‘Politie kan ip-adressen en telefoonnummers Telegramgebruikers vorderen’

De Nederlandse politie zegt bij de chatapp Telegram telefoonnummers op te kunnen vragen die gebruikers juist geheim willen houden, zo ontdekte BNR via een Woo verzoek. Op de eigen website meldt Telegram dat het deze gegevens alleen deelt als het een gerechtelijk bevel ontvangt dat de betreffende gebruiker een terreurverdachte is. Eindelijk een kans me op te winden over die mega-irritante term “gerechtelijk bevel”.

Bij Security.nl leggen ze uit:

Op de formulieren die door de politie zijn gedeeld blijkt dat het om zogenoemde ‘emergency disclosure requests’ gaat. Meerdere chatdiensten bieden opsporingsdiensten deze optie om gegevens van gebruikers op te vragen als er sprake is van onmiddellijk dreigend levensgevaar. Dat opsporingsdiensten deze mogelijkheid ook bij Telegram hebben staat niet op de website van de chatdienst vermeld.
Maar dat iets niet op je website staat, betekent natuurlijk niet dat je het niet hoeft te doen. De wet is de wet, en zeker bij telecom-vorderingen kan de politie heel erg veel. En nee, daar is lang niet altijd tussenkomst van een rechter bij nodig.

Wat me bij mijn irritatie brengt: die term “gerechtelijk bevel” is natuurlijk de letterlijke vertaling van “court order”, de Amerikaanse constructie waarbij een rechtbank oordeelt over een kwestie en dan een -meestal voorlopige- uitspraak doet. Dat kan bijvoorbeeld een gag order zijn, hou je mond hierover, maar ook een bevel tot afgeven van gegevens of verwijderen van een publicatie.

De court order verscheen als term in websitevoorwaarden en dergelijke omdat dit het mechanisme is waarmee je in de VS dingen afdwingt. Niet eens met de publicatie? Wil je weten wie hier achter zit? Zoek je een persoon voor je schadeclaim? Haal maar een court order en dan doen we wat daarin staat. En zónder court order kun je roepen wat je wilt, maar blijven we lekker zitten waar we zitten.

De misvatting is hiermee ontstaan dat áltijd een court order nodig is, oftewel dat er altijd een rechter naar moet kijken. Wat niet waar is: in Nederland is bijvoorbeeld afgifte van NAW-gegevens van klanten zonder rechter verplicht, en je kunt schadeclaims krijgen als je daar niet aan meewerkt.

In het strafrecht is het allemaal iets strenger en vooral formeler. Maar we hebben een gelaagd systeem, waarbij de benodigde checks and balances afhangen van de ernst van de gevorderde maatregelen én van het achterliggende misdrijf. Neem bijvoorbeeld artikel 126na Strafvordering:

In geval van verdenking van een misdrijf kan de opsporingsambtenaar in het belang van het onderzoek een vordering doen gegevens te verstrekken terzake van naam, adres, postcode, woonplaats, nummer en soort dienst van een gebruiker van een communicatiedienst. Artikel 126n, tweede lid, is van toepassing.
Volgens dit artikel mag dus iedere politieagent vorderen tot afgifte van NAW gegevens en nummer (ip-adres, telefoonnummer, etc) van een gebruiker wanneer er vermoedelijk een misdrijf is gepleegd. Het maakt niet uit welk misdrijf. Hierbij is dus géén tussenkomst van de rechter nodig, dit mag de agent gewoon vragen en je moet dat dan geven als dienstverlener.

De reden dat dit zo mag, is omdat dit vrij basale gegevens zijn en een misdrijf toch wel iets ernstigs is. Met deze gegevens kan de politie dan bijvoorbeeld nagaan of het ip-adres matcht met het ip-adres dat men op een oplichtingssite vond.

Een agent mag hiermee echter géén inhoud van bijvoorbeeld mailboxes vorderen, want die gegevens staan hier niet genoemd. Daarvoor zou je bijvoorbeeld artikel 126nd inzetten:

In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, kan de officier van justitie in het belang van het onderzoek van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot bepaalde opgeslagen of vastgelegde gegevens, vorderen deze gegevens te verstrekken.
Dit mag dus alleen als het gaat om een ernstig misdrijf – artikel 67 Strafrecht bevat een lijst met wat we “ernstig” vinden. En de vordering moet gedaan worden door een officier van justitie, dus niet door iedere willekeurige opsporingsambtenaar. Dat is dus een iets hogere lat.

