Een naam hardop uitspreken valt nu ook onder de AVG, wacht, wat?

Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.

De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.

De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.

Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.

Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben.

In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben.
Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.

Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.

De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.

Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.

Arnoud

 

 

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

Een lezer vroeg me:

Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing?
Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud

Minister Harbers: ‘Bestuurders die Apple Vision Pro dragen achter stuur krijgen boete’

Nederlanders die overwegen om met de nieuwe Apple Vision Pro deel te nemen aan het verkeer, maken zich schuldig aan roekeloos rijgedrag en dat is strafbaar, zegt Mark Harbers, minister van Infrastructuur en Waterstaat. Dat meldde het AD onlangs. De minister dreigt met artikel 5, en dat voelt een tikje spannend.

Koos z’n kapstok, noemde ik dat artikel vroeger, maar Wegmisbruikers is zo leuk niet meer sinds die officier-af is (en de AVG uitgebreider werd nageleefd, maar dat terzijde). Het idee is dat je met artikel 5 alles kunt aanpakken dat concreet of dreigend gevaar oplevert, een kapstokartikel waar alle mogelijke gedragingen aan opgehangen kunnen worden.

Een mogelijk gevaarlijke gedraging is “een televisie voor je ogen binden en hopen dat deze niet crasht of zonder stroom komt tijdens het besturen van een motorvoertuig”. Want dat is de kern van zo’n Vision Pro: het is geen bril met een AR-overlay met een en ander, maar een beeldscherm waar (door een interne camera opgenomen) beeld van de buitenwereld om je heen wordt getoond met een overlay met een en ander. Valt het ding uit, dan zie je dus niets meer.

Ik citeer even het AD:

In de gebruiksvoorwaarden van de Vision Pro geeft Apple aan dat de bril nooit gebruikt mag worden bij het besturen van een voertuig. Wanneer de bril in Nederland beschikbaar komt krijgen klanten een soortgelijke tekst voor hun ogen. Dat is nodig, want het aantal Nederlanders dat aangeeft de mobiele telefoon te gebruiken in het verkeer neemt al langere tijd toe, meldde verzekeraar Interpolis die dit al langere tijd in de gaten houdt. In een onderzoek van twee jaar terug gaf 71,5 procent van de Nederlanders aan het mobieltje wel eens te gebruiken tijdens het rijden of fietsen.
Dat laatste was natuurlijk aanleiding om het in de hand houden van een telefoon apart strafbaar te stellen, artikel 61a RVV. De jurisprudentie daarbij is nogal breed: ook het klemmen onder je hoofddoek of het met klittenband aan je arm vastzetten van je telefoon is “vasthouden”. Gewoon op je schoot laten liggen is dat dan weer niet.

Het verschil? Bij de hoofddoek vond het Hof relevant dat je tussen het bellen door de telefoon moet pakken, bijvoorbeeld om op te hangen. Kennelijk is dat bij telefoons op schoot niet zo belangrijk, of is in die zaak dat argument niet aan de orde geweest. Het rekt de betekenis van “in de hand houden” wel een beetje op naar “zo meteen in de hand gaan houden”.

Een Vision Pro hou je niet in de hand, hij zit om je hoofd met een band. Dat was met die hoofddoek ook, en daarbij vond het Hof doorslaggevend dat je er geen handsfree interface bij hebt:

Op grond van de in de Nota van Toelichting genoemde gronden, is het hof van oordeel dat ook de onderhavige wijze van telefoneren door de betrokkene onder het begrip ‘vasthouden’ als bedoeld in artikel 61a RVV 1990 dient te worden begrepen. Immers, anders dan wanneer gebruik wordt gemaakt van hulpmiddelen die uitdrukkelijk bestemd zijn om handsfree te bellen, zal de betrokkene bij het daadwerkelijk gebruik van de telefoon deze handmatig moeten bedienen, terwijl deze zich aan het oor bevindt.
Daar komt bij dat in 2019 door de minister is ingegaan op de vraag of smartwatches om de pols niet ook ‘vastgehouden’ worden, omdat je die ook handmatig moet bedienen. Nee:
Zoals hierboven al is opgemerkt valt het dragen van smartwatches en andere apparatuur, zoals internetbrillen, die zijn ontworpen om aan het lichaam te dragen, niet onder de definitie van het begrip «vasthouden». Een smartwatch dragen is dus niet verboden. Dit is verduidelijkt in de toelichting.
Dit is alweer even geleden, maar ik vermoed dat men bij ‘internetbril’ dacht aan Google Glass (dus een bril met glas en daarop een projectie) en niet aan bijvoorbeeld de Oculus Rift, die net als de Vision Pro een scherm voor je ogen hangt. Ik kan bij terugzoeken op die term echt alleen referenties naar Google’s bril vinden.

