Hoe bewijs je dat iemand een telefoon in de hand hield als een algoritme dat zag?

Foto: Monocam Zakelijk

Doorslaggevend is wat op de foto’s is te zien, aldus een recent arrest uit Arnhem-Leeuwarden inzake het vasthouden van een mobiele telefoon tijdens het rijden. Logisch, maar wél ergerlijk, want de foto kwam pas bij de agent in beeld nadat MONOcam deze had aangewezen. Dit was een kans geweest om het eens te hebben over algoritmische bevooroordeling.

Monocam is “een grotendeels door de Nederlandse politie zelf ontwikkelde camera gemonteerd op een driepoot, geschikt voor zowel binnen als buiten de bebouwde kom”, zoals ook op de bijgaande foto te zien is. Iedereen die passeert, gaat op de foto.

De camera heeft een AI systeem aan boord, dat iedere foto analyseert op de vraag of de persoon in beeld een telefoon in de hand heeft. Als dat zo lijkt te zijn, gaat de foto naar een agent die deze bekijkt en een oordeel op ambtseed geeft. Een collega controleert dit apart. Pas daarna wordt het proces-verbaal opgemaakt.

Het bezwaar in deze zaak: de agent heeft hem niet zien rijden met een telefoon in de hand, maar kreeg een foto uit MONOcam en heeft enkel daarop een oordeel geveld. Maar dat is an sich geen argument: op grond van artikel 3.2 Wahv kan mag worden beboet voor een gedraging die “op geautomatiseerde wijze is vastgesteld”. Dus naar de foto kijken in plaats van in de auto is toegestaan.

Maar was er wel een telefoon te zien? Helaas staat er geen flitsfoto in het arrest, maar wel een beschrijving door het Hof:

De bestuurder houdt met zijn linkerhand het stuur vast, terwijl hij met zijn rechterhand een donkerkleurig rechthoekig voorwerp vasthoudt ter hoogte van het stuur. Daarbij bevindt de duim van de betrokkene zich aan de ene kant van het voorwerp en de andere vingers zich aan de andere zijde. De blik van de bestuurder lijkt te zijn gericht op het voorwerp dat hij vasthoudt.
Dan kijkt men nog eens goed:
Gelet op de wijze waarop de bestuurder van het voertuig het voorwerp vasthoudt en de interactie van de bestuurder met dit voorwerp, in het bijzonder de blik die de bestuurder op het voorwerp heeft, zijn de foto’s in het dossier redengevend voor de vaststelling dat de bestuurder tijdens het rijden een mobiele telefoon met zijn hand vasthoudt.
Ik lees hier dus niet “er is een telefoon gespot” maar “we zagen je een zwart ding vasthouden en bekijken zoals iedereen met een telefoon zou doen.” Je zult maar net een plak roggebrood in de hand hebben gehouden.

Wat mij aan deze casus dus frustreert, is dat ik vrees voor confirmation bias of automation bias: het systeem geeft je alleen foto’s waar de AI telefoons op meende te herkennen. Dat zal vaak kloppen (want hoe vaak heb je nou écht roggebrood in de auto of krab je aan je oor bij het rijden), maar zeker niet altijd. Het risico lijkt me dan levensgroot dat je ook bij die vals positieven op “had telefoon vast” klikt, want de AI heeft meestal gelijk.

Dit is voor mij het algemene probleem van menselijk toezicht, dat we vaak als panacee zien voor problemen met AI. Je kunt wel een mens achter de AI-uitvoer zetten, maar hoe borg je dat die ook werkelijk een zinnige ingreep kan doen? Alleen maar “hij is er op getraind” of “hij werkt op ambtseed” is dan gewoon nogal weinig.

Wat bijvoorbeeld wél zou kunnen werken, is dat de AI af en toe een nepfoto laat zien. Als de menselijke beoordelaar die te vaak als “had telefoon vast” beoordeelt, dan gaat er iets mis met het toezicht – of met de kwaliteit van de AI.

Arnoud

 

 

Moet mijn accountant een kopie van mijn identiteitsbewijs maken?

Photo by OpenClipart-Vectors on Pixabay

Een lezer vroeg me:

Ik ben ZZP’er en mijn accountant vraagt om een kopie van mijn identiteitsbewijs in het kader van de Wwft. Mijn vraag is: is het echt noodzakelijk dat mijn accountant een kopie van mijn identiteitsdocument bewaart? Kan hij niet gewoon alleen het nummer daarvan opschrijven, als bewijs dat hij het heeft gezien?
Korte antwoord: Dat is hij wettelijk verplicht, en nee er mogen geen doorhalingen of watermerken op gezet.

