Categorie: Regulering

About Regulering

Subscribe Feeds

Nee, de Data Act is nog niet aangenomen en dat duurt nog wel even

Geplaatst op in Regulering, 5 reacties

“The European Parliament has voted to approve the Data Act — controversial legislation that includes a stipulation necessitating smart contracts have the ability to be terminated.” Dat meldde Coin Telegraph onlangs. Ik ergerde me dood, vanwege dat “has voted to approve” en termen als “adopted”. Dit ging bij de AI Act ook zo, dus ik gebruik deze blog voor een lesje Europees staatsrecht.

De Data Act is een van de vele aankomende Europese regels om de data-economie wat meer onder controle te krijgen. Doel is het ontsluiten van de (niet-persoonlijke) data die uit apparaten komt, plus contractuele randvoorwaarden voor datadeelcontracten tussen bedrijven en zo nog het een en ander.

Het Europees Parlement heeft met 481 tegen 30 nu vóór gestemd. In Nederland zouden we dan zeggen, die wet is aangenomen en kan nu naar de Eerste Kamer. Die bestaat niet in Europa, maar er is wel de Raad van Ministers de Council of the European Union (niet te verwarren met de Council of Europe of de European Council). Vandaar taalgebruik als “is nu aangenomen en gaat naar de Raad”.

Alleen, het Europese systeem werkt iets anders. Het Parlement en de Raad zijn onafhankelijke organen die samen (inclusief de Europese Commissie) onderhandelen om tot een definitieve wet te komen. De Europese Commissie maakt een voorstel, dat parallel naar Raad en Parlement gaat. Die gaan er intern over delibereren en stemmen over een onderhandelmandaat, wat vinden wij belangrijk, waar zijn we flexibel en welke dingen zijn wel goed zo.

Als beiden zo’n mandaat hebben aangenomen, dan wordt er onderhandeld. De Raad kan er voor kiezen om gewoon over te nemen wat het Parlement heeft gekozen, en dan zijn we snel klaar. De Raad kan ook een eigen tegenvoorstel doen, en dan moet er dus worden onderhandeld om tot een compromistekst te komen. Dit heet de trilogue, omdat het een dialoog maar dan tussen drie partijen is.

De AI Act zit nu middenin die trialoog bijvoorbeeld. De triloog van de Data Act begint nu: de de Raad had al in maart haar onderhandelpositie aangegeven. Daarin staat ook al een smart-contracts clausule (artikel 30) met ongeveer dezelfde strekking: een smart contract moet een stop-functie hebben en interne controls om getermineerd te kunnen worden.

Mijn interpretatie is dat dit gaat om het kunnen ingrijpen bij op hol geslagen autonome algoritmes, zoals bij financiële handel, omdat dit grote maatschappelijke gevolgen kan hebben. Maar inderdaad is de clausule niet beperkt tot die specifieke randgevallen; ieder smart contract moet deze functie hebben. En de definitie is nogal breed:

(16) ‘smart contract’ means a computer program stored in an electronic ledger system wherein the outcome of the execution of the program is recorded on the electronic ledger; (17) ‘electronic ledger’ means a sequence of electronic data records which ensures their integrity and the accuracy of their chronological ordering;
De clausule blinkt ook niet uit in duidelijkheid: moet die killswitch intern geprogrammeerd zijn (als situatie X, sluit jezelf dan af), moet de eigenaar/beheerder van de software dit kunnen doen of zou een overheidsinstantie het kill-commando moeten kunnen geven? De ophef is dus niet geheel onbegrijpelijk.

Arnoud

Hoe verweer je je tegen de uitspraken van de ChatGPT detector?

Geplaatst op in Regulering, Uitingsvrijheid, 7 reacties

Een lezer vroeg me:

Ik las over de ontwikkeling van een “ChatGPT detector” bij wetenschappelijke papers. Weliswaar alleen voor scheikunde, maar ik vroeg me toch al af: als mijn paper op de universiteit door zo’n detector als plagiaat wordt aangemerkt, wat kan ik daar dan tegen doen? Dit is een behoorlijk black box verhaal.
De aangehaalde publicatie betreft een tool ontwikkeld door twee scheikundigen. Op basis van een relatief kleine dataset met abstracts kan de tool zeer accuraat een abstract als handgeschreven versus “komt uit ChatGPT” aanmerken. Het idee erachter is dat je zo’n detector domeinspecifiek moet bouwen, omdat je dan domeinspecifieke terminologie, taalgebruik, stijl en dergelijke mee kunt nemen in de afweging.

