Scarlett Johansson beschuldigt OpenAI ervan haar stem te gebruiken voor ChatGPT

Photo by Jason Rosewell on Unsplash

Scarlett Johanson zegt dat OpenAI haar stem zonder toestemming heeft gebruikt als AI-stem voor ChatGPT, las ik bij Tweakers. De betreffende stem, Sky geheten, leek sterk op de stem van Johansson, maar volgens OpenAI was dat niet bewust. Weinigen die dat geloven, want de stem werd vrij snel daarna weggehaald. Onder juridische druk heet dat dan – maar wat zou dat precies moeten zijn?

Het artikel legt uit:

In een verklaring van Johansson, die door journalist Bobby Allyn op sociale media werd gezet, zegt ze dat Altman haar in september vorig jaar had benaderd om de stem van ChatGPT in te spreken. Naar eigen zeggen sloeg zij dat aanbod toen af. Vlak voor de demonstratie zou Altman haar opnieuw hebben benaderd om haar stem in te spreken, maar voordat ze kon antwoorden, was Sky al gedemonstreerd.
Versie 4o van ChatGPT komt met stembediening en -uitvoer, en de stem Sky is er daar een van. Het is een gekloonde stemacteur wiens identiteit niet bekend wordt gemaakt aldus het bedrijf. Op zich kan dat, de technologie om stemsynthese te doen nadat iemand flink wat zinnen inspreekt is niet nieuw. Dat de vrouwen clichématig moesten klinken ook niet, maar dat terzijde.

Wel opmerkelijk is dat een van de gevraagde stemacteurs diezelfde Scarlett Johanson was. Helemaal als je bedenkt dat zij de stem van de AI insprak in de film herwaar OpenAI-directeur Sam Altman bij de lancering van GPT 4o expliciet naar refereerde. Dat elke gelijkenis met echte gebeurtenissen of locaties of personen, levend of dood, geheel toevallig is, wil er bij mij dan niet in.

Na een stevige brief van Johanssons advocaat werd de stem teruggetrokken. Maar voor mij begint het dan pas: welke juridische basis is er om een claim te leggen?

In Californië – waar dit speelt – zijn er iets meer mogelijkheden dan bij ons. Rechters hebben daar diverse malen geoordeeld dat het specifieke feit van “voice misappropriation” onrechtmatig is wanneer 

a distinctive voice of a professional singer is widely known and is deliberately imitated in order to sell a product, the sellers have appropriated What is not theirs and have committed a tort in California.
Het is dan een korte stap van ‘zanger’ naar ‘acteur’, dus die juridische gestalte zie ik wel opdoemen.

Minstens zo interessant is het argument dat hier een audio-deepfake wordt gemaakt van Johanssen. Dat is voor zover ik kan vinden niet strafbaar – alleen video-deepfakes en dan ook nog eens met het motief van beschamen of beschadigen – maar als bewezen zou worden dat OpenAI, al is het impliciet, de stem van Johanssen wilde laten horen dan ben je daar een heel eind.

In Nederland is er ook geen algemeen strafrechtelijk verbod op audio-deepfakes, maar daar hebben we binnenkort wél artikel 50 van de AI Act dat bij het produceren van deepfakes een duidelijke markering vereist. Dat betekent volgens mij dat het er expliciet bij moet staan, je deepfake ‘Sky’ noemen is echt te weinig.

Arnoud

Mag dat eigenlijk wel, generatieve AI zoekresultaten aan elkaar laten praten?

Photo by Mohamed_hassan on Pixabay

Soms wilt u snel antwoord, maar heeft u geen tijd om alle benodigde informatie bij elkaar te zoeken. Search doet het werk voor u met AI Overviews. Met die marketingblaat maakte Google onlangs bekend dat haar zoekdienst AI gaat krijgen: deze verwerkt resultaten tot een mooi klinkend verhaal. Wat leidt tot de juridische vraag, mag dat eigenlijk wel?

