Strava past API-voorwaarden aan, mogen die wel van de AVG?

Bron: Kinkate, Pixabay

Fitnessapp Strava heeft zijn voorwaarden rondom zijn API aangepast, waardoor apps van derde partijen minder data kunnen tonen en geen data mogen gebruiken voor het trainen van AI-modellen. Dat meldde Tweakers. Volgens DC Rainmaker het einde van de third-party apps rond Strava. Denk aan coachingplatforms, die nu ineens geen Strava-data meer kunnen gebruiken. Dus: mag dat van de AVG of een andere DLA?

De reden dat vele tipgevers (dank) aan de AVG dachten, is omdat in de AVG een specifiek artikel staat over dataportabiliteit (art. 22.1 AVG):

De betrokkene heeft het recht de hem betreffende persoonsgegevens, die hij aan een verwerkingsverantwoordelijke heeft verstrekt, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen, en hij heeft het recht die gegevens aan een andere verwerkingsverantwoordelijke over te dragen, zonder daarbij te worden gehinderd door de verwerkingsverantwoordelijke aan wie de persoonsgegevens waren verstrekt (…)
Het recht is wat beperkt: het geldt alleen om gegevens die je zelf verstrekt hebt, niet om gegevens die “gededuceerd en afgeleid” zijn. Ook moet de grondslag toestemming dan wel overeenkomst zijn. Beiden gaan goed bij de Strava-dienst.

Je hebt bij Strava de mogelijkheid een zipfile te downloaden, die zou je dan weer kunnen uploaden bij zo’n coachingplatform. Maar dat kon dus volautomatisch en direct via de API, en nu mag dat ineens niet meer. Dat voelt als een vorm van “hinder”.

De Strava API overeenkomst vermeldt inderdaad een forse beperking:

If your Developer Applications log into Strava on behalf of a Strava user, then you are permitted to access and display data or functionality only for that Strava user, and you may not disclose such data to, or use it for, another user nor any other third party.
Een app die data ophaalt bij Strava (ook via de API) mag die vervolgens alleen tonen aan de gebruiker om wie het gaat. Dus niet de coach of andere gebruikers, zoals bij een leaderboard of competitie.

Artikel 22 AVG spreekt dat niet tegen: dat gaat alleen over toegang tot je eigen persoonsgegevens.

De Richtsnoeren van de AVG-toezichthouders hierover merken op dat het hele punt van dataportabiliteit is “the right to receive personal data and to process them, according to the data subject’s wishes”. Als een hardloper dus wél wil dat de coach meekijkt, dan moet dat kunnen – ook als de hardloopdata uit Strava komt via de API.

Strava zou kunnen zeggen dat deze bepaling uit zorg is over vertrouwelijkheid van persoonsgegevens. Maar dat is nadrukkelijk niet nodig, aldus diezelfde Richtsnoeren:

In this respect, the data controller is not responsible for compliance of the receiving data controller with data protection law, considering that it is not the sending data controller that chooses the recipient.
Als het jouw keuze is dat je coach je hardloopprestaties mag zien, dan heeft Strava daar niets meer van te vinden. Ze mogen dan weer wel een adequate authenticatie uitvoeren, om zeker te weten dat dit nog steeds jouw wens is.

De andere grote DLA om voor uit te kijken is de DMA, de Digital Markets Act. Deze sjagrijnige broer van de Digital Services Act is bedoeld om een eerlijke digitale market te creëren, en bevat stevige bepalingen tegen machtsmisbruik dat voortvloeit uit een digitale koppositie, wat de DMA “poortwachterschap” noemt.

Een poortwachter moet bijvoorbeeld haar communicatiedienst interoperabel maken (art. 7), iets waar WhatsApp nu mee worstelt. Appstores van poortwachters moeten te passeren zijn, de reden dat Apple zo boos is dat ze haar AI-speelgoed de EU markt niet op wil brengen (dus niet de AI Act).