De rechter-commissaris komt in beeld als het nóg wat strenger moet, bijvoorbeeld bij het vorderen van gegevens die aan te merken zijn als bijzondere persoonsgegevens. Die zijn in artikel 126nd uitgesloten (lid 2) van de vordering. Wil de officier dat toch, dan moet zhij naar artikel 126nf:

  1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het belang van het onderzoek dit dringend vordert, van degene van wie redelijkerwijs kan worden vermoed dat hij toegang heeft tot gegevens als bedoeld in artikel 126nd, tweede lid, derde volzin, deze gegevens vorderen.
  2. (…)
  3. Een vordering als bedoeld in het eerste lid kan slechts worden gedaan na voorafgaande schriftelijke machtiging, op vordering van de officier van justitie te verlenen door de rechter-commissaris. Artikel 126l, zevende lid, is van overeenkomstige toepassing.
Hier bepaalt lid 3 dus dat een rechter-commissaris nodig is, deze machtigt de officier om de vordering te doen. Maar er is hier nóg een eis bijgekomen: het ernstige misdrijf moet nu ook nog eens “een ernstige inbreuk op de rechtsorde” opleveren, wat een nog weer hogere inhoudelijke toets betekent.

En om dan weer het bericht van BNR erbij te pakken: het gaat hier dus om telefoonnummers, wat een ‘licht’ gegeven is en waarvoor dus iedere opsporingsambtenaar een vordering mag doen bij verdenking van enig misdrijf. Daarvoor is dus zeer zeker geen rechter-commissaris nodig. Waarom Telegram dit niet op de site vermeldt, weet ik niet.

Arnoud

 

 

 

Britse encryptiewet wordt niet gehandhaafd omdat ‘encryptie scannen niet kan’

Een Brits wetvoorstel dat het mogelijk moet maken om versleutelde chats te scannen op kindermisbruikmateriaal is flink afgezwakt. Dat meldde Tweakers vorige week. Pas als het ’technisch mogelijk is’ om chats te scannen ondanks versleuteling, komt men hierop terug. Wel moet markttoezichthouder Ofcom zijn macht gebruiken om van bedrijven te eisen dat ze ‘hun best doen’ om oplossingen voor het probleem te vinden.

De Online Safety Bill, zoals de wet heet, was al geruime tijd zeer controversieel vanwege haar plicht aan techbedrijven om desgevraagd versleutelde chats toegankelijk te maken voor Justitie. Bedrijven als Signal en WhatsApp hadden gedreigd hun product uit het VK terug te trekken als deze plicht in de wet zou komen.

De voorgestelde constructie was dat men onder de wet verplicht zou zijn achterdeurtjes of dergelijke in te bouwen, zonder het adequate karakter van de beveiliging te beschadigen. Dat dit niet kan, is een waarheid als een koe, maar dat heeft nog nooit een publiciteitsbeluste politicus tegengehouden het toch te eisen.

Het nieuwe voorstel is wat afgezwakt, aldus Wired:

Under the bill, the regulator, Ofcom, will be able “to direct companies to either use, or make best efforts to develop or source, technology to identify and remove illegal child sexual abuse content—which we know can be developed,” Scully said.
De toezichthouder moet dus uitzoeken welke technologie er zoal beschikbaar is, en dan van de techbedrijven eisen dat die een “best effort” (goeie inspanning) maken om te kijken of dat kan werken. Daar zitten genoeg mensen die daar met goede motivatie jaren over doen om te concluderen dat het niet kan werken, dus ik snap wel dat de conclusie is dat de wet hiermee effectief om zeep geholpen is.

Arnoud

 

 

Politie stopt met gewraakt algoritme dat ‘voorspelt’ wie in de toekomst geweld gebruikt

De politie stopt ‘per direct’ met het algoritme waarmee ze voorspelt of iemand in de toekomst geweld gaat gebruiken, las ik bij FTM. Dit is de uitkomst van een eerdere publicatie over het Risicotaxatie Instrument Geweld (RTI-G), het zoveelste voorbeeld dat laat zien hoe inherent dubieus het is om voorspellende uitspraken over menselijk gedrag te doen op basis van datasets.

“AI snake oil”, noemt professor Arvind Narayanan van Princeton het. Uitspraken over gedrag of verwachtingen omtrent personen, aangekleed met “Artificial Intelligence” versieringen en zogenaamd perfect werkend. Haarlemmer AIoli, zou ik het haast noemen. Het komt er altijd op neer dat men een niet direct verifieerbare uitspraak doet op basis van een brokje data en een black box model, die dan heel precies klinkt en daarom vaak wordt overgenomen.

Bij een spamfilter dat een verkeerde classificatie maakt, of een AI-biometrie die je niet binnenlaat, krijg je vrij direct feedback dat het niet werkt. Een algoritme dat voorspelt of iemand gaat recidiveren of geweld gebruiken is een heel stuk lastiger – net zoals met alle juridische afwegingen, van het automatisch afwegen van een bezwaar in het bestuursrecht tot een strafvonnis genereren.

