Categorie: Regulering

About Regulering

Subscribe Feeds

EC start formele procedure tegen X wegens verspreiding desinformatie

Geplaatst op in Regulering, Uitingsvrijheid, 1 reacties

De Europese Commissie is een formele procedure gestart om te beoordelen of het socialemediaplatform X de Digital Services Act heeft overtreden. Dat las ik bij Tweakers. Velen spreken daarbij van “het tegengaan van desinformatieverspreiding” en dat geeft natuurlijk ophef, want desinformatie is niet hetzelfde als strafbare informatie. Maar het ligt iets genuanceerder.

De actie is een vervolg op eerdere constateringen van de EC dat X (née Twitter) de DSA niet zou nakomen. Zoals ik in oktober blogde naar aanleiding van een brief van Eurocommissaris Thierry Breton:

De brief is een reactie op de vele propaganda- en desinformatieberichten die opdoken sinds de terreuraanvallen van Hamas in Israel. Hiertegen moet X harder en sneller optreden, zeker als daarover geklaagd wordt door autoriteiten. Dat gebeurt nu te weinig, aldus Breton. En het is ook weinig transparant waarom sommige berichten wel en andere niet worden weggehaald.
De reactie van Musk was klassiek: welke individuele berichten bedoelde u, en laten we praten over de inhoud daarvan. Maar dat is niet hoe de DSA rolt. Die eist structurele maatregelen, zoals een adequate groep moderatoren en een analyse van systeemrisico’s en wat je daar allemaal tegen kunt doen. (Desinformatie komt voor in de DSA als een voorbeeld van een systeemrisico.) Van dat alles hebben we vervolgens niets gemerkt.

De EC neemt nu de volgende stap en dat is een formeel onderzoek. De aangekondigde onderwerpen zijn:

  • Te weinig doen tegen verspreiding van illegale content (dus strafbaar/onrechtmatig, niet perse desinformatie)
  • De effectiviteit van de Community Notes en hun rol binnen het bestrijden van desinformatie
  • Te weinig informatie geven aan researchers (informatiedelen is wettelijk verplicht) en geen transparantie over advertenties (een uitgebreid register is ook verplicht)
  • Het misleidend ontwerp van de Blue checks (ik had nog niet gehoord dat daar wat mis mee was)
Hoe lang het onderzoek duurt, is niet op voorhand te zeggen. “Tot het klaar is”, oftewel tot er genoeg is om een inbreukactie te starten dan wel tot blijkt dat er toch niets aan de hand is. Een normaal bedrijf zou snel klaar zijn, omdat óók een medewerkingsplicht en het verstrekken van informatie tot je taken behoort als VLOP (zeer groot online platform). Ja, hahaha.

Arnoud

 

Is een rechter te wraken als hij meedoet aan juridische discussies op Linkedin?

Geplaatst op in Regulering, 5 reacties

Uitzonderlijke omstandigheden maken dat de bij verzoekers bestaande vrees dat de raadsheer vooringenomen is, objectief gerechtvaardigd is. Ja, die moest ik ook twee keer lezen; de vertaling is dat een raadsheer (Hof Den Bosch) met succes gewraakt is. De reden? Hij mengde zich in discussie op LinkedIn over EncroChat.

EncroChat is een systeem voor cryptotelefoons, dat eind jaren tien werd gekraakt door opsporingsdiensten (met medewerking van ons Tech High Tech Crime). Sinds 2021 worden er vele strafzaken gevoerd waarbij chats uit de diensten Encrochat en SkyECC worden gebruikt als bewijs. Een steeds terugkomende discussie is hoe legitiem dat nou was, gezien basisbeginselen zoals eerlijk proces en de vraag hoe de Franse justitie had gehandeld onder haar wetboek van strafvordering.

De Hoge Raad oordeelde in augustus dat de Nederlandse rechter niet over dat laatste na hoeft te denken, omdat Frankrijk een soeverein land is. Wel kan er worden gediscussieerd over toegang tot het bewijs en hoe controleerbaar alles moet zijn voor de verdediging.

Vele advocaten hebben fundamentele bezwaren tegen de manier waarop Nederland omgaat met het Encrochat-bewijs, wat onder meer bleek uit een brandbrief eind 2022:

[Hierin] zeggen de in totaal 133 advocaten dat er op zichzelf niets mis is met nieuwe, geavanceerde opsporingsmethoden in de bestrijding van zware criminaliteit. Die vragen echter wel om transparantie over het feitelijk verloop van het onderzoek, zodat de rechter kan toetsen of het bewijsmateriaal betrouwbaar is en rechtmatig verkregen…. ‘Rechters wijzen de vele verzoeken van vele advocaten om dat feitelijk verloop gewoon helder te krijgen (…) stelselmatig af. Dat klemt omdat ondertussen wel sterke, feitelijke aanwijzingen bekend zijn geworden dat fundamentele mensenrechten zijn geschonden of dreigen te worden geschonden van burgers c.q. verdachten.’
De Hoge Raad lijkt nu een einde gemaakt te hebben aan deze discussie: niets aan de hand, het bewijs is bruikbaar, het OM handelt netjes. Of dat helemáál klopt, blijft natuurlijk een discussie – ongetwijfeld zijn er al mensen bezig met een stap naar het Europees Hof voor de Rechten van de Mens. En geheel kansloos is dat niet, want bijvoorbeeld in Duitsland wordt wel geoordeeld dat EncroChat-bewijs niet bruikbraar is.