Dataportabiliteit algemeen staat er ook in, en dan vanuit het perspectief van de concurrent:

De poortwachter zorgt ervoor dat zakelijke gebruikers en door een zakelijke gebruiker gemachtigde derden op hun verzoek kosteloos effectieve, kwaliteitsvolle en continue realtimetoegang hebben tot en gebruik kunnen maken van geaggregeerde en niet-geaggregeerde gegevens, persoonsgegevens inbegrepen, die door die zakelijke gebruikers en door de eindgebruikers die betrokken zijn bij de door die zakelijke gebruikers geleverde producten of diensten worden verstrekt voor of gegenereerd in het kader van het gebruik van de betrokken kernplatformdiensten of diensten die samen met of ter ondersteuning van de betrokken kernplatformdiensten worden aangeboden.
Met die bepaling is Strava’s API bepaling triviaal ongeldig. Alleen: daarvoor moet Strava een poortwachter zijn, en daar kom je pas aan als je
  1. een aanzienlijke impact hebt op de interne markt;
  2. een kernplatformdienst aanbiedt die voor zakelijke gebruikers een belangrijke toegangspoort tot eindgebruikers vormt, en
  3. met betrekking tot haar activiteiten een stevig verankerde en duurzame positie inneemt of naar verwachting in de nabije toekomst een dergelijke positie zal innemen.
De DMA vermeldt enkele getallen die een vermoeden opleveren dat hiervan sprake is (jaaromzet van ten minste 7,5 miljard EUR, actief in drie lidstaten, minstens 45 miljoen maandelijks actieve eindgebruikers, zo nog wat en dat drie jaar lang). Maar daar komt Strava niet aan.

Terug naar de AVG dus. Hier lijkt er ruimte zijn voor handhaving, maar mijn vermoeden is dat er weinig prioriteit voor zal zijn bij de toezichthouders. Immers, de belangen van betrokkenen worden niet direct geraakt, Strava is eerder té beschermend dan te weinig.

Er is echter hoop: in de zaak Linden Apotheker heeft het Hof van Justitie bepaald dat ook concurrenten een verwerkingsverantwoordelijke mogen aanklagen wegens een AVG-schending. Dus niet alleen betrokkenen of hun massaclaimorganisaties. Een coachingplatform dat zich nu geblokkeerd ziet, mag Strava in Europa dus juridisch aanpakken onder de AVG.

Arnoud

 

 

Google gaat in EU stoppen met politieke advertenties

Photo by Brian Wertheim on Unsplash

Google gaat stoppen met het tonen van politieke advertenties in de Europese Unie. Dat meldde Tweakers. Het is een reactie op de in maart gepubliceerde Verordening betreffende transparantie en gerichte politieke reclame, die 10 oktober 2025 van kracht wordt.

Op haar blog klaagt het bedrijf dat als missie heeft alle kennis van de wereld te ontsluiten dat dit té ingewikkeld is:

The European Union’s upcoming Regulation on Transparency and Targeting of Political Advertising (TTPA) unfortunately introduces significant new operational challenges and legal uncertainties for political advertisers and platforms. For example, the TTPA defines political advertising so broadly that it could cover ads related to an extremely wide range of issues that would be difficult to reliably identify at scale.
Pakken we de wet erbij, dan zien we dat politieke reclame twee kanten kent:
  1. Reclame door, voor of namens een politieke actor, tenzij het om een zuiver particuliere of commerciële boodschap gaat; of
  2. Reclame die van invloed kan zijn op en bedoeld is om het resultaat van een verkiezing of referendum, stemgedrag of een wetgevings- of regelgevingsproces op Unie-, nationaal, regionaal of lokaal niveau te beïnvloeden; [uitgezonderd neutrale overheidsinformatie]
Dit komt mij toch niet buitengewoon onduidelijk voor. Het onderscheid tussen commerciële reclame en politieke/ideologische boodschappen is volgens mij al lang begrepen.

Het probleem is volgens mij eerder artikel 11, de transparantie- en labelingvereisten voor elke politieke reclameboodschap. Je moet zulke reclame markeren als politiek, én “de entiteit die uiteindelijk zeggenschap heeft over de opdrachtgever” er bij noemen. Ik zie wel hoe dat ingewikkeld kan zijn, want (zeker in de VS) zijn veel van zulke entiteiten er niet van gediend om publiek bekend te worden.

Opmerkelijk genoeg zijn de financiële sancties (artikel 25) gericht op die opdrachtgevers, “uitgevers” van reclame – wat Google zou zijn – kunnen geen boete krijgen maar alleen bevelen om advertenties te blokkeren en daarvoor filtermechanismen te bouwen en dergelijke.

Wat ik me dan afvraag: als je gaat stoppen met politieke reclame omdat je die niet kan herkennen, hoe ga je dan herkennen dat je zo’n advertentie niet wilt?

