Categorie: Regulering

About Regulering

Subscribe Feeds

Wat is er juridisch te vinden van de overname van Solvinity door een Amerikaans bedrijf?

Geplaatst op in Ondernemingsvrijheid, Regulering, 12 reacties

Een lezer vroeg me:

Welke juridische risico’s zie jij met betrekking tot het feit dat Solvinity, het cloudbedrijf waar de overheid zowel Digid en Mijn Overheid heeft ondergebracht, door een Amerikaans bedrijf wordt overgenomen?
Zuiver juridisch bekeken is hier weinig over te zeggen. Het probleem is vooral praktisch en beleidsmatig: dit is “niet handig” om het zachtjes uit te drukken. Maar er is geen wet die dit verbiedt, of die maakt dat het gebruik van deze diensten nu onmogelijk of zeer moeilijk wordt.

Natuurlijk, de AVG (en tot op zekere hoogte de Data Act) verbieden overdracht van gegevens naar buiten de EU, en in Europa gevestigde bedrijven mogen geen gehoor geven aan bevelen onder de CLOUD Act (art. 48 AVG). Maar binnen die grenzen opereren is vooral een papieren kwestie: afspraken vastleggen, service level agreements herzien en auditbevindingen documenteren. Als dat goed uitgewerkt wordt, dan zit je juridisch goed.

Het probleem is dat de zorgen over wat hier mis kan gaan, eigenlijk ongrijpbaar zijn voor de bestaande juridische toetsingskaders. De kern van de angst is niet “er wordt vandaag een wet overtreden”, maar “we creëren een afhankelijkheid die ons morgen kwetsbaar maakt”. Het is juridisch niet verboden je land kwetsbaar te maken voor buitenlandse druk of invloed.

Iedereen snapt intuïtief dat het ongelukkig is als vitale digitale overheidsinfrastructuur onder de zeggenschap van een buitenlandse – en zeker Amerikaanse – moeder komt te vallen. Maar dat gevoel laat zich niet eenvoudig vertalen naar: dit mag niet of dit had voorkomen moeten worden. Of nou ja: dat kan wel, maar dan moet er een (Nederlandse of Europese) wet komen die dat expliciet zegt. Clouddiensten aan de overheid mogen slechts geleverd worden door een concern naar Nederlands recht, zoiets.

Probleem daarmee is dat dat dan weer tegen algemene regels over eerlijke behandeling bij aanbestedingen aanloopt. Binnen de huidige kaders kun je dit probleem niet adresseren, totdat het een keer echt is misgegaan. Want pas dan is te betogen dat deze partij uitgesloten moet worden, dat deze overname niet mag, et cetera.

En het gegeven dat Microsoft de mailbox van de hoofdaanklager van het Internationaal Strafhof heeft geblokkeerd? Ook daar kun je niet heel veel mee, vrees ik. Het flauwe antwoord is: we weten niet precies waarom, tevens gaat het niet om een EU-instantie dus kun je niet zeggen dat Europees recht geschonden wordt. Ook hier weer, dit is te vaag om met juridische regels naar een verbod te leiden. De enige route is een duidelijke politieke keuze, die dan in een nieuwe wet vastgelegd kan worden. Koopt Nederlandsche Cloud.

Arnoud

Grok gemeld bij Franse autoriteiten voor maken deepfakes en kindermisbruikbeeld

Geplaatst op in Regulering, Uitingsvrijheid, 17 reacties
(Screenshot via Spitfire News)

Franse ministers hebben bij justitie en de mediatoezichthouder Arcom melding gemaakt van illegale content die door xAI’s Grok gegenereerd zou zijn. Dat las ik bij Tweakers. De AI-bot maakt zonder enige guardrail seksualiserende deepfakes van geplaatste foto’s, ook van duidelijk minderjarigen.

Bij Reuters leggen ze uit:

A review of public requests sent to Grok over a single 10-minute-long period at midday U.S. Eastern Time on Friday tallied 102 attempts by X users to use Grok to digitally edit photographs of people so that they would appear to be wearing bikinis. The majority of those targeted were young women. … “Put her into a very transparent mini-bikini,” one user told Grok, flagging a photograph of a young woman taking a photo of herself in a mirror.
Natuurlijk, wie zo’n prompt stuurt is eenvoudigweg strafbaar bezig. Zowel bij minderjarigen als bij meerderjarigen – in veel landen, waaronder Nederland, is het maken van nonconsensual deepfakes een strafbaar feit op zich, zeker wanneer die een seksuele lading krijgen.