Natuurlijk handelde de politie niet blind op de uitkomst van het RTI-G, maar ‘het risicoprofiel dient te worden gezien als aanwijzing dat een strafbaar feit gepleegd gaat worden.’ En daar wordt dan wél op geageerd: een van de mensen die met FTM sprak, kreeg een schriftelijk bevel een half jaar lang op ieder gewenst moment mee te werken aan fouillering en doorzoeking van de auto. Het Hof Den Haag floot de politie terug:

De rechtspraak gaat uit van een concrete aanleiding dan wel feitelijke omstandigheden kort voorafgaand aan dan wel ten tijde van de inzet van de bevoegdheden op basis van deze artikelen. Daarvan is geen sprake als [geïntimeerde] alleen op basis van zijn aanwijzing als veiligheidsrisicosubject aan een fouillering of doorzoeking van zijn auto wordt onderworpen.
Desondanks blijft de vraag gerechtvaardigd: hoe kwam dat systeem dan tot haar conclusies? Op basis van welke gegevens en algoritmes kon men deze uitspraak doen en hoe is dat te rechtvaardigen? Ik zet het even op een rijtje uit het FTM artikel:
  1. Iemands verleden in de politiesystemen, bijvoorbeeld betrokkenheid (dader, getuige, aangever) bij geweldsdelicten, eventuele aangetroffen wapens en de optelsom van andere delicten wegen ook mee.
  2. Hoe groter het aantal registraties van (vermoedelijke) delicten bij de politie, gewogen naar de vermoedelijke samenhang met geweld.
  3. Geslacht en leeftijd; mannen meer dan vrouwen en mensen die jong een eerste delict pleegden meer dan latere plegers.
  4. Etniciteit, wat er in 2017 uitgehaald is omdat het ‘een beperkt maar toch nadelig effect op de interne beeldvorming [gaf] voor een individu.’ Een Antilliaanse achtergrond telde daarbij zwaarder mee dan een Marokkaanse of Somalische.
Afgaande op het meegepubliceerde screenshot gaat het hier om een ‘klassiek’ beslissysteem, namelijk een veredelde Excelsheet die aan elke factor punten geeft en een totaalsom maakt:Hoogleraar digitale surveillance Marc Schuilenburg is vernietigend: de resultaten zijn ‘uit de lucht gegrepen’, er is geen enkele validatie laat staan een feedbacksysteem om fouten te corrigeren.
Volgens hem is Nederland een ‘voorzorgsmaatschappij’ geworden. ‘In de politiek en de samenleving gaat het om het voorkomen van potentiële risico’s,’ aldus Schuilenburg. ‘Vroeger was er eerst een verdenking en dan pas surveillance. Nu is er eerst surveillance en dan pas een verdenking.’
Het ergerlijke voor mij is vooral dat de uitkomsten van die surveillance worden aangekleed met een sausje van juistheid: kijk maar, het getal rechtsonder is 970 dus dit klopt echt, en ik zie ook vijf donkerrode vlakken dus het is ernstig ook. (Dit staat bekend als “precision bias” in het vakgebied.) Maar garbage in, garbage out: hoe weet je of het klopt?

En nee, het is nu te makkelijk om te zeggen “door gewoon die mensen te fouilleren en te zien of ze wapens hebben”. Even los van wat de wet daar dus over zegt, als je handelt vanuit een foute aanname dan komt daar nooit een goed resultaat uit. Ja, misschien vind je een wapen en misschien zelfs vaker bij Antilliaanse verdachten dan bij Nederlandse boerenzonen. Maar bewijst dat dat je startpunt klopte?

Arnoud

 

De DSA is van kracht voor de grote platforms, wat betekent dit voor desinformatie?

Grote techplatforms moeten vanaf 25 augustus voldoen aan de Digital Services Act (DSA), las ik bij Security.nl. Doel van deze strenge EU-wetgeving is EU-gebruikers meer controle te geven over de algoritmen van socialmediadiensten, maar ook illegale inhoud en desinformatie aan te kunnen pakken.

Wat dat eerste betreft: een van de zichtbaarste manieren van die controle over die algoritmen is de chronologische feed, het op datum gesorteerd krijgen van alle berichten. Dat is een DSA eis: het moet jouw voorkeur zijn of je content aflopend op tijd wil dan wel gesorteerd naar een of ander “populair/hot/trending/for you” criterium. En die voorkeur moet blijvend zijn tot jij hem weer aanpast.

Ook interessant gaan de transparantierapporten worden die deze zeer grote online platforms (in het jargon: VLOP, onthoud die term voor het tentamen) moeten gaan publiceren. Wat voor klachten kreeg men, wat voor eigen moderatiekeuzes maakte men, welke bevelen van autoriteiten werden ontvangen en ga zo maar door.

Dat is van belang, omdat dat tweede punt veel controverse geeft: het aanpakken van desinformatie. Artikel 8 DSA bepaalt namelijk dat grote platforms “onverwijld” gehoor moeten geven aan bevelen om tegen specifieke illegale inhoud op te treden.

In combinatie met de vele verwijzingen naar fake news oftewel desinformatie wekt dit de indruk dat VLOPs op verzoek van overheidsdiensten censuur moeten gaan plegen tegen onwelgevallige uitingen. Maar dat staat nergens, althans niet letterlijk. Natuurlijk, platforms moeten op bevel illegale inhoud weghalen, maar “desinformatie” is als zodanig niet strafbaar.