De Vision Pro heeft dus géén handbediening nodig in de traditionele zin, zoals bij de telefoon onder de hoofddoek. Hij is ontworpen om aan het lichaam te dragen. Maar voor mij is dan toch doorslaggevend dat hij je zicht blokkeert en dus geen ‘bril’ is, zodat die uitzondering niet op zou gaan. Ik acht de kans dus reëel dat een rechter de Vision Pro toch een “telefoon” noemt en “om je hoofd doen” rekent onder “vasthouden”.

Arnoud

Hoe riskant is het om in het openbaar te zeggen dat je gelekte Apple-sourcecode leest voor je emulator?

Een lezer vroeg me:

In deze presentatie vertelt iemand hoe hij een emulator aangepast heeft zodat hij z’n iPod kan emuleren. Daarbij valt me op dat hij toegeeft gelekte (gestolen) source code van Apple te hebben gebruikt. Is dat dan niet vreselijk riskant om zo in het openbaar te zeggen?
Dit is inderdaad een opmerkelijke. Ik citeer even uit de video:
But it turned out the iBoot source code got leaked in 2018. I was very lucky with that. I don’t know who leaked it, but I am very grateful for them. Because it really helped me understand […].
In 2018 lekte inderdaad de broncode uit van het deel van Apple’s iOS besturingssysteem dat voor het opstarten (booten) zorgt. Apple being Apple leidde dat natuurlijk tot vele juridische dreigementen. Het bleek om een werknemer te gaan, en al snel werd duidelijk dat de code intussen verouderd was en daarmee niet echt meer commerciële waarde.

Deze persoon had er echter toch wel baat bij: de broncode gaf gedetailleerde inzichten in hoe de iPod opstart en daarmee hoe deze precies in elkaar zit. Dat heb je weer nodig om een emulator te maken – een softwaretool die zich voordoet als een iPod, zodat applicaties voor dat platform daarmee gebruikt kunnen worden.

Is dit juridisch riskant? Allereerst het stukje van de gelekte geheimen. Die broncode was inderdaad een Apple bedrijfsgeheim, maar door het lek is die status er wel behoorlijk af ondertussen. Dat is het probleem met geheimen: als het eenmaal op straat ligt, dan is die status weg. En dan kun je blaffen wat je wilt als IP-advocaat, maar het wordt écht niet meer terug een bedrijfsgeheim.

Auteursrecht blijft natuurlijk wél gewoon bestaan bij een ongeautoriseerde publicatie (openbaarmaking en/of verveelvoudiging) van het werk. Apple kan dus zeer zeker op grond van haar auteursrecht verwijdering van die broncode eisen waar ze die ook ziet. Bij het eerste lek was ze er ook zeer snel bij met een DMCA takedown.

Deze meneer publiceert de broncode niet zelf: hij laat in de presentatie een paar screenshots zien met vooral feitelijke informatie, en legt uit dat hij zo vele inzichten kreeg en details kon achterhalen over de werking van het systeem, die dan weer zijn emulator kon.

Ideeën en principes halen uit een werk is geen inbreuk op het auteursrecht. Je schendt namelijk pas het recht als je het creatieve, het originele kopieert of herpubliceert. Zien dat je 42 moet zeggen als er een randapparaat aangezet wordt, is zeer zeker niet iets waar het auteursrecht wat van vindt. Dus de broncode door-akkeren en structuren, ideeën en namen documenteren is prima.