Voor plagiaatcontrole zou je dus per faculteit een aparte dataset moeten maken, dat lijkt me een te overzien probleem. Dus laten we even aannemen dat zo’n ding bestaat en ingezet wordt in de al bestaande procedure van plagiaatcontrole op papers en scripties. Wat dan?

Plagiaatscanners werken op dit moment vrij rechttoe-rechtaan: ze matchen stukken tekst met externe bronnen en produceren een rapport met highlights. Het plaatje rechtsboven (van scanner Ephorus) laat daarvan een voorbeeld zien. Een examinator gebruikt dat als input om zelf de vergelijking te controleren en daar conclusies uit te trekken. Dat gaat dan bijvoorbeeld zo:

Tijdens de controle van het werk is door de plagiaatscanner een overlap geconstateerd tussen het werk van [appellant] en een medestudent. De overlap omvatte bijna 100 procent van het werk. … De examencommissie heeft ook geconcludeerd dat [appellant] zich schuldig heeft gemaakt aan plagiaat vanwege het letterlijk overnemen van informatie van websites. Omdat [appellant] geen gebruik heeft gemaakt van aanhalingstekens of een bepaalde vormgeving, zijn de citaten niet als zodanig herkenbaar. Verder heeft [appellant] bijna letterlijk informatie overgenomen zonder bronvermelding.
De “ChatGPT detector” werkt iets anders. Uit de Nature-publicatie:
Using machine learning, the detector examines 20 features of writing style, including variation in sentence lengths, and the frequency of certain words and punctuation marks, to determine whether an academic scientist or ChatGPT wrote a piece of text. The findings show that “you could use a small set of features to get a high level of accuracy”, Desaire says.
Hier komt dus de uitspraak uit “op basis van statistische analyse lijkt het er zeer sterk op dat deze tekst uit de tool ChatGPT komt”. Dat is wel even een ander niveau dan constateren dat stukken tekst uit het paper gelijk zijn aan stukken tekst uit een specifieke, na te lezen bron.

Juridisch gezien ligt de bewijslast bij de docent dan wel examencommissie dat sprake is van fraude (waar plagiaat of het inschakelen van hulplijnen onder valt). In dit Tilburgse voorbeeld uit 2021 werd door het College van Beroep een plagiaatbeschuldiging afgewezen omdat het aangedragen bewijs niet meer was dan “vraag 2d is opmerkelijk gedetailleerd beantwoord, in tegenstelling tot de rest”. Maar in de meeste gevallen is de plagiaat wel letterlijk en duidelijk.

Ik kon één geval vinden (uit Leiden) waarin de fraude zou zijn dat de student een derde had ingeschakeld om mee te schrijven. Dat lijkt nog het meest op het inzetten van ChatGPT: als docent zie je andere stijlvormen, een hoger niveau van redeneren, een heel andere wending dan in de eerder besproken onderzoeksopzet en concepten, zulke dingen.

Het kán natuurlijk dat je tussentijds ineens diepere inzichten verwerft (en discussie met anderen is legitiem om die te verwerven), maar als je dat niet kunt toelichten of laten zien als daarom gevraagd wordt dan kan men alsnog uitkomen bij fraude:

Het College overweegt dat niet het feit dat appellante een andere, ingewikkelde methode in haar scriptie heeft gebruikt kan worden aangemerkt als fraude, maar dat de verstrekte  toelichtingen van appellante over de door haar gemaakte keuzes in haar scriptie van dien aard zijn dat verweerder terecht en op goede gronden heeft geconstateerd dat het op juiste wijze vormen van een oordeel over de kennis, het inzicht en de vaardigheden van appellante geheel of gedeeltelijk onmogelijk is geworden en dus als fraude moet worden aangemerkt.
Ik vond één uitspraak uit Groningen over fraude (mede) vanwege de inzet van AI. De bewijslast werd volgens mij goed gedragen:
Appellante heeft in haar essay tenminste tien bronnen gebruikt die in het geheel niet bestaan. Daarnaast zijn er ook andere fouten gemaakt in de bronvermelding. Zo noemt appellante artikelen die niet in de door haar genoemde vakbladen zijn gepubliceerd en zijn er ook nog andersoortige fouten gemaakt.
Met dergelijke aanwijzingen onderbouw je je vermoeden van fraude prima, zeker als de studente daar weinig meer tegenover kan stellen dan dat het expliciete verbod op gebruik van AI pas van na haar afrondingsdatum was. Gebruik van tools om je werk te doen maakt dat het minder jouw werk is.

