Categorie: Regulering

About Regulering

Subscribe Feeds

‘Regering NL greep in bij Nexperia, omdat Chinese topman bedrijf leeg trok’

Geplaatst op in Regulering, 8 reacties
Photo by Ludovic Delot on Pexels

De Nederlandse regering greep in bij chipfabrikant Nexperia, omdat de Chinese topman bezig was de Europese tak van het bedrijf leeg te trekken. Dat meldde Tweakers vorige week op gezag van onderzoek van NRC. Daarvoor werd een nooit eerder gebruikte wet ingezet, wat mij als jurist natuurlijk de oren deed spitsen.

NRC licht toe:

Nexperia, dat een hoofdkantoor in Nijmegen heeft, maakt goedkope chips die in allerlei elektronica zit. De wafers, ronde schijven waarop deze chips gemaakt worden, worden geproduceerd in Manchester en Hamburg. Het merendeel van die chips wordt verwerkt door een ‘back-end’ fabriek in het Chinese Dongguan.

[Eigenaar Zhang “Wing” Xuezheng] wilde de productie van wafers volledig naar China halen, en onderbrengen bij een andere onderneming van hem, WingSkySemi. Daarvoor eigende hij zich de recepten toe voor de productie van chips uit de Nexperia-fabriek in het Britse Manchester, die ‘mosfets’ – simpele schakelaars – maakt.

Dit zou op zeer korte termijn gebeuren, en onder meer als gevolg hebben dat 40% van het Europese personeel zou worden ontslagen. Het onderzoekscentrum in München zou worden gesloten. Omdat het ministerie vreesde dat “cruciale technologische kennis en capaciteiten” verloren zou gaan, greep men in met een bevel onder de Wet beschikbaarheid goederen.

De Wbg komt uit 1952 en heeft een Koude Oorlog-motivatie. Iedere miniser mag bevelen uitvaardigen als dat “noodzakelijk is ter verzekering van het beschikbaar blijven van goederen ter voorbereiding op noodsituaties”. Achterliggend doel was onder meer hamsteren bij consumenten te voorkomen, maar ook om productie en continuïteit van de industrie te waarborgen.

De goederen hier waren de machines en andere activa van het bedrijf in Europa. Als die verloren zouden gaan voor Europa, dan zou “de Europe auto-industrie, consumentenelektronica en defensie” in gevaar komen. Het bevel verhindert de mogelijkheid tot verplaatsing of eigendomsoverdracht van die machines.

Wing zelf is ondertussen ook afgezet als bestuurder, maar dat is niet op grond van dit bevel gebeurd. De Ondernemingskamer bepaalde op 13 oktober dat Wing belangenconflicten had met zijn andere bedrijf en daar niet zorgvuldig mee omging. Ook werd de governance van Nexperia niet goed ingericht nadat het ministerie haar zorgen had uitgesproken. Juridisch heet dat samen dan “dat gegronde redenen bestaan voor twijfel aan een juist beleid en een juiste gang van zaken” en dan mag een CEO geschorst worden.

In mijn boek Wetwijs in het digitale decennium bespreek ik wetgeving als de Critical Raw Materials Act (CRMA, Verordening 2024/1252) en de Wet veiligheidstoets investeringen, fusies en overnames, die bedoeld zijn om bij geopolitieke spanningen of zorgen over soevereiniteit in te grijpen. Deze konden tegen Nexperia echter niet gebruikt worden, omdat het bedrijf al voor invoering daarvan in buitenlandse handen was.

Arnoud

Chatbots geven vertekend stemadvies, mag dat van de AI Act (en de AVG)?

Geplaatst op in Privacy, Regulering, 8 reacties
Bron: Onderzoek Autoriteit Persoonsgegevens

Een onderzoek van de Autoriteit Persoonsgegevens laat zien dat chatbots niet neutraal functioneren in vergelijking met traditionele stemhulpen, zoals Kieskompas en StemWijzer. Dat meldde de toezichthouder vorige week. Goed om te weten, maar het riep bij velen de vraag op: is daar juridisch wat aan te doen, bijvoorbeeld vanuit de AVG of AI Act?