Het probleem is, zoals altijd, dat die mensen niet of nauwelijks op te sporen zijn. Daarom bepaalt de Digital Services Act dat óók de dienstverleners hiervoor aansprakelijk zijn, tenzij ze hun best doen om dergelijke contentgeneratie te verhinderen. Guardrails, in het jargon. Daarvan blijkt bij Grok in het geheel niets; de prompt geciteerd hierboven is echt meer dan genoeg.

Ik zie bij Tweakers vele reacties van de strekking “dit kan met Photoshop ook, waarom wordt dat niet aangepakt”. Een systeem dat met zo’n eenvoudige prompt complexe en specifieke handelingen kan uitvoeren, is wezenlijk anders dan een algemene tool waarbij je zelf cognitieve vaardigheden in moet zetten voor een specifiek resultaat.

Het probleem is niet dat er theoretisch een eindresultaat mogelijk is, maar dat Grok dat resultaat automatisch, direct en op schaal produceert. Wie in Photoshop een geloofwaardige seksuele deepfake wil maken, moet weten wat hij doet: selecties maken, lagen maskeren, belichting aanpassen, anatomie reconstrueren. Dat vergt tijd, kunde en intentie. Grok doet dat allemaal zelf, in één stap, op basis van een paar woorden. Dat is geen neutrale tool meer, dat is functionele automatisering van een strafbaar handelingstype.

Een vergelijking is misschien die tussen het lockpicking-setje en de slotenmaker die langskomt om een deur open te maken als dienst. Natuurlijk kun je met dat setje ergens inbreken, maar triviaal is dat niet, en je hebt zelf de nodige kennis en ervaring nodig. Die slotenmaker brengt die zelf mee, en opent de deur die jij aanwijst. Volgens mij is het niet controversieel dat de slotenmaker even controleert of jij daar wel woont.

Het gaat me wat ver om de aanbieder van Grok per definitie aansprakelijk te houden voor alles dat er uit komt. Juist omdat het user-driven content is, kun je niet verder gaan dan een zorgplicht. En dat is dan ook wat de DSA eist.

Arnoud

 

“Canadees databevel dreigt een gat te slaan in Europese soevereiniteit”

Geplaatst op in Innovatie, Regulering, Security, 21 reacties

Een Canadese rechtbank heeft de Franse cloudprovider OVHcloud bevolen om klantgegevens die in Europa zijn opgeslagen over te dragen, las ik bij The Register. Dit ondermijnt mogelijk de claims van de provider met betrekking tot de bescherming van digitale soevereiniteit.

Zoals The Register uitlegt, heeft de Canadese politie (RCMP) in april 2024 een bevel gegeven aan de Franse cloudprovider OVHcloud om abonnee- en accountgegevens te verstrekken gekoppeld aan vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië. Dit als deel van een Canadees strafrechtelijk onderzoek.

Het bevel werd in eerste instantie gegeven aan de Canadese dochter, maar die kan technisch noch organisatorisch bij die gegevens. Heise vertelt verder:

Nevertheless, on September 25, the Ontario Court of Justice, presided over by Judge Heather Perkins-McVey, ruled that the French parent company must hand over the data to the Canadian authorities. Her reasoning is based on a broad interpretation of “virtual presence”: since OVH operates globally and offers services in Canada, the company is subject to Canadian jurisdiction, regardless of where the physical servers are located.
Dit is problematisch voor het Franse bedrijf, omdat artikel 48 AVG én Frans recht (de Blocking Statute) het afgeven van zulke gegevens verbiedt tenzij er een in Europa geldig bevel is gegeven. De Franse wet zet er zelfs celstraf en een boete tot 90.000 euro per overtreding op. Maar de Canadese rechter zal dit als contempt of court zien, met vergelijkbare strafmogelijkheden.

De zaak doet sterk denken aan waar mensen bij de US Cloud Act bang voor zijn. Ik blijf moeite houden met de vanzelfsprekendheid waarmee mensen aannemen dat bedrijven dan de Amerikaanse (of Canadese) regels gaan volgen omdat hun wet dat zegt.