Van de zomer verscheen dit artikel waarin men een lichte toename signaleerde van fraudegevallen door GPT. Schokkend vond ik wel de daar gedane suggestie over detectie door ChatGPT zelf:

Bij vermoeden van plagiaat kan je aan het computerprogramma vragen of hij het geschreven heeft. ChatGPT geeft daar dan ‘eerlijk’ antwoord op. Die methode is niet altijd betrouwbaar, zegt Ferrantelli, dus uiteindelijk geeft het oordeel van de docent de doorslag.
Een methode die “niet altijd betrouwbaar is” lijkt me per definitie een methode die je niet moet gebruiken. Zeker als de makers van ChatGPT zelf hun eigen tool hiervoor offline halen omdat hij niet goed werkt.

(Meelezende afstudeerders-in-spe, wie hier een onderzoek van wil maken kan zich melden!)

Arnoud

In het moderatieteam van X heeft maar één persoon Nederlands als hoofdtaal, is dat erg

Geplaatst op in Regulering, Uitingsvrijheid, 7 reacties

Het sociale medium X heeft één persoon in het moderatieteam van wie Nederlands de eerste taal is. Dat meldde Nu.nl onlangs op basis van de DSA-transparantierapporten die X née Twitter periodiek moet publiceren. Het moderatieteam telt 2.294 mensen, waarvan er eentje dus Nederlands spreekt.

De Digital Services Act eist van zeer grote platforms zoals X dat ze regelmatig updates geven over allerlei aspecten van de dienst. Deze transparantierapporten moeten elke zes maanden uitkomen, en een van de verplichte elementen is het aantal “human resources” per officiële EU-taal en hun kwalificaties. Dat doet X dus zo:

Allereerst valt mij dan op dat ze van “rapporteren per taal” gaan naar “dit zijn de volgens ons meest gesproken talen in de EU”, maar goed als de rest 0 is dan snap ik het wel. Verder komt er dan een uitgebreide tekst over hoe goed het team dan wel niet is (ik ben te cynisch want ik ruik ChatGPT). Maar de vraag blijft: is dit erg?

Formeel heeft X aan de DSA voldaan: artikel 42 eist niet meer dan dat je vertelt hoe veel mensen per taal je hebt en wat hun kwalificaties zijn. “We hebben niemand en die halve paardenkop die er zit, kan niets” is een juist antwoord als dat de situatie is. Echter, artikel 16 eist dat je adequaat omgaat met klachten over content, en een onkundige halve paardenkop kan dat natuurlijk niet. Je cijfers zeggen dus wel iets over de kwaliteit van je moderatieteam.

Het aantal mensen (en hun talen + deskundigheid) past natuurlijk ook goed in een analyse van de systemische risico’s (artikel 34) waar je als VLOP naar moet kijken. Als je te weinig mensen hebt om het Nederlandse taalgebied goed te modereren, dan kunnen er dingen misgaan in Nederland. Dat is echter iets voor het risk assessment dat pas over een half jaar hoeft te verschijnen.

Arnoud

 

Honderden security-experts slaan alarm over EU-plan waarmee alle internetverkeer valt te onderscheppen

Geplaatst op in Regulering, 17 reacties

Honderden wereldwijde cybersecurity-experts, onderzoekers en wetenschappers hebben een open brief ondertekend waarin alarm wordt geslagen over de Europese eIDAS-verordening. Dat meldde AG Connect onlangs. Deze creëert een achterdeur waarmee internetverkeer grootschalig afgetapt kan worden.

De eIDAS-Verordening bestaat sinds 2018 en regelt onder meer de rechtsgeldigheid van elektronische handtekeningen, zegels en certificaten. Een voorbeeld van dat laatste zijn de SSL- of TLS-certificaten die door webbrowers worden gecontroleerd om na te gaan of websites echt zijn.