Wat niét mag, is die broncode even laten draaien en zien hoe het geheel werkt. Dat staat weliswaar in artikel 45l Auteurswet, maar dat geldt alleen voor mensen die bevoegd zijn de software te hebben:

Hij die bevoegd is tot het [laden, in beeld brengen, uitvoeren, transmitteren of opslaan van het software-werk], is mede bevoegd tijdens deze handelingen de werking van dat werk waar te nemen, te bestuderen en te testen teneinde de daaraan ten grondslag liggende ideeën en beginselen te achterhalen.
Zo te luisteren is dat ook niet gebeurd, maar als achteraf blijkt dat er bepaalde technische informatie is verkregen die je alleen bij het werk-in-uitvoer had kunnen krijgen, dan heb je wel degelijk een probleem.

Is het nou handig dit zo te zeggen? Meh. Ik weet niet of Apple nu echt zó veel zorgen heeft over gelekte broncode uit 2016 die al in 2018 niet meer relevant was. Het betreft hier ook geen commercieel misbruik maar een particulier project om oude Apple-hardware te emuleren.

Arnoud

 

 

Is het strafbaar om beveiligingscamerabeelden te wissen als daar een strafbaar feit op te zien is?

Uit een recente discussie alhier:

Stel je voor dat mijn camera beelden opneemt van iemand uit de buurt die een misdrijf begaat (zeg, iemand zwaar lichamelijk letsel toebrengt). Als de politie dan weet dat ik een camera heb zullen ze die beelden willen hebben, en die dan vorderen zodat die als bewijs kunnen dienen. Wat nu als ik bij mezelf denk “Ja die persoon die ken ik, die is zeer agressief, dus als die weet dat hij dankzij mijn camerabeelden veroordeeld is dan komt ‘ie vast verhaal halen, of wraak nemen op mij of mijn gezinsleden”, en daarom wis ik die beelden direct. Is dat dan strafbaar?
Dat is een goeie vraag. Je hoort vaak dat “vernielen van bewijs” strafbaar is, maar laten we eens nagaan hoe dat precies zit. Artikel 189 Strafrecht regelt onder meer de strafbaarheid van het wegmaken van bewijs (tot 6 maanden cel):
[Strafbaar is] hij die nadat enig misdrijf is gepleegd, met het oogmerk om het te bedekken of de nasporing of vervolging te beletten of te bemoeilijken, voorwerpen waarop of waarmede het misdrijf gepleegd is of andere sporen van het misdrijf vernietigt, wegmaakt, verbergt of aan het onderzoek van de ambtenaren van de justitie of politie onttrekt;
We nemen even aan dat het gaat om een misdrijf, zoals een overval, beroving of mishandeling, dat op beeld is vastgelegd door je camera. Bij overtredingen (je filmt iemand die door rood licht rijdt) is dit artikel niet van toepassing.

Strafbaar is dus het wegmaken van “sporen van het misdrijf”. De videobeelden van het misdrijf zijn aan te merken als dergelijke sporen. Je maakt die weg, want je gooit de data erop weg zodat er niets meer te onderzoeken over is. De enige vraag is dan nog of je dit doet met het genoemde oogmerk: het misdrijf bedekken (verhullen, verbergen) of de opsporing/vervolging bemoeilijken.

De vraagsteller noemt een heel ander motief, namelijk angst voor jezelf. Er is echter een uitspraak uit 2013 waarin een discotheek-eigenaar videobeelden van een mishandeling voor zijn deur had gewist met als motivatie de reputatie van de disco te beschermen. Dat was geen legitiem motief: alleen de angst om zélf vervolgd te worden op basis van die beelden, of directe bloedverwanten beschermen kan een uitzondering zijn (lid 3). Het motief van angst voor jezelf is uiteindelijk nog steeds het oogmerk om het te willen wissen om zo nasporing of vervolging te bemoeilijken. Oftewel: waarom je de vervolging wilde bemoeilijken, doet er niet toe.