Uit het persbericht:

De AP vergeleek 4 bekende chatbots met de online stemhulpen Kieskompas en StemWijzer. Uit het onderzoek blijkt dat de chatbots opvallend vaak op dezelfde 2 partijen uitkomen, ongeacht de vraag of opdracht van de gebruiker. In ruim 56% van de gevallen staat de PVV of GroenLinks-PvdA bovenaan. Bij één chatbot is dat zelfs in meer dan 80% van de gevallen zo. Andere partijen, zoals D66, SP, VVD of PvdD, komen veel minder vaak als eerste keuze naar voren. Sommige partijen, zoals BBB, CDA, SGP of DENK, zelfs bijna nooit.
Het plaatje hiernaast (klik voor groot) illustreert het effect scherp. Deze chatbots zijn geen databanken met kennis, of zelfs maar analysemachines die verkiezingsprogramma’s lezen en daar een match mee maken. Cynische ik ziet in deze resultaten een simpele vertaling van de links/rechts dichotomie op basis van gescheld op Reddit en elders.

Bij totstandkoming van de AI Act is gesproken over het risico van verkiezingsbeïnvloeding. Daarom staat als hoogrisico aangemerkt

AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum of van het stemgedrag van natuurlijke personen bij de uitoefening van hun stemrecht bij verkiezingen of referenda.
De discussie bij de grote chatbots is echter altijd of deze wel ‘bedoeld’ zijn voor specifieke dingen. Als je alles er mee kan, zijn ze dan voor alles bedoeld of nergens voor? Bovendien, is hier wel spraken van “beïnvloeden” als je een op basis van een vraag een taalpatroon oplepelt met als strekking dat GroenlinksPVDA goed bij je past?

De AVG dan maar, het duizenddingendoekje van het ict-recht? De AP zelf waagt zich er niet eens aan. Ik denk dat je nog net kunt zeggen dat hier sprake is van profileren: mensen stoppen er informatie over zichzelf in, en de chatbot correleert dat met een politiek standpunt. Maar omdat dat vervolgens niet tot een besluit leidt, is daar AVG-technisch weinig mis mee.

Het theoretisch standpunt (en de reden dat ik de AVG ‘duizenddingendoekje’ noem) is dat verwerking van persoonsgegevens juist moeten zijn (art. 5 lid 1 punt d AVG) en deze conclusie dat vrij zeker niet is, of hooguit dan per ongeluk. Daarmee is de verwerking dan onrechtmatig. Maar zo absoluut wil ik ‘juist’ niet lezen.

Sinds maart vorig jaar is er de Verordening politieke reclame. De definitie van dat begrip is nogal breed:

“politieke reclame”: de productie, plaatsing, promotie, publicatie, aanlevering of verspreiding, op welke wijze dan ook, van een boodschap … die van invloed kan zijn op en bedoeld is om het resultaat van een verkiezing of referendum, stemgedrag of een wetgevings- of regelgevingsproces op Unie-, nationaal, regionaal of lokaal niveau te beïnvloeden.
Ik zie zeker hoe deze vertekende chatbot-uitkomsten de potentie hebben om verkiezingen te beïnvloeden, gezien hoe massaal wij Sjet alles vragen en denken dat het antwoord waar is.

Tegelijk twijfel ik of het ‘reclame’ te noemen is, want hoewel het niet nodig is dat de reclame vanuit een politieke actor komt, is wél vereist dat deze “gewoonlijk tegen vergoeding of via interne activiteiten of in het kader van een politieke reclamecampagne wordt overgebracht”. Stemwijzers en stemadviezen zijn gewoonlijk juist niet als reclame bedoeld. Maar het is natuurlijk te makkelijk om met het label “stemwijzer” aan de reclamewetgeving te ontkomen.

De verordening is van toepassing sinds 10 oktober 2025, zodat als we dit politieke reclame vinden, OpenAI en consorten transparant moeten zijn over het wat en hoe. Maar komen we terug bij de discussie: is het oplepelen van een tekst op verzoek wel te zien als een intentie, een bedoeling?

Arnoud

Het is verboden om producten met verborgen kill-switches te verkopen, maar waar staat dat in de wet?

Geplaatst op in Regulering, Security, 27 reacties
Bron: Wikimedia

Het is verboden om op de Europese markt producten met verborgen kill-switches aan te bieden waardoor apparaten op afstand zijn uit te schakelen. Dat las ik bij Security.nl. Men vaart op antwoorden op Kamervragen over vermeende geheime communicatieapparatuur in Chinese zonne-omvormers, die killswitchfunctionaliteit zouden realiseren. Iedereen in mijn bubbel heeft zonnepanelen en vroeg dus: welke wet?