Desinformatie is in DSA terminologie een “systemisch risico” en daar moeten platforms mitigerende maatregelen tegen nemen. Artikel 27 lid 1 DSA noemt de belangrijkste:

(a)aanpassing van inhoudsmoderatie- of aanbevelingssystemen, de besluitvormingsprocessen ervan, de kenmerken of werking van hun diensten, of hun algemene voorwaarden;

(b)maatregelen op maat die gericht zijn op het beperken van de weergave van reclame in verband met de dienst die zij aanbieden;

(c)versterking van de interne processen of het toezicht op hun activiteiten, met name betreffende de detectie van systemische risico’s;

(d)samenwerking met betrouwbare flaggers overeenkomstig artikel 19 beginnen of aanpassen;

(e)samenwerking met andere onlineplatforms beginnen of aanpassen via de gedragscodes en de crisisprotocollen zoals bedoeld in respectievelijk de artikelen 35 en 37.

Die laatste wijst op een ander punt: de gedragscodes. Artikel 35 stelt de Europese Commissie in staat om gedragscodes op te stellen in samenwerking met de VLOPs. Een zo’n gedragscode is de Code of Practice on Desinformation, want desinformatie was een van de speerpunten van de Commissie. Ook deze eist nergens dat je alle mogelijke ongewenste standpunten rücksichtslos weghaalt; het gaat wederom om procedures, afstellingen, input van buitenaf en transparantie naar onderzoekers die de trends willen monitoren.

Je hebt natuurlijk altijd het “chilling effect”: als de Commissie niet tevreden genoeg is, dan maken ze straks een wet die strenger is dan deze gedragscode, dus laten we maar zo veel mogelijk onwelgevallig spul weghalen dan worden ze niet boos. Daarmee wordt dus ook legale maar ongewenste content weggehaald, en dat is natuurlijk een inbreuk op de informatievrijheid. Ik vind het persoonlijk moeilijk voor te stellen dat de directie van deze VLOPs zo angstig zou zijn voor de Europese Commissie.

Arnoud

 

Nvidia’s kwartaalomzet en -winst stegen met honderden procenten door AI-gpu’s, mag dat?

Nvidia behaalde in het vorige kwartaal een recordomzet en -winst, las ik bij Tweakers. De grafischekaarten- en chipsfabrikant kreeg die vooral uit een explosieve stijging van gpu’s voor datacenters waar kunstmatige-intelligentietoepassingen op draaien. De nettowinst bijvoorbeeld steeg 843 procent (geen typefout) ten opzichte van hetzelfde kwartaal in 2022. Het riep vele boze reacties op over woekerwinst en of dat wel zou mogen.

Woekerwinst of hanteren van woekerprijzen is op zichzelf niet verboden. Het idee is dat de markt je wel afstraft: ik koop mijn brood wel bij de concurrent als jij 10 euro voor een brood vraagt.

Het is problematisch als je exorbitante winsten maakt door misbruik van je machtspositie. Alle bakkers zijn failliet, ik ben de enige supermarkt in de wijde omtrekt, nú zijn de broden tien euro per stuk.

Probleem is natuurlijk: toon maar aan dát NVIDIA een machtspositie heeft, zijn er echt geen andere leveranciers van zulke GPU’s? En daarnaast heb je een benchmark nodig van wat dan een ‘normale’ prijs zou zijn van dergelijke hardware. Enkel stellen dat “50% wel veel winst” is, gaat je niet redden. Ik weet zeker dat NVIDIA kan aantonen dat een groot deel daarvan eigenlijk geen pure winst is maar alsnog kosten dekt, voor nieuwe investeringen gebruikt wordt enzovoorts.

Een lastiger vraag is nog: wat is de markt? Gaat het om alle producten die normaal brood genoemd worden, of alleen zuurdesem volkoren spelt meergranen? Als het dat eerste is, dan is dat geverfde supermarkt brood concurrentie voor jouw prachtbrood en heb jij geen machtspositie.

Je ziet dit bij smartphones. Heeft Apple met de iPhone macht? Als je alle mobieltjes bekijkt dan zijn ze getalsmatig een kleine speler. Definieer je een markt voor high end smartphones dan is Apple een grote jongen. En als je zegt, high end en design dan is Apple verreweg de grootste. Wie heeft gelijk?

Idem hier voor NVIDIA. Er zijn nog veel meer chipsmakers, ook op het gebied van grafische kaarten zijn ze niet de enige. Maar haar strategische keuze om te specialiseren in kaarten voor AI-toepassingen heeft haar nu een absolute koploperspositie gegeven. Uit The Guardian:

The strategy means the company now has the upper hand, said Wedbush Securities managing director and senior equity research analyst Dan Ives. “In terms of scale, scope and the ability to integrate the data, Nvidia is essentially the only game in town.”
Daarmee is haar machtspositie wel gegeven, al blijf je natuurlijk zitten met de vraag: wat is de markt? Grafische kaarten? Krachtige rekenchips? Specifiek chips voor AI?