Ik kan angst voor represailles goed billijken, maar met deze beperkte uitzondering in de wet zie ik niet hoe je dat juridisch kunt rechtvaardigen. Behalve wellicht als noodweer, je zat acuut hoog in je angst en wiste in totale paniek de beelden want de verdachte stond met een knuppel voor de deur, zoiets. Mijn conclusie is dus: ja, als je videobeelden wist terwijl je weet dat er een misdrijf op staat, dan is dat strafbaar.

Ben je bang dat je voor zulk wissen vervolgd zou worden, dan is denk ik de enige tip om structureel en automatisch beelden te wissen. Gebeurt het wissen namelijk altijd automatisch na 72 uur en hoor je pas daarna dat je daarmee bewijs hebt gewist, dan ben je niet strafbaar want dan ontbreekt de opzet. De reden dat ik “altijd” en “structureel” zeg is omdat je dat kunt aantonen. Wis je nooit iets en nu nét die ene video met dat misdrijf erop, dan is het buitengewoon ongeloofwaardig dat je niet wist van die gebeurtenis.

Arnoud

Kabinet wil dat Twitter-alternatieven snel aan elkaar worden gekoppeld

assorted electric cables
Photo by John Barkiple on Unsplash

Het zou goed zijn als gebruikers van socialemediaplatform Threads snel kunnen praten met mensen op Mastodon en andersom, las ik bij Nu.nl. De Nederlandse overheid experimenteert namelijk sinds vorig jaar juni met een eigen Mastodon-omgeving, maar men zou graag willen dat de communicatie ook naar Meta’s X-concurrent Threads kan lopen. Het gaf wat ophef in de zin van “waar bemoeit de overheid zich mee” of “hoe dom kun je zijn”, maar juridisch is dit zo raar nog niet.

Technisch is het ook al helemaal niet zo raar:

Threads en Mastodon gebruiken allebei het protocol ActivityPub, waardoor ze in principe kunnen samenwerken. Als ze gekoppeld worden, zou een bericht op Threads daardoor ook zichtbaar zijn voor gebruikers op Mastodon. Mogelijkheden voor deze koppeling worden nu op kleine schaal getest, zonder zicht op een grootschalige uitrol.
Het lijkt dus primair een implementatieprobleem dat vanwege de nieuwigheid wat langer duurt dan je zou verwachten. Maar de bezwaren zijn fundamenteler, dit is toch iets dat je niet kunt eisen? Iedereen timmert zijn eigen platform toch helemaal dicht en waarom zou je de concurrent erop laten?

Nou, omdat dat moet, zei de jurist. De Digital Markets Act (DMA), het chagrijnige broertje van de DSA, bevat in artikel 7 namelijk een expliciete plicht tot interoperabiliteit als je “poortwachter” bent:

Een poortwachter die nummeronafhankelijke interpersoonlijke communicatiediensten aanbiedt welke op grond van artikel 3, lid 9, zijn opgenomen in het aanwijzingsbesluit, zorgt ervoor dat de basisfuncties van zijn nummeronafhankelijke interpersoonlijke communicatiediensten interoperabel zijn met de nummeronafhankelijke interpersoonlijke communicatiediensten van een andere aanbieder die dergelijke diensten in de Unie verleent of voornemens is dat te doen. Daartoe maakt de poortwachter de nodige technische interfaces of soortgelijke oplossingen met het oog op interoperabiliteit op verzoek en kosteloos beschikbaar.
Het ‘aanwijzingsbesluit’ is het besluit van de Europese Commissie dat je poortwachter bent, oftewel een ict-dienstverlener met aanzienlijke impact, een belangrijke toegangspoort voor zakelijke afnemers naar hun (potentiële, b2b en/of b2c) klanten en dat nog duurzaam en verankerd ook nog.

Meta is vorig jaar aangewezen als poortwachter, en daarbij is hun dienst Messenger genoemd. Meta vecht dat nu aan, met als argument onder meer dat het consument-consument communicatie is en geen belangrijke toegangspoort voor bedrijven. Voor Threads kan ik het zo snel niet vinden, maar dat kan zijn omdat het net te laat (zomer ’23) werd geïntroduceerd.