Technisch gezien is “AI Overviews” niet meer dan een herziening van het resultaatscherm. In plaats van een lijst met webpagina’s neemt Google de daarop gevonden informatie en laat een genAI systeem daar een verhaaltje van maken. Dat lijkt vooral handig voor een snel overzicht en het opnemen van de informatie.

Er zit echter een fundamenteel verschil met de ouderwetse lijst. Waar die lijst niet meer doet dan suggereren waar je heen kan gaan, met bij wijze van citaat een paar mogelijk relevante frases, geeft dit verhaaltje al direct het antwoord. Doorklikken is daarmee niet meer nodig.

Dit wringt, omdat zoekmachines altijd juist vanwege die quid pro quo van het aanleveren van bezoekers in ruil voor het mogen scrapen van content als soort-van-legaal zijn gezien onder het auteursrecht.

Een genAI-zoekmachine haalt echter die balans onderuit. Wel alle content binnenhalen, maar niet als hoofdregel mensen doorverwijzen. Dat kost de contentaanbieders dus alleen maar, terwijl ze er niets (of veel minder) voor terugkrijgen.

Alleen: dit is vrij ongrijpbaar, juridisch gezien. Er is nooit letterlijk een uitspraak over geweest. We hebben wel zaken zoals het Zoekallehuizen-arrest (huizenadvertenties) gehad, maar daar ging het om het vertonen van stukjes informatie in zoekresultaatpagina’s, niet om het onderliggende scrapen en opbouwen van een databank met heel internet.

Natuurlijk, we hebben ondertussen diverse nieuwe wetten – de AI Act (bijna), de Digital Markets Act, de nodige aanpassingen aan de Auteurswet, enzovoorts. Maar geen daarvan bevat iets waarmee deze transformatie van zoekresultaten aan te pakken is.

Ja, ik ben een tikje cynisch maar sowieso erger ik me al geruime tijd aan de achteruitgang van de ooit bliksemsnelle en verrassend goed werkende zoekmachine. Als ik dan óók nog de bronsites moet gaan vissen uit een mooi klinkend verhaal dan houdt het wel een beetje op hiermee.

Arnoud

 

Wanneer mag ik als ethisch hacker een kwetsbaarheid openbaar maken?

Photo by Austin Chan on Unsplash

Een lezer vroeg me:

Het gebeurt wel eens dat je als ethical hacker een kwetsbaarheid van dusdanige aard ontdekt dat het ernstige maatschappelijke gevolgen zou kunnen hebben als er misbruik van gemaakt wordt. Als ethisch hacker heb ik in principe een geheimhoudingsplicht, en dat wringt hier behoorlijk. Zijn er uitzonderingen waarin dat wel zou mogen of misschien zelfs zou moeten?

Er zijn vele definities van “ethisch hacker”. Een mooie neutrale is die van Wikipedia: een hacker die fouten wil opsporen, om ze vervolgens te melden aan de betreffende, ‘gehackte’ bedrijven of instanties. Die kunnen deze dan herstellen.

Het ethische hieraan is met name dat je zo’n melding in vertrouwen doet, en er geen misbruik van maakt of deze voor eigen gewin exploiteert. Je motivatie is dat het bedrijf het oplost, meer niet.

Een al heel lang bekend probleem bij het melden van fouten of gaten in de beveiliging is dat je melding wordt genegeerd of onder het tapijt wordt geveegd. De oplossing staat bekend als responsible disclosure. Je geeft de organisatie een redelijke termijn om het op te lossen, maar je bent vrij om daarna te publiceren.

Dit werkt echter niet als je een afspraak hebt met de organisatie over geheimhouding. Dat kan zijn omdat je via een betaalde opdracht (zoals een pentest) werd ingehuurd, of omdat je meedeed aan een bug bounty. Als je de bijbehorende voorwaarden accepteert en daar staat geheimhouding in, dan gaat die afspraak boven de normale regels.