Arnoud

 

 

Google moet gegevens van YouTube-gebruiker met Zwols bedrijf delen

mohamed_hassan / Pixabay

Google moet de gegevens van een gebruiker achter een YouTube-kanaal delen met een Zwols bedrijf dat instructievideo’s maakt waarmee cursisten zich kunnen voorbereiden op het CBR-examen. Dat meldde Security.nl vorige week. Het bedrijf meent dat sprake is van auteursrechtinbreuk door de plaatser van de video’s. Hoe zat dat ook alweer?

De vaste lezers van deze blog denken nu wellicht aan het Lycos/Pessers-arrest, al lang de vaste rechtspraak rond afgifte NAW-gegevens bij een vermoedelijk onrechtmatig handelen. Het vonnis in deze zaak kent een andere route: 843a Rechtsvordering, de zogeheten exhibitieplicht waarin je als partij mee moet werken aan bewijs overleggen. Dit kent vier eisen:

  1. de eiser moet een rechtmatig belang hebben,
  2. het verzoek moet zien op bepaalde bescheiden die
  3. zien op een rechtsbetrekking waarin de eiser partij is en
  4. de aangesproken partij moet deze tot haar beschikking of onder haar berusting hebben
De eiser had onderbouwd dat de video’s auteursrechtelijk beschermd waren, en dat de inbreuk grootschalig genoeg was om een rechtszaak over te willen voeren. Aan eis 1 was dus voldaan.

Wat eis 2 betreft moet Google de gevraagde naam, telefoonnummer, e-mail- en IP-adressen en geboortedatum afgeven. Dat is nodig en genoeg om een advocaat een dagvaarding mee te kunnen laten versturen. Maar wat Google niet heeft, hoeft ze natuurlijk niet af te geven (eis 4).

Je kunt je afvragen of er (eis 3) wel een ‘rechtsbetrekking’ is tussen Google en de eiser. Wat heeft Google te maken met de auteursrechtinbreuk door die kanaaleigenaar? Maar juridisch krijg je een ‘rechtsbetrekking’ als je iemands rechten schendt – een verbintenis tot schadevergoeding uit onrechtmatige daad, in jargon. En dat is genoeg voor deze eis.

Google had nog gesteld dat men ook een notice&action verzoek had kunnen sturen. Google zou dan vast de video’s hebben weggehaald. Maar dat werkt niet voor de eiser, die wil een schadevergoeding en een verbod (ik gok met dwangsommen) op herhaalde inbreuk, bijvoorbeeld via een nieuw Youtubekanaal.

Het resultaat is niet heel verrassend. Deze benadering is vooral interessant omdat het zo een stuk makkelijker te motiveren is dat je gegevens wilt hebben. Bij de Lycos/Pessers criteria zit meer een inhoudelijke afweging en een toets of je alle andere mogelijkheden hebt uitgeput. Hier komt het neer op “dit wil ik hebben, jij weet het en er is iets serieus aan de hand, geef het”. Ik ben dus benieuwd of dit de norm gaat worden.

Arnoud

 

heeft de Rechtbank Overijssel bepaald. Op het betreffende YouTube-kanaal zijn sinds juli vorig jaar instructievideo’s te zien, waarvan het Zwolse bedrijf stelt dat zij de rechthebbende is.

 

Help, mijn docent zegt dat ik met ChatGPT heb gefraudeerd maar ik schreef alles zelf!

Photo by Jonathan Kemper on Unsplash

Een lezer vroeg me:

Ik zit op het vwo en moest een paper inleveren. Dat heb ik netjes gedaan, alleen zegt mijn docent nu dat dit uit ChatGPT komt en dat ik dus gefraudeerd heb. Dat is zeer zeker niet waar (ik haat die clichéformuleringen), maar hoe moet ik dat nu aantonen?
Ik hoop dat die beschuldiging van fraude met iets meer bewijs werd gedaan dan wat ik ooit las “ik vroeg het ChatGPT zelf en die zei van wel”. Want dat was klinkklare onzin.

Tegelijkertijd weet ik dat veel docenten overspoeld worden met ChatGPT-uitvoer, van werkstukken tot mails, voorstellen en wat heb je nog meer. Daar krijg je dan een neus voor, zeker als je het fors ziet afwijken van wat de leerling produceert wanneer deze geen directe internettoegang heeft. En dan snap ik dat een docent er bovenop springt.

