Categorie: Regulering

About Regulering

Subscribe Feeds

Nu bedrijven als Marktplaats data delen met Belastingdienst, kunnen sommige gebruikers onterecht het label ‘potentiële fraudeur’ krijgen

Geplaatst op in Privacy, Regulering, 39 reacties
man wearing gray polo shirt beside dry-erase board
Photo by Kaleidico on Unsplash

Een korting op de uitkering of gelabeld worden als fraudeur: dat risico is gegroeid voor mensen die handelen via platformbedrijven. Dat meldde NRC onlangs. Die moeten sinds kort gegevens delen met de Belastingdienst, waardoor die ook bij uitkeringsinstanties terechtkomen. En let op: geen verhaal hebben betekent dat je een fraudeur bent.

De onderliggende wet is de zogeheten EU-richtlijn gegevensuitwisseling digitale platformen, in het vakgebied bekend als DAC7. DAC7 introduceert “de verplichting voor rapporterende platformexploitanten om gegevens en inlichtingen te verzamelen, verifiëren en rapporteren over te rapporteren verkopers die relevante activiteiten verrichten via hun digitale platform”, aldus de Belastingdienst.

NRC legt uit:

Hoe het werkt: het Inlichtingenbureau, een stichting, stuurt op verzoek van gemeenten (die de uitkeringen verstrekken) het BSN-nummer van een burger met een uitkering naar de Belastingdienst. Die kijkt vervolgens of er iets is veranderd in het inkomen of vermogen van die persoon en beantwoordt die vraag met ‘ja’ of ‘nee’. Die uitvraag – bijvoorbeeld naar nieuwe ‘overige inkomsten in box 1’ – wordt twaalf keer per jaar gedaan.
Stichting Inlichtingenbureau is een “informatieknooppunt” opgericht door het Ministerie van Sociale Zaken en Werkgelegenheid opgericht, samen met de Vereniging van Nederlandse Gemeenten. De Belastingdienst kan zo centraal en eenvoudig gegevens opsturen, waarna het bureau deze verdeelt over de gemeenten.

Marktplaats en collega’s moeten gegevens delen over verkopers, behalve als ze “incidenteel” wat verkopen. Daar zit je al snel aan:

De verkoopplatforms als Vinted, Marktplaats of Bol moeten volgens een Europese Richtlijn (DAC 7) persoonsgegevens van verkopers verzamelen, vastleggen en rapporteren. Hiervan zijn uitgezonderd verkopers van goederen die slechts incidenteel actief zijn op deze platforms. Van een incidentele (uitgesloten) verkoper is sprake als de verkoper in een kalenderjaar minder dan 30 transacties heeft verricht en hij niet meer dan € 2.000 met de in dat jaar verrichte transacties heeft verdiend (hierna: de drempel).
Met 30 transacties à €70 zit je hier al aan. Ik ga vast te snel als ik dan een gemiddeld bedrag van €183 per transactie hanteer (“Dagelijks vinden er 150.000 transacties plaats, jaarlijks wordt er voor 10 miljard euro verhandeld.”) en me dan afvraag of die drempel niet te laag is.

In ieder geval, als je over die drempel gaat dan sturen de platforms je account- en betaalgegevens (zoals IBAN) naar de Belastingdienst. En dat gaat indirect dus weer naar de gemeente, die als jij een uitkering hebt dan van jou wil weten waarom jij geen fraude hebt gepleegd door deze bedragen te verzwijgen toen je ze verdiende. Heb jij daar geen antwoord op, dan staat je fraude dus vast en moet je je uitkering terugbetalen.

Dit is dus een andere kwestie dan of de Belastingdienst die gerapporteerde inkomsten ziet als inkomen uit onderneming. Dat is een complexere analyse, waarbij meer ruimte is voor discussie.

Arnoud

 

Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal

Geplaatst op in Regulering, Security, 15 reacties
Flipper Zero” by Turbospok is licensed under CC BY-SA 4.0

Canada is van plan om de import, verkoop en het gebruik van de Flipper Zero en soortgelijke multitools te verbieden. Dat meldde Tweakers onlangs. In het land neemt autodiefstal enorme vormen aan, procentueel het tienvoudige van Nederland. Dan moet je iets doen, Flippers verbieden is iets dus laten we dat doen. Maar hoe haalbaar is dat?

De Flipper Zero is een “portable multi-tool for pentesters and geeks in a toy-like body,” aldus de fabrikant. Het ding heeft ongeveer alles dat je nodig hebt voor (old school) hacking, van een simpel schermpje en handige knoppen tot USB, Bluetooth en pogo pin aansluitingen. Het platform is open source en kan dus volledig worden aangepast, inclusief custom firmware.

Die custom firmware kwam een tijdje geleden in het nieuws: de custom firmware “Flipper Xtreme” maakte het wel heel makkelijk om een soort van denial of service aanval te doen op iPhones door een berg Bluetooth connectieverzoeken te sturen. Inclusief knopje dat “iOS attack” heet. Niet handig, juridisch gezien.

