Internetrecht door Arnoud Engelfriet

De burgemeester van Utrecht mocht een jongen uit Zeist in 2021 niet verbieden om online een oproep te doen om in opstand te komen tegen het coronabeleid en het vuurwerkverbod. Dat las ik bij Security.nl. De rechtbank Midden-Nederland had de primeur om te oordelen over de online gebiedsverboden, en is (terecht) kritisch. Het onderwerp is al ingewikkeld genoeg zonder dat termen als “plaats” worden opgerekt naar wat we ooit cyberspees noemden.

De jongen had in november 2021 opgeroepen: “Utrecht in opstand, nee 2G & nee vuurwerkverbod! 26-11-21, 19.30, Kanaalstraat, Be there!!! Neem je matties & vuurwerk mee.” Dit is typisch een voorbeeld van “aanzetten tot openbare-ordeverstoring” waar APV’s voor gemaakt zijn en burgemeesters bevelen tegen uit kunnen delen. Om nou te zeggen dat dit strafbaar is nee, maar het idee dat een club matties met vuurwerk gaat rondlopen vrijdagavond 19.30 (vlak na een coronapersconferentie, u weet wel toen alles dicht was), ja dat neigt wel naar verstorend.

Ingrijpen dus. Alleen: de jongen stond niet op een bankje in het park te roepen, waar de politie hem zonder twijfel had kunnen oppakken voor zo’n ordeverstoring. Hij zei dit namelijk in een Telegramgroep, terwijl hij fysiek in de naburige gemeente Zeist was op dat moment. Dan komen we dus bij de online ordeverstoring, waar Almelo in december haar APV voor aanpaste. Utrecht dacht dat men het met het ‘gewone’ ordeverstoringsartikel 2:2 APV aankon:

Onverminderd het bepaalde in de artikelen 424, 426 bis en 431 van het Wetboek van Strafrecht is het verboden op of aan een openbare plaats of in een voor publiek toegankelijk gebouw, op enigerlei wijze: … de orde te verstoren; … deel te nemen aan een samenscholing … door uitdagend gedrag aanleiding te geven tot wanordelijkheden.

De APV-bepaling is duidelijk bedoeld voor de situatie dat er op de openbare plaats uitdagend gedrag wordt vertoond dat aanleiding geeft tot wanordelijkheden. Dit blijkt in de eerste plaats uit de tekst van artikel 2:2, eerste lid, onder g, van de APV zelf. Er staat namelijk dat het verboden is op of aan een openbare plaats op enigerlei wijze door gedrag aanleiding te geven tot wanordelijkheden. In de tweede plaats volgt uit de toelichting op het artikel ook niet dat het gedrag digitaal zou kunnen plaatsvinden. De bewoording ‘op enigerlei wijze’ in het artikel doet daar niet aan af, aangezien het gaat om gedrag op of aan een openbare plaats dat op enigerlei wijze kan worden geuit.

Als de uitleg van de burgemeester van artikel 2:2, eerste lid, onder g, van de APV vervolgens zou worden gevolgd, is er dus sprake van een verbodsbepaling in de APV om op social media uitdagende uitlatingen te doen die aanleiding geven tot wanordelijkheden. Dit is niet toegestaan, want in een gemeentelijke verordening mag de inhoud van uitlatingen niet aan banden worden gelegd. Het is een lokale regelgever (in dit geval de gemeenteraad) namelijk niet toegestaan om grondrechten te beperken wanneer een dergelijke beperking niet kan worden teruggevoerd op een wet in formele zin.

Hoe had dit nu uitgepakt onder de Almelose APV? Die verbiedt immers:

Het is verboden om via digitale middelen, onder andere via internet, virtuele ruimtes en sociale media, uitingen te doen, te delen en/of in stand te laten, die kunnen leiden tot een fysieke verstoring van de openbare orde binnen het grondgebied van de gemeente Almelo, dan wel voor het ontstaan van een ernstige vrees daarvoor.

Eind januari kwamen er antwoord op Kamervragen over het Almelose online verbod, met daarin deze nadere nuancering:

Er is daarmee pas aanleiding om op te treden wanneer er sprake is van een verstoring (of een ernstige vrees daarvoor) van de openbare orde binnen de gemeente Almelo. Overigens is het opleggen van bestuurlijke maatregelen wegens het verstoren van de openbare orde aan personen die niet woonachtig zijn in de betreffende gemeente niet ongebruikelijk.