Die Duitse insteek is relevant, want daarover ontstond twee jaar geleden een discussie op Linkedin, met onder meer de volgende standpuntenuitwisseling:

<advocaat1> “#EncroChat hack was onrechtmatig. Langzaam valt het sprookje van OM en Europol in duigen (…) Waar het om gaat is het “op alle mogelijke manieren”. (….) Maar het doel heiligt niet de middelen. Daarom noemen wij ons land nog steeds een rechtsstaat.”

<advocaat2> “Hoe zit het dan met schendingen van art 6 en 8 EVRM???”

Hier haakte de raadsheer op in als volgt, vanuit een account waar zijn volledige naam én de titel “Senior Raadsheer bij Gerechtshof ’s-Hertogenbosch” bij stond:
Ik vind het nogal overtrokken om het in deze kwestie over mensenrechten te hebben. Het lijkt er op het eerste gezicht op dat de politie de juiste doelen voor ogen had. Of deze methodiek achteraf de toets van de kritiek kan doorstaan is ter beoordeling aan de rechters, evenals de betrouwbaarheid van het bewijs, maar mensenrechten?”
In de zaak waar het hier om ging, was deze raadsheer betrokken bij een hogerberoepszaak waarin de toelaatbaarheid van EncroChat-berichten meespeelde. De advocaat wilde daarbij een discussie voeren over schending van de mensenrechten, en wraakte de raadsheer gezien dit bericht.

Wraking is een uitzonderlijk middel: je zegt daarmee dat de rechter (of raadsheer) vooringenomen is of dat je redelijkerwijs mag vermoeden dat zhij dat is. Uitgangspunt is dat rechters onpartijdig zijn, en dat je met bijzondere, zware argumenten en bewijs moet komen dat het in jouw zaak anders ligt.

Het gaat er daarbij overigens niet om dat je moet bewijzen dat de rechter vooringenomen is. Genoeg is dat je redelijke twijfel kunt laten zien: zou iemand vanwege die omstandigheden denken dat de rechter wel eens vooringenomen zou kunnen zijn? In deze zaak zegt de wrakingskamer van wel:

Het hof begrijpt dat bij de verzoekers, nu die voornemens waren tijdens de regiezitting in bovenstaande zaken verweren naar voren te (laten) brengen die zien op onrechtmatigheden waarbij sprake is van schending van in het Europees Verdrag voor de Rechten van de Mens en het Europees Handvest vastgelegde grondrechten, de indruk is gewekt dat de voorzitter op dit punt vooringenomen was, nu de voorzitter een discussie daarover eerder als ‘overtrokken’ had aangemerkt en een vraagteken heeft geplaatst achter het woord ‘mensenrechten.’
De raadsheer had aangegeven dat het hem erom ging dat in die discussie er met de term ‘mensenrechten’ gelijk een hele zware lading werd gelegd op het debat. Hij wilde focussen op de specifieke methoden en waarom dat wel of niet door de beugel kan, en een roeptoeter “grove schande mensenrechten met voeten getreden!!1!” is niet zo handig in dat debat.

Die bedoeling achteraf mag je echter niet meenemen. Het gaat om wat is gezegd, en of daardoor de indruk van vooringenomenheid kán ontstaan. En dat is hier het geval: de raadsheer had ook kunnen bedoelen dat al dat gezeur over mensenrechten bij opsporingstechnieken categorisch flauwekul is, de bekende sleetse grammofoonplaat van advocaten. Zo’n raadsheer zou vooringenomen zijn bij een zaak over mensenrechtenschendingen bij opsporingstechnieken.

Arnoud

Hoe betrouwbaar zijn digitale foto’s tegenwoordig nog als bewijs?

Geplaatst op in Regulering, Security, 6 reacties
Foto via PetaPixel, © Tessa Coates

“Het weefsel van de werkelijkheid brokkelde af”, aldus de Britse acteur Tessa Coates toen ze de iPhone-foto bekeek waarop ze een trouwjurk paste. Niet zonder reden – klik op de thumbnail om haar foto te bekijken. Coates kijkt in drie spiegels, en in elke spiegel staan haar handen anders. Wat betekent dat, vroegen velen mij, voor de bewijskracht van foto’s?

Apple Insider legt uit:

Coates was moving when the photo was taken, so when the shutter was pressed, many differing images were captured in that instant as the camera swept over the scene, since it was a panoramic photo capture. Apple’s algorithm stitches the photos together, choosing the best versions for saturation, contrast, detail, and lack of blur.
Het achtergrondartikel van PetaPixel gaat meer in op de details. De kern is dat een foto dus al lang niet meer is dan een registratie van het licht dat op de sensoren valt, maar dat met allerlei technieken het beeld wordt aangepast om zo goed mogelijk te passen bij wat we verwachten van een camera.