Door het gemak, de aansprekende vormgeving en het concreetmakende aspect springt er hacktechnisch nu even uit. Je kunt er bijvoorbeeld ook een laadpas voor elektrische auto’s mee simuleren en dan gratis laden (al duurt dat extreem lang en moet je dit 200 euro kostende ding met ducttape aan een laadpaal vastzetten). En ja, dat kan met meer dingen maar dit is een specifiek ding met een herkenbare merknaam dus dat is een mooi verhaal.

In Canada is het een stuk negatiever:

On Thursday, the Innovation, Science and Economic Development Canada agency said it will “pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.” A social media post by François-Philippe Champagne, the minister of that agency, said that as part of the push “we are banning the importation, sale and use of consumer hacking devices, like flippers, used to commit these crimes.”
Wederom: er zijn tientallen manieren om die draadloze signalen op te vangen en te kopiëren, maar dat zijn geen leuk vormgegeven doosjes met een eenvoudige UI en een aansprekende merknaam. Sorry Raspberry Pi, maar de Zero heeft de coolfactor.

In Canada is autodiefstal een enorm probleem, en kennelijk is een populaire truc daarbij het klonen van het signaal dat de draadloze autosleutel (fob) uitzendt om de deur open te doen. De Flipper Zero kan zeker signalen opvangen en opnieuw uitzenden, maar bij autosleutels heeft dat niet zo heel veel zin:

[The most prevalent] attack requires a high-power transceiver that’s not capable with the Flipper Zero. These attacks are carried out using pricy off-the-shelf equipment and modifying it using a fair amount of expertise in radio frequency communications. (…) The Flipper Zero is also incapable of defeating keyless systems that rely on rolling codes, a protection that’s been in place since the 1990s that essentially transmits a different electronic key signal each time a key is pressed to lock or unlock a door.
Mogelijk dat bij de Canadese overheid wat verwarring is ontstaan over een hype-tje uit 2022, toen bleek dat je het signaal om de laadpoort van een Tesla te openen eenvoudig kon klonen, waardoor je met een Flipper Zero mensen kon trollen. Als je dat deurtje kunt openen, dan kun je vast ook de motor starten, zeg maar.

Hoe dan ook, de regering wil nu dus deze apparaten gaan verbieden. Maar hoe zou dat gaan, en dan heb ik het niet over de handhaafbaarheid maar over “hoe schrijf je dat eenduidig op”.

In Nederland geldt een verbod op het maken, hebben of verspreiden van hacktools. Daarbij geldt wel een specifieke eis: zo’n tool moet “hoofdzakelijk geschikt gemaakt of ontworpen [zijn] tot het plegen van een [computer]misdrijf”, zoals computervredebreuk of het aftappen van signalen (art. 139d Sr). Het is dus niet genoeg dat je er zo’n misdrijf mee kunt plegen, het ding moet er voor bestemd zijn.

In discussies over booter-sites benadruk ik altijd dat het dan al snel neerkomt op intentie van de maker. Heb je zo’n zwarte achtergrond met groene letters, l33tspeek en alleen betalen via bitcoin, dan komt dat heel anders over dan een gezellig witte achtergrond met rommelige knutselspullen en een schattig dolfijntje. Mij spreekt dan ook aan dat men de compliance-documentatie online zet in plaats van een disclaimer over illegale zaken.

Canada heeft dat niet direct, maar maakt het strafbaar (art. 342 Penal Code) om “causes to be used, directly or indirectly, a computer system with intent to commit an offence” zoals computervredebreuk of aftappen van signalen. Wie een kastje verkoopt en daarbij aanmoedigt dat je er een auto mee steelt, loopt dus tegen de strafwet aan. Een verkoper die neutraal spreekt van een pentest tool waarmee je je eigen auto kunt openen, is niet strafbaar.

Je kunt natuurlijk in zo’n strafbepaling woorden als “with intent” vervangen door “with ability”. Dan is iedere Flipper Zero inderdaad direct strafbaar, want ze hebben dan bepaalde hack-capability (andermans laadpoort openen is juridisch gezien ongeautoriseerd). Alleen krijg je dan zo’n breed verbod dat je dan tegen de meer algemene eis aanloopt dat strafbepalingen afgekaderd moeten zijn. Termen als “zou kunnen” of “mogelijk” zijn dus niet echt de bedoeling.

Mijn gevoel bij het nieuwsbericht is dat het vooral ging om reageren op de hype, laten zien dat je iets van plan bent. Voordat hier een wetsvoorstel voor is gedaan, zijn we rustig een jaar verder en heeft een ander product weer de hype.

Arnoud

Maakt het bij camerabeeldbewijs uit of de camera legaal de openbare weg filmt?

Geplaatst op in Internetrecht, Privacy, Regulering, Security, 11 reacties

Dat bericht van laatst over vernietigen van camerabeelden maakte veel los. Wis je gewoon beelden omdat je geen zin hebt in discussie, ben je strafbaar. Eén aspect licht ik er even uit: het bezwaar dat je eigenlijk de openbare weg niet mag filmen. Wat doet dat er toe?