Twitter (X) specifiek is géén poortwachter, hun omzet is te klein om ze hiervoor in aanmerking te laten komen. Die hoeven dus niet interoperabel te zijn met Mastodon, Threads of Messenger.

(De grote knaller is natuurlijk dat Apple voor iMessage wél als poortwachter voor chatdiensten is aangemerkt, en dus open zou moeten. Apple is het daar Heel. Erg. Niet. Mee. Eens.)

Arnoud

Experts zien door AI gegenereerde desinformatie als grootste risico van 2024

De verspreiding van desinformatie door middel van kunstmatige intelligentie is het grootste risico van dit moment, zo blijkt onderzoek van het World Economic Forum (WEF). Dat meldde Nu.nl vorige week. Het WEF bevroeg 1.400 risico-experts, en deze uitkomst gaf met name zorgen over desinformatie bij verkiezingen.

Hoewel generatieve AI systemen steeds beter worden, blijft de zorg over fouten en valse informatie aanwezig. Het grote probleem daarbij is voor mij dat men maar blijft denken dat zulke systemen bezig zijn met feitelijke reproductie en daar mooie verhalen omheen halen. Dat is niet zo: ze produceren mooi klinkende teksten, en als dat toevallig waar blijkt te zijn dan is dat leuk maar niet meer dan dat.

Ik zie het dan ook als best wel zorgelijk dat er zo veel tekst wordt gegenereerd die klakkeloos doorgezet wordt. Of het nou gaat om makkelijk gemaakte marketingcopy of klantenservice-chats, we raken zo snel gewend aan hoe AI’s praten en dat daar af en toe fouten in kunnen zitten. Dat lijkt me de wereld op zijn kop.

De AI Act – waar ik nou écht een finale tekst van zou willen lezen, maar ik moet nog een weekje geduld hebben – gaat transparantie vereisen bij alle AI systemen. Een generatief AI systeem moet dus duidelijk aangeven dát men fouten in de uitvoer kan aantreffen. En het lijkt er zelfs op dat het systeem de uitvoer moet watermerken, al heb ik daar nog geen concrete wetstekst van gezien.

Bij meer risicovolle toepassingen zal er meer gedaan moeten worden. Het zomaar laten genereren van politiek getinte teksten of afbeeldingen van prominente figuren in allerlei situaties lijkt me nou een typisch probleem dat je snel aan banden moet leggen als dienstverlener. Dat moet dan van de AI Act, maar óók van de DSA, die immers eist dat je als grote marktpartij systeemrisico’s onderzoekt en beheert. Helaas is dat zo’n breed geformuleerde opdracht dat daar niet binnen een paar maanden een oplossing voor is.

Arnoud

Mag de rechter weigeren een stiekeme geluidsopname te beluisteren?

“De rechtbank heeft besloten de geluidsopnamen niet te beluisteren. Zij legt dat hierna uit.” Dat las ik bij kennisplatform Salaris Van Morgen. Het betrof een zaak tussen een burger en het UWV, waarbij de burger met die (stiekeme) opnamen bewijs wilde leveren van een toezegging. Dat mag, maar toch wil de rechter er niet naar luisteren. Wat zit hier achter?

In deze zaak draaide het om al dan niet gegeven toestemming van het UWV om een zesjarige opleiding te mogen volgen (Bachelor Psychologie aan de Open Universiteit) met behoud van uitkering. Dat is niet gebruikelijk, maar in dit geval stelde de burger dat wel degelijk telefonisch toestemming was verleend.