Arnoud

Activistische hackers hebben 1,8 terabyte aan software en broncode online gezet van het Israëlische spionagebedrijf Cellebrite. Dat meldde Tweakers vorige week. Onder meer ons NFI gebruikt deze software om mobiele telefoons te kraken, bijvoorbeeld in een strafrechtelijk onderzoek. De discussie in de comments focuste op een interessante vraag: mag je in deze publicatie snuffelen als je vermoedt dat deze software ook tegen jou gebruikt zou (kunnen) zijn?

Hoe ernstig het lek is, is nog wel de vraag. Reageerder Eltweako meldt bijvoorbeeld dat “verreweg de meeste files gewoon te downloaden van de Cellebrite portal als je hun software afneemt.”

Het grootste deel van de 1.7TB zijn de offline map packages. Die zijn bedoeld om in te laden in de Physical Analyzer als je “in het veld” aan het werk bent. Grofweg zijn er 2 tools die je gebruikt en die ook in deze leak zitten: De Physical Analyzer en UFED4PC. UFED4PC is de tool die je gebruikt voor het uitlezen van mobiele apparaten, en is gelijk aan de software die op hun hardware draait.

Er is een uitzondering in lid 2:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.

De vraag die hier opdook, was echter of je zelf mag kijken of die software iets kan waardoor jou onrecht kan zijn aangedaan. Een soort van terughacken, zeg maar. Want dat is dan in jouw eigen belang, maar is dat hetzelfde als het algemeen belang, zeker als je niet publiceert? Indirect denk ik toch wel, want dat belang dat jij nastreeft is een belang voor het algemeen, het bestrijden van onrecht dat jou is aangedaan zodat je juridische stappen kunt nemen lijkt me daar wel aan te voldoen.

Arnoud

OpenAI werkt aan een zakelijke, betaalde versie van zijn chatbot ChatGPT. Dat meldde Tweakers onlangs. Momenteel is de chatbot gratis maar niet voor bedrijfsdoeleinden inzetbaar (wat natuurlijk geen hond tegenhoudt om er zakelijk gebruik van te maken). Het onderscheid zal vooral zitten in beschikbaarheid, snelheid en meer berichten per minuut. Het riep wel vele vragen op, die in de comments mooi samengevat werden als “Hoe wordt er in de professionele variant rekening gehouden met data die proprietary is of waar, op zijn minst, een copyright op berust?”

Het GPT-3 taalmodel waar de chatbot mee werkt, is getraind op vele miljarden tekstvoorbeelden. Het doel is leren wat het meest logische volgende woord is – kort gezegd – op basis van een prompt en de reeds gegeven woorden. Dat is met genoeg voorbeelden prima mogelijk, zeker op het niveau van chats waarbij je een vraag moet beantwoorden. ChatGPT produceert dan ook verbluffend goede resultaten, hoewel er ook volkomen waanzinnige reacties tussen zitten die met de grootste overtuiging worden gebracht.

Die tekstvoorbeelden komen natuurlijk van internet, ‘gewoon’ met een crawler die heel internet downloadt en daar machine-leesbare chocola van maakt. De makers leggen uit dat ze meer dan een biljoen (Amerikaans trillion, 10¹²) woorden hebben verwerkt. Dat kan niet anders dan zonder toestemming, maar iedereen stelt dat dit onder fair use te rechtvaardigen is en weet bovendien dat het ontzettend moeilijk is aan te tonen dat specifiek iemands werk opgenomen is in de dataset, plus dat een rechtszaak om dít punt uit te vechten veel te duur is voor iedere individuele rechthebbende. Uitgesloten is het niet – zie de rechtszaak over CoPilot, waarbij software-eigenaren wel degelijk zagen hoe deze AI-tool herkenbare fragmenten uit hun werk reproduceerde als “AI-generated”.

In de VS zou er misschien nog een lichtpuntje zijn wanneer je aannemelijk kunt maken dat jouw werk is gebruikt, omdat je dan via de zogeheten discovery procedure inzage kunt krijgen in documentatie rondom de bronbestanden. Dan heb je in ieder geval het feitelijke bewijs dat jouw werk is gebruikt. Vervolgens zit je nog met het juridische punt of het inbreuk is om een AI te trainen op jouw data, of dat het pas inbreuk is als de AI jouw werk reproduceert (dat laatste lijkt me evident).