Op LinkedIn kreeg ik bijvoorbeeld deze reactie:

Formeel gezien mag je al helemaal geen beelden van de openbare ruimte maken, laat staan opslaan. Dus als de politie eventueel beelden van je Ring deurbel wil hebben, omdat ze mogelijk vermoeden dat er een misdrijf op staat, volstaat het om aan te geven dat je de openbare ruimte die zichtbaar is binnen het beeldgebied van je camera, middels een filter wegfiltert (blurred of afdekt) voordat e.e.a. opgenomen wordt, e.e.a. conform de voorschriften van de AP.
Het is natuurlijk prima als je met een filter zorgt dat je niet nodeloos de openbare weg filmt. En als de politie dan beelden bij je vordert, dan is dat vrij simpel: u mag de blokjes hebben maar meer heb ik niet. De enige echte eis is natuurlijk dat je ook echt een filter hébt – niet bluffen als oom agent aan de deur staat met een vordering, en ook niet snel naar boven rennen en een blurretje doen.

Dat je de openbare weg “helemaal niet” mag filmen, is wat mij betreft wel echt te kort door de bocht. Als die openbare weg onvermijdelijk is bij je bewakingstaak, of het anderszins noodzakelijk is dat je ook die opneemt, dan mag dat prima. Je krijgt wel met de AVG te maken, maar dat is niet hetzelfde als “dat mag niet”.

Veel mensen die de openbare weg filmen met een aangebrachte camera zullen de AVG schenden, al is het maar omdat ze geen duidelijke waarschuwing hebben (of een privacyverklaring). En die duidelijke waarschuwing geeft nóg een probleem: het is strafbaar om met een aangebrachte camera de openbare weg te filmen als dat niet duidelijk is aangekondigd (art. 441b Strafrecht).

Het is niet strafbaar om de AVG te overtreden (dat is bestuursrecht, iets heel anders). Het WvSr overtreden is natuurlijk wel strafbaar, maar dan geldt nog steeds dat wetsovertreding door een burger geen reden is om bewijs uit te sluiten. Alleen wetsovertreding door de politie kan die discussie starten. En dan nog: in Nederland zegt de rechter dan ‘foei’ en gebruikt ie het bewijs toch met de toverformule “de verdediging is niet in haar belangen geschaad”.

Arnoud

Minister Harbers: ‘Bestuurders die Apple Vision Pro dragen achter stuur krijgen boete’

Geplaatst op in Regulering, Uitingsvrijheid, 6 reacties

Nederlanders die overwegen om met de nieuwe Apple Vision Pro deel te nemen aan het verkeer, maken zich schuldig aan roekeloos rijgedrag en dat is strafbaar, zegt Mark Harbers, minister van Infrastructuur en Waterstaat. Dat meldde het AD onlangs. De minister dreigt met artikel 5, en dat voelt een tikje spannend.

Koos z’n kapstok, noemde ik dat artikel vroeger, maar Wegmisbruikers is zo leuk niet meer sinds die officier-af is (en de AVG uitgebreider werd nageleefd, maar dat terzijde). Het idee is dat je met artikel 5 alles kunt aanpakken dat concreet of dreigend gevaar oplevert, een kapstokartikel waar alle mogelijke gedragingen aan opgehangen kunnen worden.

Een mogelijk gevaarlijke gedraging is “een televisie voor je ogen binden en hopen dat deze niet crasht of zonder stroom komt tijdens het besturen van een motorvoertuig”. Want dat is de kern van zo’n Vision Pro: het is geen bril met een AR-overlay met een en ander, maar een beeldscherm waar (door een interne camera opgenomen) beeld van de buitenwereld om je heen wordt getoond met een overlay met een en ander. Valt het ding uit, dan zie je dus niets meer.

Ik citeer even het AD:

In de gebruiksvoorwaarden van de Vision Pro geeft Apple aan dat de bril nooit gebruikt mag worden bij het besturen van een voertuig. Wanneer de bril in Nederland beschikbaar komt krijgen klanten een soortgelijke tekst voor hun ogen. Dat is nodig, want het aantal Nederlanders dat aangeeft de mobiele telefoon te gebruiken in het verkeer neemt al langere tijd toe, meldde verzekeraar Interpolis die dit al langere tijd in de gaten houdt. In een onderzoek van twee jaar terug gaf 71,5 procent van de Nederlanders aan het mobieltje wel eens te gebruiken tijdens het rijden of fietsen.
Dat laatste was natuurlijk aanleiding om het in de hand houden van een telefoon apart strafbaar te stellen, artikel 61a RVV. De jurisprudentie daarbij is nogal breed: ook het klemmen onder je hoofddoek of het met klittenband aan je arm vastzetten van je telefoon is “vasthouden”. Gewoon op je schoot laten liggen is dat dan weer niet.