Praktisch zie ik het ergens nog wel: wie banger is voor economische sancties van de Yanks dan voor boetes van de EU kan eieren voor z’n geld kiezen. Maar in het openbaar dat hardop zeggen kan ik me niet voorstellen bij een beursgenoteerd bedrijf.

De Canadese zaak kan dus een mooie testcase worden, als in het (nu lopende) hoger beroep wordt bepaald dat de Canadese rechter dat bevel inderdaad mag geven. En zuiver naar Canadees recht kijkend zie ik niet waarom niet. Dat recht hoeft immers geen rekening te houden met wat een ander land in hun wet heeft staan.

Arnoud

 

‘Regering NL greep in bij Nexperia, omdat Chinese topman bedrijf leeg trok’

Geplaatst op in Regulering, 8 reacties
Photo by Ludovic Delot on Pexels

De Nederlandse regering greep in bij chipfabrikant Nexperia, omdat de Chinese topman bezig was de Europese tak van het bedrijf leeg te trekken. Dat meldde Tweakers vorige week op gezag van onderzoek van NRC. Daarvoor werd een nooit eerder gebruikte wet ingezet, wat mij als jurist natuurlijk de oren deed spitsen.

NRC licht toe:

Nexperia, dat een hoofdkantoor in Nijmegen heeft, maakt goedkope chips die in allerlei elektronica zit. De wafers, ronde schijven waarop deze chips gemaakt worden, worden geproduceerd in Manchester en Hamburg. Het merendeel van die chips wordt verwerkt door een ‘back-end’ fabriek in het Chinese Dongguan.

[Eigenaar Zhang “Wing” Xuezheng] wilde de productie van wafers volledig naar China halen, en onderbrengen bij een andere onderneming van hem, WingSkySemi. Daarvoor eigende hij zich de recepten toe voor de productie van chips uit de Nexperia-fabriek in het Britse Manchester, die ‘mosfets’ – simpele schakelaars – maakt.

Dit zou op zeer korte termijn gebeuren, en onder meer als gevolg hebben dat 40% van het Europese personeel zou worden ontslagen. Het onderzoekscentrum in München zou worden gesloten. Omdat het ministerie vreesde dat “cruciale technologische kennis en capaciteiten” verloren zou gaan, greep men in met een bevel onder de Wet beschikbaarheid goederen.

De Wbg komt uit 1952 en heeft een Koude Oorlog-motivatie. Iedere miniser mag bevelen uitvaardigen als dat “noodzakelijk is ter verzekering van het beschikbaar blijven van goederen ter voorbereiding op noodsituaties”. Achterliggend doel was onder meer hamsteren bij consumenten te voorkomen, maar ook om productie en continuïteit van de industrie te waarborgen.

De goederen hier waren de machines en andere activa van het bedrijf in Europa. Als die verloren zouden gaan voor Europa, dan zou “de Europe auto-industrie, consumentenelektronica en defensie” in gevaar komen. Het bevel verhindert de mogelijkheid tot verplaatsing of eigendomsoverdracht van die machines.

Wing zelf is ondertussen ook afgezet als bestuurder, maar dat is niet op grond van dit bevel gebeurd. De Ondernemingskamer bepaalde op 13 oktober dat Wing belangenconflicten had met zijn andere bedrijf en daar niet zorgvuldig mee omging. Ook werd de governance van Nexperia niet goed ingericht nadat het ministerie haar zorgen had uitgesproken. Juridisch heet dat samen dan “dat gegronde redenen bestaan voor twijfel aan een juist beleid en een juiste gang van zaken” en dan mag een CEO geschorst worden.

In mijn boek Wetwijs in het digitale decennium bespreek ik wetgeving als de Critical Raw Materials Act (CRMA, Verordening 2024/1252) en de Wet veiligheidstoets investeringen, fusies en overnames, die bedoeld zijn om bij geopolitieke spanningen of zorgen over soevereiniteit in te grijpen. Deze konden tegen Nexperia echter niet gebruikt worden, omdat het bedrijf al voor invoering daarvan in buitenlandse handen was.

Arnoud

Chatbots geven vertekend stemadvies, mag dat van de AI Act (en de AVG)?

