het overgrote deel van het verkeer uitmaken”. Dit terwijl die dingen wel degelijk volledig door mechanische kracht voortbewogen worden.

Arnoud

 

 

Mijn bedrijf is gehackt: mogen ze voor deze dag snipperuren inzetten?

Geplaatst op in Ondernemingsvrijheid, Regulering, 4 reacties
khaase / Pixabay

Via Reddit:

Een tijdje terug kwamen wij op kantoor ’s ochtends tot de conclusie dat een cyberaanval ervoor zorgde dat we niet aan de slag konden. De IT afdeling had noodgedwongen de infrastructuur moeten “sluiten” om de nodige maatregelen te treffen. Hierdoor hebben we 2 dagen niks kunnen doen. De directie heeft nu besloten dat ze hier onze snipperuren van af willen trekken. Wat is hier precies gebruikelijk in deze situatie?
Het simpele antwoord is natuurlijk: dat kan zeer zeker niet. Dat het werk niet kan doorgaan door een situatie als een cyberaanval is echt zeer zeker het risico van de werkgever. (Ook als de oorzaak een grove menselijke fout van een werknemer is, ik zeg het maar even.)

De wet (art. 7:628 BW) formuleert het als volgt:

De werkgever is verplicht het naar tijdruimte vastgestelde loon te voldoen indien de werknemer de overeengekomen arbeid geheel of gedeeltelijk niet heeft verricht, tenzij het geheel of gedeeltelijk niet verrichten van de overeengekomen arbeid in redelijkheid voor rekening van de werknemer behoort te komen.
Deze sinds 2020 geldende formulering is dus vrij eenzijdig: ook als er niet is gewerkt, moet de werkgever gewoon loon betalen. Alleen als de werkgever kan bewijzen dat “in redelijkheid” het niet-werken in de risicosfeer van de werknemer hoort te liggen, hoeft hij het loon niet te betalen.

Bij invoering van de wet is duidelijk aangegeven dat algemene bedrijfsstoornissen eigenlijk altijd te zien zijn als de risicosfeer van de werkgever, zoals zware regenval waardoor er niet gewerkt kan worden. Een cyberaanval ligt in diezelfde lijn en is dus gewoon risico werkgever.

Het is natuurlijk denkbaar dat de impact van deze cyberaanval zo groot is dat de werkgever in serieuze financiële problemen komt als dan óok nog salarissen moeten worden doorbetaald. Daar valt dan over te praten, maar geeft geen juridische grondslag om dan maar vakantiedagen in te zetten om dit gat te compenseren. De werknemer beslist wanneer zhij vakantie neemt, de werkgever mag wel een vakantie weigeren (bij zwaarwegende redenen) maar niet dicteren wanneer de werknemer op vakantie gaat.

Arnoud