Het verschil? Bij de hoofddoek vond het Hof relevant dat je tussen het bellen door de telefoon moet pakken, bijvoorbeeld om op te hangen. Kennelijk is dat bij telefoons op schoot niet zo belangrijk, of is in die zaak dat argument niet aan de orde geweest. Het rekt de betekenis van “in de hand houden” wel een beetje op naar “zo meteen in de hand gaan houden”.

Een Vision Pro hou je niet in de hand, hij zit om je hoofd met een band. Dat was met die hoofddoek ook, en daarbij vond het Hof doorslaggevend dat je er geen handsfree interface bij hebt:

Op grond van de in de Nota van Toelichting genoemde gronden, is het hof van oordeel dat ook de onderhavige wijze van telefoneren door de betrokkene onder het begrip ‘vasthouden’ als bedoeld in artikel 61a RVV 1990 dient te worden begrepen. Immers, anders dan wanneer gebruik wordt gemaakt van hulpmiddelen die uitdrukkelijk bestemd zijn om handsfree te bellen, zal de betrokkene bij het daadwerkelijk gebruik van de telefoon deze handmatig moeten bedienen, terwijl deze zich aan het oor bevindt.
Daar komt bij dat in 2019 door de minister is ingegaan op de vraag of smartwatches om de pols niet ook ‘vastgehouden’ worden, omdat je die ook handmatig moet bedienen. Nee:
Zoals hierboven al is opgemerkt valt het dragen van smartwatches en andere apparatuur, zoals internetbrillen, die zijn ontworpen om aan het lichaam te dragen, niet onder de definitie van het begrip «vasthouden». Een smartwatch dragen is dus niet verboden. Dit is verduidelijkt in de toelichting.
Dit is alweer even geleden, maar ik vermoed dat men bij ‘internetbril’ dacht aan Google Glass (dus een bril met glas en daarop een projectie) en niet aan bijvoorbeeld de Oculus Rift, die net als de Vision Pro een scherm voor je ogen hangt. Ik kan bij terugzoeken op die term echt alleen referenties naar Google’s bril vinden.

De Vision Pro heeft dus géén handbediening nodig in de traditionele zin, zoals bij de telefoon onder de hoofddoek. Hij is ontworpen om aan het lichaam te dragen. Maar voor mij is dan toch doorslaggevend dat hij je zicht blokkeert en dus geen ‘bril’ is, zodat die uitzondering niet op zou gaan. Ik acht de kans dus reëel dat een rechter de Vision Pro toch een “telefoon” noemt en “om je hoofd doen” rekent onder “vasthouden”.

Arnoud

Amnesty: Europese landen gebruiken dubieuze AI-technologieën bij grensbewaking

Geplaatst op in Innovatie, Regulering, Security, 2 reacties
a couple of men standing on top of a lush green field
Photo by Carl Tronders on Unsplash

Europese landen gebruiken in toenemende mate digitale technologieën om migratie in te perken, waardoor de kans op „discriminatie, racisme en disproportionele en onwettige surveillance” wordt vergroot. Dat las ik bij NRC vorige week. Men zet daar namelijk een AI-leugendetector in, en omdat ik dus de hele AI Act aan het doorakkeren ben wilde ik me hier even boos over maken.

Uit het artikel:

Sinds 2018 wordt het systeem in ieder geval gebruikt door Hongarije, Griekenland en Letland. Het systeem analyseert „details van gelaatsuitdrukkingen met behulp van gezichts- en emotieherkenningstechnologieën”. Het systeem „toetst” of migranten antwoorden over bijvoorbeeld hun herkomst naar waarheid beantwoorden. Er is geen wetenschappelijke consensus dat leugendetectors, ook die gerund worden door AI, betrouwbare resultaten afleveren.
Het betreffende systeem heet iBorderCtrl en komt uit een Europees researchproject dat al een paar jaar loopt. De kern is dat men een machine learning model heeft getraind om emotieherkenning te doen om zo de mate van eerlijkheid van antwoorden van migranten in te schatten.

Er is een zeer hardnekkige overtuiging dat als we maar goed genoeg ons best doen, het ons moet lukken om mensen eerlijk te beoordelen met een computersysteem. Waar dat vandaan komt weet ik niet (“techno-optimisme”) maar elke keer als je dan even verder kijkt wat erachter zit, dan schrik je je wezenloos.

Het model van iBorderCtrl kent bijvoorbeeld diverse factoren zoals “knippert met linkeroog” of “beweegt hoofd”, en als je genoeg van die factoren zou hebben dan zou je met hoge betrouwbaarheid de leugenaars van de eerlijkerds kunnen scheiden. Dat vereist “alleen maar” een dataset met leugenaars en eerlijkerds met een hoop van die factoren. Dit is een beetje lastig om in het wild voor elkaar te krijgen, al is het maar omdat het niet eenvoudig is leugenaars te betrappen.