Arnoud

 

 

DeGiro mocht elektronische handtekening klant wegens foutmelding weigeren

DeGiro mocht een elektronische handtekening van een klant wegens een foutmelding over de geldigheid weigeren, las ik bij Security.nl. De klant had het beleggingsplatform de opdracht  gegeven om zijn beleggingen naar een andere broker over te boeken. Alleen werd deze afgewezen omdat er wat mis zou zijn met de elektronische handtekening. Tijd om hier eens in te duiken, want de term EIDAS doet nog steeds sommigen duizelen.

De uitspraak (van het Kifid) gaat over de vraag of een instelling verplicht is om een gekwalificeerde elektronische handtekening te accepteren. Dat ging hier mis, want de handtekening vereiste een certificaat van een instantie die niet in de lijst bij het Kifid stond (klik voor groot):

De handtekening was dus wel gezet conform de eisen van de zogeheten gekwalificeerde handtekening. De EIDAS Verordening regelt dit onderwerp en benoemt drie soorten elektronische handtekening:

  1. de gewone elektronische handtekening, zeg maar een plaatje van een krabbel;
  2. de geavanceerde elektronische handtekening, het enorme verhaal met grote priemgetallen en certificaten waar de naam in staat die erbij zou horen;
  3. de gekwalificeerde elektronische handtekening, de geavanceerde maar dan is dat certificaat met de naam uitgegeven door een onafhankelijke instantie die instaat voor de juistheid.
De EIDAS Verordening hanteert als hoofdregel dat:
Het rechtsgevolg van een elektronische handtekening en de toelaatbaarheid ervan als bewijsmiddel in gerechtelijke procedures mogen niet worden ontkend louter op grond van het feit dat de handtekening elektronisch is of niet aan de eisen voor gekwalificeerde elektronische handtekeningen voldoet.
“Dit is elektronisch en dus niet rechtsgeldig” of “een van de regels over gekwalificeerde handtekeningen is niet gevolgd” is dus geen argument. Je hebt meer nodig, zoals een concreet vermoeden dat de handtekening nep is of een technische fout waardoor de validatie ter discussie komt te staan.

Je hóeft dus niet alle moeite te nemen die bij de gekwalificeerde handtekening hoort. Daar staat tegenover dat je dan een sterker argument hebt: bij deze categorie is nadrukkelijk in de wet vermeld dat deze dient te worden behandeld net zoals de ouderwetse, natte handtekening.

Het gevolg is dat je als organisatie dus niet zomaar mag weigeren een gekwalificeerde handtekening te accepteren:

In artikel 25 lid 1 van de eIDAS-Verordening is bepaald dat het rechtsgevolg van een elektronische handtekening niet mag worden ontkend louter op grond van het feit dat de handtekening elektronisch is. Meer specifiek voor de gekwalificeerde elektronische handtekening is in artikel 25 lid 2 bepaald dat dit type handtekening hetzelfde rechtsgevolg heeft als een handgeschreven handtekening. [Oftewel deze heeft] altijd hetzelfde rechtsgevolg als een handgeschreven handtekening.
Je mag als private partij dit rechtsgevolg niet wegnemen door in je algemene voorwaarden te zeggen “alleen natte handtekeningen”. Dat is wel een interessant precedent dat het Kifid hier schept, want het opent de route tot vele digitale formulieren.

Voor deze specifieke consument ging het echter toch mis, vanwege die foutmelding.

Bij dupliek heeft DeGiro namelijk aangegeven dat zij een foutmelding kreeg (“signature validity is unknown”) bij het openen van de elektronische handtekening van de consument. DeGiro heeft dit onderbouwd door een afbeelding van deze foutmelding over te leggen (zie 2.4). De consument is in de gelegenheid gesteld om hierop in te gaan. Uit de gegevens die hij vervolgens heeft ingebracht, blijkt dat zijn handtekening van 22 oktober 2022 valide was (“la firma es válida”). Waarom de validiteit van de handtekening door DeGiro toch niet kon worden vastgesteld (en of de oorzaak hiervan bij de consument en/of bij DeGiro ligt), is in deze klachtprocedure niet duidelijk geworden. Wat wel duidelijk is, is dát de validiteit van de handtekening niet door DeGiro kon worden vastgesteld.
Dit voelt wel een beetje makkelijk. Weliswaar regelt de EIDAS niet hoe je om moet gaan met een niet-validerende handtekening, maar het systeem van de gekwalificeerde elektronische handtekening is opgezet zodat dit eigenlijk niet zou moeten gebeuren. De EU heeft een uitgebreid overzicht van vertrouwde leveranciers van certificaten. Als de uitgevende instantie van de klant daar op staat, dan zie ik niet waarom de foutmelding bij DeGiro consequenties voor de consument moet hebben.

Eerlijk gezegd doet het me wat knullig aan: het voelt niet of DeGiro een systeem heeft voor het verwerken van elektronische handtekeningen, maar gewoon het knopje in Adobe aanklikte en toen hijdoetutniet zei.

Arnoud

Mag mijn werkgever Track&Trace toepassen in mijn nieuwe leaseauto?