Lastiger is de vraag wat voor bewijs er nodig is in de context van zo’n schoolopdracht. Enerzijds mag je van docenten verwachten dat ze meer aandragen dan “ik herken ChatGPT intuïtief”, anderzijds mag je van scholieren verwachten dat ze meer kunnen laten zien dan enkel hun finale paper.

Mijn voorstel zou dus zijn dat deze lezer zhaar bronnen, concepten en eerdere versies overlegt om te laten zien hoe de tekst tot stand gekomen is. Als dat niet lukt, dan zou een mondelinge discussie over de inhoud een alternatief kunnen zijn: wie zelf ergens een paper over schrijft, moet dat mondeling kunnen toelichten lijkt me. Dit is in ieder geval hoe het bij universiteiten lijkt te werken.

Jullie andere suggesties? Een betrouwbaar werkende genAI-detector ben ik nog niet tegengekomen. (Grammarly’s detector geeft mij zeer wisselende resultaten.)

Arnoud

 

Ik word met mijn paspoortnaam aangesproken in reactie op een recensie, mag dat?

jackmac34 / Pixabay

Via Reddit:

Ik ben een reviewer, want dat vind ik leuk. In de afgelopen jaren heb ik meer dan 140 online reviews geplaatst. … Nu heb ik afgelopen week een héééle nare ervaring gehad met een bedrijf, en voor het eerst een slechte review geschreven waarbij ik heb beschreven hoe mijn ervaring was en hoe ik naar mijn idee ben behandeld. Nu heeft dat bedrijf (een huidkliniek) mijn persoonlijke gegevens die ik in vertrouwen heb gegeven in hun systeem opgezocht en spreken zij me in hun review antwoord aan met mijn volledige paspoortnaam en zeggen ze dat ik lieg. … Mag dit zomaar? Wat zouden jullie daarmee doen?
De reviewer gebruikt (zoals velen) een bijnaam, wat online erg verstandig is. Maar bij het recenseren van producten of diensten kan de wederpartij natuurlijk vaak achterhalen om wie het gaat. Ook dat is verstandig: wie niets doet tegen neprecensies, kan zomaar onderuit gaan als bedrijf.

Dat het bedrijf opzoekt om wie het ging, vind ik dus logisch. Vervolgens intern nazoeken wat er is gebeurd en meneer benaderen lijkt mij ook geheel in orde (ook AVG-technisch, after sales service is gewoon toegestaan natuurlijk). Maar de naam online zetten in een reactie op de recensie?

Sommige reacties noemen het doxxing, het strafbare feit uit art. 285d Sr van het verspreiden van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen”. Dat gaat me wat ver, maar ik zie hoe het intimiderend over kan komen. En het is denkbaar, dat je iemands echte naam gebruikt in de hoop dat die schrikt en de recensie weghaalt – dan gaat de reactie met echte naam ook weg.

Mag het van de AVG? Het is natuurlijk een verwerking van persoonsgegevens. Op het eerste gezicht: ja, je mag een klant met diens naam aanspreken (natuurlijk). Maar, dat gebeurt hier allereerst op een openbaar forum en niet in zeg een telefoongesprek of mailbericht.

Ten tweede wordt hier die echte naam verbonden aan een gezondheidsgegeven, want we hebben hier te maken met een huidkliniek. En daarmee onthult de kliniek dus een medisch gegeven over een klant, wat zeer zeker niet recht te breien is onder de AVG.

Maar of je het nu onder het strafrecht of via de AVG wilt benaderen, het probleem blijft natuurlijk dat niemand je erbij gaat helpen. De meest aangewezen partij is de reviewsitebeheerders, die onder de DSA moeten handelen op je klacht dat er onrechtmatig persoonsgegevens (of je privacy) wordt geschonden. Aangifte lijkt me kansloos.

Arnoud

Hoe veel kost overname van andermans foto als je dat automatisch doet?

Photo by OpenClipart-Vectors on Pixabay

Hoe veel kost overname van een foto nou echt, en wat doe je als je heel verschillende tarieven ziet? Die vraag kreeg de rechtbank Gelderland recent in een zaak tussen twee fotografen en een regionale nieuwssite. De uitspraak raakt aan embedded linken, citaatrecht én de hoogte van de schadevergoeding.

De fotografen, althans de organisatie waar ze bij aangesloten waren, hadden gezien dat zo’n duizend foto’s verschenen op die nieuwssite. Reden voor een forse rekening, alleen bleek al snel dat de meesten daarvan via een embedded hyperlink (dieplink) vanaf hun eigen server werd ingeladen. Dat is dus geen inbreuk.