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) eist van organisaties zoals accountants dat zij cliëntenonderzoek doen. Hiermee wordt het moeilijker voor criminelen om illegaal verkregen gelden in het financiële systeem te brengen of terroristische activiteiten te financieren, is de gedachte. Dit wordt ook wel de “poortwachtersfunctie” genoemd.

De accountant moet dus met zekerheid kunnen vaststellen wie de cliënt is. Dit moet met een wettig identiteitsbewijs. (Er is wat discussie over het rijbewijs, maar dat terzijde.) En de accountant moet kunnen aantonen dat aan de wettelijke verplichtingen is voldaan bij eventuele controles door toezichthouders.

De kopie dient dus als bewijs bij zo’n controle dat de accountant de identificatie van de cliënt heeft gedaan (artikel 33 Wwft). En de reden dat daar geen strepen of watermerken overheen mogen, is omdat dan bepaalde echtheidskenmerken niet meer te verifiëren zijn. Nee, ik weet ook niet welke dat zijn die verifieerbaar zijn op een kopie maar dat is consequent wat banken zeggen en rechters accepteren, dus daar moeten we het mee doen.

In strijd met de AVG is dit ook allemaal niet. Omdat artikel 33 Wwft de kopie verplicht (en het bewaren daarvan), is er een AVG-grondslag – de wettelijke plicht. De AP bevestigt dit in een publicatie over identificatie bij financiële ondernemingen, maar ik weet dat de Rijksoverheid wat losser is met haar uitspraak dat “Banken en financiële dienstverleners zijn niet verplicht om een kopie of een scan van uw identiteitsbewijs te maken.”

Arnoud

Proton dreigt Zwitserland te verlaten bij aannemen nieuwe surveillancewet

Photo by kreatikar on Pixabay

Het Zwitserse Proton dreigt Zwitserland te verlaten als de regering een herziening van de surveillancewet aanneemt, las ik bij Tweakers. Nee, geen deeltje ontsnapt uit de Large Hadron Collider maar de versleuteldemaildienst ook wel bekend als Proton Mail. Het roept de vraag op, wat zouden ze werkelijk kunnen doen?

Proton is het bedrijf achter de dienst ProtonMail, maar men heeft ook aanverwante diensten zoals VPN, opslag en kalender. Unique selling point van het bedrijf is een volledige commitment aan data privacy en klantgeheim, inclusief client side encryption waarbij ook het bedrijf niet bij klantdata kan.

Voor veel mensen was het in 2021 raar te horen dat Protonmail op bevel toch bleek te loggen, ondanks dat men overal zegt niet te loggen. De reden was simpel: bij een concrete verdenking van een persoon moet ook Proton de in- en uitkomende mail loggen. De inhoud kan men niet bij, dus die hoeft niet te worden gegeven.

De aankomende wijziging van de Zwitsere surveillancewet zou dit moeten veranderen. Die wijziging ligt nu in internetconsultatie, dus er kan nog veel wijzigen, maar inderdaad staat hier een decryptieplicht in van mails die jouw dienstafnemers versturen, voor zover dat voor jou technisch haalbaar is.

Als ik zelf met GPG uitgaande mails versleutel, hoeft Proton dus niets te doen. Maar als ik hún encryptie gebruik, dan moet Proton dus een achterdeur hebben voor het geval Justitie eist dat mijn mail toegankelijk moet worden. En dat is precies wat Proton niet wil.

Inderdaad gaat dit erg ver, veel verder nog dan ook in Europa ter discussie staat. Een algemene decryptieplicht ligt al een tijdje niet meer op tafel, de discussie hier gaat over het automatisch meekijken bij verstuurde afbeeldingen of er kindermisbruik op te zien is.

Of het wetsvoorstel het gaat halen, kan ik zo niet inschatten. In het bronartikel bij Der Bund staat nog dat het voorstel tegen een arrest van de hoogste Zwitserse rechter in gaat, maar dat is natuurlijk geen argument. Een wetgever mág wetten maken die jurisprudentie aan de kant schuift, dat is hun goed recht. Tenzij de wet tegen hoger recht aanbotst, zoals het EVRM (waar Zwitserland bij zit), maar dat is hier geen uitgemaakte zaak.