Via Reddit:

Sinds vandaag een nieuwe lease auto in ontvangst mogen nemen. Ik werd echter verrast door het feit dat er track and trace is ingebouwd. De reden welke door het bedrijf wordt gegeven is dit door de belastingdienst is geeist. Ik betaal echter volledige bijtelling voor privégebruik. Onze wagenpark beheerder kan mijn locatie nu 24/7 volgen en bekijken. [Mag dat?]
Om even eruit te lichten wat ik vaker in de mail kreeg: nee, de Belastingdienst eist niet dat leaseauto’s voorzien worden van een track&trace systeem voor rittenregistratie. Men eist wél dat er een sluitende kilometerregistratie wordt bijgehouden bij zakelijke auto’s, om zo te bewijzen dat deze voor minder dan 500 kilometer per jaar privé wordt gebruikt.

Als je meer dan dat privé rijdt, dan krijg je te maken met een fiscale bijtelling en dat kan van invloed zijn op je loon. Maar aan de andere kant ben je dan juist niet verplicht een rittenregistratie bij te houden; je erkent immers al meer dan de grens privé te rijden en je aanvaardt de bijtelling.

Het probleem is: bij een grotere werkgever controleert de Belastingdienst steekproefsgewijs op privékilometers. Zoals in de discussie gemeld:

Grote werkgevers worden daar op gecontroleerd, vaak steeksproefsgewijs, en als daar fouten in worden aangetroffen wordt dat geëxtrapoleerd naar het totale wagenpark en kan dat leiden tot zeer hoge boetes. Ik heb bij een grote werkgever hier een boete van meer dan € 1 miljoen in de bus zien vallen. Voor zo’n grote werkgever is het dan handig T&T in te bouwen.
En dat inbouwen doe je dan in alle auto’s, want dat is dan een eenmalige ingreep die het minste gedoe geeft. Dat botst (haha) natuurlijk met de positie van deze werknemer, die immers geen rittenregistratie nodig heeft maar die nu wel over zich heen krijgt.

De vraagsteller maakt zich zorgen over de registratie van privéritten, waardoor de werkgever te weten zou komen waar hij privé allemaal heen gaat. Dat zou echter geen issue moeten zijn: dergelijke trackers registreren het aantal gereden kilometers en het moment waarop, niet de start- en eindlocatie van de rit.

Verder hebben deze systemen altijd een mechanisme waarmee je kunt aangeven dat je rit privé is. Er wordt dan niets bijgehouden. De werkgever moet dit soort zaken actief toelichten, inclusief hoe dat werkt en wat er in welke configuratie wordt bijgehouden.

Ook heeft de Ondernemingsraad instemmingsrecht bij een dergelijke regeling, dus je kunt ook daar navragen hoe er over privacy en gebruik van persoonsgegevens is nagedacht.

Arnoud

Standaard kopietje paspoort vragen bij inzageverzoeken mag dus écht niet van de AVG

DPG hanteerde een te rigide procedure voor het identificeren van betrokkenen, waarmee op voorhand in ieder geval een onnodige belemmering werd opgeworpen. Zo motiveerde de rechtbank Amsterdam haar oordeel om een besluit van de AP in stand te laten, alleen dan minus de opgelegde boete. De rigide procedure: iedereen moet kopietje paspoort opsturen bij AVG-vragen.

Waarom moet ik elke keer een kopietje paspoort opsturen als ik onder de AVG wat vraag, zo vroeg ik mezelf retorisch af in 2019 alweer. Mijn cynische opvatting was dat dit bedoeld was om vragen een beetje in te dammen: het is gedoe, mensen maken zich zorgen over hun paspoort, dus laat maar met dat inzage- of correctieverzoek.

Meer juridisch is het argument dat het nergens op slaat: je krijgt een mail van carl@example.com en een kopie paspoort van iemand die Carl Barks heet, leg mij eens uit hoe nu vaststaat dat de aanvraag van de heer Barks (lidnummer 176-616) afkomstig is? Een paspoort toont alleen wat aan als de houder er naast staat, volgens mij.

Natuurlijk mag je niet om extra legitimatie vragen bij een online account, zo concludeerden ze in Oostenrijk al in 2019. Maar ook onze AP bleek er toen al bovenop te zitten: uitgeverij DPG kreeg al in 2019 een boze mail van de toezichthouder over deze procedure. Na enige mailwisseling maakte de AP een rapport:

Op 7 oktober 2021 heeft verweerder het ‘Onderzoeksrapport inzake het opvragen van een kopie ID bij verzoeken om inzage of verwijdering bij DPG Media Magazines B.V., voorheen Sanoma Media Netherlands B.V.’ van 29 september 2021 aan DPG gezonden. In dat rapport heeft verweerder geconcludeerd dat DPG met haar beleid en het actief uitdragen ervan het recht op inzage en wissing belemmerde en daarmee onnodige drempels opwierp voor het inzetten van deze rechten.
Inderdaad, dat was in 2021 en ik weet ook niet waarom een rapport dat je in 2019 start, pas in 2021 af kan zijn. In januari 2022 volgde het definitieve besluit: dit mag niet, onnodige drempels, boete.