In het auteursrecht geldt nu eenmaal de regel dat het bronwerk herkenbaar terug moet komen in het beweerdelijk inbreukmakende werk. Als ik iemands artikel lees en me laat inspireren tot een hoofdstuk in een boek, dan schend ik geen auteursrechten, hooguit pleeg ik academisch plagiaat. Maar als ik het artikel min of meer naschrijf, dan komt het auteursrecht wel om de hoek kijken. De academische grap is dan ook: één bron gebruiken is plagiaat, honderd bronnen gebruiken is onderzoek. En laat AI nou dus heel duidelijk die laatste kant op gaan: als honderd bronnen gebruiken mag, dan zal varen op honderd miljoen bronnen toch zeker ook wel mogen.

Het nieuwe aan de discussie is vooral dat we nu een betaalde dienst krijgen met een SLA. Afnemers daarvan zullen meer garanties gaan eisen, waaronder dus met name een vrijwaring (indemnification) tegen claims van derden. Want als ik als rechthebbende lees dat er ergens een adviesbureau komt dat een juridische chatbot heeft, dan ga ik die natuurlijk aanklagen en niet OpenAI uit San Francisco. Want ik durf de stelling wel aan dat mijn blog ergens in die dataset zit. Dat bureau heeft dan een probleem, want die is zelfstandig aansprakelijk. Dus dan moeten ze OpenAI zo ver krijgen de verdediging te gaan voeren, en dan wordt het een groot verhaal waar best wat nuttige puntjes uit te slepen zijn.

Arnoud

Burgemeester Gerritsen van Almelo kan binnenkort eisen dat een opruiend bericht op social media wordt weggehaald. Dat meldde Gemeente.nu onlangs. Hij kreeg deze bevoegdheid op grond van een aanpassing aan de Algemene Plaatselijke Verordening (apv) van de gemeente. Naast dwangmiddelen tegen de plaatser van zo’n bericht kan de gemeente ook de beheerder van websites of… Lees verder

Google moet zoekresultaten verwijderen als gebruikers kunnen aantonen dat de gelinkte informatie overduidelijk niet klopt. Dat las ik bij Nutech.nl. In zaak C-460/20 oordeelde het Hof van Justitie dat je je als zoekmachine niet kunt beroepen op de uitingsvrijheid als een uiting feitelijke onjuistheden bevat. Twee directeuren van een groep investeringsmaatschappijen zagen in Google hun… Lees verder

De Nederlandse overheid overweegt zijn pagina’s op Facebook te sluiten, las ik bij Tweakers. In een Kamerbrief meldt staatssecretaris Alexandra van Huffelen dit als conclusie van een dpia van de datapraktijken van moederbedrijf Meta, die zeven grote risico’s liet zien op het gebied van transparantie en controleverlies. Een goede zaak dat dit eindelijk op de… Lees verder

Een lezer tipte me over een interessante discussie bij het ChirpStack project. Een project waar men gebruik van maakte, The Things Network’s Device Repository, bleek niet meer importeerbaar, waarbij men zich beriep op databankrechten voor die data en tevens aangaf dat de opensourcelicentie op hun software niet zou gelden voor deze data. Toevallig was de licentie… Lees verder

Een lezer vroeg me: Is het toegestaan om persoonsgegevens te delen in WhatsApp groepen?(zowel zonder als met toestemming van die persoon). Ik weet bijna zeker van niet, maar kun jij mij helpen in welke artikel van de AVG dit is weergeven? Persoonsgegevens verspreiden via digitale kanalen is een elektronische verwerking daarvan. De AVG is dan… Lees verder

Gedaagde hoeft artikel over woning niet te verwijderen, las ik bij ITenRecht.nl. Een lokale website had een artikel geplaatst over de bouwperikelen van de directeur en oprichter van het bedrijf Prijsvrij vakanties, inclusief foto en straatnaam. De directeur in kwestie maakte bezwaar en beriep zich op privacyschending en de AVG. De rechter wijst de eisen af… Lees verder

In hoeverre handel je onrechtmatig door een forum te faciliteren waarin iemands goede naam zou worden aangetast, die vraag kreeg de rechtbank Overijssel onlangs. Het is een onderwerp dat bij mij vaak langskomt, hoewel het zelden tot een rechtszaak leidt: op een forum – in dit geval over mountainbiking – worden twijfelachtige dingen gezegd over… Lees verder