Geplaatst op in Privacy, Regulering, 8 reacties
Bron: Onderzoek Autoriteit Persoonsgegevens

Een onderzoek van de Autoriteit Persoonsgegevens laat zien dat chatbots niet neutraal functioneren in vergelijking met traditionele stemhulpen, zoals Kieskompas en StemWijzer. Dat meldde de toezichthouder vorige week. Goed om te weten, maar het riep bij velen de vraag op: is daar juridisch wat aan te doen, bijvoorbeeld vanuit de AVG of AI Act?

Uit het persbericht:

De AP vergeleek 4 bekende chatbots met de online stemhulpen Kieskompas en StemWijzer. Uit het onderzoek blijkt dat de chatbots opvallend vaak op dezelfde 2 partijen uitkomen, ongeacht de vraag of opdracht van de gebruiker. In ruim 56% van de gevallen staat de PVV of GroenLinks-PvdA bovenaan. Bij één chatbot is dat zelfs in meer dan 80% van de gevallen zo. Andere partijen, zoals D66, SP, VVD of PvdD, komen veel minder vaak als eerste keuze naar voren. Sommige partijen, zoals BBB, CDA, SGP of DENK, zelfs bijna nooit.
Het plaatje hiernaast (klik voor groot) illustreert het effect scherp. Deze chatbots zijn geen databanken met kennis, of zelfs maar analysemachines die verkiezingsprogramma’s lezen en daar een match mee maken. Cynische ik ziet in deze resultaten een simpele vertaling van de links/rechts dichotomie op basis van gescheld op Reddit en elders.

Bij totstandkoming van de AI Act is gesproken over het risico van verkiezingsbeïnvloeding. Daarom staat als hoogrisico aangemerkt

AI-systemen die bedoeld zijn om te worden gebruikt voor het beïnvloeden van de uitslag van een verkiezing of referendum of van het stemgedrag van natuurlijke personen bij de uitoefening van hun stemrecht bij verkiezingen of referenda.
De discussie bij de grote chatbots is echter altijd of deze wel ‘bedoeld’ zijn voor specifieke dingen. Als je alles er mee kan, zijn ze dan voor alles bedoeld of nergens voor? Bovendien, is hier wel spraken van “beïnvloeden” als je een op basis van een vraag een taalpatroon oplepelt met als strekking dat GroenlinksPVDA goed bij je past?

De AVG dan maar, het duizenddingendoekje van het ict-recht? De AP zelf waagt zich er niet eens aan. Ik denk dat je nog net kunt zeggen dat hier sprake is van profileren: mensen stoppen er informatie over zichzelf in, en de chatbot correleert dat met een politiek standpunt. Maar omdat dat vervolgens niet tot een besluit leidt, is daar AVG-technisch weinig mis mee.

Het theoretisch standpunt (en de reden dat ik de AVG ‘duizenddingendoekje’ noem) is dat verwerking van persoonsgegevens juist moeten zijn (art. 5 lid 1 punt d AVG) en deze conclusie dat vrij zeker niet is, of hooguit dan per ongeluk. Daarmee is de verwerking dan onrechtmatig. Maar zo absoluut wil ik ‘juist’ niet lezen.

Sinds maart vorig jaar is er de Verordening politieke reclame. De definitie van dat begrip is nogal breed:

“politieke reclame”: de productie, plaatsing, promotie, publicatie, aanlevering of verspreiding, op welke wijze dan ook, van een boodschap … die van invloed kan zijn op en bedoeld is om het resultaat van een verkiezing of referendum, stemgedrag of een wetgevings- of regelgevingsproces op Unie-, nationaal, regionaal of lokaal niveau te beïnvloeden.
Ik zie zeker hoe deze vertekende chatbot-uitkomsten de potentie hebben om verkiezingen te beïnvloeden, gezien hoe massaal wij Sjet alles vragen en denken dat het antwoord waar is.

Tegelijk twijfel ik of het ‘reclame’ te noemen is, want hoewel het niet nodig is dat de reclame vanuit een politieke actor komt, is wél vereist dat deze “gewoonlijk tegen vergoeding of via interne activiteiten of in het kader van een politieke reclamecampagne wordt overgebracht”. Stemwijzers en stemadviezen zijn gewoonlijk juist niet als reclame bedoeld. Maar het is natuurlijk te makkelijk om met het label “stemwijzer” aan de reclamewetgeving te ontkomen.