Van 82 foto’s (eiser 1) en 390 foto’s (eiser 2) stond vast dat ze waren gekopieerd (gedownload en ingeladen op de eigen server). Dat moet je niet doen: dat is inbreuk. Althans, tenzij je je kunt beroepen op citaatrecht, maar dat ligt moeilijker dan je zou denken, zeker als je alles volautomatisch doet:

Naar het oordeel van de rechtbank kan een beroep op het citaatrecht niet slagen als een nieuwsbericht, naast een koptekst, louter en alleen bestaat uit een foto. De gebruikte foto is dan namelijk niet van ondergeschikt belang ten opzichte van de uitlatingen van de gebruiker. Een uitlating van de gebruiker ontbreekt bovendien in dit concrete geval. Dat dit moet worden beoordeeld in de context van de gehele website en niet ten aanzien van een enkel nieuwsbericht, zoals [gedaagde] heeft betoogd, vindt naar het oordeel van de rechtbank geen steun in het recht. Die opvatting zou teveel afbreuk doen aan het beschermingsniveau van intellectuele eigendomsrechten zoals gewaarborgd door de Auteursrechtrichtlijn en de Aw.
Het achterliggende argument is dat een citaat wel wat toe moet voegen. Je toont niet een foto omdat je bron dat ook doet, je doet dat omdat die foto iets toevoegt. Je hebt de foto nodig, wellicht als bewijs, wellicht om je eigen betoog te versterken of juist om in te hakken op de foto, maar zoals ik altijd zeg: een overname is pas een citaat als je eigen verhaal onduidelijker wordt zónder de overgenomen foto.

Bij sites als deze wordt eigenlijk altijd standaard de foto van het bronartikel meegenomen, en naast de eerste alinea getoond. Als dat met embedden gebeurt, is dat prima (oordeelt ook deze rechter), maar als je foto’s overneemt dan kom je dus in een spannend gebied terecht. Een hele kleine overname (niveau postzegel) is traditioneel wel een citaat in de vorm van een aankondiging, maar zo te lezen waren de foto’s hier een stuk groter.

Dan blijft over de vraag, hoe veel schade moet de inbreukmaker vergoeden. Het gaat hier om professionele fotografen, dus als hoofdregel is dat de gemiste licentievergoeding. Daar stonden twee argumenten tegenover elkaar:

  1. De fotografen stelden dat ze normaal voor zulk gebruik €285 per foto betaald kregen, en hadden facturen overlegd die daadwerkelijk dat bedrag in rekening brachten.
  2. De gedaagde had gevonden dat de opdrachtgever van die fotografen (DPG media) eerder rond de 11 euro per foto rekende.
De rechtbank volgt (weinig verrassend) de bewijzen van de fotografen. Wat marktconform is, is niet relevant. Bij schade gaat het om de schade die jij leed, niet wat men gemiddeld aan schade heeft. Als je mijn dure Spkyer auto total loss rijdt, heb ik meer schade dan wanneer dat bij mijn 15 jaar oude Opel Corsa gebeurt.

De rechter neemt hier (wel ietwat verrassend) de staffelkorting over die de fotografen hanteren. Hierdoor komt het tarief op ongeveer 192 (eiser 1) en 100 euro (eiser 2) per foto. En in het eindvonnis (er was wat procedurele discussie) gaat het dan hard – 16k respectievelijk 40k schadevergoeding.

Weliswaar zonder allerlei opslagen voor naamsvermelding, gemiste exclusiviteit en weet ik veel. Maar desondanks een enorm bedrag. Daar komen dan nog de proceskosten bij, die in auteursrechtzaken normaal neerkomen op de échte rekening van de advocaat (en niet het forfaitaire tarief). Alleen zijn er sinds enkele jaren richtsnoeren dat het bij “eenvoudige” zaken – zoals deze – gemaximeerd moet zijn op 8000 euro in een bodemprocedure. En dat doet de rechtbank dan ook.

Arnoud

Wanneer verdient gefotoshopte content het label “AI assisted”?

Photo by Florinel ZONE on Unsplash

Een probleem bij Facebook en collega’s: je krijgt al vrij snel het label “AI assisted” of vergelijkbaar aan je beeldmateriaal. Moederbedrijf Meta worstelt met hoe dit aan te pakken, omdat zij nepbeeld wil aanpakken maar er nauwelijks goede criteria zijn. Maar op dit moment is het “als je Adobe®? Photoshop gebruikt, krijg je het label” en dat is ook weer niet heel handig.