Alleen in zéér uitzonderlijke situaties kun je zo’n afspraak doorbreken. Je komt dan op het niveau van noodweer, je kunt als mens in deze maatschappij écht niet anders dan je afspraak tot geheimhouding schenden om dit aan de kaak te stellen. Er is in Nederland geen algemene regel dat je geheimhouding mag negeren als je in een klokkenluidersituatie zit als leverancier.

(Je kúnt natuurlijk een anonieme tip aan het NCSC doen en uitleggen dat je contractueel klem zit, maar of de tip dan opgepakt wordt, weet ik niet. Bovendien is het dan nog steeds jouw probleem als uitkomt dat jij de melding deed.)

Arnoud

 

Autoriteit Persoonsgegevens: bedrijven mogen internet vrijwel nooit scrapen, nou nou nou

Photo by Hans-Peter Gauster on Unsplash

Scrapen van informatie op internet is in vrijwel alle gevallen illegaal, stelt de Autoriteit Persoonsgegevens. Dat meldde Tweakers gisteren. De toezichthouder bracht een ‘handreiking‘ uit over ‘scrapen’ van ‘data’ op ‘internet’, en getuige mijn inbox waren velen onaangenaam getroffen door de strekking.

De basis lijkt me niet controversieel: wie profielen op sociale media en andere dergelijke data binnenharkt, zal gewoonlijk persoonsgegevens verwerken en moet zich dan aan de AVG houden. Dat betekent dus dat je die mensen moet melden dat je hun gegevens binnenhaalt en ze gelegenheid moet geven te protesteren en/of correcties dan wel verwijdering te laten uitvoeren.

De insteek van de AP is echter fundamenteler: het is “bijna altijd illegaal”. Daarmee bedoelen ze “rechtmatig” (art. 5(1)(a) AVG), wat ze dan baseren op drie specifieke problemen:

  • grondslagen en doelbinding
  • bijzondere persoonsgegevens
  • strafrechtelijke persoonsgegevens
Allereerst de grondslag. Als dataharker ben je zelf verwerkingsverantwoordelijke, dus je moet zelf een grondslag kiezen en onderbouwen. (Je kunt niet meefietsen op bijvoorbeeld de grondslag van Linkedin en dan redeneren dat jouw hergebruik daar slechts een variant op is.)

Die grondslag zal vrijwel altijd het “eigen gerechtvaardigd belang” (art. 6(1)(f) AVG) zijn van de partij die de gegevens binnenharkt. En dan komen we bij het eigenlijke punt dat de AP wil maken: een “zuiver commercieel belang” mag niet tellen als “belang” in de zin van de AVG. Daar is inderdaad al de nodige herrie over geweest en de zaak ligt nu voor bij het Hof van Justitie.

De AP stelt zich op het standpunt dat iets alleen als “belang” kan tellen als het tot een wet te herleiden is. En “zuiver commercieel handelen” staat nergens in een wet en dus is het geen belang onder de AVG. Ik heb daar enorme moeite mee, gezien het feit dat artikel 16 Handvest de “vrijheid van ondernemerschap” expliciet erkent. Geld willen verdienen is dus een grondrecht en daarmee een rechtens te respecteren belang. Daarnaast is er de vrijheid van informatie (art. 11 Handvest), die ook toeziet op het binnenharken van informatie. En je oogmerk doet er niet toe; informatievrijheid geldt ook voor bedrijven.

Dat wil natuurlijk niet zeggen dat alles mág als je Eurotekens er achter zet. De belangenafweging van de AVG is nadrukkelijk in het voordeel van de betrokkenen geformuleerd. De handreiking gaat hier niet verder op in, maar adviseert mensen om “zorgvuldig” na te denken wat de afweging moet zijn. Wel noemt men een aantal factoren, zoals omvang van de dataset en op welke criteria deze doorzoekbaar is: een statistisch model met algemene uitspraken is iets heel anders dan een kopie van geheel Nederlands Linkedin waar je op persoonsnaam in zoekt.