De bron voor de ophef lijkt een Reuters-artikel van mei 2025:

However, rogue communication devices not listed in product documents have been found in some Chinese solar power inverters by U.S experts who strip down equipment hooked up to grids to check for security issues, the two [sources] said. … The rogue components provide additional, undocumented communication channels that could allow firewalls to be circumvented remotely, with potentially catastrophic consequences, the two people said.
Ik kwam de zorgen ook tegen in vakblad Energate:
If the inverters are not controlled via the smart meter gateways, but via the manufacturer’s backend systems, a completely different risk situation arises, according to Borchardt. This is because it is then possible for the inverter manufacturers to switch off a large number of systems in one fell swoop, as the case of the Chinese company Deye shows. This inverter manufacturer shut down systems in the USA, Great Britain and Pakistan in rows last autumn following licensing disputes.
Het gaat nadrukkelijk niet expliciet om ingebouwde technieken die de inverters uitschakelen of bricken (of doen ontploffen, ik zeg het maar even). De kern van de zorg is dat er communicatieapparatuur in de omvormers zitten waarmee op afstand ieder soort instructie gegeven kan worden. Inclusief dus “doe of je een baksteen bent”.

Is dat illegaal? De Kamervraagantwoorden lopen kort langs de Cyber Resilience Act en de Radio Equipment Directive, die inderdaad beiden strenge security-eisen stellen. Maar die zeggen niets over een door de fabrikant zelf ingebouwde achterdeur.

Toch zegt de minister dan:

Op de Europese markt is het verboden om (heimelijk) functionaliteit in te bouwen (zowel software en hardware) die niet in de technische documentatie is beschreven. Het is verboden om producten aan te bieden die ‘verstopte’ functionaliteiten bevatten om apparaten op afstand aan of uit te zetten. Deze eisen gelden ook voor producten die afkomstig zijn van een fabrikant die buiten de EU is gevestigd, zodra deze producten op de Europese markt worden aangeboden.
Frustrerend dat ze er niet even bij zetten om welke wet het gaat. Voor de hand ligt dat men ‘gewoon’ op de informatieplichten voor verkopers van fysieke producten doelt. Een zonnepaneelinverter met de mogelijkheid tot uitschakelen op afstand is niet wat je mag verwachten als koper, zeker omdat dit niet in de documentatie staat.

Omdat men nadrukkelijk spreekt van ‘verboden’ vermoed ik echter dat het iets specifieker gaat over het CE-keurmerk en de bijbehorende Europese standaarden. Bij markttoelating in Europa moeten zonnepanelen en omvormers gekeurd zijn, en deel daarvan is dat de technische documentatie (dat is een vakterm in die context) van A tot Z vermeldt wat het apparaat kan. Dat is dan hier niet het geval, zodat de omvormer niet aan de wet voldoet en dus de markt niet op mag.

Ik ben vast heel cynisch als ik denk, men wil stoer en sterk klinken met “dat is in héél Europa verboden” en dan doet het minder sterk aan als je zegt “omdat dat in strijd is met artikel 4 lid 3 van de markttoezichtverordening”.

Arnoud

Musk zet Nederlandse waakhond RDW onder druk: ‘erg frustrerend’

Geplaatst op in Regulering, 15 reacties

Tesla-baas Elon Musk hoopt op snelle toestemming van de Nederlandse en Europese toelatingsautoriteit om zijn lane switch-feature van het Autopilot-systeem toe te laten. Dat meldde BNR onlangs. De kennelijke bedoeling is om zo snel Europa in te kunnen: als onze RDW een auto typegoedkeurt, mag het in de hele EU de weg op.

Het gaat om de Tesla Model Y met ‘FSD Unsupervised’, de opvolger van haar Full-Self Driving (FSD) feature waarbij menselijk toezicht wél nog nodig is. Zoals Tesla het uitlegt in die typische toon die ik sterk met ChatGPT associeer (wat vast komt omdat het machinevertaald ronkend Engels is):

De momenteel beschikbare Autopilot-, Enhanced Autopilot- en Full Self-Driving-functies vereisen actief toezicht van de bestuurder en maken de auto niet autonoom. Volledig autonoom rijden is afhankelijk van het behalen van een betrouwbaarheid die menselijke bestuurders ruimschoots overtreft en die door miljarden gereden kilometers is bewezen. Daarnaast is het ook afhankelijk van wettelijke goedkeuring, wat in sommige landen meer tijd kan vergen.
Na de nodige heisa over de term “FSD” die dus niet betekent dat het ding volledig zelf rijdt, werd dit “FSD Supervised”. En de logische opvolger is dan FSD Unsupervised. Kennelijk zal op 28 juni een Tesla voor het eerst autonoom de fabriek verlaten en naar de koper toe rijden. En dat moet in Europa ook, maar daar is een toelating voor nodig.