De verordening is van toepassing sinds 10 oktober 2025, zodat als we dit politieke reclame vinden, OpenAI en consorten transparant moeten zijn over het wat en hoe. Maar komen we terug bij de discussie: is het oplepelen van een tekst op verzoek wel te zien als een intentie, een bedoeling?

Arnoud

Het is verboden om producten met verborgen kill-switches te verkopen, maar waar staat dat in de wet?

Geplaatst op in Regulering, Security, 27 reacties
Bron: Wikimedia

Het is verboden om op de Europese markt producten met verborgen kill-switches aan te bieden waardoor apparaten op afstand zijn uit te schakelen. Dat las ik bij Security.nl. Men vaart op antwoorden op Kamervragen over vermeende geheime communicatieapparatuur in Chinese zonne-omvormers, die killswitchfunctionaliteit zouden realiseren. Iedereen in mijn bubbel heeft zonnepanelen en vroeg dus: welke wet?

De bron voor de ophef lijkt een Reuters-artikel van mei 2025:

However, rogue communication devices not listed in product documents have been found in some Chinese solar power inverters by U.S experts who strip down equipment hooked up to grids to check for security issues, the two [sources] said. … The rogue components provide additional, undocumented communication channels that could allow firewalls to be circumvented remotely, with potentially catastrophic consequences, the two people said.
Ik kwam de zorgen ook tegen in vakblad Energate:
If the inverters are not controlled via the smart meter gateways, but via the manufacturer’s backend systems, a completely different risk situation arises, according to Borchardt. This is because it is then possible for the inverter manufacturers to switch off a large number of systems in one fell swoop, as the case of the Chinese company Deye shows. This inverter manufacturer shut down systems in the USA, Great Britain and Pakistan in rows last autumn following licensing disputes.
Het gaat nadrukkelijk niet expliciet om ingebouwde technieken die de inverters uitschakelen of bricken (of doen ontploffen, ik zeg het maar even). De kern van de zorg is dat er communicatieapparatuur in de omvormers zitten waarmee op afstand ieder soort instructie gegeven kan worden. Inclusief dus “doe of je een baksteen bent”.

Is dat illegaal? De Kamervraagantwoorden lopen kort langs de Cyber Resilience Act en de Radio Equipment Directive, die inderdaad beiden strenge security-eisen stellen. Maar die zeggen niets over een door de fabrikant zelf ingebouwde achterdeur.

Toch zegt de minister dan:

Op de Europese markt is het verboden om (heimelijk) functionaliteit in te bouwen (zowel software en hardware) die niet in de technische documentatie is beschreven. Het is verboden om producten aan te bieden die ‘verstopte’ functionaliteiten bevatten om apparaten op afstand aan of uit te zetten. Deze eisen gelden ook voor producten die afkomstig zijn van een fabrikant die buiten de EU is gevestigd, zodra deze producten op de Europese markt worden aangeboden.
Frustrerend dat ze er niet even bij zetten om welke wet het gaat. Voor de hand ligt dat men ‘gewoon’ op de informatieplichten voor verkopers van fysieke producten doelt. Een zonnepaneelinverter met de mogelijkheid tot uitschakelen op afstand is niet wat je mag verwachten als koper, zeker omdat dit niet in de documentatie staat.

Omdat men nadrukkelijk spreekt van ‘verboden’ vermoed ik echter dat het iets specifieker gaat over het CE-keurmerk en de bijbehorende Europese standaarden. Bij markttoelating in Europa moeten zonnepanelen en omvormers gekeurd zijn, en deel daarvan is dat de technische documentatie (dat is een vakterm in die context) van A tot Z vermeldt wat het apparaat kan. Dat is dan hier niet het geval, zodat de omvormer niet aan de wet voldoet en dus de markt niet op mag.

Ik ben vast heel cynisch als ik denk, men wil stoer en sterk klinken met “dat is in héél Europa verboden” en dan doet het minder sterk aan als je zegt “omdat dat in strijd is met artikel 4 lid 3 van de markttoezichtverordening”.