Dit haakt in op de twee andere factoren: het is goed mogelijk dat je ook bijzondere persoonsgegevens (zoals etnische afkomst, seksuele voorkeur of religie) meeharkt of zelfs de vaak vergeten strafrechtelijke persoonsgegevens. En dat is echt problematisch, omdat je als harker eigenlijk nooit een legitieme reden hebt om dat te doen.

De AP trekt daarbij een harde lijn, die volgens mij de enige juiste is:

Slaat u zowel gewone als bijzondere persoonsgegevens op in één database, dan is het beschermingsregime voor bijzondere persoonsgegevens van toepassing op alle gegevens in deze database. Kunt u niet uitsluiten dat u (ook) bijzondere persoonsgegevens verwerkt? Dan geldt het (zwaardere) beschermingsregime voor bijzondere persoonsgegevens.
Hierbij geldt dat alleen een actieve handeling van de betrokkene zelf als excuus kan gelden. Een voorbeeld: op Linkedin kun je je voornaamwoorden instellen. Daaruit kun je een seksuele gerichtheid afleiden, wat dus problematisch is maar omdat dit een actieve en bewuste keuze is (je hóeft het niet te doen) valt dat buiten het verbod.

De uitspraak dat het “bijna altijd illegaal” is, is dus vooral gebaseerd op het gegeven dat je bijzondere persoonsgegevens verwerkt en dat je daarbij niet kunt zeggen dat men dit alles zelf openbaar gemaakt heeft. De AP merkt in de handreiking zelf al op dat hier redelijkerwijs vraagtekens bij te stellen zijn en dat alleen het Hof van Justitie die kan beantwoorden. Het is dus wel nogal een aanname die hier wordt genomen.

Een meer algemeen bezwaar is de juistheid. Naast dat je mensen moet informeren dat jij hun gegevens binnenhaalt (ja, dat moet jij doen en wel actief, dus met een mail of pb), moet je mensen gelegenheid geven hun gegevens te corrigeren. Je zal net gehackt zijn en een cryptoscam op je Facebook krijgen op de dag dat zo’n hark langskomt: dan zullen toekomstige werkgevers je nog lang associëren met dubieuze cryptoverkoop.

Ik zie de handreiking alles bij elkaar vooral als een signaal: er is nog héél veel cowboygedrag in dataharkland, en dat moet maar eens afgelopen zijn. Als jij je processen op orde hebt, weet welke data je binnenhaalt en waarom, bijzondere gegevens wegfiltert en zorgt voor transparantie (inclusief rechten uitoefenen), dan is er verder weinig aan de hand. Als.

Leuk detail nog: wie een AI bouwt die op basis van dataharken is getraind, moet in zijn conformiteitsverklaring (Annex V AIA) expliciet verklaren volledig AVG compliant te zijn. Een aansprakelijkheidsbeperking is daarbij niet mogelijk, en onder de binnenkort te verwachten AI Liability Directive geldt zelfs een omgekeerde bewijslast. Inkopers van AI kunnen dus sturen op dit logo.

Arnoud

 

 

Hoe krijg je in Nederland een Amerikaans bedrijf zo ver te luisteren naar de rechter?

Photo by Victor Freitas on Pexels

“Automattic weigerde en stelde dat het vonnis niet op de juiste manier was betekend door eiser en dat de rechtbank niet bevoegd was”, meldde IE-Forum onlangs. De juridische manier om te zeggen “de eigenaar van blogplatform WordPress deed moeilijk toen de rechter zei dat een blog weg moest”. Wat was hier aan de hand?