De rechtbank vindt die boete niet gepast gezien dit langdurige traject en het feit dat in 2019 de AVG nog best nieuw was (want die tekst was pas in 2016 bekend en leek totáál niet op de wet daarvoor, och hemeltje). Maar de onderliggende motivatie blijft overeind:

DPG hanteerde naar het oordeel van de rechtbank een te rigide procedure voor het identificeren van verzoekers, waarmee op voorhand in ieder geval voor een deel van de verzoeken een onnodige belemmering werd opgeworpen. Gebleken is dat er in de praktijk wel meer ruimte bestond wanneer verzoekers na het doen van het verzoek ertoe over gingen te klagen dat zij een kopie van hun identiteitsbewijs moesten verstrekken. Naar het oordeel van de rechtbank is dat echter te laat. DPG had zijn proces zo kunnen en moeten inrichten dat er in een eerder stadium meer ruimte was om rekening te houden met alle relevante omstandigheden, waaronder de aard van het verzoek en de informatie waarom wordt gevraagd.
Ik vind het dan een beetje jammer dat de rechtbank opent met dat “een kopie van een identiteitsbewijs op zichzelf geen onredelijk middel is om een persoon te identificeren”. Dat is natuurlijk zo, maar in de situaties waarin het gros van de mensen AVG-rechten uitoefent, is het gewoon een onlogisch middel. De uitspraken waar men zich op baseert, zijn dan ook nog eens bestuursrecht – in de relatie burger/overheid vind ik standaard je ID-kaart trekken inderdaad wel redelijk, maar bij burger/bedrijf is dat heel wat anders.

Ik kan me dan niet aan de indruk onttrekken dat de rechters (of de Raad van State, waar de rechtbank op vaart) minder vaak online verzoeken doen en gewend zijn dat mensen zich ter balie vervoegen om zich daar adequaat te identificeren alvorens een verzoek hen betreffende in te dienen.

Arnoud

 

 

Nederland mag verdachte achter wereldwijde malware-operatie aan VS uitleveren

Nederland mag een Oekraïense man die een sleutelrol zou hebben gespeeld bij de ontwikkeling en verspreiding van de Raccoon Infostealer uitleveren aan de Verenigde Staten. Dat las ik bij Security.nl. Ik licht de zaak er even uit omdat het vaker discussie geeft bij ict- en cybercrimezaken. Wanneer kun je nou worden uitgeleverd en hoe toetst de Nederlandse rechter dat?

De Raccoon Infostealer steelt wachtwoorden en gegevens voor internetbankieren en cryptowallets en zou volgens de VS miljoenen computers wereldwijd hebben besmet. De verdachte werd door de FBI opgespoord maar bleek in Oekraïne te zijn. Na de Russische inval vluchtte hij via Polen en Duitsland naar Nederland, waar hij werd aangehouden.

De VS wil hem berechten en diende dus een uitleveringsverzoek in. (Soms zie je ook de term ‘overlevering’, dat gaat om uitleveren van personen specifiek van de ene naar de andere Europese lidstaat.) De verdachte maakte bezwaar, en dat ging tot de Hoge Raad, die het bezwaar afwees. Ik citeer vanaf hier uit de conclusie advocaat-generaal, want de HR deed de zaak zonder motivatie af.

Een uitleveringsverzoek vereist “een uiteenzetting van de desbetreffende feiten, met inbegrip, indien mogelijk, van het tijdstip waarop en de plaats waar het misdrijf werd gepleegd”. Dat is lastig bij ict-zaken: als jij in Oekraïne zit, je server ergens in Bulgarije en de slachtoffers fysiek in de VS, wat is dan de ‘plaats’? De rechtbank vond het duidelijk genoeg:

De omschrijving van de feiten is zodanig dat het voor de rechtbank mogelijk is te onderzoeken of aan alle voorwaarden voor uitlevering is voldaan en of de naleving van het specialiteitsbeginsel kan worden gewaarborgd. Verder neemt de rechtbank in aanmerking dat de feiten hebben plaatsgevonden in de digitale wereld, waardoor het begrijpelijk is dat niet in alle gevallen een concrete pleegplaats kan worden vermeld.
Die gebrekkige informatie over pleegplaatsen was ook een argument tegen jurisdictie van de VS: de malware was wereldwijd actief, dus hoezo mag de VS dan optreden? Het simpele antwoord is, omdat óók in de VS slachtoffers woonden. Er waren er vier genoemd, dat is relatief weinig maar eentje is formeel genoeg.