De opkomst van AI-beeldgeneratoren heeft geleid tot een stortvloed aan nepbeeld en AI-revisies. Soms bizar (zoals Shrimp Jesus), soms gewoon nieuwe kunst en soms welbewuste manipulatie van de werkelijkheid – en van alles daar tussenin.

Dit aanpakken begint bij het herkennen, en daar ligt ook meteen het probleem. De meeste bedrijven in deze sector doen mee aan wat Adobe Content Credentials heeft genoemd: een label in de metadata waarin kort opgesomd staan welke handelingen met AI zijn uitgevoerd. Deze is via een stevige hash verbonden aan de afbeelding, en kan dus ook geverifieerd worden als het label uit het beeld gehaald worden (en ook na bepaalde triviale manipulaties zoals roteren).

Facebook, Instagram en collega’s screenen op dit label, en tonen dan een waarschuwing: “Made with AI”, tegenwoordig “AI Info”. Van tegenhouden of andere maatregelen is (vooralsnog) geen sprake, en in het kader van transparantie is dit al een mooie stap natuurlijk. (Het moet ook in het kader van de zorgplicht onder de DSA die deze platforms hebben.)

Probleem is natuurlijk: wanneer is iets “made with AI” of “AI assisted”. Heel veel aanpassingen die we de afgelopen twintig jaar als “image was enhanced using Adobe® Photoshop® software” (deze frase is verplicht) hebben omschreven, worden tegenwoordig als AI-aanpassingen gezien. Niet alleen generatief (het uitbreiden van je canvas) maar ook basale zaken als objecten herkennen en vervangen. Dit speelt natuurlijk ook bij andere tools.

Ik denk niet dat je hier ooit echt uitkomt. Het compromis dat nu gevonden is, komt neer op een onderscheid tussen “de afbeelding kwam in de basis uit een genAI tool” en “de afbeelding is aangepast met AI-achtige tools”. Die eerste krijgen het label, bij die tweede zie je het pas als je de foto-informatie opvraagt. Ideaal is dat niet, maar ik weet niet hoe het beter zou moeten.

Arnoud

 

Amerikaanse rechter: TikTok verantwoordelijk voor door derden geplaatste content; gevolgen voor sociale media

Photo by and machines on Unsplash

TikTok heeft in een Amerikaanse rechtszaak een nederlaag geleden die grote gevolgen kan hebben voor claims tegen andere socialemediabedrijven in de Verenigde Staten. Dat meldde Villamedia onlangs. De video-app kan zich niet op de bescherming voor tussenpersonen (Section 230) beroepen bij een claim wegens overlijden van een tienjarige die meedeed aan een “blackout-challenge”.

De moeder van het meisje had het platform aansprakelijk gesteld voor het overlijden, omdat het platform via algoritmes aanbevelingen deed voor filmpjes over deze challenge. De hoofdregel is natuurlijk dat platforms niet aansprakelijk zijn voor content van gebruiker. Section 230, de Amerikaanse DSA, bepaalt expliciet dat dit hen niet aangerekend kan worden.

Het argument hier was dat TikTok zich deze content eigen gemaakt heeft door (algoritmisch) deze te pushen. Dan ben je niet meer een doorgeefluik zeg maar. En dit gaat ook niet over moderatie: het is een keuze wat je aanbeveelt.

Het artikel zelf is beroemd en kort:

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.
De term “publisher or speaker” moet breed opgevat worden. Het dekt alle gevallen waarin een platform content van anderen doorgeeft. Dus niet alleen de passieve kaders biedt waarin de video gestart kan worden, óók bij aanbevelingen, gesorteerde overzichten en zoekresultaten.

In een zaak uit 2023 (Gonzalez v. Google) bepaalde de US Supreme Court nog dat Google/Youtube niet aansprakelijk te stellen was voor medeplichtigheid aan de terreurorganisatie ISIS. Die had een Youtubekanaal met advertenties, wat Google (kennelijk oogluikend) liet bestaan ondanks vele klachten. De Supreme Court wees de claim af op Section 230: ongeacht hoe Google ook deze content had gepromoot of gesteund, dat maakte ze een “publisher or speaker” van informatie van een ander en dús niet aansprakelijk.