Om de echtheid na te gaan, moet je een vertrouwde entiteit hebben die zegt welke certificaatuitgevende instanties te vertrouwen zijn. Dit ging laatst mis bij DeGiro: die hadden niet de goede certificaten en wisten niet wie die vertrouwde entiteit was – de root certificate issuer, in jargon.

Dit is een bug én feature in het systeem: iedereen moet uitzoeken wie hij vertrouwt, er is geen bindende mededeling vanuit de overheid dat Diginotar partij X altijd geloofd moet worden. En de ophef is dus ontstaan over de voorgenomen wijziging aan de eIDAS-Verordening die dat wél gaat introduceren:

Under the eIDAS regulation, each member state of the EU (as well as recognised third party countries) is able to designate Qualified Trust Service Providers (Qualified TSPs) for the distribution of Qualified Website Authentication Certificates (QWACs). Outside the EU, these TSPs and QWACs are more typically known as Certificate Authorities (CAs) and TLS Certificates, respectively. Article 45 requires browsers to recognise these certificates.
Hiermee wordt het huidige proces van controle en vertrouwen opgeheven en vervangen door een controle door de overheid. Daar hebben velen moeite mee: een kwaadwillende overheid zou een certificaat onder valse naam kunnen uitgeven, waarna browsers de verkeerde site als authentiek aanmerken en men zo gegevens kan onderscheppen.

In de open brief wordt het iets concreter uitgelegd:

Concretely, the regulation enables each EU member state (and recognised third party countries) to designate cryptographic keys for which trust is mandatory; this trust can only be withdrawn with the government’s permission (Article 45a(4)). This means any EU member state or third party country, acting alone, is capable of intercepting the web traffic of any EU citizen and there is no effective recourse. We ask that you urgently reconsider this text and make clear that Article 45 will not interfere with trust decisions around the cryptographic keys and certificates used to secure web traffic.
Voor de duidelijkheid: het gaat dus niet om aftappen bij de internetprovider of vanuit de browser afluisteren, maar om het kunnen omleiden van argeloze internetgebruikers naar malafide sites om te zien wat ze daar doen. Omdat het certificaat als authentiek wordt gezien, zijn die sites niet meer van echt te onderscheiden – sterker nog, juridisch zijn ze de echte site.

Een echte oplossing hiervoor is er nog niet. DNS CAA is op papier een tegenkracht: een website kan in haar domeinnaamgegevens noteren welke autoriteiten voor haar certificaten mag uitgeven. Een browser zou dan kunnen zeggen “dit certificaat voor blog.iusmentis.com is weliswaar vertrouwd vanwege het root certificate van de Democratische Republiek Bordurië, maar iusmentis.com zelf geeft aan dat alleen het Nederlandse SIDN dit mag zeggen”. Het is alleen niet echt in gebruik.

Morgen is de stemming over dit voorstel, en de hoop is dat men op het laatste moment toch de onzinnigheid hiervan inziet.

Arnoud

Brussel onderzoekt of advertenties voor client-side scanning in strijd met DSA zijn

Geplaatst op in Regulering, Uitingsvrijheid, 8 reacties

De Europese Commissie onderzoekt of een eigen politieke microtargeting advertentiecampagne op X, die steun voor het omstreden client-side scanning zocht, in strijd met de Digital Services Act (DSA) is. Dat meldde Security.nl onlangs.

Enige tijd terug tech-expert Danny Meki? dat de Europese Commissie op X een advertentiecampagne heeft gevoerd waarbij het via microtargetting zich richtte op mensen in Nederland, Zweden, België, Finland, Slovenië, Portugal en Tsjechië die wel eens tegen het voorstel zouden kunnen zijn. Deze kregen dan zeer gerichte tegenargumenten.

De ontdekking openbaar maken leverde Meki? – net als professor Armand Girbes – een shadowban op bij X: beperkt vindbaar gemaakt, zonder enige motivatie. Dat dát een DSA overtreding is, lijkt me duidelijk. Maar hoe zit dat met dat profileren zelf.