Een heel extreem voorbeeld kwam dit voorjaar in het nieuws toen bleek dat Samsung’s camera bij detailfoto’s van de maan gewoon een andere afbeelding van de maan erin zet zodat het mooier lijkt. Samsung omschreef dit als “effectively remove noise and maximize the details of the moon to complete a bright and clear picture of the moon”, maar voor mij is een rondje uitknippen en een eerder gemaakte superfoto erin schuiven toch iets anders. Dat gezegd hebbende: het is en blijft een foto van de maan.

Ook de foto van Coates hierboven is in zoverre echt dat ze echt zo stond en dat die spiegels echt die reflectie gaven. Het zijn alleen drie verschillende reflecties die nu samen op de foto stonden.

Betekent dit nu dat we voortaan foto’s het raam uit kunnen doen in het bewijsrecht? Welnee. Juristen zijn conservatief – we luisteren ook nog steeds naar getuigen, ondanks dat er gebouwen gevuld kunnen worden met onderzoeken die aantonen hoe onbetrouwbaar die zijn en hoe foutgevoelig het afnemen van een verhoor kan zijn.

Het komt in de praktijk zeer zelden voor dat serieus getwijfeld wordt aan de echtheid van documenten zoals foto’s. Het wordt regelmatig geopperd, maar in Nederland accepteert de rechter geen argumenten van het soort “foto’s kunnen eenvoudig gemanipuleerd dus daarom mag u niet naar deze foto kijken”. De vraag is: waaruit blijkt dat déze foto is gemanipuleerd. Het aantal vonnissen waarin daadwerkelijk serieus zulke manipulatie aan de orde is, is volgens mij op éen hand te tellen (en dan bedoel ik niet binair tellend, grapjassen).

De discussie gaat vrijwel altijd over wat het bewijs impliceert. Wat betekent deze clausule, wat gebeurt er op deze foto, laat deze log echt een inbraak zien? Vaak zijn feiten voor meerdere interpretatie vatbaar. Iemand steekt zijn hand op – vraagt hij aandacht, gaat hij slaan, weert hij af? Die discussie verandert niet omdat de iPhone foto’s aan elkaar weeft voor een mooier beeld.

Arnoud

Rechter VS gaat onderzoek doen naar Google wegens verwijderde chatberichten

Geplaatst op in Ondernemingsvrijheid, Regulering, 2 reacties

Amerikaanse rechter James Donato zegt Google te gaan onderzoeken. Dat meldde Tweakers maandag. De aanleiding zijn chatberichten die Google moedwillig heeft vernietigd, terwijl dat potentieel bewijsmateriaal was in een lopende rechtszaak tussen het bedrijf en Epic Games. Dat vond Donato niet leuk: “Ik ga tot op de bodem uitzoeken wie er verantwoordelijk is”, zo wordt hij in The Verge geciteerd.

De zaak an sich is best interessant, omdat het duidelijkheid kan geven in wat grote bedrijven met appwinkels mogen. Epic is de aanbieder van het populaire Fortnite, en wilde onder meer een eigen betaalsysteem toepassen:

Ruim drie jaar geleden sleepte Epic Games de mobiele techgiganten Apple en Google voor de rechter. Beide bedrijven werden ervan beschuldigd illegale monopolies te hebben met hun appwinkels, concurrentie in de weg te zitten en hoge commissies te vragen op in-appaankopen, waarvoor geen alternatieven beschikbaar zijn.
Tijdens de zaak werd duidelijk dat Google, net als heel veel bedrijven, een auto-delete heeft op alle interne communicatie. Dat is mede vanwege zorgen over rechtszaken. In de VS moet je namelijk bij een civiele zaak alle mogelijk relevante stukken overleggen aan de wederpartij (“discovery”) zodat beide partijen met open vizier strijden. Dan is een onhandig geformuleerde e-mail uit 2012 erg vervelend.

Het voelt als vernietigen van (potentieel) bewijs, maar het is een staande regel dat als jij beleid hebt met objectieve criteria wat er weg gaat en wanneer, je niets verkeerd doet als je dat beleid uitvoert. Bijvoorbeeld: “alle mail van een ex-werknemer gaat weg 30 dagen na uitdiensttreding”.

Wanneer een rechtszaak eenmaal loopt, ligt dat natuurlijk anders. Dan mag potentieel bewijs absoluut niet worden weggegooid of vernietigd. In het jargon zit er dan een “litigation hold” of “legal hold” op zo’n stuk. (Het is open voor debat wanneer een zaak ‘loopt’, is dat vanaf de eerste blafbrief, pas na ontvangst dagvaarding of misschien zelfs vanaf wanneer je had kunnen dan wel moeten weten dát er een blafbrief of dagvaarding aan gaat komen. Dit verschilt per staat en ga hier alsjeblieft niet zelf mee knutselen.)

Gebruikelijk is dat de advocaten (of bedrijfsjuristen) aangeven wat er bewaard moet worden, omdat zij weten waar de zaak over gaat en de wet het beste kennen. Bij Google is het opmerkelijk genoeg de werknemer die het schuifje legal hold aanzet bij de chat en e-mail, wat er dus toe kan leiden dat ceo Sundar Pichai dat niet deed terwijl er al een rechtszaak liep.