Het Hof van Beroep in deze zaak pakt er een recentere uitspraak bij (Moody v. Netchoice, 2024). Hierin verbood de Supreme Court de staten Florida en Texas om eigen regels te maken over wat platforms voor moderatiebeleid mogen stellen. Zulke eigen regels gaan in tegen het First Amendment: modereren en kiezen wat je wel en niet toelaat is jóuw beschermde expressie, in de zin van de uitingsvrijheid.

Het Hof van Beroep gebruikt dit als argument om te zeggen dat algoritmische aanbevelingen dus de eigen uitspraken zijn van TikTok, en geen content van een ander die zij doorgeeft. En omdat Section 230 alleen bij die laatste categorie beschermt, is TikTok dus aansprakelijk te stellen voor de eigen uitspraken, de algoritmische aanbevelingen die ze doet.

Probleem hiermee is alleen dat de opstellers van Section 230 expliciet met hun wet ook algoritmische aanbevelingen – zoekmachines, in 1995-terminologie – wilden beschermen. Het zou raar zijn dat je Google mocht aanspreken op een zoekresultaat met het argument dat het hún content is, en niet doorgegeven content van die site. Dan blijft er niets over van Section 230.

Dus nee, deze uitspraak van het Hof is fout. Alleen: dat moet naar het Supreme Court om rechtgezet te worden, en dat zal een paar jaar duren (zeker met de te verwachten stroom aan claims rondom de presidentsverkiezingen).

En natuurlijk, het voelt raar dat TikTok niets te verwijten valt bij het promoten van zulke ernstige (en strafbare) video’s. Maar dat los je niet op met een groot gat in een algemene regeling. De Europese aanpak met, naast zo’n algemene regeling, een specifieke plicht tot optreden tegen strafbare content (met adequate teams van moderatoren) en het stipt opvolgen van bevelen van autoriteiten is dan een stuk verstandiger.

Arnoud

Braziliaans hooggerechtshof blokkeert toegang tot X

Photo by carolina daltoe on Unsplash

Socialemediaplatform X wordt geblokkeerd in Brazilië, las ik bij Tweakers. Het Braziliaanse hooggerechtshof nam deze beslissing omdat X niet tijdig een juridische vertegenwoordiger heeft aangesteld in het land. De uitspraak is een escalatie in een al veel langer lopend geschil tussen X-eigenaar Elon Musk en de Braziliaanse rechterlijke macht.

Het formele punt is vrij simpel: buitenlandse bedrijven zijn in Brazilië (binnen bepaalde kaders) verplicht om een lokale vertegenwoordiger te hebben als ze daar zaken doen maar er niet direct gevestigd zijn. Die vertegenwoordiger is dan aan te spreken voor eventuele schade of contractbreuk door het bedrijf. Hoe die het dan verhaalt op het buitenlandse moederbedrijf is iets dat ze dan onderling mogen regelen.

Dit kennen wij in Europa ook, leveranciers van allerlei productcategorieën – en AVG-verwerkingsverantwoordelijken – van buiten de EU moeten in die situatie ook een vertegenwoordiger stellen. In Brazilië is dat voor internetdienstverleners expliciet geregeld, inclusief ultieme sanctie dat internetproviders die diensten anders moeten blokkeren wanneer de rechter dat beveelt.

Je moet de uitspraak echter in het bredere kader zien van het al veel langer lopende geschil waar X in verwikkeld is. Rechter Alexandre de Moraes probeert X te dwingen harder op te treden tegen nepnieuws, en dit is de laatste in een reeks sancties die hij daarbij opgelegd heeft. Wikipedia documenteert het neutraal:

In april 2024 kreeg De Moraes te maken met publieke reacties vanwege het bevel van het Hooggerechtshof om verschillende X-accounts te blokkeren, waarbij de strijd tegen desinformatie als reden werd aangevoerd. X-eigenaar Elon Musk beschuldigde De Moraes van “schaamteloos en herhaaldelijk verraden van de grondwet en het volk van Brazilië”, wat er op zijn beurt toe leidde dat het Hooggerechtshof een strafrechtelijk onderzoek tegen Musk opende wegens het verspreiden van onjuiste informatie en vermeende belemmering van onderzoeken. De uitwisseling heeft gemengde reacties uitgelokt, zowel van Braziliaanse politici als van internationale internetgebruikers.
Je kunt dit zien als gewoon wat je krijgt als je probeert te doen of je met jouw dienst belangrijker bent dan een specifiek land. Dan escaleert handhaving en rechtspraak, en de ultieme consequentie (zie de discussie over Telegram blokkeren onder de DSA) is dan een blokkade of een verbod tot zakendoen.