De DSA is gericht op reguleren en transparantie, maar verbiedt an sich niet zo heel veel dingen. Ook bij advertenties (artikel 26) wordt er met name gevraagd om dingen aan te geven:

  1. Duidelijk markeren dat iets een advertentie is;
  2. Van wie deze afkomstig is (en wie er voor betaalde, indien niet dezelfde entiteit);
  3. “Rechtstreeks en gemakkelijk toegankelijke nuttige informatie over de belangrijkste parameters die worden gebruikt om te bepalen aan welke afnemer de reclame wordt getoond en in voorkomend geval over de wijze waarop die parameters kunnen worden veranderd.”
(Over dat laatste blogde ik laatst.) Dit is gericht op transparantie, weten waarom je bepaalde advertenties krijgt. Maar als die informatie inhoudt “we hebben een profiel samengesteld dat bij jou en nog 10 mensen in de EU paste” dan is daar verder niets mis mee.

Een direct verbod zie ik verder niet. Van de zeer grote platforms zou je wellicht nog kunnen zeggen dat zij microtargeting moeten zien als een systemisch risico, en daar dan maatregelen tegen moeten nemen, maar dat is bepaald indirect.

Al sinds 2021 ligt er een voorstel voor een Verordening over transparantie bij politieke reclame. Van de zomer is dit stil komen te vallen, de redenen zijn onduidelijk. Maar de bedoeling hiervan is om targeting op basis van persoonsgegevens expliciet te verbieden (art. 12).

De verwijzing naar persoonsgegevens suggereert dat de AVG er ook wat van zou moeten vinden, maar een hard verbod ga je niet vinden in deze wet. Je kunt natuurlijk zaken aandragen als profileren, maar dat geldt bij álle advertenties en wordt niet anders omdat jij vrij specifiek eruit gepikt wordt.

Het enige echte argument uit de AVG betreft je politieke voorkeur: als de (micro)targeting gericht is op politieke tegenstanders, dan worden bijzondere persoonsgegevens verwerkt en dat is simpelweg verboden voor zo’n doel.

Arnoud

Een e-bike is geen motorfiets, althans verzekeringstechnisch dan

Geplaatst op in Ondernemingsvrijheid, Regulering, 19 reacties

Een elektrische fiets is geen motorvoertuig, heeft de Europese rechter bepaald. Dat las ik bij TaxLive. Het ging hier om een fiets met trapondersteuning, geen volledige motoraandrijving. Desondanks: dat ding heeft een motor, zou je zeggen als techneut. Maar we zitten hier in het verzekeringsrecht, en dat heeft haar eigen definities.

Het ging in deze zaak om een speed pedelec, een e-bike die maar liefst 45km/uur kan. Dat is harder dan normaal, maar het gaat hier dus om trapondersteuning. Voor een speedpedelec gelden dezelfde regels als voor de bromfiets, aldus de Rijksoverheid. Denk aan een helmplicht en een geel plaatje.

Het maakt juridisch nogal uit of je op een fiets of een bromfiets bij een ongeval betrokken raakt. Een ‘zwakke’ verkeersdeelnemer heeft eerder recht op schadevergoeding, zo staat in de Nederlandse wet (art. 185 Wegenverkeerswet). Het moet dan wel gaan om een verkeersongeval tussen een motorrijtuig en een niet-motorrijtuig. Er ontstaat dan risico-aansprakelijkheid: ook als het niet de schuld van de bestuurder van het motorrijtuig was, moet deze de schade van de wederpartij vergoeden.

In deze zaak – aangebracht door een Belgische verzekeraar – kwam het argument naar voren dat een speed pedelec een motorrijtuig is. Er zit immers een motor in, en dat die het handmatig trappen versterkt in plaats van het wiel geheel zelf te dragen, hoort niet relevant te zijn. Dus geen sprake van een botsing motorvoertuig/zwakkere, dus geen risico-aansprakelijkheid.

Deze risicoverdeling komt uit Europese regels (Richtlijn 2009/103), dus de Belgische rechter legde de kwestie voor aan het Hof van Justitie. De kern van het argument:

Op basis van de door de fabrikant van de betrokken elektrische fiets verstrekte informatie, heeft de rechtbank vastgesteld dat de motor van de fiets, ook in boostfunctie, enkel trapondersteuning biedt, en dat deze functie pas kan worden geactiveerd nadat er spierkracht is gebruikt, door te trappen, door te lopen met de fiets of door deze te duwen. De rechtbank heeft daaruit afgeleid dat het slachtoffer geen bestuurder was van een motorrijtuig in de zin van artikel 1 van de wet van 21 november 1989 en dat het in het kader van artikel 29 bis van die wet als „zwakke weggebruiker” aanspraak kon maken op schadevergoeding (…).
Wat is dan precies een ‘motorvoertuig’? Die Richtlijn geeft een aanwijzing:
alle rij- of voertuigen die bestemd zijn om zich anders dan langs spoorstaven over de grond te bewegen en die door een mechanische kracht kunnen worden gedreven, alsmede al dan niet aan de rij- of voertuigen gekoppelde aanhangwagens en opleggers;
Mechanische kracht, dus als tegenstelling van menselijke of dierlijke kracht (de ossenwagen). Maar betekent dat ‘kunnen’ dat ze enkel en alleen in staat zijn om mechanisch te worden gedreven, of is het genoeg dat ze ook mechanisch kunnen worden gedreven?

Dit staat nergens, en er zijn dus geen aanknopingspunten om hiermee verder te gaan. In haar arrest (C-286/22) kiest het Hof dan ook een andere insteek:

Vervoermiddelen die niet uitsluitend door mechanische kracht worden aangedreven en die zich dus niet over de grond kunnen voortbewegen zonder dat er spierkracht wordt gebruikt, zoals de in het hoofdgeding aan de orde zijnde elektrische fiets, die overigens zonder trappen een snelheid van 20 km/u kan bereiken, kunnen derden evenwel geen lichamelijke of materiële schade berokkenen die qua ernst of omvang vergelijkbaar is met de schade die kan worden veroorzaakt door motorfietsen, auto’s, vrachtwagens of andere voertuigen (…)
Het doel van die risicoverdeling uit de wet is het beschermen van zwakkere partijen. Dat noemen we dan wel “gemotoriseerd versus ongemotoriseerd” maar je moet het eigenlijk lezen als “kan mechanisch en met hele grote snelheid aan komen rijden” versus “kan alleen ondersteuning aan spierkracht bieden”. Met dit criterium is de speed pedelec dus géén motorrijtuig en is haar bestuurder dus een zwakke verkeersdeelnemer.

Het roept wel vragen op: kennelijk is een scooter (met maximumsnelheid van 25km/u) nu ook ongemotoriseerd? Immers, die kan niet “een zekere snelheid bereiken die aanzienlijk hoger is dan die welke met [motoraangedreven] vervoermiddelen kan worden bereikt, en thans nog steeds het overgrote deel van het verkeer uitmaken”. Dit terwijl die dingen wel degelijk volledig door mechanische kracht voortbewogen worden.

Arnoud

 

 

Mijn bedrijf is gehackt: mogen ze voor deze dag snipperuren inzetten?

Geplaatst op in Ondernemingsvrijheid, Regulering, 4 reacties
khaase / Pixabay

Via Reddit:

Een tijdje terug kwamen wij op kantoor ’s ochtends tot de conclusie dat een cyberaanval ervoor zorgde dat we niet aan de slag konden. De IT afdeling had noodgedwongen de infrastructuur moeten “sluiten” om de nodige maatregelen te treffen. Hierdoor hebben we 2 dagen niks kunnen doen. De directie heeft nu besloten dat ze hier onze snipperuren van af willen trekken. Wat is hier precies gebruikelijk in deze situatie?
Het simpele antwoord is natuurlijk: dat kan zeer zeker niet. Dat het werk niet kan doorgaan door een situatie als een cyberaanval is echt zeer zeker het risico van de werkgever. (Ook als de oorzaak een grove menselijke fout van een werknemer is, ik zeg het maar even.)

De wet (art. 7:628 BW) formuleert het als volgt:

De werkgever is verplicht het naar tijdruimte vastgestelde loon te voldoen indien de werknemer de overeengekomen arbeid geheel of gedeeltelijk niet heeft verricht, tenzij het geheel of gedeeltelijk niet verrichten van de overeengekomen arbeid in redelijkheid voor rekening van de werknemer behoort te komen.
Deze sinds 2020 geldende formulering is dus vrij eenzijdig: ook als er niet is gewerkt, moet de werkgever gewoon loon betalen. Alleen als de werkgever kan bewijzen dat “in redelijkheid” het niet-werken in de risicosfeer van de werknemer hoort te liggen, hoeft hij het loon niet te betalen.