Het ging ook mis bij een ander punt: Pichai gaf aan dat hij soms documenten als “privileged” markeert om te voorkomen dat ze in handen van de wederpartij komen. Privilege wil zeggen dat het vertrouwelijke communicatie tussen advocaat en cliënt betreft – daar mag de andere partij uiteraard geen inzage in hebben. Dat labeltje ergens op plakken is dus best wel een stap, en misbruik daarvan maken om spullen weg te houden zeer zeker niet de bedoeling.

Gezien de feiten snap ik best dat rechter Donato boos is. Hij spreekt van “een frontale aanval op de eerlijke rechtspraak”. “Ik ga tot op de bodem uitzoeken wie er verantwoordelijk is”, aldus Donato.

Wat hij precies kan doen om dat onderzoek uit te voeren is iets minder duidelijk. Hij heeft geen onderzoeksafdeling en kan ook de politie niet instrueren om iets te gaan doen. Hij kan wel dingen doen als als de advocaten van Google instrueren om nu álle documenten te geven en daar een onafhankelijk onderzoeker op zetten die zegt wat er echt advocaatcorrespondentie is, bij ieder onjuist gelabeld document krijgt de advocaat persoonlijk 1000 dollar boete. Hij kan ook een advies aan de beurstoezichthouder FTC geven dat die eens heel goed moeten kijken wat Google allemaal uitspookt, of de Orde van Advocaten aanraden dat ze alle Google-advocaten een fikse waarschuwing geven.

Arnoud

 

Rechter houdt parkeerboete na verdwenen inloggegevens in stand

Geplaatst op in Regulering, 22 reacties

Een man die de auto van zijn bezoek te laat aanmeldde omdat naar eigen zeggen de inloggegevens uit de bezoekersapplicatie op de telefoon waren verdwenen moet de door de gemeente opgelegde parkeerboete gewoon betalen. Dat las ik bij Security.nl. Je app achttien minuten te laat aanzetten is te laat, en de loginproblemen zijn jouw probleem?

Een bezoeker van de man parkeerde op een betaaldparkerenplaats om 14.51. De man meldde het bezoek echter pas om 15.09 aan via de bezoekersapplicatie op zijn telefoon. Om 15.01 had een parkeerambtenaar al gezien dat de auto zonder parkeerbelasting te hebben betaald was geparkeerd.

Juridisch is het zo dat als jij andermans parkeerbelasting betaalt, jij degene bent die de auto parkeert vanuit het perspectief van de Gemeentewet. Daarom kreeg deze man dus de naheffing en niet de persoon die feitelijk parkeerde. En waarom het misging? Uit het vonnis:

Eiser voert aan dat hem in redelijkheid niet kan worden verweten dat het voertuig niet eerder dan om 15:09 uur heeft aangemeld in de bezoekersapplicatie op de telefoon. Bij het openen van de app waren de inloggegevens verdwenen. Omdat het parkeerabonnement op naam staat van zijn partner, kon eiser het voertuig niet aanmelden zonder haar hulp en zij was op dat moment niet in de buurt. Na contact met zijn partner bleek dat de inloggegevens op haar telefoon ook waren verdwenen. Het wachtwoord moest via e-mail worden aangepast waardoor het uiteindelijk pas om 15.09 uur is gelukt om het voertuig aan te melden. Eiser heeft wel tijdig gepoogd om het voertuig aan te melden.
Wellicht dat er meer mensen dit probleem bekend voorkomt, bijvoorbeeld na een update van de app of een migratie naar een nieuwe telefoon. Maar juridisch is dat dus echt jóuw probleem.

Weliswaar zegt de wet dat je een redelijke termijn moet krijgen om de parkeerbelasting te betalen, maar dat is hooguit een minuut of vijf, en niet de twintig die hier werden overbrugd. Die termijn gaat grofweg over de tijd om naar een ouderwetse automaat te lopen en daar te betalen.

Wellicht had dit anders kunnen lopen als de bezoeker bij de auto was gebleven. De rechter merkt namelijk op:

Doordat er in geval van eiser niemand in of nabij het voertuig is gebleven, is het risico ontstaan dat er in de tussenliggende tijd een parkeercontrole plaatsvond. De gevolgen hiervan komen voor rekening en risico van eiser.
De bezoeker had na een paar minuten vruchteloos proberen kunnen zeggen, ik loop naar de automaat en betaal even voor een kwartier. Of de hele verwachte parkeerduur en dan onderling verrekenen.

De les is dus: controleer of de app het doet voordat je bezoek er is.

Arnoud

 

 

Rechter VS: Elon Musk en Tesla negeerden fatale fout in Autopilot

Geplaatst op in Ondernemingsvrijheid, Regulering, nog geen reacties

Elon Musk en Tesla wisten dat het Autopilot-systeem fouten bevat en hebben deze niet opgelost. Dat meldde AG Connect onlangs. Een rechter in Florida deed deze uitspraak met mogelijk verstrekkende gevolgen in een zaak over een fataal ongeluk in 2019, waarbij de Autopilot een belangrijke rol speelde. Het is geen eindoordeel maar wel een veeg teken.