Probleem is dat de hele toestand begon met een heftige politieke aanleiding: de bestorming van het Braziliaanse Congres in 2023, nadat oud-president Jair Bolsonaro de verkiezingen had verloren. Diverse sociale media, waaronder X, werden gebruikt om een en ander te promoten of zelfs coördineren. Begrijpelijk dat het land dan extra zwaar inzet op het de kop indrukken van staatsgevaarlijke uitingen.

Waarom X specifiek hier een punt van maakt, is niet helemaal duidelijk. Onder Musk staat de dienst niet bepaald bekend als een voorvechter van het vrije woord; men blokkeert in India of Turkije nadrukkelijk zaken (en mensen) die tegen overheidsopvattingen ingaan. Volgens Musk in 2023 was dat normaal voor internetbedrijven, je moet je nu eenmaal aan lokale wetgeving houden.

Bij Associated Press lees ik een mogelijke verklaring:

Far-right X users have been trying to involve Musk in Brazilian politics for years, said Bruna Santos, lawyer and campaign manager at nonprofit Digital Action.
Het zou hem er dan in zitten dat bij die andere landen het bevel gewoon bij de juridische afdeling terecht kwam, terwijl de actie van De Moraes direct bij Musk persoonlijk uitkwam. En die zag daar een dringende noodzaak tot verdedigen van het vrije woord.

Een meer fundamentele discussie is hoe je als multinationale internetdienst om moet gaan met lokale wetgeving. Die discussie is al behoorlijk oud. Het moeilijke eraan is altijd dat ieder land haar eigen normen en waarden heeft, en vindt dat ze die mag handhaven.

Als de dienstverlener hele andere normen en waarden uitdraagt, dan krijg je een conflict. Weggaan is natuurlijk altijd een optie, maar kun je als dienstverlener dan ook zeggen, ik pleeg burgelijke ongehoorzaamheid, ik blijf dit faciliteren want de onderliggende norm is belangrijker? Dat kan, maar de escalatie kan je dan behoorlijk wat omzet kosten.

Arnoud

 

 

 

X gebruikt voorlopig geen berichten van Europese gebruikers om AI te trainen

Photo by Andrei Zolotarev on Unsplash

Socialemediaplatform X gebruikt voorlopig toch niet zomaar de gegevens van Europese gebruikers om zijn AI-modellen te trainen. Dat meldde Nu.nl vorige week. Gebruikers moeten eerst een duidelijke optie krijgen om hun toestemming daarvoor in te trekken. Of is het dan toch bezwaar maken?

Zoals vele partijen is ook X bezig met een eigen genAI chatbot. Deze heet Grok en heeft, wederom net als bij iedereen, enorm veel trainingsdata nodig. En dat kwam even goed uit, want X zit natuurlijk vol met conversaties en iedereen had algemene voorwaarden geaccepteerd waarin vast een regeltje te vinden was.

Probleem daarmee is alleen dat heel veel van die trainingsdata als persoonsgegeven aan te merken is. En die verwerken vereist in de EU meer dan alleen een generieke clausule in de voorwaarden. Als je geen toestemming hebt, dan zul je dit moeten doen met een beroep op het “gerechtvaardigd belang“. Dat vereist dan weer de optie van afmelden met een beroep op persoonlijke omstandigheden.

Onduidelijk is welke grondslag X meent te hanteren, maar wat in ieder geval niet helpt is dat er een stilletjes ingevoerd toestemmingsknopje werd gehanteerd dat standaard op ‘ja’ stond.

De Ierse privacytoezichthouder schrok zo van deze ontwikkeling dat ze voor het eerst in haar bestaan haar zogeheten Section 134-bevoegdheid inzette: een spoedbevel tot stoppen van een bepaalde verwerking omdat de rechten van burgers ernstig en direct bedreigd worden.

Het roept natuurlijk de discussie op waarom men X aanspreekt terwijl zo ongeveer de hele wereld Twitter (en Reddit, en Facebook, et cetera) dagelijks leegtrekt om er AI modellen op te trainen. Het simpele antwoord is natuurlijk: die mogen dat óók niet, alleen zijn iets lastiger op te sporen. En nee, dat het “publieke data” is (wat dat ook betekent), is juridisch irrelevant.

Arnoud