Arnoud

Hoe kan ik met SCC’s nou regelen dat de NSA van mijn data afblijft?

Een lezer vroeg me:

Mocht het Data Privacy Framework (DPF) komen te vervallen, dan schrijft het kabinet dat we kunnen terugvallen op de modelcontractbepalingen (SCC’s) in onze contracten met cloud-providers om de privacy te waarborgen. Echter, hoe kan een contract met een cloud-provider nu zaken opvangen als het inperken van de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten, zoals nu door DPF wordt gedaan?
Het Data Privacy Framework of DPF is een set afspraken tussen de VS en de EU, waarmee een zogeheten “adequaat niveau” van omvang met persoonsgegevens in de VS wordt vastgelegd. Op grond van het DPF is vervolgens door de Europese Commissie gesteld dat de VS een adequaat land is om persoonsgegevens heen te brengen, mits je dat doet binnen de kaders van het DPF.

Recent heeft president Trump leden van het voor het DPF essentieel orgaan, de Privacy and Civil liberties Oversight Board (PCLOB), ontslagen. Hierdoor is er geen quorum meer voor deze board om beslissingen te nemen, zodat ze effectief machteloos is geworden. Daarmee lijkt het DPF niet meer te voldoen aan de afspraken en is de kans groot dat het adequaatheidsbesluit moet worden ingetrokken.

Als dat gebeurt, kun je dus geen persoonsgegevens meer overbrengen naar de VS. Oftewel: geen US clouddiensten gebruiken voor opslag of verwerking daarvan. (Bij Europese dochterbedrijven met datacenters alhier is een ander verhaal.)

Naast dat adequaatheidsbesluit zijn er ook de zogeheten modelcontractbepalingen (SCC’s). Hiermee regel je het zelf: je spreekt met je Amerikaanse wederpartij regels af waarmee zij zich conformeren aan de AVG, kort gezegd. Daaronder valt ook het nemen van maatregelen die AVG overtredingen borgen, zoals het in strijd met de AVG afgeven van persoonsgegevens aan Amerikaanse justitie.

Een terecht punt is hoe je dat doet als de lokale wetgeving je daartoe juist verplicht. Dat punt was even minder relevant, omdat de redenering was dat dóórdat het DPF en het adequaatheidsbesluit er waren je mocht aannemen dat dit niet zomaar zou gebeuren. Een adequaat land mág haar justitie dingen laten vorderen, die kaders zijn gewoon AVG-conform – dat is het punt van het land adequaat achten. Het zit wel goed daar.

Dat argument staat natuurlijk op losse schroeven als dat adequaatheidsbesluit nu ingetrokken wordt door het wegvallen van het DPF. Wat heb je dan nog om te zeggen, mijn Amerikaanse wederpartij kan zich gewoon aan de SCC afspraken houden?

In een recente kamerbrief zegt onze staatssecretaris Digitalisering en Koninkrijksrelaties daarover dat “Mocht het DPF komen te vervallen, dan zal mogelijk middels een DTIA gekeken moeten worden naar de vraag of er (en zo ja welke) aanvullende waarborgen of maatregelen moeten worden genomen om de in de AVG vereiste rechtsbescherming voor natuurlijke personen te waarborgen.” Dat schuift dus het probleem voor ons uit.

Terzijde: Of Amerikaanse inlichtingendiensten stiekem bij data kunnen is volledig irrelevant voor deze discussie. Dat is een beveiligingskwestie, maar staat los van de vraag of je van de AVG je data mág opslaan daar. Die vraag gaat pas spelen als overheidsinstellingen op grond van de wet vorderen dat ze data mogen hebben, dus juridisch in plaats van gewoon praktisch er bij willen. De NSA is hetzelfde als iedere willekeurige indringer van buitenaf.

Arnoud

Welke rol zou AI kunnen spelen bij het opstellen van vonnissen?

Photo by Sora Shimazaki on Pexels

De Rechtbank Rotterdam heeft AI ingezet als schrijfhulp bij het opstellen van het strafvonnis, las ik bij Tweakers. AI is niet gebruikt om te helpen met het nemen van de rechterlijke beslissingen zelf, voegt de rechtbank daar snel aan toe, hoewel men wel enthousiast is over de resultaten. Het zette me aan het denken: wat zouden we nog meer kunnen doen met AI zonder gelijk te vallen over de bekende risico’s?