De kern van de zaak was simpel genoeg. Een meneer werd stevig bedreigd, en een blog gehost bij WordPress was daarbij een belangrijke factor. Kort geding, rechter oordeelt dat de blog als geheel onrechtmatig is en beveelt offline halen daarvan. Uiteraard gaat dat dan op straffe van een dwangsom.

Automattic (de eigenaar van WordPress-het-platform) haalde de blog echter niet offline, en betaalde ook niet de dwangsommen. Daarop stapte de man naar de rechter, waarbij Automattic het verweer opwierp dat hij maar naar Californië moest gaan – de Nederlandse rechter zou onbevoegd zijn. Daar had de rechter weinig moeite mee; zij was wel degelijk bevoegd bij zo’n dwangsom-incasso-procedure (executiegeschil) omdat de rechter van de hoofdzaak dat ook was.

Dan de incasso van inmiddels twee ton aan dwangsommen? Nee, toch niet: nu kwam Automattic met het verhaal dat het vonnis niet juist uitgereikt was (betekend), zodat de startdatum voor de dwangsommen nooit was begonnen te lopen. De personen die de brieven zouden hebben gehad, waren niet bekend en niet bevoegd, de brief naar Amerika was naar het bedrijf zelf gestuurd en niet naar de registered agent, de Engelse vertaling van het exploot miste kerninformatie (45 Rv) – wat cynische ikke dus ‘moeilijk doen’ noemt.

Gelukkig is het recht niet voor één gat te vangen, want het kan niet de bedoeling zijn dat je werkelijk zo moeilijk moes doen om een buitenlands bedrijf aan te spreken. De constructie (art. 54 Rv) is dan ook dat je bij een bedrijf buiten de EU genoeg hebt gedaan als je het vonnis in de Staatscourant hebt gezet en het hebt betekend bij het Nederlands OM (inderdaad, die van de strafzaken).

Dat was hier ook gebeurd en dat was genoeg. Het is dus niét nodig dat je vonnis daadwerkelijk een buitenlandse (niet-EU) partij bereikt heeft, en dat is precies omdat je geen controle hebt over wat er daar gebeurt. Dat de advocaat van Automattic al op 14 april 2022 (een dag na de uitspraak) het vonnis had gehad, is dus niet eens belangrijk.

Blijft over de praktische vraag: wat nu? Want als het bedrijf zich in deze bochten wringt, dan bekruipt mij het gevoel dat ze niet na deze uitspraak ineens heel vriendelijk twee ton overmaken. Maar er zijn meer manieren om aan geld te komen. Met zo’n betekend vonnis kun je namelijk in andere EU-landen beslag laten leggen op geld of rechten die aldaar zijn. Denk aan een rekening waar Europese klanten betalen voor advertenties, de zakenauto van de Europese directeur of de handelsvoorraad ergens in een loods.

Of dat er allemaal is bij een internetbedrijf, kun je je afvragen. Maar wat er wel is, is één vermogensrecht en dat is het merk van Automattic, of beter gezegd het merk WordPress. Dat is immers juridisch gezien ook een vermogensrecht, en daar kun je beslag op leggen. Op korte termijn betekent dat dat Automattic er zelf niets meer mee mag doen, en als ze niet snel betalen dan is (in theorie) de mogelijkheid dat de eiser het merk gaat verkopen om zo die twee ton te verdienen. Ik ben benieuwd of Automattic het zó ver gaat laten komen.

Arnoud

 

 

Jort Kelder wint hoger beroep tegen Google over nepadvertenties met zijn beeltenis

"Internet ban" by theglobalpanorama is licensed under CC BY-SA 2.0

Het gerechtshof in Amsterdam heeft Jort Kelder dinsdag in hoger beroep gelijk gegeven in zijn al vier jaar slepende conflict met Google, zo las ik bij NRC. Zij hadden het vonnis niet: die stond bij het onvolprezen Boek9. Dat schrijft persbureau ANP. Het gaat natuurlijk om die berichten waarin we “afscheid nemen” van Kelder als clickbait om cryptomunten te verkopen, al dan niet in de vorm van flessentrekkerij.