Om toelating vragen doe je via X, want daar komt dan genoeg herrie in de media (en in de Linkedin-boxen van de RDW-directie) dat men op hoog niveau bij de RDW streng gaat kijken:

Als één EU-land een dergelijk systeem goedkeurt, moeten andere landen dat volgen. Dat maakt de rol van de RDW cruciaal, weet ook Musk. ‘Het is zeer frustrerend en schadelijk voor de veiligheid van mensen in Europa; rijden met de geavanceerde Autopilot resulteert in vier keer minder verwondingen! Verzoek daarom uw bestuursorganen om de veiligheid van Tesla in Europa te versnellen’, zegt hij in zijn tweet.
De timing is opvallend, zoals dat dan heet, omdat heel recent nog bekend werd dat er in 2015 wat raars gebeurde: Tesla’s FSD werd door de RDW goedgekeurd, ondanks dat de regels alleen automatische ondersteuning toestaan die zeer korte tijd en op een lage snelheid konden ingrijpen.
De door de RDW en Tesla gevonden ‘achterdeur in de regelgeving’ maakte goedkeuring toch mogelijk. “Je kon de regels zo interpreteren dat er stond: het systeem maakt één manoeuvre, gevolgd door nog een manoeuvre, en nog één, enzovoorts”, aldus de betrokken ambtenaar. “En als je dat aan elkaar knoopt kan de auto voor een langere periode rijden. De meesten van ons zagen deze uitleg als een maas in de wet.”
In een reactie maakt de RDW duidelijk dat hier geen sprake is van een ‘maas’ in de wet, zoals de Zweedse toezichthouder lijkt te betogen. De wet is in ieder geval verduidelijkt sindsdien.

De druk is wellicht te begrijpen gezien het doel om nog in 2025 de Europese markt te betreden met FSD Unsupervised.

Arnoud

AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro

Geplaatst op in Privacy, Regulering, 5 reacties
Photo by Rai Vidanes on Unsplash

De Autoriteit Persoonsgegevens verlaagt de boete die zij eerder aan Kruidvat gaf voor het plaatsen van trackingcookies van 600.000 euro naar 50.000 euro. Dat meldde Tweakers onlangs. Inderdaad, 90% eraf. De belangrijkste reden is dat de AP lang deed over het onderzoek en omdat boetes voor vergelijkbare overtredingen lager waren.

Tweakers legt uit:

Kruidvat kreeg de boete omdat het te snel trackingcookies plaatste bij bezoekers van de Kruidvat-website. In de cookiebanner stond standaard aangevinkt dat gebruikers toestemming gaven om die cookies te plaatsen. Het weigeren was volgens de toezichthouder te moeilijk, omdat gebruikers te veel stappen moesten doorlopen. Ook rekende de AP het Kruidvat aan dat er daardoor gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.
De hiervoor toegekende boete was dus zes ton, wat ik op zich al fors vond maar het ‘specifieke karakter van drogisterijproducten’ woog mee: bij de Kruidvat koop je ook producten als zwangerschapstests, voorbehoedsmiddelen of zelfzorgmedicatie dus dat riekt naar bijzondere persoonsgegevens over gezondheid.

In het besluit op bezwaar komt men toch een beetje terug op die enorme boete, zij het nogal kortaf. Op zich was de opgelegde boete binnen de kaders van de Europese AVG-toezichthouders, en sloot deze ook aan bij de bandbreedte die de AP zelf hanteert. Echter:

De lange duur van de procedure bij de AP,zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen, de erkenning van de (volledige) overtreding door [Kruidvat-moederbedrijf] AS Watson, de geringe ernst van de overtreding en de omstandigheid dat in een vergelijkbare procedure inzake (tracking) cookies de AP tot een (in relatief opzicht) vergelijkbare boete is gekomen, zijn voor de AP aanleiding om de boete in dit besluit vast te stellen op een bedrag van € 50.000,-.
In de comments wordt gereageerd dat AS Watson vorig jaar 53 miljard euro omzet had, dus dat maakt die 50k een schijntje zonder afschrikwekkende werking zeg maar. Daar wil ik wel tegenover stellen dat het bedrijf direct meegewerkt heeft (zie onderzoeksrapport) en ook nergens heeft betoogd vrij van schuld te zijn. Ik maak me vooral zorgen dat dit andere bedrijven aanmoedigt om tegen alles maar in bezwaar te gaan, want zulke korting is toch mooi meegenomen.