Procedureel was deze proef goed ingericht. Er is gelet op vertrouwelijkheid en integriteit, geen privacygevoelige gegevens of herleidbare feiten ingevoerd en het ging alleen om een schrijfhulp:

De suggesties en formuleringen die door de AI voor de strafmotivering zijn aangedragen op grond van ingevoerde korte algemene feiten en omstandigheden van de zaak zijn zorgvuldig beoordeeld en geselecteerd door de strafrechters en de griffier. Zij hebben daarbij gewerkt volgens de standaard werkwijze, waarin de griffier een concept maakt dat vervolgens door de strafrechters gezamenlijk is aangepast tot de definitieve strafmotivering. Van groot belang is daarbij dat AI geen beslissingen heeft genomen, beslissingen heeft voorbereid en/of afwegingen heeft gemaakt.
Hier kun je moeilijk op tegen zijn, maar de toegevoegde waarde is dan ook weer niet heel denderend. Maar we zijn nog lang niet klaar voor een robotrechter (hoi eCourt), nog los van dat die dan alle hoogrisico-eisen onder de AI Act over zich heen krijgt.

Vonnissen schrijven is voor een deel het hanteren van standaardteksten. Rechtspraak is vrij formalistisch in hoe een vonnis wordt opgebouwd, maar ook hoe je dingen motiveert. Je ziet bij zaken vaak standaardformuleringen om vaste jurisprudentie aan te halen. Een bekende is

Bij een botsing tussen enerzijds het door artikel 7 Grondwet (Gw) en artikel 10 van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) gewaarborgde recht op vrijheid van meningsuiting en anderzijds het door artikel 10 Gw en artikel 8 EVRM beschermde recht op eerbiediging van de persoonlijke levenssfeer – waaronder het door haar ingeroepen recht op bescherming van de goede naam/reputatie is begrepen (EHRM 15 november 2007, no. 12556/03, Pfeifer/Oostenrijk, EHRC 2008, 6) – moet het antwoord op de vraag welk van deze beide rechten in het concrete geval zwaarder weegt, worden gevonden door een afweging van alle terzake dienende omstandigheden van het geval.
Daarna moet je al snel de jurisprudentie toesnijden op de zaak. En dat moet op een bepaalde manier, want als je niet de subsidiariteit expliciet benoemt dan kan een partij daarover piepen in hoger beroep. Daar kun je dan een sjabloon voor gebruiken, maar dat komt de leesbaarheid niet ten goede. Een LLM dat je teksten op maat schrijft vanaf jouw sjabloon is dan volgens mij een prima manier.

In de jaren negentig is geprobeerd of we niet met eenvoudiger taal kunnen procederen. Dat is in 1996 keihard afgewezen door de Hoge Raad (Klare Taal I arrest). Je moet álle wettelijke componenten noemen en wel precies met de naam uit de wet, anders weet de verdachte niet waarop hij wordt veroordeeld. In deze dagvaarding stond “Hij heeft op 8 juli 1993 in [plek] de ruiten “van de voordeur van [betrokkene] vernield”.

ChatGPT zou het ook zo zeggen. Maar dan is niet duidelijk of je bedoelt per ongeluk of opzettelijk, of hij dat mocht of niet, enzovoorts. In de ‘oude’ tenlastenlegging staat dat wel allemaal. En natuurlijk, je kunt dat er dan even bij zetten maar dan vervang je alleen “opzettelijk en wederrechtelijk” door “niet per ongeluk en zonder dat het mocht”. Dat schiet dan weinig op.

Jurisprudentie en artikelen samenvatten en als basis gebruiken? Het kan, hoewel eigenlijk de partijen natuurlijk de onderbouwing voor hun stellingen aan moeten dragen. Ik experimenteer nu met diverse “deep research” tools (zoals Perplexity en Elicit), maar ben nog niet echt tevreden over de diepgang van de resultaten. Een blog van een advocaat is niet hetzelfde als een paper in een tijdschrift.

Arnoud

Je auto thuis laden zonder eigen oprit, mag een gemeente dat verbieden?

Foto: RTL Nieuws

Wellicht valt het je ook op: elektrische rijders zonder eigen oprit verzinnen allerlei manieren om hun auto op te laden met goedkope elektriciteit uit de eigen meterkast. Dat las ik bij RTL Nieuws. Gemeentes krijgen daar steeds meer vragen en klachten over. Ook hoor ik dat sommige gemeenten dit verbieden, en dat is natuurlijk een juridische vraag: mogen ze dat?