Hoe loste men dat op? Ga even op de grond zitten want anders val je van je stoel:

To create the dataset, 32 participants (actors) were assigned a “truthful” or “deceptive” role to perform during the interview. Each participant had to answer 13 questions (see Table 1) with each answer segmented in many vectors. According to the authors, this procedure generated 86,586 vectors. The dataset consisted of 10 participants classified as having Asian/Arabic ethnic background and 22 as White European background, and 22 classified as male and 10 as female.
Inderdaad, we doen grenscontroles op basis van een ML-model dat met n=32 is opgebouwd waarbij de antwoorden geacteerd zijn. Was er iemand bij die zei dat dit een leuk idee was maar zeker niet in de praktijk ingezet kon worden?

De AI Act bepaalt dat systemen voor grenscontrole hoogrisico kunnen zijn, wanneer ze specifiek een van deze usecases betreffen:

  1. Leugendetectors gebruikt door publieke autoriteiten
  2. Risico-assessments bij grenscontroles
  3. Onderzoek van visum- en asielaanvragen
  4. Het detecteren, herkennen en identificeren van personen (behalve bij verificatie van reisdocumenten)
Een hoogrisico-AI moet aan strenge eisen voldoen, waaronder de eis van een kwalitatief goede dataset (artikel 10, lid 2-5). In de woorden van artikel 3:
Training, validation and testing datasets shall be relevant, sufficiently representative, and to the best extent possible, free of errors and complete in view of the intended purpose. They shall have the appropriate statistical properties, including, where applicable, as regards the persons or groups of persons in relation to whom the high-risk AI system is intended to be used.
Hoe je dat precies voor elkaar krijgt, leer je op mijn opleiding AI Compliance Officer, maar het moge duidelijk zijn dat dit systeem niet zal voldoen. Toch blijft het gewoon doorhobbelen, want de Europese IT-systemen voor grenscontroles zijn tot 2030(!) vrijgesteld van de plicht aan de AI Act te voldoen (artikel 83).

Arnoud

 

 

Enschede hoeft privacyboete van 600.000 euro toch niet te betalen

Geplaatst op in Privacy, Regulering, 15 reacties

De gemeente Enschede komt onder een boete van de Autoriteit Persoonsgegevens ter hoogte van 600.000 euro uit, las ik bij Nu.nl. Met behulp van sensoren werd tussen 2018 en 2020 gemeten hoe druk het in de binnenstad van Enschede was. De AP meende dat daarmee de AVG werd geschonden, de rechter oordeelt anders.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen.

De gemeente was erg boos over de boete. Ik citeer de wethouder:

Weliswaar was het niet de intentie van Enschede om mensen te volgen, maar het kon gewoon gebeuren bij lang genoeg tellen. De wethouder: “Het feit dat de AP die suggestie wel heeft gewekt in haar boetebesluit en in haar media-uitingen, vindt het college van Enschede zeer kwalijk”.
Het achterliggende probleem was volgens mij een verschil van inzicht over de betekenis van “ik zie daar een mens, daar nog een mens en achterin twee mensen, er zijn dus vier mensen” versus “daar loopt Jentje Nijhuis en daar achterin Teun de Vries”. Dat laatste is evident een vorm van identificeren, maar bij “ik zie daar iemand” kun je je afvragen of dat wel hetzelfde niveau van identificatie is.

Voor de AVG maakt dit niet echt uit: ook “ik zie daar iemand” en daar bepaalde gegevens aan koppelen is een verwerking van persoonsgegevens. Dat je de naam uit het paspoort niet weet en redelijkerwijs niet kunt krijgen, is geen argument daar tegenin. Maar in deze zaak werden de nodige maatregelen genomen:

(…) dat in het kader van de beoogde passantentelling in de binnenstad van Enschede in de periode van 25 mei 2018 tot en met 30 april 2020 met tien sensoren het MAC-adres is opgevangen van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld. De MAC-adressen werden tijdelijk op het werkgeheugen van de sensor opgeslagen en vervolgens gehasht (gepseudonimiseerd), waarna het gehashte MAC-adres direct naar de server van PFM werd doorgestuurd. Op de server werden van het gehashte MAC-adres (sedert 1 januari 2019) de laatste drie karakters afgeknipt.
Na die ene seconde in dat werkgeheugen bleef dus alleen een hash van het MAC-adres over, die na een paar seconden op de server drie karakters kwijt raakte, wat het reconstrueren van het MAC-adres nog knap ingewikkeld maakt. De vraag wordt dan serieus of zo’n gehandicapte hash nog wel telt als persoonsgegeven.