De achtergrond van de zaak is even kort als luguber:

Bij het ongeluk in 2019 zat Jeremy Banner achter het stuur van een Tesla Model 3. Hij had de Autopilot aangezet op een weg zonder middenstreep. Op een kruising stak een voertuig met oplegger over, die door de Tesla-software niet werd gezien. De Tesla schoof onder de aanhanger en Banner kwam om het leven. Nabestaanden van Banner hebben toen een rechtszaak tegen Tesla aangespannen.
Al sinds 2016 is er heisa over dat “AutoPilot” van Tesla, die wel werd aangeprezen als “the car is driving itself.” Dat is niet helemaal waar; als bestuurder (hoi Vincent) moet je aan het stuur blijven om desgevraagd snel in te grijpen bij onverwachte gebeurtenissen zoals een overstekende vrachtauto van 25 meter lang.

Wat er precies van waar is en in hoeverre Tesla’s disclaimers en EULA meewegen, dat is iets waar de jury wat van moet gaan zeggen. Want dit is zoals gezegd geen eindvonnis. Tesla had bezwaar gemaakt tegen de eis tot punitive damages, zeg maar die miljoenen omdat er niet op de magnetron stond dat je er géén natte hond in mocht doen. Iets formeler: de aanvullende schadevergoeding die de jury redelijk acht vanwege het geschokte rechtsgevoel.

Om zo’n eis te mogen doen, moet je aannemelijk maken dat er een redelijke basis in de bewijsstukken is dat deze wel eens toegewezen kan worden. Dit omdat de procedure met die eis erbij een heel stuk langer duurt – en dus duurder is – wat je niet wilt als het nauwelijks kansrijk is.

De rechter zegt hier dus dat aan die eis van aannemelijkheid voldaan is. Er is genoeg informatie om in redelijkheid te kunnen concluderen dat Tesla inderdaad grof nalatig was met de marketing van haar Autopilot. Tegenbewijs is mogelijk, dus de uitkomst kan nog steeds zijn dat het uiteindelijk toch user error was, maar de kans daarop lijkt nu wel ietwat klein.

Arnoud

 

 

 

‘Deepfake’ pornovideo kwalificeert als afbeelding, joh

Geplaatst op in Privacy, Regulering, 28 reacties

Een 39-jarige man uit Amersfoort is donderdag door de rechtbank in Amsterdam veroordeeld tot een voorwaardelijke taakstraf van 180 uur. Dat meldde het AD vorige week. Hij had een deepfakepornovideo van journalist en presentatrice Welmoed Sijtsma gemaakt, en dat blijkt dus strafbaar. Joh.

Bij de arrestatie blogde ik:

Een deepfake is een techniek voor het samenstellen van videobeelden met machine learning, meer specifiek een generatief antagonistennetwerk of generative adversarial network (GAN). Heel simpel uitgelegd bestaat een GAN uit twee AI systemen, de een genereert plaatjes en de ander probeert te zien of die gegenereerd zijn. Pas als die laatste ze niet herkent, zijn ze af. Maar los van de technische details, de omschrijving uit het AD “Mijn hoofd is op het lichaam van een pornoactrice gemonteerd.” laat prima zien waar het om gaat. Er zijn immers genoeg andere manieren om dit resultaat te bereiken, ze zijn alleen duurder of arbeidsintensiever dan een GAN.
Als we het zuiver juridisch bekijken, dan komt het neer op de vraag of dit een vorm van ‘wraakporno’ is, of iets preciezer of dit valt onder art. 139h Strafrecht:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft: a. hij die opzettelijk en wederrechtelijk van een persoon een afbeelding van seksuele aard vervaardigt; b. hij die de beschikking heeft over een afbeelding als bedoeld onder a terwijl hij weet of redelijkerwijs moet vermoeden dat deze door of als gevolg van een onder a strafbaar gestelde handeling is verkregen.
De discussie is dan of een deepfake een ‘afbeelding’ is: het is niet een via traditionele manieren gemaakte reproductie van de beeltenis van Sijtsma, het is de uitkomst van een statistisch proces.

De rechter ziet dat echter niet als een fundamenteel bezwaar:

  1. Op basis van een grammaticale interpretatie van de wettekst kan naar het oordeel van de rechtbank een deepfake pornovideo onder het begrip afbeelding van seksuele aard als bedoeld in artikel 139h Sr vallen. Het begrip afbeelding is een zeer breed begrip en daar valt naar normaal spraakgebruik, zeker in de huidige maatschappij met alle (online) digitale content, zonder meer een digitaal gemanipuleerde video onder.
  2. Bij de beoordeling van de reikwijdte van het begrip afbeelding van seksuele aard moet ook gekeken worden naar de bedoeling van de wetgever ten tijde van de invoering van de strafbaarstelling. … De wetgever heeft zich volgens de rechtbank echter niet slechts tot deze bovengenoemde rechtstreekse opnames willen beperken.
  3. [Tevens] is het artikel ondergebracht in een reeks van artikelen (138 Sr tot en met 139h Sr) die (in min of meerdere mate) de privacy van personen beoogt te beschermen, in dit geval seksuele privacy. … Het te beschermen belang bestaat er aldus uit dat seksueel getint beeldmateriaal niet tegen iemands zin vervaardigd mag worden, dan wel dat dit beeldmateriaal in de privésfeer moet blijven wanneer openbaarmaking nadelig kan zijn voor de afgebeelde persoon. Naar het oordeel van de rechtbank kan ook seksueel beeldmateriaal in de vorm van een deepfake-afbeeldingen onder dit te beschermen belang vallen.
De conclusie is duidelijk: ook deepfakes zijn ‘afbeeldingen’, zij het met de beperking dat
het beeldmateriaal in kwestie zodanig echt lijkt dat het op het eerste gezicht niet duidelijk is dat het gaat om beelden die gemanipuleerd zijn.
Een zelfgemaakte schetstekening zou dus geen ‘afbeelding’ zijn, en zelfs een realistisch schilderij niet. Het gaat erom of het publiek op het eerste gezicht zou denken dat de afbeelding echt is, zeg maar dat het een foto of video van de werkelijkheid is.

De ietwat opmerkelijke conclusie is dus dat als duidelijk is dát het een deepfake is, het niet strafbaar is. Maar alleen maar letterlijk dat erbij zeggen, is volgens de rechtbank dan weer niet genoeg:

De door verdachte gemaakte deepfake pornovideo van aangeefster kan naar het oordeel van de rechtbank daarom aangemerkt worden als een afbeelding van seksuele aard van een persoon. De door verdachte op de video geplaatste tekst dat het gaat om een deepfake maakt dat niet anders. Daarbij neemt de rechtbank in aanmerking dat de strafbaarheid van de gedraging ligt in de vervaardiging van het seksuele beeldmateriaal zelf.
Deze volg ik niet helemaal, want als het criterium is hoe het publiek het percipieert dan lijkt me een duidelijke disclaimer wel degelijk relevant bij de toetsing aan dat criterium.

Arnoud

Terugslag voor massaclaims miljoenen Nederlanders tegen TikTok, Meta, Google en Amazon

Geplaatst op in Ondernemingsvrijheid, Privacy, Regulering, 11 reacties

Claims voor immateriële schade bij privacyschending kun je niet voor veel gebruikers samen indienen, las ik bij Netkwesties. In oktober bepaalde de rechtbank Amsterdam namelijk dat zulke schade te persoonlijk is om te kunnen bundelen. Ook zet de rechtbank vraagtekens bij de vermeende commerciële motieven van de AVG-massaclaims, die immers allemaal met procesfinanciering worden gevoerd.

De kern van de discussie is natuurlijk of het juridisch wel de bedoeling is, dat een stichting namens een hele groep mensen een claim van zeg een tientje per persoon indient voor een AVG-overtreding. Met name vanwege die procesfinanciering: de partij die de stichting sponsort en de advocaat krijgt bij winst “veelal tussen 10 en 25 procent wat bij elkaar miljarden kan opleveren.”

Op zich is dit een legale constructie. Advocaten mogen niet op no cure no pay opereren, maar dat gebeurt hier niet, en als iemand andermans advocaat wil betalen en alleen bij een gewonnen zaak zijn investering (met winst) terugkrijgt, dan is daar niet direct een wetsartikel tegen.

Het idee van een massaclaim is alleen wel dat er massaal schade is geleden, zodat een hoop mensen tegelijk die gaan claimen en het dan efficiënter is dat met één zaak te doen. De schade is hier wat speculatief: hoe erg is het dat datafuik TikTok alles weet van je kind en een gedetailleerd profiel heeft opgebouwd? Welk schadebedrag zet je op zoiets?

De wet maakt onderscheid tussen materiële en immateriële schade. Het is die laatste categorie waar de rechter moeite mee heeft in een massaclaim: dan hebben we het over zaken als gederfde levensvreugde, angst, boosheid, stress en verontwaardiging. Dat is té persoonsgebonden, de een zal de schouders overhalen over dat profileren en de ander heeft hier langdurig last van.

Materiële schade is in beginsel op geld te waarderen, en daarmee wel geschikt om te bundelen. Dat kan ook bij gebruik van persoonsgegevens:

Deze persoonsgegevens hebben een zekere economische waarde voor degene die ze verkrijgt. … [I]ndien en voor zover persoonsgegevens worden verstrekt om daarmee een dienst te ‘kopen’, moet niet alleen worden gelet op de betaalde prijs (het verstrekken van de persoonsgegevens) maar ook op de daarvoor ontvangen tegenprestatie (de TikTok Dienst).
Dit vereist een nadere analyse van allerlei factoren (de rechtbank noemt er al zeven), maar je kunt niet op voorhand de stelling afwijzen dat er überhaupt materiële schade is geleden. En belangrijker: materiële schade is bundelbaar, al is het maar omdat er uiteindelijk een geldbedrag uitkomt per categorie slachtoffer en dat kun je dan optellen.