Het plaatje hiernaast (uit het artikel) laat twee bekende oplossingen zien: links een hefboom die over de stoep heen gaat (waarschijnlijk inspiratie van Klaas uit Zwolle) en rechts een kabelbrug, de grote variant van wat menig kantoortuin ook heeft.

Het probleem met deze oplossingen – vanuit gemeenteperspectief – is dat ze gevaar kunnen opleveren. Over zo’n brug kun je struikelen, en voor rolstoelers zijn ze niet altijd praktisch te nemen. De hefboom voelt wat kwetsbaar (zeker het houten exemplaar van de foto), en het snoer kan slingeren en dan alsnog gevaar geven.

Verbieden dus. En ja, dat kan in principe: je mag geen gevaar of hinder op de openbare weg geven, staat in iedere APV in allerlei bewoordingen. Spullen aan de weg zetten of iets over de weg laten hangen mag dus niet. Het gaat niet om het laden an sich, maar om de overlast van de hefboom of geul.

Een recente oplossing is kabelgoottegels: stoeptegels met een geïntegreerde gleuf waar een laadkabel doorheen kan. Vervang een reeks tegels door die dingen, doe je kabel erin, leg een speciaal afdekrubber er overheen en klaar ben je. Geen overlast of hinder, want de stoep is (vrijwel) net zo glad als voorheen.

Heel slim, alleen als je geen dingen óp de stoep mag zetten dan zal het vervangen van stoeptegels vast niet zomaar toegestaan zijn. Daar heb je echt toestemming van de gemeente voor nodig (ook het NK Tegelwippen waarschuwt hier voor).

Sommige gemeentes werken hier actief aan mee. West-Betuwe bijvoorbeeld staat het toe, mits je buren het ook goed vinden en je de kosten betaalt (want de gemeente doet het werk). Bij Loon op Zand lees ik hetzelfde, met de uit ervaring geboren toevoeging dat dit niet betekent dat de parkeerplek “van jou” wordt. Zaltbommel verbiedt deze praktijk, hoewel zonder motivatie.

Bij RTL melden ze nog:

In Haarlem is dan weer wél enthousiasme voor zo’n kabelarm, ook wel zwenkarm of laadarm genoemd. Een meerderheid in de gemeenteraad stemde er in maart positief over. Maar ambtenaren worstelen er nog mee, zo blijkt. Ze zijn al een jaar bezig om precieze regels te formuleren. Inwoners moeten maar afwachten.
Men verwijst naar een burger in Hattum die op last van een dwangsom de zwenkarm moest weghalen, met als argument “Hij brengt een industriële uitstraling in een mooie, warme straat.”

Arnoud

TikTok hervat dienstverlening in de Verenigde Staten na kortstondig verbod

Photo by cottonbro studio on Pexels

TikTok hervat zijn diensten in de Verenigde Staten, las ik bij Tweakers. Dit na zo’n 24 uur offline te zijn geweest vanwege een wettelijk verbod. President Donald Trump heeft gemeld een executive order uit te geven om het verbod uit te stellen zodat het proces van verkopen door kan gaan.

De Protecting Americans from Foreign Adversary Controlled Applications Act (PAFACA) is in april 2024 aangenomen. Deze bepaalt dat de president socialemediadiensten als “foreign adversary controlled application” mag aanwijzen, waarna die binnen 270 dagen verkocht moeten worden aan een partij die geen “foreign adversary” is. (Die term komt dan weer uit exportwetgeving.)

De wet noemde expliciet Bytedance en Tiktok als voorbeelden van zulke diensten, en dat had een groot voordeel bij de onvermijdelijke rechtszaak. Omdat de wetgever nu Bytedance had aangewezen, mag je vermoeden dat daar een uitgebreide afweging in zit vergeleken bij situaties dat de president in z’n eentje bedrijven mag aanwijzen:

The provisions of the TikTok law, the court explained, are instead subject to a less rigorous test, known as intermediate scrutiny, which requires courts to look at whether the provisions of the law advance an important government interest that is not related to the suppression of free expression and do not restrict substantially more speech than is necessary to do so. The TikTok provisions satisfy that test, the court concluded. There is no dispute, the court wrote, that the government “has an important and well-grounded interest in preventing China from collecting the personal data of tens of millions of U.S. TikTok users.”
Behalve de NOS (“Hard bewijs daarvoor ontbreekt”) ken ik eigenlijk niemand die serieus twijfelt aan de dataverzamelingspraktijken door Tiktok. Het opmerkelijke is vooral dat de hoeveelheid en soort data niet echt bijzonder is. Iedere socialemediadienst verzamelt zulke gegevens.