Arnoud

 

Mogen bedrijven van de AI Act en AVG een AI-chatbot in hun shop integreren?

Geplaatst op in Ondernemingsvrijheid, Privacy, Regulering, 12 reacties
Alexandra_Koch / Pixabay

Een lezer vroeg me:

Steeds vaker zie ik dat bedrijven bij klantenservice een AI-chatbot inzetten als eerste lijn. Die hebben vaak ook toegang tot je bestellingen en andere gegevens. Ik maak me daar zorgen over, wat zeggen de AVG en AI Act hierover?
De trend om menselijke ondersteuning te vervangen door chatbots is niet te stoppen, zo lijkt het. (Hoewel ze het bij Klarna een “flop” lijken te vinden.) Maar laten wij ons focussen op de juridische kant: mag dit?

De AI Act stelt eigenlijk geen eisen aan AI voor klantenservice, afgezien van de algemene eis (artikel 50) dat het duidelijk moet zijn voor de klant dát men met een bot communiceert. Dat moet expliciet en in het gesprek, dus niet een zinnetje in de algemene voorwaarden of ergens in de veelgestelde vragen. En afhankelijk van de lengte van het gesprek kan het nodig zijn deze boodschap periodiek te herhalen.

Lastiger ligt het met de AVG. Een AI-tool die een klantdossier leest, verwerkt daarmee persoonsgegevens. Het doel daarvan is legitiem, namelijk de klant helpen met een probleem bij diens aankoop of ander contract. Een menselijke medewerker zou dit net zo goed mogen. En in de praktijk zie je ook dat de tool er pas bij kan als jij een ordernummer of andere referentie kan geven, wat je kunt zien als een vorm van instemmen.

Een grotere zorg is wie er allemaal nog méér toegang heeft tot die persoonsgegevens. Want dat is wel even anders dan bij de menselijke medewerker. Veel van deze technologieën worden door een leverancier beschikbaar gesteld, en als je dan een paar tegels omdraait kom je al snel bij een Amerikaans foundation model zoals OpenAI’s GPT familie.

Oftewel: alle chats mét klantdossier gaan naar Amerika en dat is zoals bekend AVG-technisch een lastige situatie. Formeel mag het, om de simpele reden dat de EU heeft gezegd dat de VS een met Europa vergelijkbare bescherming van persoonsgegevens heeft. En tot men dat formeel intrekt, is er geen vuiltje aan de lucht.

(Sommigen zouden nu de woordgrap maken dat de lucht vol met stratocumuli zit.) We weten allemaal dat dit nergens op slaat, eigenlijk al sinds het Safe Harbor regime uit 2000. Maar dit is waar juridisch en werkelijkheid afscheid nemen: puur praktisch is het een probleem, maar juridisch klopt het gewoon. Althans, totdat de Europese Commissie of het Hof van Justitie zegt van niet. Want dan moet per direct iedere verbinding met alle Amerikaanse dienstverleners worden gestaakt.

Voor de webshop met AI-klantenservice is dit een nogal abstract en ver verwijderd probleem, en dat snap ik. Je kunt hier helemaal niets aan doen en je zocht alleen een handige extra chatbot omdat je zelf niet 24/7 achter je webshop kunt zitten typen. Mee bewegen met de massa en vooral met al je concurrenten is dan ook prima in die situatie. Uiteindelijk is de situatie met de VS een politiek probleem en niet jouw individueel juridisch probleem.

Uiteraard zoek je wel een goede dienstverlener die de beveiliging goed op orde heeft, zodat er niet bijvoorbeeld chatlogs mét bestelgegevens ergens bij de leverancier terecht komen en langdurig bewaard blijven.

Arnoud

Crypto’s in box 3 zijn belast vermogen, zegt de Hoge Raad. Maar of het ‘geld’ is blijft ongewis

Geplaatst op in Ondernemingsvrijheid, Regulering, 4 reacties
Photo by David McBee on Pexels

Aan cryptogeld kun je geen rechten ontlenen, dus is het geen vermogen. Zo opende NRC onlangs over een belastinggeschil inzake cryptovaluta.