De claimstichtingen mogen dus door, mits ze maar focussen op materiële schade. Wel moeten ze nog eens goed kijken naar de constructie, want de rechtbank ziet daar wel vraagtekens bij de financiële onafhankelijkheid. Procesfinanciering mag namelijk niet als de financier zich inhoudelijk mag bemoeien met de procedure. Zo mag deze niet bepalen welke advocaten de zaak moeten doen.

Arnoud

Nee, de Data Act is nog niet aangenomen en dat duurt nog wel even

Geplaatst op in Regulering, 5 reacties

“The European Parliament has voted to approve the Data Act — controversial legislation that includes a stipulation necessitating smart contracts have the ability to be terminated.” Dat meldde Coin Telegraph onlangs. Ik ergerde me dood, vanwege dat “has voted to approve” en termen als “adopted”. Dit ging bij de AI Act ook zo, dus ik gebruik deze blog voor een lesje Europees staatsrecht.

De Data Act is een van de vele aankomende Europese regels om de data-economie wat meer onder controle te krijgen. Doel is het ontsluiten van de (niet-persoonlijke) data die uit apparaten komt, plus contractuele randvoorwaarden voor datadeelcontracten tussen bedrijven en zo nog het een en ander.

Het Europees Parlement heeft met 481 tegen 30 nu vóór gestemd. In Nederland zouden we dan zeggen, die wet is aangenomen en kan nu naar de Eerste Kamer. Die bestaat niet in Europa, maar er is wel de Raad van Ministers de Council of the European Union (niet te verwarren met de Council of Europe of de European Council). Vandaar taalgebruik als “is nu aangenomen en gaat naar de Raad”.

Alleen, het Europese systeem werkt iets anders. Het Parlement en de Raad zijn onafhankelijke organen die samen (inclusief de Europese Commissie) onderhandelen om tot een definitieve wet te komen. De Europese Commissie maakt een voorstel, dat parallel naar Raad en Parlement gaat. Die gaan er intern over delibereren en stemmen over een onderhandelmandaat, wat vinden wij belangrijk, waar zijn we flexibel en welke dingen zijn wel goed zo.

Als beiden zo’n mandaat hebben aangenomen, dan wordt er onderhandeld. De Raad kan er voor kiezen om gewoon over te nemen wat het Parlement heeft gekozen, en dan zijn we snel klaar. De Raad kan ook een eigen tegenvoorstel doen, en dan moet er dus worden onderhandeld om tot een compromistekst te komen. Dit heet de trilogue, omdat het een dialoog maar dan tussen drie partijen is.

De AI Act zit nu middenin die trialoog bijvoorbeeld. De triloog van de Data Act begint nu: de de Raad had al in maart haar onderhandelpositie aangegeven. Daarin staat ook al een smart-contracts clausule (artikel 30) met ongeveer dezelfde strekking: een smart contract moet een stop-functie hebben en interne controls om getermineerd te kunnen worden.

Mijn interpretatie is dat dit gaat om het kunnen ingrijpen bij op hol geslagen autonome algoritmes, zoals bij financiële handel, omdat dit grote maatschappelijke gevolgen kan hebben. Maar inderdaad is de clausule niet beperkt tot die specifieke randgevallen; ieder smart contract moet deze functie hebben. En de definitie is nogal breed:

(16) ‘smart contract’ means a computer program stored in an electronic ledger system wherein the outcome of the execution of the program is recorded on the electronic ledger; (17) ‘electronic ledger’ means a sequence of electronic data records which ensures their integrity and the accuracy of their chronological ordering;
De clausule blinkt ook niet uit in duidelijkheid: moet die killswitch intern geprogrammeerd zijn (als situatie X, sluit jezelf dan af), moet de eigenaar/beheerder van de software dit kunnen doen of zou een overheidsinstantie het kill-commando moeten kunnen geven? De ophef is dus niet geheel onbegrijpelijk.

Arnoud

Hoe verweer je je tegen de uitspraken van de ChatGPT detector?

Geplaatst op in Regulering, Uitingsvrijheid, 7 reacties

Een lezer vroeg me:

Ik las over de ontwikkeling van een “ChatGPT detector” bij wetenschappelijke papers. Weliswaar alleen voor scheikunde, maar ik vroeg me toch al af: als mijn paper op de universiteit door zo’n detector als plagiaat wordt aangemerkt, wat kan ik daar dan tegen doen? Dit is een behoorlijk black box verhaal.
De aangehaalde publicatie betreft een tool ontwikkeld door twee scheikundigen. Op basis van een relatief kleine dataset met abstracts kan de tool zeer accuraat een abstract als handgeschreven versus “komt uit ChatGPT” aanmerken. Het idee erachter is dat je zo’n detector domeinspecifiek moet bouwen, omdat je dan domeinspecifieke terminologie, taalgebruik, stijl en dergelijke mee kunt nemen in de afweging.

Voor plagiaatcontrole zou je dus per faculteit een aparte dataset moeten maken, dat lijkt me een te overzien probleem. Dus laten we even aannemen dat zo’n ding bestaat en ingezet wordt in de al bestaande procedure van plagiaatcontrole op papers en scripties. Wat dan?