De drukte in de VS komt natuurlijk omdat deze keer het niet zij zelf zijn, maar het machtige China. Ook zorgen over potentiële propaganda bij de volgende verkiezingen (aangenomen dat die er komen) wogen zwaar mee bij het wetsvoorstel.

De wet is ondertussen aangenomen, en die 270 dagen zijn verstreken. Er is een bepaling dat de president die termijn met 90 dagen mag verlengen als deze kan beloven dat er goede voortgang is:

(A) a path to executing a qualified divestiture has been identified with respect to such application; (B) evidence of significant progress toward executing such qualified divestiture has been produced with respect to such application; and (C) there are in place the relevant binding legal agreements to enable execution of such qualified divestiture during the period of such extension.
Dit is dus de grond waarop Trump zijn bevel baseert. Juridisch kun je je afvragen welk pad naar verkoop er nu dan is dat er vrijdag nog niet was. Ook is onduidelijk of de wet wel toestaat dat de 270-dagentermijn wordt verlengd nadat deze is verlopen, want normaal verleng je dingen vóór ze zijn afgelopen. Maar als je wetgevende en rechterlijke macht daar flexibel in zijn, dan kan er veel.

Arnoud

Mag ik ondertussen data in de cloud zetten als die fysiek in Europa blijft?

Een lezer vroeg me:

Het is 2025 en ik heb duidelijkheid nodig. De AVG zegt dat persoonsgegevens niet zonder aanvullende waarborgen naar een niet-Europese partij mogen worden doorgegeven. Als ik bij een cloudprovider zoals bijvoorbeeld Amazon AWS of Microsoft Azure gebruik maak van region in Europa, wat betekent dat de servers fysiek in Europa staan, voldoe ik dan gewoon aan deze regel?
De AVG stelt inderdaad strenge eisen aan ‘doorgifte’, iedere handeling met persoonsgegevens waardoor ze buiten een EU/EER land komen. Het maakt daarbij niet uit of je doorgeeft aan een verwerker of een verwerkingsverantwoordelijke.

Overigens is de AVG niet de enige: ook bij niet-persoonsgegevens gelden er vanaf 12 september regels over doorgifte van data naar buiten de EU, wanneer dat in strijd is met andere EU regels. Dit volgt uit de Data Act (Verordening 2023/2854) die vanaf die datum van kracht wordt.

Aan dergelijke doorgifte kleven twee kanten, de praktische en de formele. Het makkelijkst te regelen is de formele. Je spreekt af dat de data niet buiten de EU/EER mag komen, en dat de ontvanger de Europese wet- en regelgeving zal respecteren. Dit is bijvoorbeeld de EU Data Boundary van Microsoft, het contractuele raamwerk waarmee Microsoft garandeert dat EU data binnen de grenzen van de Unie blijven. Amazon heeft ook iets dergelijks.

Wie de juiste set papieren doorloopt, de afspraken reviewt en de juiste kruisjes bij de juiste opties zet, heeft formeel de doorgifte goed afgeschermd.

De praktische kant is iets ingewikkelder, en dat zie je al meteen aan termen als “behoudens bijzondere gevallen” in die MS belofte. (Andere aanbieders hebben dit net zo goed, Amazon houdt het bij “or to comply with law”.) Soms moet data toch naar de VS, denk aan klantenservice of incidentanalyse na een cyberaanval. Of omdat de Amerikaanse justitie dit eist.

Of en in hoeverre die laatste eis mag, is nog steeds onderwerp van héél veel discussie. De Amerikaanse CLOUD Act staat daarbij centraal. Al in 2022 stelde ons NCSC dat “data en (persoons)gegevens die in Europa worden verwerkt en opgeslagen, en dus in beginsel in Europa zijn en blijven, [soms vallen] onder Amerikaanse wetgeving en kunnen door de Amerikaanse overheid worden opgevraagd op basis van de CLOUD-Act.”