In 2022 stapte Kelder (samen met Alexander Klöpping) naar de rechter hierom, maar zonder succes. Ik blogde toen:

De nepadvertenties kennen de meeste mensen wel: een foto van een BN’er met een ietwat cryptische mededeling, zoals “Nederland neemt afscheid van Jort Kelder” of “Klöppings laatste investering jaagt bankiers angst aan” en pas na doorklikken kom je erachter dat het gaat om ‘beleggen’ in cryptovaluta. Waarbij de scam dan is dat je geld betaalt en er niets voor terugkrijgt.
De rechtbank wees de eis af, omdat de zorgplicht van Twitter en Google niet zo ver ging dat ze íeder bericht hadden moeten onderscheppen. Je kunt niet makkelijk automatisch zien of Kelder in een advertentie staat, de teksten zijn verhullend en de sites wisselen van inhoud na een paar dagen zodat de controleur niets bijzonders ziet.

Gelukkig voor de jurisprudentie ging Kelder in hoger beroep, zij het in zijn eentje en alleen nog tegen Google. Het verweer van die laatste was natuurlijk dat ze slechts een doorgeefluik zijn: niet aansprakelijk voor andermans content, maar op whack-a-mole basis best bereid individuele dingen weg te halen.

Je zou zeggen dat dat bij advertenties anders is, omdat die worden gescreend. Maar dat zijn allemaal automatische processen, en puur automatische passieve controle is niet genoeg om content van kleur te laten verschieten tot redactionele inhoud. Google bemoeit zich ook niet inhoudelijk met het hoger of prominenter tonen van deze advertenties.

Moet Google meer doen? Het Hof is net als de rechtbank onder de indruk van de vele maatregelen en de ‘holistische’ aanpak van Google om advertenties te betrappen – cynische ikke leest het als een mooi verhaal om maar niet identiteitscontrole aan de poort te hoeven doen, want dat zou de omzet drukken.

Specifiek op gemelde advertenties had Google wél meer moeten doen. Ook hier ging men ‘holistisch’ te werk:

In april 2020 heeft zij een internationale multidisciplinaire werkgroep opgezet die versneld technische maatregelen heeft ontwikkeld en geïmplementeerd en in juli 2020 heeft zij celebrity sensationalist ads verboden. Niet valt echter in te zien waarom deze nieuw gevonden manieren van omzeiling in de weg hebben gestaan aan het eerder nemen van effectieve maatregelen door Google, en wel zo spoedig mogelijk na kennisneming van de conceptdagvaarding op 10 januari 2020, dan wel op zijn minst onmiddellijk na het gesprek hierover op 19 februari 2020.
Het ging hier namelijk niet om generieke eisen zoals “blokkeer iedere advertentie met mijn gezicht er naast en/of gekoppeld aan mijn naam”. De betreffende advertenties waren simpelweg steeds (vrijwel) dezelfde, op zo’n manier dat een tekstueel filter ze eenvoudig tegen had kunnen houden:
Ook als het [door het ad cloaking] niet goed was vast te stellen of de betreffende advertentie doorlinkte naar een landingspagina waarop bitcoin-investeringen werden aangeboden, had het tonen van de advertenties in elk geval voor (menselijke) verificatie kunnen worden opgeschort op basis van de vaststelling dat de advertentie identieke/zeer gelijksoortige elementen bevat als de bitcoin-advertenties waarover Google door Kelder was geïnformeerd.
Wat betreft die advertenties is het Hof dan snel klaar: die zijn natuurlijk onrechtmatig, en Google had meer moeten doen om ze tegen te houden, dus is zij aansprakelijk voor de door Kelder geleden schade. Alleen, hoe hoog is die schade? Daarover wordt in een vervolgprocedure (schadestaat) nog nader gepuzzeld.