Plagiaatscanners werken op dit moment vrij rechttoe-rechtaan: ze matchen stukken tekst met externe bronnen en produceren een rapport met highlights. Het plaatje rechtsboven (van scanner Ephorus) laat daarvan een voorbeeld zien. Een examinator gebruikt dat als input om zelf de vergelijking te controleren en daar conclusies uit te trekken. Dat gaat dan bijvoorbeeld zo:

Tijdens de controle van het werk is door de plagiaatscanner een overlap geconstateerd tussen het werk van [appellant] en een medestudent. De overlap omvatte bijna 100 procent van het werk. … De examencommissie heeft ook geconcludeerd dat [appellant] zich schuldig heeft gemaakt aan plagiaat vanwege het letterlijk overnemen van informatie van websites. Omdat [appellant] geen gebruik heeft gemaakt van aanhalingstekens of een bepaalde vormgeving, zijn de citaten niet als zodanig herkenbaar. Verder heeft [appellant] bijna letterlijk informatie overgenomen zonder bronvermelding.
De “ChatGPT detector” werkt iets anders. Uit de Nature-publicatie:
Using machine learning, the detector examines 20 features of writing style, including variation in sentence lengths, and the frequency of certain words and punctuation marks, to determine whether an academic scientist or ChatGPT wrote a piece of text. The findings show that “you could use a small set of features to get a high level of accuracy”, Desaire says.
Hier komt dus de uitspraak uit “op basis van statistische analyse lijkt het er zeer sterk op dat deze tekst uit de tool ChatGPT komt”. Dat is wel even een ander niveau dan constateren dat stukken tekst uit het paper gelijk zijn aan stukken tekst uit een specifieke, na te lezen bron.

Juridisch gezien ligt de bewijslast bij de docent dan wel examencommissie dat sprake is van fraude (waar plagiaat of het inschakelen van hulplijnen onder valt). In dit Tilburgse voorbeeld uit 2021 werd door het College van Beroep een plagiaatbeschuldiging afgewezen omdat het aangedragen bewijs niet meer was dan “vraag 2d is opmerkelijk gedetailleerd beantwoord, in tegenstelling tot de rest”. Maar in de meeste gevallen is de plagiaat wel letterlijk en duidelijk.

Ik kon één geval vinden (uit Leiden) waarin de fraude zou zijn dat de student een derde had ingeschakeld om mee te schrijven. Dat lijkt nog het meest op het inzetten van ChatGPT: als docent zie je andere stijlvormen, een hoger niveau van redeneren, een heel andere wending dan in de eerder besproken onderzoeksopzet en concepten, zulke dingen.

Het kán natuurlijk dat je tussentijds ineens diepere inzichten verwerft (en discussie met anderen is legitiem om die te verwerven), maar als je dat niet kunt toelichten of laten zien als daarom gevraagd wordt dan kan men alsnog uitkomen bij fraude:

Het College overweegt dat niet het feit dat appellante een andere, ingewikkelde methode in haar scriptie heeft gebruikt kan worden aangemerkt als fraude, maar dat de verstrekte  toelichtingen van appellante over de door haar gemaakte keuzes in haar scriptie van dien aard zijn dat verweerder terecht en op goede gronden heeft geconstateerd dat het op juiste wijze vormen van een oordeel over de kennis, het inzicht en de vaardigheden van appellante geheel of gedeeltelijk onmogelijk is geworden en dus als fraude moet worden aangemerkt.
Ik vond één uitspraak uit Groningen over fraude (mede) vanwege de inzet van AI. De bewijslast werd volgens mij goed gedragen:
Appellante heeft in haar essay tenminste tien bronnen gebruikt die in het geheel niet bestaan. Daarnaast zijn er ook andere fouten gemaakt in de bronvermelding. Zo noemt appellante artikelen die niet in de door haar genoemde vakbladen zijn gepubliceerd en zijn er ook nog andersoortige fouten gemaakt.
Met dergelijke aanwijzingen onderbouw je je vermoeden van fraude prima, zeker als de studente daar weinig meer tegenover kan stellen dan dat het expliciete verbod op gebruik van AI pas van na haar afrondingsdatum was. Gebruik van tools om je werk te doen maakt dat het minder jouw werk is.

Van de zomer verscheen dit artikel waarin men een lichte toename signaleerde van fraudegevallen door GPT. Schokkend vond ik wel de daar gedane suggestie over detectie door ChatGPT zelf:

Bij vermoeden van plagiaat kan je aan het computerprogramma vragen of hij het geschreven heeft. ChatGPT geeft daar dan ‘eerlijk’ antwoord op. Die methode is niet altijd betrouwbaar, zegt Ferrantelli, dus uiteindelijk geeft het oordeel van de docent de doorslag.
Een methode die “niet altijd betrouwbaar is” lijkt me per definitie een methode die je niet moet gebruiken. Zeker als de makers van ChatGPT zelf hun eigen tool hiervoor offline halen omdat hij niet goed werkt.

(Meelezende afstudeerders-in-spe, wie hier een onderzoek van wil maken kan zich melden!)

Arnoud