Het lastige aan deze discussie is wanneer sprake is van ‘soms’, met name als het gaat om een Europees dochterbedrijf dat zich nadrukkelijk niet op de Amerikaanse markt richt en organisatorisch onafhankelijk binnen het concern opereert. Die dochter is dan niet aan Amerikaanse jurisdictie onderworpen, en bovendien onder de AVG verboden om mee te werken aan Amerikaanse bevelen (art. 48 AVG). Maar de moeder (Microsoft Inc in Seattle, Washington) is dat natuurlijk wel – en die zou druk op de dochter kunnen uitoefenen, of de directie ontslaan en een gewilliger setje installeren.

Daar staat dan weer tegenover dat het de core business van het bedrijf is om EU compliant te opereren. Dus er is dan ruimte voor tegendruk, zeker omdat die Europese directeuren geen zin hebben in claims van Europese toezichthouders. En de directie vervangen gaat hoe dan ook flink opvallen.

Natuurlijk, technische trucs kunnen altijd. Men kan een achterdeur in de onderliggende software hebben gebouwd, zo subtiel dat de ISO auditor het niet gezien heeft. Men kan dataleidingen voorzien hebben van een aftakking naar de VS, om zo stiekeme kopietjes te trekken. En ook organisatorisch: men zou een Amerikaanse expat-systeembeheerder persoonlijk onder druk kunnen zetten om die kopie te trekken.

Maar dan komen we buiten het juridisch kader waar je redelijkerwijs over na moet denken, en meer in de sfeer van cybercriminaliteit binnen de organisatie. Want laten we wel wezen: wat is dan nog het verschil met een systeembeheerder die van een Colombiaans kartel die kopie moet trekken of een achterdeur gebouwd door Cozy Bear? Tegen beiden moet je je wapenen, en dat lost dan meteen dat (in de EU écht illegale) gedrag van de moedermaatschappij op.

Wat mij betreft is het antwoord dus: als jij zaken doet met een Europees bedrijf – dochter van een Amerikaans concern of niet – en de data blijft fysiek in de EU met waarborgen tegen aftappen en stiekeme kopietjes, dan zit je van de Europese regelgeving goed. Waarbij meehelpt dat juristen dan mogen zeggen: en als dat niet zo is, dan zat je in ieder geval samen met iedereen fout. Want dat maakt het minder erg.

Arnoud

Bitcoin-investeerder moet private sleutel inleveren van Texaanse rechter

Photo by Colton Jones on Unsplash

Een vroege Bitcoin-investeerder uit Texas kreeg het bevel om zijn crypto- en andere persoonlijke sleutels en toegangscodes in zijn wallet in te leveren als onderdeel van een contactverbod. Dat las ik bij Coin Telegraph.

De man was veroordeeld tot twee jaar gevangenisstraf voor belastingfraude – hij had de inkoopwaarde van bitcoins te hoog opgegeven bij de belastingaangifte, zodat de winst kleiner werd en hij minder belasting hoefde te betalen. De rechtbank legde hem een nabetaling van ongeveer 1,1 miljoen dollar op.

Heel vreemd is dat niet, maar opmerkelijk is wel dat meneer “alle fysieke apparaten die gebruikt worden om zijn cryptovaluta op te slaan, te identificeren en te overleggen, samen met alle publieke sleutels, privésleutels, seed phrases of wachtwoordzinnen” moet overleggen.

Achterliggend doel is te zorgen dat er genoeg vermogen bij hem aanwezig is om die 1,1 miljoen daadwerkelijk te incasseren. Normaal zou je dat geld direct van zijn rekening halen (of de daarmee gekochte spullen fysiek meenemen), maar bij bitcoins is dat iets lastiger. Vandaar het bevel.

Het gaat hier dus niet om afgifte van sleutels bij een verdachte om bewijs te ontsleutelen. Meneer was al veroordeeld en ze weten waar het geld zit. Hij moet het geld afgeven van de rechter, maar werkt niet mee. Dat is een vrij specifieke situatie, die we volgens mij in Nederland nog niet bij de hand gehad hebben.

In Nederland kan de strafrechter je bij een veroordeling naast diverse straffen ook ‘maatregelen’ opleggen. Eentje daarvan is “ontneming van wederrechtelijk verkregen voordeel” (art. 77h.4(d) WvSr), oftewel het afpakken van wat je met je misdrijf hebt verkregen. Dat kan prima ook als dat voordeel verpakt zit in een bitcoin. Maar of je daarmee ook kunt bevelen dat het wachtwoord erbij gegeven wordt?