De aangeefster had 71.000 euro aan cryptovaluta, maar wilde geen vermogensrendementheffing (box 3) daarover betalen. Het onderliggende argument:

  1. Cryptovaluta zijn geen vermogensrechten in de zin van artikel 3:6 BW. Daarvoor is immers vereist dat ze “overdraagbaar zijn, of er toe strekken de rechthebbende stoffelijk voordeel te verschaffen”.
  2. Ook is een eis dat is van een verplichting (schuld) van een ander aan de belastingplichtige, en dat ontbreekt in het geval van cryptovaluta.
In haar arrest is de Hoge Raad daar snel klaar mee. In belastingwetgeving wordt gesproken van “vermogensrechten”, maar dat is een breder begrip dan “vermogensrechten” uit het BW. Belastingtechnisch is genoeg dat ze overdraagbaar zijn (en dat is zo) en dat dit tot voordeel leidt (je krijgt geld).

Weinig spannend uiteindelijk, en ook wel binnen de lijn de verwachting. Jammer is vooral dat de Hoge Raad open laat wát voor vermogensrechten in fiscale zin dit zijn. NRC citeert Sonja Dusarduijn, universitair hoofddocent belastingrecht aan Tilburg University, die uitlegt:

Vallen crypto’s in box 3 onder de categorie ‘geld’ of onder ‘overige bezittingen’? Bij ‘geld’ gaat de fiscus ervan uit dat je minder rendement maakt op je vermogen dan bij ‘overige bezittingen’. Maar het gerechtshof ontweek het antwoord op die vraag met de merkwaardige redenering dat als het geen geld is, het toch in elk geval onder ‘overige bezittingen’ valt.
Die redenering is genoeg om het argument te pareren dat het geen van beide is. Maar het is jammer dat niet is doorgepakt:
Het verschil doet zich ook voelen bij het zogenaamde ‘herstelrecht’, vertelt Dusarduijn. De Hoge Raad heeft in 2021 korte metten gemaakt met het door de fiscus gehanteerde fictieve rendement op vermogen, dat voor sommigen veel hoger lag dan hun daadwerkelijke rendement. Dusarduijn: „De wetgever moet daarom bepaalde vermogensbezitters rechtsherstel bieden. Je moet dan wel aantonen dat het werkelijke rendement op je héle vermogen in een bepaald jaar lager blijkt te zijn dan het fictieve rendement.”
Dit geldt dus ook voor het deel van je vermogen dat in crypto’s bestaat.

Mensen vragen nogal eens: waarom zou je je cryptovaluta opgeven, gezien de blockchainregistratie in principe anoniem is. De belangrijkste reden is natuurlijk dat je identiteit snel zichtbaar wordt bij aan- en verkopen tegen echt geld, want dat betreedt dan het gereguleerde systeem.

Arnoud

Meta krijgt 200 miljoen euro boete voor ‘betaal of oké’ model Facebook

Geplaatst op in Privacy, Regulering, 23 reacties
Photo by Pixabay on Pexels

De Europese Commissie heeft Meta een boete van 200 miljoen euro opgelegd wegens het overtreden van de Digital Markets Act (DMA) met het ‘betaal of oké’ model op Facebook en Instagram. Dat meldde Security.nl vorige week. Dit lijkt het finale doek voor de strategie waarbij je óf een betaald abonnement neemt óf toestemming voor toegang tot je dienst.

In 2023 oordeelde het Hof van Justitie inzake Meta dat het mogelijk moet zijn om toestemming voor tracking in te tracken, sorry trekken, zonder dat je geheel uit de dienst werd gegooid. Er moet een alternatief komen, desnoods tegen een gepaste vergoeding, waar geen tracking in zit:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

Cruciaal hierbij was dat Meta een enorme machtspositie heeft, zodat argumenten van het soort “dan gebruik je het toch gewoon niet” niet opgaan. Meta kwam daarop met een dubbele constructie die men “Pay or consent” noemde: of je betaalt geld, of je betaalt met je persoonsgegevens. Bekt lekker, maar was direct problematisch. Want de AVG eist dat er geen nadeel mag zitten aan het weigeren van toestemming, en ineens moeten betalen terwijl de buurman gratis mag, dat voelt wel nadelig (zeker voor Nederlanders).

Ik blogde toen:

Als ik terugga in waar die term “detriment” of “nadelig gevolg” vandaan kom, dan kom ik bijvoorbeeld bij WP 187 van wat nu de EPDB is. Hieruit haal ik dat iets nadelig is als het zeg maar bestraffend is, je afschrikt die optie te kiezen. Dit halen ze uit eerdere papers over consent bij medische zaken (bij weigering consent geen behandeling, WP 131) en bij het werk (WP 48, bij weigering geen promotie/nieuwe baan).
Helaas komt er geen fundamenteel criterium, maar wordt “als je elke dag op Facebook moet, dan is betalen een vorm van nadeel” als waarheid geponeerd:
Data subjects may suffer detriment if it becomes impossible for them to use a service that is part of their daily lives and has a prominent role.
Let ook op de “may”, die met z’n vriendje “might” regelmatig terugkomt in dit stuk van de analyse. Alles kan – koffie kan, thee kan – maar is dit een theoretische zijsprong of gaat dit over 90% van de gevallen?