De rechter oordeelde in deze zaak van niet, omdat de AP een wel érg ingewikkelde bocht had gekozen:

12. De rechtbank constateert dat de AP haar besluiten in essentie heeft gebaseerd op de mogelijkheid voor eiser om natuurlijke personen aan de hand van gehashte, gepseudonimiseerde en afgeknipte MAC-adressen ter plaatse te identificeren. Hierbij gaat de AP in de genoemde manieren uit van de mogelijkheid dat een medewerker van de door eiser ingeschakelde bureaus of een medewerker van eiser zelf op enig moment in de vroege ochtend, als er weinig mensen op straat zijn, ter plaatse in staat zou kunnen zijn om vast te stellen dat een specifieke, unieke gebruiker van een mobiel apparaat zich binnen het bereik van een sensor bevindt en deze persoon dan mogelijk zou kunnen identificeren.
Die motivatie is te weinig. De AP had moeten onderzoeken of dit redelijkerwijs te verwachten viel, of dat het ook daadwerkelijk zou gebeuren. Een zuiver theoretische route van identificatie is te weinig.

Interessanter was voor mij geweest als de AP had gesteld dat ook de gehandicapte hash nog een persoonsgegeven was. De kans dat twee mensen in Enschede aldaar passeren met MAC-adressen die hashen tot hetzelfde getal (de laatste drie tekens negerend) lijkt me namelijk minimaal, zodat die handi-hash volgens mij nog steeds een identifier is in die context. En nee, je weet niet het echte MAC-adres laat staan de paspoortnaam van de telefoonhouder, maar dat is dus irrelevant.

Arnoud

 

 

Xbox-president: DMA-beleid Apple is een stap in de verkeerde richting

Geplaatst op in Ondernemingsvrijheid, Regulering, 20 reacties
person wearing orange and gray Nike shoes walking on gray concrete stairs
Photo by Bruno Nascimento on Unsplash

Xbox-president Sarah Bond heeft gezegd dat Apple een stap in de verkeerde richting zet wat het DMA-beleid betreft dat op 7 maart van kracht gaat. Dat meldde Tweakers dinsdag. Apple maakte eerder deze maand plannen bekend waarmee men wil voldoen aan de Europese Digital Markets Act, maar stuitte daarbij op veel kritiek. Wat is hier aan de hand?

Vorige week noemde ik de DMA het sjacherijnige broertje van de Digital Services Act (DSA). Waar de DSA spelregels stelt voor platforms en hosters die met name gericht zijn op transparantie en eerlijk zijn naar je gebruikers, komt de DMA met een hele lijst verboden en verplichtingen voor ‘poortwachters’ oftewel bedrijven die gewoon heel machtig zijn in de ict/internet-wereld. Die lijst is gebaseerd op een hoop dingen die misgegaan zijn in het (recente) verleden, dus die wet zit inderdaad mopperend en zuchtend “káp hier nou eens mee” te klagen.

In dit zwartboek van het ict-recht zien we een aantal halen naar Apple:

7.   De poortwachter verlangt van eindgebruikers niet dat zij gebruikmaken van een identificatiedienst, een browser-engine of een betalingsdienst, of van technische diensten die het aanbieden van betalingsdiensten ondersteunen, zoals betalingssystemen voor in-app-aankopen, van die poortwachter, noch van zakelijke gebruikers dat zij die gebruiken, aanbieden of ermee interageren in het kader van diensten die zij aanbieden via kernplatformdiensten van die poortwachter.
Dit is natuurlijk letterlijk de situatie met Apple’s App Store, waar je 30% betaalt van alle transacties via de app. Onder meer Spotify is daar heel boos over, dus de hoop was sterk dat Apple dankzij de DMA een alternatief zou verzinnen.

Dat alternatief is er nu, maar je hebt er weinig aan:

A completely new 0.50 cent Euro fee per download, every year, in perpetuity, to Apple for just allowing developers to exist on iOS.

Apple is still charging a 17% rent on developers for existing in the App Store if they offer alternative payment methods or link out to their own website.

Met deze (en andere) maatregelen is het natuurlijk búitengewoon onaantrekkelijk om over te stappen naar een andere appstore of een andere betaalmethode. En dat lijkt dan ook precies de bedoeling van Apple te zijn geweest: oké, we moeten van de DMA een alternatief bieden, dit is een alternatief dus haha ja we voldoen hoor.

Ik had ooit de “ja haha” regel: als je dat in je juridisch argument gebruikt, dan is het argument onjuist. Die is niet zo’n succes gebleken maar hij klopt wel precies met dit geval.

Het lastige is natuurlijk: wat gaan we eraan doen als Europa zijnde? Snel doorpakken vanuit de Commissie en direct een bindende aanwijzing zou het verstandigste zijn – boetes hebben weinig effect, maar “je product moet van de schappen tenzij je deze maatregel doorvoert” zal een stuk meer pijn doen.

Arnoud

 

Is het strafbaar om beveiligingscamerabeelden te wissen als daar een strafbaar feit op te zien is?