Arnoud

 

Wetsvoorstel geeft Nederlandse politie toegang tot besloten appgroepen voor ordehandhaving

Er is een wetsvoorstel in de maak om de Nederlandse politie de bevoegdheid te geven om besloten appgroepen te infiltreren voor handhaving van de openbare orde. Dat meldde Tweakers afgelopen maandag. Dat gaf enige ophef in de inbox, want wat wordt hier dan mee beoogd?

Een en ander is te herleiden tot het recentste halfjaarbericht van het ministerie van J&V over de staat van de politie. Hierin wordt onder meer gereageerd op een motie van Kamerlid Dilan Ye?ilgöz over de politie “meer mogelijkheden te bieden undercover mee te kijken in (besloten) telegramgroepen”. En dat is weer te herleiden tot de gebeurtenissen van 7 op 8 november waarbij de politie aangaf niet zomaar in allerlei groepen te kunnen kijken.

Op zich is het al mogelijk dat de politie online onderzoek doet, wat de wetgever “stelselmatig informatie inwinnen” noemt. Alleen vereist dat een verdenking van een misdrijf (art. 126j Strafvordering):

In geval van verdenking van een misdrijf kan de officier van justitie in het belang van het onderzoek bevelen dat een opsporingsambtenaar als bedoeld in de artikelen 141, onderdelen, b, c en d, en 142, zonder dat kenbaar is dat hij optreedt als opsporingsambtenaar, stelselmatig informatie inwint over de verdachte.
Bij een (dreigende of gaande) openbare-ordeverstoring is niet perse altijd sprake van strafbare feiten. Dit is dezelfde discussie als bij online ordeverstoringen – die zijn echt een lichtere categorie dan de ‘misdrijven’ waar het wetboek van strafvordering het over heeft, en zelfs van de ‘overtredingen’ die daar in staan. Een ordeverstoring hoeft niet strafbaar te zijn.

Dat is in zoverre een probleem dat de politie deze bevoegdheid alleen mag inzetten als sprake is van een (verdenking van een) misdrijf. Immers, wanneer handelen van de politie in “meer dan geringe mate” de grondrechten van burgers inperkt moet daar een specifieke wettelijke regeling voor zijn. Dat weten we van het doorzoeken van mobiele telefoons, bijvoorbeeld.

De politie heeft de algemene taakstelling van “daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven” (art. 3 Politiewet), maar die heeft dus als grens dat de grondrechten daarbij niet meer dan gering mogen worden geraakt.

Bij online rondstruinen op zoek naar informatie is in principe niet snel sprake van schending van grondrechten. Althans, zolang het gaat om publieke informatie. Die mag ook een agent gewoon lezen. Als het achter een login zit, dan wordt het iets spannender – ben je undercover, ga je een besloten plaats binnen, allemaal dingen die we normaal een serieuze grondrechtenkwestie vinden.

In de praktijk wordt de grens getrokken bij wel of niet voor het publiek toegankelijk. Bij wachtwoorden of accounts gaat het niet perse om het aantal leden, maar om het toegangscriterium. Wanneer mag je bij de groep? Als dat antwoord neerkomt op een inhoudelijk beperkt criterium, dan is de groep besloten en dan mag de agent niet naar binnen.

Een groot forum dat posts afschermt van zoekmachines en daarom accounts vereist om te mogen lezen, is dus niet ‘beperkt’. Iedereen mag lid worden en ieder lid mag alles lezen. In theorie kan de hele wereld lid worden. Een WhatsApp-groep waar alleen de mensen in mogen die Bul Super persoonlijk kent, is natuurlijk wél ‘beperkt’. Een agent zou het kunnen vragen, maar als deze zich dan voordoet als de heer Bommel in plaats van de heer Snuf, dan mag dat formeel niet.

Het wetsvoorstel is overigens bij lange na nog niet af:

Het streven is om in de eerste helft van 2025 een wetsvoorstel in consultatie te brengen waarin de bevoegdheid tot stelselmatige informatievergaring in publiek toegankelijke online bronnen wordt geregeld. Dit voorstel wordt met een zorgvuldige onderbouwing van nut en noodzaak en een kader van checks and balances voorbereid. Met prioriteit wordt parallel gewerkt aan de mogelijkheid om in het kader van de openbare-ordehandhaving de politie ook toegang tot besloten app- en chatgroepen te geven, indachtig de motie Ye?ilgöz-Zegerius c.s.
Arnoud