Bij invoering van de wet is duidelijk aangegeven dat algemene bedrijfsstoornissen eigenlijk altijd te zien zijn als de risicosfeer van de werkgever, zoals zware regenval waardoor er niet gewerkt kan worden. Een cyberaanval ligt in diezelfde lijn en is dus gewoon risico werkgever.

Het is natuurlijk denkbaar dat de impact van deze cyberaanval zo groot is dat de werkgever in serieuze financiële problemen komt als dan óok nog salarissen moeten worden doorbetaald. Daar valt dan over te praten, maar geeft geen juridische grondslag om dan maar vakantiedagen in te zetten om dit gat te compenseren. De werknemer beslist wanneer zhij vakantie neemt, de werkgever mag wel een vakantie weigeren (bij zwaarwegende redenen) maar niet dicteren wanneer de werknemer op vakantie gaat.

Arnoud

EU klaagt bij X over verspreiding desinformatie rond Israëlisch conflict

Geplaatst op in Ondernemingsvrijheid, Regulering, 7 reacties

Sociaal netwerk X overtreedt de nieuwe Europese techwet DSA als het bedrijf niet optreedt tegen de verspreiding van desinformatie en illegale content, waarschuwt Eurocommissaris Thierry Breton in een brief aan X. Dat meldde Nu.nl onlangs. De reactie  van X-directeur Musk komt neer op “welke berichten bedoel je precies”, de traditionele reactie van grote platforms – en die klopt dus gewoon niet meer met de wet van vandaag.

De brief is een reactie op de vele propaganda- en desinformatieberichten die opdoken sinds de terreuraanvallen van Hamas in Israel. Hiertegen moet X harder en sneller optreden, zeker als daarover geklaagd wordt door autoriteiten. Dat gebeurt nu te weinig, aldus Breton. En het is ook weinig transparant waarom sommige berichten wel en andere niet worden weggehaald.

Een tweede punt is dat je als VLOP (zeer groot platform) ook de meer algemene plicht hebt om adequaat te reageren op desinformatie. Niet alleen op specifieke klachten reageren over individuele berichten, maar ook werken aan filters of algemene manieren om dingen in te dammen. Denk aan het automatisch blokkeren van herpublicaties van eerder geplaatste informatie die weggehaald was.

X-directeur Musk reageert:

Our policy is that everything is open source and transparent, an approach that I know the EU supports. Please list the violations you allude to on ?, so that that the public can see them.
Mijn eerste gedachte was, sinds wanneer moeten klachten in het openbaar worden gedaan om behandeld te mogen worden? De DSA eist dat in ieder geval niet. Je moet een “easy to access and user-friendly” klachtmechanisme hebben. Of je nu als EU of als individuele Wim wil klagen, het mechanisme is hetzelfde.

Verder haal ik uit deze reactie de klassieke mindset dat moderatie gaat om individuele berichten: oei, bericht 420 is een probleem, we kijken even en besluiten bericht 420 weg te halen. Oh en wat zegt u nu, heeft die gebruiker nóg een bericht geplaatst, het is me wat, na de lunch bent u de eerste.

Die mindset is achterhaald sins de DSA, in ieder geval voor die grote platforms. Die moeten ook meer systematisch bezig zijn (art. 34 DSA), zodat je niet steeds achter individuele berichten aan hoeft te rennen. De brief van Breton laat doorschemeren dat het ontbreekt aan zo’n systematische analyse bij X. En hoe men dáár dan op gaat handhaven, zal veelzeggend zijn voor de overige techplatforms.

Arnoud

Wat is er juridisch nou echt te doen tegen ongewenste nieuwsbrieven?

Geplaatst op in Ondernemingsvrijheid, Regulering, 16 reacties
LadyBB / Pixabay

Een lezer vroeg me:

Het is voor mij haast een dagtaak om ondernemingen en ook instanties erop te wijzen dat wij niet geïnteresseerd zijn in hun nieuwsbrieven, en dat ik ook geen behoefte heb aan accounts die ze aanmaken na een eenmalig contactverzoek of bestelling. Welke juridische stappen zijn er mogelijk, want men is niet onder de indruk van mijn verwijzingen naar wetsartikelen.
De frustratie spat haast van de mail af, en dat is heel begrijpelijk. Ik krijg zelf ook dagelijks vijf nieuwe nieuwsbrieven en ik ben opgehouden accountaanmaken te tellen. Gelukkig kan ik het technisch vrij goed wegfilteren, maar irritant is het.