Geplaatst op in Regulering, Security, Uitingsvrijheid, 12 reacties

Uit een recente discussie alhier:

Stel je voor dat mijn camera beelden opneemt van iemand uit de buurt die een misdrijf begaat (zeg, iemand zwaar lichamelijk letsel toebrengt). Als de politie dan weet dat ik een camera heb zullen ze die beelden willen hebben, en die dan vorderen zodat die als bewijs kunnen dienen. Wat nu als ik bij mezelf denk “Ja die persoon die ken ik, die is zeer agressief, dus als die weet dat hij dankzij mijn camerabeelden veroordeeld is dan komt ‘ie vast verhaal halen, of wraak nemen op mij of mijn gezinsleden”, en daarom wis ik die beelden direct. Is dat dan strafbaar?
Dat is een goeie vraag. Je hoort vaak dat “vernielen van bewijs” strafbaar is, maar laten we eens nagaan hoe dat precies zit. Artikel 189 Strafrecht regelt onder meer de strafbaarheid van het wegmaken van bewijs (tot 6 maanden cel):
[Strafbaar is] hij die nadat enig misdrijf is gepleegd, met het oogmerk om het te bedekken of de nasporing of vervolging te beletten of te bemoeilijken, voorwerpen waarop of waarmede het misdrijf gepleegd is of andere sporen van het misdrijf vernietigt, wegmaakt, verbergt of aan het onderzoek van de ambtenaren van de justitie of politie onttrekt;
We nemen even aan dat het gaat om een misdrijf, zoals een overval, beroving of mishandeling, dat op beeld is vastgelegd door je camera. Bij overtredingen (je filmt iemand die door rood licht rijdt) is dit artikel niet van toepassing.

Strafbaar is dus het wegmaken van “sporen van het misdrijf”. De videobeelden van het misdrijf zijn aan te merken als dergelijke sporen. Je maakt die weg, want je gooit de data erop weg zodat er niets meer te onderzoeken over is. De enige vraag is dan nog of je dit doet met het genoemde oogmerk: het misdrijf bedekken (verhullen, verbergen) of de opsporing/vervolging bemoeilijken.

De vraagsteller noemt een heel ander motief, namelijk angst voor jezelf. Er is echter een uitspraak uit 2013 waarin een discotheek-eigenaar videobeelden van een mishandeling voor zijn deur had gewist met als motivatie de reputatie van de disco te beschermen. Dat was geen legitiem motief: alleen de angst om zélf vervolgd te worden op basis van die beelden, of directe bloedverwanten beschermen kan een uitzondering zijn (lid 3). Het motief van angst voor jezelf is uiteindelijk nog steeds het oogmerk om het te willen wissen om zo nasporing of vervolging te bemoeilijken. Oftewel: waarom je de vervolging wilde bemoeilijken, doet er niet toe.

Ik kan angst voor represailles goed billijken, maar met deze beperkte uitzondering in de wet zie ik niet hoe je dat juridisch kunt rechtvaardigen. Behalve wellicht als noodweer, je zat acuut hoog in je angst en wiste in totale paniek de beelden want de verdachte stond met een knuppel voor de deur, zoiets. Mijn conclusie is dus: ja, als je videobeelden wist terwijl je weet dat er een misdrijf op staat, dan is dat strafbaar.

Ben je bang dat je voor zulk wissen vervolgd zou worden, dan is denk ik de enige tip om structureel en automatisch beelden te wissen. Gebeurt het wissen namelijk altijd automatisch na 72 uur en hoor je pas daarna dat je daarmee bewijs hebt gewist, dan ben je niet strafbaar want dan ontbreekt de opzet. De reden dat ik “altijd” en “structureel” zeg is omdat je dat kunt aantonen. Wis je nooit iets en nu nét die ene video met dat misdrijf erop, dan is het buitengewoon ongeloofwaardig dat je niet wist van die gebeurtenis.

Arnoud

BNR: politie vordert vaak beelden van deurbelcamera’s

Geplaatst op in Privacy, Regulering, 22 reacties

De politie vordert vaak beelden van deurbelcamera’s waardoor adressen van nietsvermoedende burgers in strafdossiers terecht kunnen komen. Dat las ik bij Security.nl, dat zich baseert op onderzoek van BNR met de alarmerende tekst “Eigenaren van een deurbelcamera moeten hun videobeelden vaak onder dwang afstaan aan de politie”. Strafrechtadvocaten maken zich zorgen.

Al een jaar of vijf bestaat het initiatief Camera in Beeld, waarbij je als particulier met deurbel/beveiligingscamera jezelf kunt registreren in een centrale database waar de politie toegang toe heeft. Bij misdrijven gepleegd in de buurt weet de politie zo snel waar men aan moet bellen.

Alleen: omdat camerabeelden ook bijzondere persoonsgegevens kunnen bevatten, mag een agent daar juridisch gezien niet vrijwillig om vragen. Die moeten worden gevorderd, een formeel bevel dus, en de burger is dan verplicht daaraan mee te werken. Het verbaast me dan ook niets dat de politie “vaak vordert”, ik zou eerder verbaasd zijn als men “regelmatig informeel vraagt” en dan beelden meekrijgt.