De man voert aan dat aan hem op 13 juli 2022 telefonisch een toezegging is gedaan dat hij de door hem gewenste opleiding Psychologie mag gaan volgen, als zijn werkgever ook akkoord gaat. Volgens de man heeft hij in dat gesprek zijn situatie nauwkeurig besproken. Hij heeft schriftelijk en op de zitting daarover de volgende uitleg gegeven. De man heeft diverse keren telefonisch contact met UWV gehad. Het belangrijkste contact was het gesprek op 13 juli 2022 met een UWV-medewerkster.
Na dit gesprek van 25 minuten had de man een vaststellingsovereenkomst getekend met zijn werkgever, waarin die laatste toestemming gaf voor het volgen van de opleiding. Daarmee was aan de voorwaarden voldaan. Alleen gaf het UWV niet thuis, want in hun gespreksnotitie stond:
Vraag Kan ik vrijstelling krijgen van de sollicitatieplicht?

Antwoord: U kunt (gedeeltelijk) vrijstelling van de sollicitatieplicht krijgen als:

  • U gaat werken via een proefplaatsing. Vraag de vrijstelling aan met het formulier Aanvraag toestemming proefplaatsing tijdens WW;
  • U mantelzorg doet. Vraag de vrijstelling aan met het formulier Aanvraag vrijstelling sollicitatieplicht bij mantelzorg.
  • U gaat weer werken en u verdient met dit werk minder dan 87,5 % van uw WW-maandloon.
Dat leest als een standaardverhaal en niet als een gespreksaantekening inderdaad, en dat vond de rechter ook. De man had daar een uitgebreid relaas tegenover gesteld dat de medewerker aan de telefoon had aangegeven dat het wel mocht, inclusief die constructie van als de huidige werkgever het wél goed vindt. In die situatie is het aannemelijk genoeg dat dit is toegezegd, omdat er vanuit het UWV niet meer komt dan zo’n standaardverhaal.

Om zijn verhaal kracht bij te zetten, had de man dus opnames van dat crucial gesprek van 25 minuten. De rechter wilde daar niet naar luisteren, met name niet omdat het UWV als uitgangspunt voor burgercontact hanteert dat de burger vooraf duidelijk kenbaar maakt dat er een dergelijke opname zal worden gemaakt. “Dat stelt UWV in staat zelf ook een tegenopname te maken.” En die begrijp ik wel – het zal menigmaal gebeurd zijn dat iemand een gemanipuleerde opname overlegt.

Natuurlijk zijn er uitzonderingen zoals klokkenluiden of bewijsnood, maar daar was hier geen sprake van. En dan vindt de rechter – hoewel het dus legaal is om zo’n stiekeme opname te maken – het niet nodig om naar de opname te luisteren.

We hebben het vaker gehad over stiekeme opnames en hun bewijskracht, zoals in februari nog:

In strafrechtelijke zin heeft [verweerder] dus niks verkeerd gedaan. Dit betekent echter nog niet dat het gedrag van [verweerder] in de verhouding tussen werkgever en werknemer niet kan leiden tot een verstoring van die relatie. … Naar het oordeel van de kantonrechter heeft [verweerder] het opnemen van de gesprekken ingezet als dreigmiddel jegens zijn werkgever. Hij heeft hiermee [werkgever] laten weten dat hij haar al langere tijd niet vertrouwt en dat hij verwachtte op enig moment in een rechtszaak met haar te zullen belanden.
Mijn advies is en blijft dan ook dat je wel opnames mag (of moet) maken als er veel van een gesprek afhangt, maar dat je die opnames dan geheim houdt tenzij je écht niet anders kan. Je kunt ze terugluisteren als geheugensteuntje, en daarna zeg je in de vervolgdiscussie “op 6 januari is gezegd dat X en Y”, zo letterlijk mogelijk maar zónder te benoemen dat je dat opgenomen hebt – want dat zet de boel nodeloos op scherp.

Erkent men dat dit is gezegd, dan is de opname overbodig en kun je het gaan hebben over wat daarmee werd bedoeld. Die discussie verandert niet met of zonder opname immers. Als men ontkent dat het zo is gezegd, dan kun je daarop doorvragen en bijvoorbeeld een stuk gesprek er voor en er na oplepelen (“volgens mij aantekeningen zei ik A en B, en daarna zei uw collega X en Y”), om dan te vragen in hoeverre dat klopt.