Ook de rol van de verdachte was duidelijk genoeg vastgelegd:

De rechtbank heeft op grond van de inhoud van de Affidavit [verklaring van de FBI, AE] vastgesteld dat de opgeëiste persoon ervan wordt verdacht sinds 2018 te hebben deelgenomen aan een criminele organisatie die zich bezighoudt met het ontwikkelen, aanbieden en verkopen van malware, te weten de Raccoon-infostealer. Die malware zou wereldwijd op grote schaal zijn gebruikt om computervredebreuk en (gegevens)diefstal te plegen. Uit de vier geconcretiseerde voorbeelden in de Affidavit volgt dat de malware ook zou zijn gebruikt ten aanzien van computers c.q. personen in de Verenigde Staten. De rechtbank heeft overwogen dat in de Affidavit het resultaat en het verloop van het onderzoek uiteen wordt gezet, dat daaruit blijkt hoe de opgeëiste persoon in beeld is gekomen en waaruit de handelingen van de opgeëiste persoon, zijn vermeende rol en zijn aandeel in het strafbare feit hebben bestaan en dat het op grond daarvan van oordeel is dat voldaan is aan de eis van art. 9 lid 3 aanhef en onder b van het Verdrag.
Inhoudelijk is er dan genoeg om te veronderstellen dat iemand in de VS vervolgd zou worden voor dit feit, en omdat het tenlastegelegde ook in Nederland strafbaar is, is er dan eigenlijk geen reden meer tegen uitlevering.

Dan blijven over persoonlijke omstandigheden. In dit geval worstelde de verdachte met gezondheidsproblematiek en psychische problemen. Dit kwam vervolgens bij de rechtbank Den Haag met het verzoek hierom de uitlevering tegen te houden.  Het argument is dan dat de omstandigheden in het vragende land zo ernstig zijn dat uitlevering leidt tot onmenselijke behandeling, artikel 3 EVRM dat ook marteling noemt, maar het gaat dus ook om mensonterende omstandigheden zoals geen toegang tot gezondheidszorg.

De rechtbank oordeelde anders:

De voorzieningenrechter verwerpt ook het betoog van [eiser] dat de door de Amerikaanse autoriteiten gegeven garanties niet voldoen aan de daaraan te stellen eisen. Daargelaten dat [eiser] niet aannemelijk heeft gemaakt dat hij bij uitlevering een reëel risico loopt op schending van artikel 3 EVRM, geven de strikt genomen niet noodzakelijke garanties [eiser] wel meer zekerheid over (onder meer) de detentieomstandigheden en de toegang tot medische zorg. Zo nodig kan [eiser] met consulaire bijstand – ook wanneer dat bijstand van [land] betreft – nakoming van deze garanties bevorderen. Weliswaar heeft [eiser] zich terecht op het standpunt gesteld dat de Staat nakoming van dergelijke garanties niet zelf monitort, maar daar staat tegenover dat er geen gevallen bekend zijn waarin de Verenigde Staten gegeven garanties niet zijn nagekomen.
Dat laatste is natuurlijk vaak een zorg: ze kunnen wel zo veel zeggen in dat vragende land, maar hoe weet je dat ze dat ook echt doen? Daar staat tegenover dat er weinig tot geen onderzoeken zijn waaruit blijkt dat het misgaat, terwijl er toch genoeg mensen uitgeleverd worden.

Arnoud

 

Slim speelgoed, grote vragen: Ben je klaar voor de juridische puzzel?

Oké, deze landt op je bureau: een nieuwe lijn slim speelgoed, uitgerust met AI-functies, zoals stemherkenning en gepersonaliseerde interactie, waardoor kinderen een bijna levensechte ervaring beleven. De vraag aan jou: welke compliance issues moeten we aan voldoen? AVG, AI Act, AI Liability Directive, Cyber Security Act, noem ze maar op.

Door gebruik te maken van deep learning kan speelgoed de voorkeuren van het kind herkennen en daarop reageren. Bovendien kunnen updates via het internet worden gedownload om de functionaliteiten te verbeteren. Feedback kan worden gedeeld en kinderen kunnen samen spelen en unieke nieuwe trucs en toepassingen met elkaar delen. Als ouder zou ik hier best enthousiast van worden, als jurist zie ik hier ahem nogal wat vragen. Bijvoorbeeld:

    1. Hoe borg je als speelgoedfabrikant dat de AI-functies van het speelgoed in lijn zijn met de AI Act, zoals transparantie, fairness en mensenrechten?
    2. Welke nieuwe aansprakelijkheidsrisico’s komen er onder de AI Liability Directive?
    3. Hoe stel je vast dat het speelgoed veilig is tegen cyberaanvallen, vooral met de aankomende eisen van de Cyber Security Act?
    4. Hoe wordt de privacy en persoonsgegevens van kinderen beschermd?
    5. Moeten de onderliggende API’s toegankelijk zijn voor concurrenten, op grond van de DSA, DMA of aankomende Data Act?
Voor juristen is het van cruciaal belang om techniek te begrijpen en dit te kunnen combineren met wetgeving. Daarom biedt mijn ICTRecht Academy een aantal specifieke opleidingen toegespitst op de ICT-praktijk. De opleidingen gaan vanaf eind september van start. Je leert blended: met webinars en e-learnings maak je je de basis eigen en ontwikkel je je skills, en met praktijkdagen ga je casusgestuurd de diepte in.

Zie ik je daar?

Arnoud