In de praktijk blijkt het alleen wat ingewikkelder uit te pakken, zo laat BNR zien:

Advocaten waarschuwen ervoor dat de adressen van nietsvermoedende burgers zo ook in strafdossiers terecht kunnen komen. Een verdachte die gesnapt is door een cameradeurbel heeft namelijk het recht alle bewijsstukken tegen hem in te zien. Daaronder valt de vordering, met naam en adres van de eigenaar van de deurbelcamera. Alleen onder bijzondere omstandigheden kunnen die gegevens afgeschermd worden, bijvoorbeeld wanneer er ‘al vervelende ervaringen zijn met de dader’, zegt Luna van Heerwaarden woordvoerder Korpsleiding.
(Dit geldt natuurlijk ook bij vorderingen van camera’s die niet in Camera in Beeld staan. Als een agent er bij buurtonderzoek achter komt dat een camera mogelijk bewijs heeft vastgelegd, dan kan ook dan al een vordering worden gedaan.)

Dat van dat naam en adres in het strafdossier heeft lang niet iedereen scherp. Je adres kan zelfs in het vonnis terechtkomen, zoals BNR met een voorbeeld laat zien:

In de nacht van 25 december 2019 omstreeks 02:00 uur is, aan de Hampshire ter hoogte van perceel [nummer 1] te Hengelo, een vrouw, naar later bleek: [slachtoffer 1] , liggend op de grond aangetroffen door getuige [slachtoffer 2].
De anonimisering gaat niet verder dan het huisnummer, waardoor het voor betrokkenen best nog mogelijk kan zijn te achterhalen bij wie de beelden verkregen zijn. Ik weet alleen niet of dat erg is: die persoon heeft immers per definitie niet vrijwillig die beelden gegeven, ze zijn opgeëist door de politie. Maar bij een burenruzie waarbij de overbuurman 112 belde en na vordering beelden af gaf, kan ik me best voorstellen dat iemand verhaal komt halen.

Arnoud

 

Heb ik recht op mijn eigen data uit mijn zonnepanelen?

Geplaatst op in Ondernemingsvrijheid, Regulering, 12 reacties
brown and white concrete house
Photo by Giorgio Trovato on Unsplash

Een lezer vroeg me:

Sinds kort heb ik zonnepanelen op mijn dak. Dit systeem genereert data per paneel en deze data wordt (jammer genoeg) geupload naar de clouddienst van leverancier Enphase. De API om daar zelf bij te kunnen is onlangs opgeheven, maar hoe zit dat juridisch?
De discussie achter die laatste link citeert het fundamentele argument: het is “MIJN” data, want hij komt uit mijn apparaten dus ik wil deze gewoon hebben. En ja, dan zeg ik altijd “data is niets” oftewel je hebt pech, maar dat is anno 2024 een klein beetje achterhaald.

Op 11 januari jl. is de Gegevenswet oftewel Data Act van kracht geworden. Deze verordening bevat expliciete regels over toegang tot data, met name ingegeven door de vraag om consumentenproducten (internet of things) uit te kunnen lezen. De kern is artikel 3:

Connected products shall be designed and manufactured, and related services shall be designed and provided, in such a manner that product data and related service data, including the relevant metadata necessary to interpret and use those data, are, by default, easily, securely, free of charge, in a comprehensive, structured, commonly used and machine-readable format, and, where relevant and technically feasible, directly accessible to the user.
In gewoon Nederlands: je moet bij alle geproduceerde data kunnen en wel op een manier dat je er ook wat mee kunt doen. Bij aanschaf moet je vooraf kunnen achterhalen welke data en hoe, en welk volume je mag verwachten.

Dan heb je grapjassen die je snel een NDA opleggen want die data is zeer vertrouwelijk bedrijfsgeheim. Dat mag niet, zie artikel 5 waarin staat dat je die data aan een ander moet kunnen geven om er daar wat mee te doen:

Upon request by a user, or by a party acting on behalf of a user, the data holder shall make available readily available data, as well as the relevant metadata necessary to interpret and use those data, to a third party without undue delay, of the same quality as is available to the data holder, easily, securely, free of charge to the user, in a comprehensive, structured, commonly used and machine-readable format and, where relevant and technically feasible, continuously and in real-time.
Beoogde use case is dat je zo jouw data in andermans app kunt gieten, zoals bij een dashboard van al je connected devices. Als data écht bedrijfsgeheim is, dan moeten de datahouder en de beoogde ontvanger (de app-exploitant, in het voorbeeld) afspraken maken over geheimhouding.

Hiermee is de situatie van de vraagsteller dus wezenlijk veranderd. Op grond van de Data Act kan zhij dus toegang tot die data eisen en wel zonder bijkomende kosten (“free of charge”, immers) en die vervolgens naar een eigen gegevensverwerkingstool gieten.

Men moet alleen nog wel even wachten: pas op 11 September 2025 (art. 50, 20 maanden na 11 januari) zullen alle bepalingen van kracht worden. Pas vanaf dat moment kan men juridisch afdwingen dat deze regels worden gevolgd, en kunnen toezichthouders boetes opleggen.

Arnoud