Arnoud

Musk zet Nederlandse waakhond RDW onder druk: ‘erg frustrerend’

Geplaatst op in Regulering, 15 reacties

Tesla-baas Elon Musk hoopt op snelle toestemming van de Nederlandse en Europese toelatingsautoriteit om zijn lane switch-feature van het Autopilot-systeem toe te laten. Dat meldde BNR onlangs. De kennelijke bedoeling is om zo snel Europa in te kunnen: als onze RDW een auto typegoedkeurt, mag het in de hele EU de weg op.

Het gaat om de Tesla Model Y met ‘FSD Unsupervised’, de opvolger van haar Full-Self Driving (FSD) feature waarbij menselijk toezicht wél nog nodig is. Zoals Tesla het uitlegt in die typische toon die ik sterk met ChatGPT associeer (wat vast komt omdat het machinevertaald ronkend Engels is):

De momenteel beschikbare Autopilot-, Enhanced Autopilot- en Full Self-Driving-functies vereisen actief toezicht van de bestuurder en maken de auto niet autonoom. Volledig autonoom rijden is afhankelijk van het behalen van een betrouwbaarheid die menselijke bestuurders ruimschoots overtreft en die door miljarden gereden kilometers is bewezen. Daarnaast is het ook afhankelijk van wettelijke goedkeuring, wat in sommige landen meer tijd kan vergen.
Na de nodige heisa over de term “FSD” die dus niet betekent dat het ding volledig zelf rijdt, werd dit “FSD Supervised”. En de logische opvolger is dan FSD Unsupervised. Kennelijk zal op 28 juni een Tesla voor het eerst autonoom de fabriek verlaten en naar de koper toe rijden. En dat moet in Europa ook, maar daar is een toelating voor nodig.

Om toelating vragen doe je via X, want daar komt dan genoeg herrie in de media (en in de Linkedin-boxen van de RDW-directie) dat men op hoog niveau bij de RDW streng gaat kijken:

Als één EU-land een dergelijk systeem goedkeurt, moeten andere landen dat volgen. Dat maakt de rol van de RDW cruciaal, weet ook Musk. ‘Het is zeer frustrerend en schadelijk voor de veiligheid van mensen in Europa; rijden met de geavanceerde Autopilot resulteert in vier keer minder verwondingen! Verzoek daarom uw bestuursorganen om de veiligheid van Tesla in Europa te versnellen’, zegt hij in zijn tweet.
De timing is opvallend, zoals dat dan heet, omdat heel recent nog bekend werd dat er in 2015 wat raars gebeurde: Tesla’s FSD werd door de RDW goedgekeurd, ondanks dat de regels alleen automatische ondersteuning toestaan die zeer korte tijd en op een lage snelheid konden ingrijpen.
De door de RDW en Tesla gevonden ‘achterdeur in de regelgeving’ maakte goedkeuring toch mogelijk. “Je kon de regels zo interpreteren dat er stond: het systeem maakt één manoeuvre, gevolgd door nog een manoeuvre, en nog één, enzovoorts”, aldus de betrokken ambtenaar. “En als je dat aan elkaar knoopt kan de auto voor een langere periode rijden. De meesten van ons zagen deze uitleg als een maas in de wet.”
In een reactie maakt de RDW duidelijk dat hier geen sprake is van een ‘maas’ in de wet, zoals de Zweedse toezichthouder lijkt te betogen. De wet is in ieder geval verduidelijkt sindsdien.

De druk is wellicht te begrijpen gezien het doel om nog in 2025 de Europese markt te betreden met FSD Unsupervised.

Arnoud

AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro

Geplaatst op in Privacy, Regulering, 5 reacties
Photo by Rai Vidanes on Unsplash

De Autoriteit Persoonsgegevens verlaagt de boete die zij eerder aan Kruidvat gaf voor het plaatsen van trackingcookies van 600.000 euro naar 50.000 euro. Dat meldde Tweakers onlangs. Inderdaad, 90% eraf. De belangrijkste reden is dat de AP lang deed over het onderzoek en omdat boetes voor vergelijkbare overtredingen lager waren.

Tweakers legt uit:

Kruidvat kreeg de boete omdat het te snel trackingcookies plaatste bij bezoekers van de Kruidvat-website. In de cookiebanner stond standaard aangevinkt dat gebruikers toestemming gaven om die cookies te plaatsen. Het weigeren was volgens de toezichthouder te moeilijk, omdat gebruikers te veel stappen moesten doorlopen. Ook rekende de AP het Kruidvat aan dat er daardoor gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.
De hiervoor toegekende boete was dus zes ton, wat ik op zich al fors vond maar het ‘specifieke karakter van drogisterijproducten’ woog mee: bij de Kruidvat koop je ook producten als zwangerschapstests, voorbehoedsmiddelen of zelfzorgmedicatie dus dat riekt naar bijzondere persoonsgegevens over gezondheid.