Nu is er dus een boete voor deze constructie, zij het opgelegd onder de DMA omdat die het directst toepasbaar is bij het machtige Meta. Het probleem was dat

… it did not give users the required specific choice to opt for a service that uses less of their personal data but is otherwise equivalent to the ‘personalised ads’ service. Meta’s model also did not allow users to exercise their right to freely consent to the combination of their personal data.
Gezien Meta’s macht had zij dus voor een gratis-zonder-tracking versie moeten zorgen naast de betaalde versie. Specifiek omdat de DMA (artikel 5(2) om precies te zijn) dat nadrukkelijk voorschrijft. Dit is dus géén algemene regel die uit de AVG voortvloeit.

Meta heeft in de tussentijd een alternatief opgetuigd met minder tracking. Deze is nog in onderzoek.

Arnoud

Zorgtoezichthouder krijgt gelijk van rechter: geen schending privacy ggz-patiënten

Geplaatst op in Privacy, Regulering, Security, 2 reacties
Photo by Tim Cooper on Unsplash

De Nederlandse Zorgautoriteit (NZa) heeft met het verzamelen van gedetailleerde persoonlijke gegevens niet de privacy geschonden van ongeveer 800.000 patiënten in de geestelijke gezondheidszorg. Dat meldde de NOS vorige week. Ook andere wetgeving is niet in gevaar gebracht, zo oordeelde de rechtbank Midden-Nederland.

In 2023 werd de toezichthouder in een collectieve procedure door diverse stichtingen aangeklaagd. Zij wilden dat de NZa zou stoppen met het opvragen van informatie over de gezondheidssituatie van individuele cliënten in de geestelijke gezondheidszorg bij hun behandelaren en ook met het verwerken van die gegevens, omdat dit het recht op privacy en het medische beroepsgeheim schendt.

Waar gaat het om? Het tussenvonnis uit 2024 (dat ging over de ontvankelijkheidsvraag van de eisers) legt uit:

Op 1 januari 2022 is er een nieuw bekostigingsstelsel voor de geestelijke gezondheidszorg en forensische zorg ingevoerd. Dat is het zorgprestatiemodel. In dat model wordt gewerkt met een systeem van ‘zorgvraagtypering’. Met de zorgvraagtypering wordt de zorgvraag van cliënten in kaart gebracht en wordt er een verband gelegd tussen de zorgvraag en de mogelijke behandelwijzen.
Behandelaren vullen hiervoor zogenoemde HoNOS+-vragenlijsten in, met allerlei scores over sociale en mentale problemen. Met de ingevulde lijsten kan een algoritme worden geijkt en worden de zorgvraagtyperingen ingedeeld. Bij dat laatste ontstond discussie: dat zijn toch bijzondere (medische) persoonsgegevens, hoezo mag de NZa dat opvragen en hergebruiken?

De rechtbank oordeelt nu dat hier sprake is van anonieme gegevens:

De gepseudonimiseerde declaratiegegevens die de NZa ontvangt zijn daardoor geen direct herleidbare persoonsgegevens meer. Hooguit zijn deze declaratiegegevens dan nog indirect herleidbaar,(…)

Drie werknemers van de NZa hebben toegang tot de HoNOS+-gegevens. Van die drie werknemers hebben twee werknemers ook toegang tot de gepseudonimiseerde declaratiegegevens. … [Z]elfs al zouden de twee werknemers binnen de NZa de HoNOS+-gegevens koppelen aan declaratiedata, dat het voor de NZa redelijkerwijs niet mogelijk is om de gegevens te herleiden tot individuen. Doordat de declaratiedata door hashing zijn gepseudonimiseerd, zijn ze versleuteld. De NZa kan deze gegevens niet ‘ontsleutelen’. Zij beschikt namelijk niet over de sleutel om de hashing, en daarmee de pseudonimisering, ongedaan te maken. Ook heeft zij – zoals de NZa heeft aangevoerd – niet de benodigde quantumcomputer om deze hashing te ‘kraken’, omdat die computer simpelweg nog niet bestaat.