Pas als men bij herhaling en keihard ontkent dat A-B-X-Y is gezegd, dán kun je aangeven dat je nu in bewijsnood gaat komen omdat er veel voor jou van afhangt dat dit gezegd is. En dan kun je de opname inbrengen in de rechtszaak, al laat je je advocaat beslissen over wanneer dat precies gebeurt.

In de onderhandelingen al roepen dat je een opname hebt, ook na die keiharde ontkenning, heeft geen enkele zin: de wederpartij zal echt niet ineens omslaan en als je niet uitkijkt gaat de discussie ineens over jouw strafrechtelijk handelen of overtreding van de AVG, in plaats van het eigenlijke onderwerp.

Houd het dus bij “sorry, dit is echt en letterlijk zo gezegd dat weet ik zeker” en als het dan bij de rechter met een opname bewezen moet worden, dan komt de discussie over bewijsnood.

Arnoud

 

EC start formele procedure tegen X wegens verspreiding desinformatie

De Europese Commissie is een formele procedure gestart om te beoordelen of het socialemediaplatform X de Digital Services Act heeft overtreden. Dat las ik bij Tweakers. Velen spreken daarbij van “het tegengaan van desinformatieverspreiding” en dat geeft natuurlijk ophef, want desinformatie is niet hetzelfde als strafbare informatie. Maar het ligt iets genuanceerder.

De actie is een vervolg op eerdere constateringen van de EC dat X (née Twitter) de DSA niet zou nakomen. Zoals ik in oktober blogde naar aanleiding van een brief van Eurocommissaris Thierry Breton:

De brief is een reactie op de vele propaganda- en desinformatieberichten die opdoken sinds de terreuraanvallen van Hamas in Israel. Hiertegen moet X harder en sneller optreden, zeker als daarover geklaagd wordt door autoriteiten. Dat gebeurt nu te weinig, aldus Breton. En het is ook weinig transparant waarom sommige berichten wel en andere niet worden weggehaald.
De reactie van Musk was klassiek: welke individuele berichten bedoelde u, en laten we praten over de inhoud daarvan. Maar dat is niet hoe de DSA rolt. Die eist structurele maatregelen, zoals een adequate groep moderatoren en een analyse van systeemrisico’s en wat je daar allemaal tegen kunt doen. (Desinformatie komt voor in de DSA als een voorbeeld van een systeemrisico.) Van dat alles hebben we vervolgens niets gemerkt.

De EC neemt nu de volgende stap en dat is een formeel onderzoek. De aangekondigde onderwerpen zijn:

  • Te weinig doen tegen verspreiding van illegale content (dus strafbaar/onrechtmatig, niet perse desinformatie)
  • De effectiviteit van de Community Notes en hun rol binnen het bestrijden van desinformatie
  • Te weinig informatie geven aan researchers (informatiedelen is wettelijk verplicht) en geen transparantie over advertenties (een uitgebreid register is ook verplicht)
  • Het misleidend ontwerp van de Blue checks (ik had nog niet gehoord dat daar wat mis mee was)
Hoe lang het onderzoek duurt, is niet op voorhand te zeggen. “Tot het klaar is”, oftewel tot er genoeg is om een inbreukactie te starten dan wel tot blijkt dat er toch niets aan de hand is. Een normaal bedrijf zou snel klaar zijn, omdat óók een medewerkingsplicht en het verstrekken van informatie tot je taken behoort als VLOP (zeer groot online platform). Ja, hahaha.

Arnoud

 

Is het legaal om in datalekken te snuffelen?

Een lezer vroeg me:

Wanneer een organisatie gehackt wordt en de interne data online wordt gepubliceerd, is het dan legaal om dit als burger te bekijken? Of moet je dan journalist zijn? Laten we er even vanuit gaan dat ik niet het doel heb om mensen te intimideren met het tot me nemen van de gelekte data.
De laatste zin verwijst naar het verbod op doxxing, dat per 1 januari van kracht zal worden (wetsvoorstel). Daar hoef je je geen zorgen over te maken, omdat dit verbod gaat over het verspreiden van informatie, niet om het bekijken of op je eigen harde schijf hebben.

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.
Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

Arnoud