In het besluit op bezwaar komt men toch een beetje terug op die enorme boete, zij het nogal kortaf. Op zich was de opgelegde boete binnen de kaders van de Europese AVG-toezichthouders, en sloot deze ook aan bij de bandbreedte die de AP zelf hanteert. Echter:

De lange duur van de procedure bij de AP,zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen, de erkenning van de (volledige) overtreding door [Kruidvat-moederbedrijf] AS Watson, de geringe ernst van de overtreding en de omstandigheid dat in een vergelijkbare procedure inzake (tracking) cookies de AP tot een (in relatief opzicht) vergelijkbare boete is gekomen, zijn voor de AP aanleiding om de boete in dit besluit vast te stellen op een bedrag van € 50.000,-.
In de comments wordt gereageerd dat AS Watson vorig jaar 53 miljard euro omzet had, dus dat maakt die 50k een schijntje zonder afschrikwekkende werking zeg maar. Daar wil ik wel tegenover stellen dat het bedrijf direct meegewerkt heeft (zie onderzoeksrapport) en ook nergens heeft betoogd vrij van schuld te zijn. Ik maak me vooral zorgen dat dit andere bedrijven aanmoedigt om tegen alles maar in bezwaar te gaan, want zulke korting is toch mooi meegenomen.

Arnoud

 

Mogen bedrijven van de AI Act en AVG een AI-chatbot in hun shop integreren?

Geplaatst op in Ondernemingsvrijheid, Privacy, Regulering, 12 reacties
Alexandra_Koch / Pixabay

Een lezer vroeg me:

Steeds vaker zie ik dat bedrijven bij klantenservice een AI-chatbot inzetten als eerste lijn. Die hebben vaak ook toegang tot je bestellingen en andere gegevens. Ik maak me daar zorgen over, wat zeggen de AVG en AI Act hierover?
De trend om menselijke ondersteuning te vervangen door chatbots is niet te stoppen, zo lijkt het. (Hoewel ze het bij Klarna een “flop” lijken te vinden.) Maar laten wij ons focussen op de juridische kant: mag dit?

De AI Act stelt eigenlijk geen eisen aan AI voor klantenservice, afgezien van de algemene eis (artikel 50) dat het duidelijk moet zijn voor de klant dát men met een bot communiceert. Dat moet expliciet en in het gesprek, dus niet een zinnetje in de algemene voorwaarden of ergens in de veelgestelde vragen. En afhankelijk van de lengte van het gesprek kan het nodig zijn deze boodschap periodiek te herhalen.

Lastiger ligt het met de AVG. Een AI-tool die een klantdossier leest, verwerkt daarmee persoonsgegevens. Het doel daarvan is legitiem, namelijk de klant helpen met een probleem bij diens aankoop of ander contract. Een menselijke medewerker zou dit net zo goed mogen. En in de praktijk zie je ook dat de tool er pas bij kan als jij een ordernummer of andere referentie kan geven, wat je kunt zien als een vorm van instemmen.

Een grotere zorg is wie er allemaal nog méér toegang heeft tot die persoonsgegevens. Want dat is wel even anders dan bij de menselijke medewerker. Veel van deze technologieën worden door een leverancier beschikbaar gesteld, en als je dan een paar tegels omdraait kom je al snel bij een Amerikaans foundation model zoals OpenAI’s GPT familie.

Oftewel: alle chats mét klantdossier gaan naar Amerika en dat is zoals bekend AVG-technisch een lastige situatie. Formeel mag het, om de simpele reden dat de EU heeft gezegd dat de VS een met Europa vergelijkbare bescherming van persoonsgegevens heeft. En tot men dat formeel intrekt, is er geen vuiltje aan de lucht.