De discussie over anoniem versus pseudoniem heeft er dus weer een ronde bij. De verwijzing naar quantumcomputers is wel een leuke: regelmatig wordt gespeculeerd dat deze nieuwe technologie in staat zal zijn om alle bestaande encryptie en hashing te kraken, in de zin dat deze triviaal ongedaan te maken is. Daarbij hoort de filosofische vraag of gegevens dan nu anoniem zijn als ze in de toekomst herleidbaar worden.

Iets concreter is: wat als de NZa wordt gehackt en de brongegevens worden buitgemaakt, waarna de aanvaller alles combineert en de gegevens blootlegt. Maakt dat de gegevens persoonsgegevens? Ja, dan wel. Maar niet nu al. Dat is dus op zichzelf geen redelijk middel om tot herleiding te komen.

In dit specifieke geval geldt overigens dat bij een mogelijke hack bij de NZa de HoNOS+-gegevens anoniem blijven en de declaratiegegevens versleuteld. Ook voor een hacker zal het daardoor technisch gezien vrijwel onmogelijk (en in ieder geval verboden) zijn om de gegevens te herleiden tot individuen, omdat hij dan meerdere partijen zou moeten hacken.
Meer algemeen is er nog de discussie over patiëntprivacy, want ook als je heel formeel de gegevens anoniem noemt, blijft het een verplichting voor patiënten om zeer gevoelige informatie af te staan aan een grote, onzichtbare organisatie.

Net als bij de EHDS van gisteren is de conclusie hier: dat zit wel goed, want het is uitgebreid onderzocht en gemotiveerd, en bovendien verbonden aan een wettelijke regeling. Dat moet genoeg zijn in een democratische samenleving.

Hetzelfde geldt voor het medisch beroepsgeheim: ook dat mag worden doorbroken als dat wettelijk geregeld is, en die regeling op zichzelf maatschappelijk aanvaardbaar is. Daar heeft de wetgever over nagedacht en een redelijke afweging gemaakt, dus ook dat is in orde.

Arnoud

Maak op tijd bezwaar tegen trainen van Meta AI met jouw data, moet dat?

Geplaatst op in Privacy, Regulering, 13 reacties
Photo by Idi Parinduan on Pexels

Mensen die niet willen dat hun gegevens worden gebruikt om de AI van techbedrijf Meta te trainen, hebben nog tot 27 mei de tijd om daar bezwaar tegen te maken. Dat meldde Nu.nl gisteren, op gezag van de Autoriteit Persoonsgegevens.

Vanaf 27 mei gaat het bedrijf de gegevens van gebruikers van  Meta-diensten Facebook en Instagram inzetten om haar AI-model mee te trainen. Bezwaar maken is in ieder geval de snelste methode om hier wat tegen te doen.

Het kan via het bezwaarformulier van Instagram of dat van Facebook. Wie niet kan of wil inloggen, zo ziet het eruit en het lijkt er op dat een AI je bezwaren leest dus gebruik termen als “EU burger”, “GDPR”, “objection” voor een snelle approval.

Maar moet het ook? Je zou zeggen dat hier toestemming nodig is, gezien het gaat om persoonsgegevens. (Auteursrechtelijk ook, maar dat is makkelijker af te dichten in de algemene voorwaarden dus pech gehad wat dat betreft.) Onder de AVG is toestemming (consent) niet de enige grond, en Meta is gaan zitten op de alternatieve grondslag van gerechtvaardigd belang.

Daarbij is opt-out (artikel 21) een verplichting, zij het dat je die moet onderbouwen met persoonlijke omstandigheden. Vandaar de naam van dat veld op het formulier.

Meer algemeen is het een open vraag – ook na de Guidelines van eind vorig jaar – of legitiem belang in te roepen is bij de toepassing “hergebruik voor trainen taalmodel”. In juni blogde ik hierover toen Meta haar plannen voor het eerst bekend maakte:

[Dat ondernemen een legitieme activiteit is] betekent [niet] dat het dus mág, want bij gerechtvaardigd belang hoort een afweging. Zo zien de Europese toezichthouders (verenigd in de EDPB) het ook: in principe moet dit kunnen, maar je moet wel een goede belangenafweging hebben, zo vat ik het maar even samen. Daarbij weegt zwaar wat mensen redelijkerwijs mochten verwachten. Gezien de ophef bij Meta kun je daar dus wel vraagtekens bij stellen.
Helaas is er nog geen toezichthouder die concrete stappen heeft genomen, wat gezien de tijdsspanne tussen vorig jaar juni en nu toch wel had gemogen.

Arnoud