Veel van die nieuwsbrieven komen vanwege aanvragen of bestellingen bij webshops. Dit is een helaas hardnekkig en al lang voorkomend probleem. Veel software voor webwinkels en dergelijke bevat deze functies, dus men denkt “handig, gaan we doen” en pas vele jaren later komt men erachter dat het niet mag. Want nee, je mag klanten niet zomaar nieuwsbrieven sturen – je moet op het bestelformulier een opt-out hebben staan, en dat heeft die software niet.

Het frustrerende: voor ACM en AP heeft het geen prioriteit. Voor individuele consumenten is het niet de moeite om te gaan procederen. Je rechtsbijstandsverzekeraar zal dit niet vergoeden, en wie wil er nu 5000 euro aan een advocaat uitgeven om hier een rechtszaak over te winnen? En zelfs als je wint: dat is dan die ene winkel, daarna zijn er nog tienduizend te gaan.

De heel misschien kansrijke actie is een collectieve procedure waarbij tienduizend man een euro elk eist, want zo’n precedent kan wat sneller geregeld worden dan drie miljard van Oracle eisen en het zal zeker deining maken. Maar wie heeft er zin in voor dit specifieke probleem?

Arnoud

Waarom zet de EC een database met lage informatiedichtheid online?

Geplaatst op in Ondernemingsvrijheid, Regulering, 6 reacties

De Europese Commissie heeft een database online gezet waarin de beslissingen staan opgenomen van techbedrijven die content verwijderen. Dat meldde Tweakers. De verplichting volgt uit de recent van kracht geworden Digital Services Act. De omvang is enorm: bij publicatie van Tweakers telde men 5.450.409 beslissingen, “maar dat aantal loopt per minuut op.” Inhoudelijk lijkt het alleen nul informatie te bevatten. Waar gaat dit over?

De database heet de DSA Transparency Database, en is bedoeld voor VLOPs om te documenteren welke ingrepen zij hebben gedaan bij wijze van contentmoderatie. Dit staat in artikel 24 lid 5 DSA:

Providers of online platforms shall, without undue delay, submit to the Commission the decisions and the statements of reasons referred to in Article 17(1) for the inclusion in a publicly accessible machine-readable database managed by the Commission. Providers of online platforms shall ensure that the information submitted does not contain personal data.
De database bevat de zogeheten “statements of reason” oftewel onderbouwingen van de verwijderbeslissingen (art. 17 DSA) die men neemt in het moderatieproces. Er is enorm veel geklaagd over intransparante moderatie en gebrek aan mogelijkheden van bezwaar. De DSA draait dat dus om: moderatie mag alleen nog als je transparant bent en specifiek over de redenen naar de betrokken gebruiker toe. Met deze database wordt dat extra ondersteund.

De database kan interessant zijn voor onderzoekers, want er zijn enorm veel statistieken mee te maken. Alleen, als je als jurist dan iets verder gaat lezen wat er dan staat, dan valt dat inhoudelijk behoorlijk tegen.

Een voorbeeld is dit bericht van Snapchat, dat een tekst weghaalde omdat deze de Terms of Service schond. Die enkele mededeling is dus te weinig onder de DSA, vandaar dat je nu meer uitleg krijgt:

This was reviewed by our team or systems and was enforced for violation of our Community Guidelines and/or Terms of Service. … Reference to contractual ground: Harassment & bullying … Explanation of why the content is considered as incompatible on that ground: We prohibit bullying or harassment of any kind. This extends to all forms of sexual harassment, including sending unwanted sexually explicit, suggestive, or nude images to other users.
Hier staat inderdaad precies hetzelfde als “schending van de TOS”, alleen dan met een iets specifiekere verwijzing naar een bulletpoint die “harassment & bullying” heet. Maar het wat of waarom ontbreekt nog steeds, want meer dan dit is er niet.

Natuurlijk is het logisch dat de bezwaarlijke tekst er niet in staat. Allereerst zou de database dan exploderen in omvang, en ten tweede zou de Europese Commissie dan mogelijk dingen herpubliceren die in strijd met de wet zijn. Maar meer inhoudelijke motivatie of reageren op wat de persoon postte, dat was wel handig geweest. Op deze manier voelt het alleen maar meer woorden ten opzichte van de oude situatie.

Arnoud