(Sommigen zouden nu de woordgrap maken dat de lucht vol met stratocumuli zit.) We weten allemaal dat dit nergens op slaat, eigenlijk al sinds het Safe Harbor regime uit 2000. Maar dit is waar juridisch en werkelijkheid afscheid nemen: puur praktisch is het een probleem, maar juridisch klopt het gewoon. Althans, totdat de Europese Commissie of het Hof van Justitie zegt van niet. Want dan moet per direct iedere verbinding met alle Amerikaanse dienstverleners worden gestaakt.

Voor de webshop met AI-klantenservice is dit een nogal abstract en ver verwijderd probleem, en dat snap ik. Je kunt hier helemaal niets aan doen en je zocht alleen een handige extra chatbot omdat je zelf niet 24/7 achter je webshop kunt zitten typen. Mee bewegen met de massa en vooral met al je concurrenten is dan ook prima in die situatie. Uiteindelijk is de situatie met de VS een politiek probleem en niet jouw individueel juridisch probleem.

Uiteraard zoek je wel een goede dienstverlener die de beveiliging goed op orde heeft, zodat er niet bijvoorbeeld chatlogs mét bestelgegevens ergens bij de leverancier terecht komen en langdurig bewaard blijven.

Arnoud

Crypto’s in box 3 zijn belast vermogen, zegt de Hoge Raad. Maar of het ‘geld’ is blijft ongewis

Geplaatst op in Ondernemingsvrijheid, Regulering, 4 reacties
Photo by David McBee on Pexels

Aan cryptogeld kun je geen rechten ontlenen, dus is het geen vermogen. Zo opende NRC onlangs over een belastinggeschil inzake cryptovaluta.

De aangeefster had 71.000 euro aan cryptovaluta, maar wilde geen vermogensrendementheffing (box 3) daarover betalen. Het onderliggende argument:

  1. Cryptovaluta zijn geen vermogensrechten in de zin van artikel 3:6 BW. Daarvoor is immers vereist dat ze “overdraagbaar zijn, of er toe strekken de rechthebbende stoffelijk voordeel te verschaffen”.
  2. Ook is een eis dat is van een verplichting (schuld) van een ander aan de belastingplichtige, en dat ontbreekt in het geval van cryptovaluta.
In haar arrest is de Hoge Raad daar snel klaar mee. In belastingwetgeving wordt gesproken van “vermogensrechten”, maar dat is een breder begrip dan “vermogensrechten” uit het BW. Belastingtechnisch is genoeg dat ze overdraagbaar zijn (en dat is zo) en dat dit tot voordeel leidt (je krijgt geld).

Weinig spannend uiteindelijk, en ook wel binnen de lijn de verwachting. Jammer is vooral dat de Hoge Raad open laat wát voor vermogensrechten in fiscale zin dit zijn. NRC citeert Sonja Dusarduijn, universitair hoofddocent belastingrecht aan Tilburg University, die uitlegt:

Vallen crypto’s in box 3 onder de categorie ‘geld’ of onder ‘overige bezittingen’? Bij ‘geld’ gaat de fiscus ervan uit dat je minder rendement maakt op je vermogen dan bij ‘overige bezittingen’. Maar het gerechtshof ontweek het antwoord op die vraag met de merkwaardige redenering dat als het geen geld is, het toch in elk geval onder ‘overige bezittingen’ valt.
Die redenering is genoeg om het argument te pareren dat het geen van beide is. Maar het is jammer dat niet is doorgepakt:
Het verschil doet zich ook voelen bij het zogenaamde ‘herstelrecht’, vertelt Dusarduijn. De Hoge Raad heeft in 2021 korte metten gemaakt met het door de fiscus gehanteerde fictieve rendement op vermogen, dat voor sommigen veel hoger lag dan hun daadwerkelijke rendement. Dusarduijn: „De wetgever moet daarom bepaalde vermogensbezitters rechtsherstel bieden. Je moet dan wel aantonen dat het werkelijke rendement op je héle vermogen in een bepaald jaar lager blijkt te zijn dan het fictieve rendement.”
Dit geldt dus ook voor het deel van je vermogen dat in crypto’s bestaat.

Mensen vragen nogal eens: waarom zou je je cryptovaluta opgeven, gezien de blockchainregistratie in principe anoniem is. De belangrijkste reden is natuurlijk dat je identiteit snel zichtbaar wordt bij aan- en verkopen tegen echt geld, want dat betreedt dan het gereguleerde systeem.

Arnoud