Arnoud

Europese Commissie gaat AI-inzet van grote platforms aanpakken

assorted electric cables
Photo by John Barkiple on Unsplash

De Commissie heeft op grond van de Digital Services Act (DSA) formeel verzoeken om informatie gestuurd naar de grote online zoekmachines en platforms, las ik in hun persbericht van vorige week. Het gaat om uitleg over hoe zij omgaan met de risico’s van generatieve AI, zoals zogenaamde ‘hallucinaties’ waarbij AI valse informatie verstrekt, de virale verspreiding van deepfakes, evenals de geautomatiseerde manipulatie van diensten dat kan kiezers misleiden.

Het is natuurlijk dat laatste dat de directe aanleiding is: de verkiezingen van het Europees Parlement komen eraan, en de vorige keer was er nogal wat ophef over politieke disinformatie op online platforms. Ook het Cambridge Analytica-schandaal heeft veel zorgen gegeven, met name de vraag of met microtargeting mensen gericht zouden kunnen worden beïnvloed (en AI maakt dat massaal mogelijk).

Nergens in de DSA staat expliciet dat je AI hallucinaties, deepfakes of manipulatie van kiezers moet bestrijden. Dit volgt uit de algemene zorgplicht tegen “systeemrisico’s”, brede maatschappelijke risico’s die jij als zeer groot platform (VLOP) of zeer grote zoekmachine (VLOS) veroorzaakt door zo massaal mensen en bots dingen te laten posten.

De organisaties hebben tot 5 april gekregen om te reageren voor wat betreft de verkiezingen, en tot 26 april voor de overige vragen. Toevallig zie ik al een eerste maatregel: YouTube krijgt label als video generatieve AI bevat.

Arnoud

E-bikes straks mogelijk op afstand af te remmen, zodat Amsterdam weer wat veiliger wordt

Sondors eBike” by FaceMePLS is licensed under CC BY 2.0

Zes steden in Europa, waaronder Amsterdam, testen een systeem dat de snelheid van elektrische fietsen op afstand kan beperken. Dat meldde NRC onlangs. Het riep vele vragen op (zoals “hóe dan”), maar ik wil graag even kijken naar de juridische haalbaarheid.

Het gaat op dit moment nog om een proef, zoals NRC het toelicht:

Vorige week reed de Amsterdamse D66-wethouder Melanie van der Horst (Verkeer) tijdens een testrit op een e-bike waarvan de trapondersteuning wegvalt zodra er een min of meer kwetsbaar gebied opdoemt: een school, een park, een druk kruispunt of fietspad, wegwerkzaamheden, de plaats van een ongeval. Van der Horst: „Ik kreeg op mijn schermpje een spelend kind met een voetbal te zien. Even later kwam ik in het rood te staan en werd mijn snelheid afgeremd tot 15 kilometer per uur”, vertelt ze.
De achterliggende technologie is afkomstig van Stichting Townmaking Institute, zo meldde vakblad Binnenlands Bestuur vorig jaar:
[Projectleider Eduardo] Green zegt: ‘Veel aanbieders van e-bikes bieden een app aan waarmee fietsers informatie zien over hun snelheid en bereik en dergelijke. We hebben een API ontwikkeld waarmee we ons signaleringssysteem daarmee kunnen integreren.’ De verwachting is dat de meeste e-bikes op den duur een geïntegreerde omgeving hebben, zodat ze deze meldingen rechtstreeks op het display van de fiets kunnen ontvangen.
Het artikel schetst vooral het signaleren van snelheidsovertredingen, je schermpje wordt dan oranje of rood naar mate je meer boven de gewenste snelheid zit. Iets onduidelijker is hoe het automatisch afremmen zou moeten werken. Dit klinkt mij iets te onlogisch:
‘Met behulp van zendmasten voor mobiele telefonie is het mogelijk om de stroom op een e-bike langzaam te verminderen en weer op te voeren’ vertelt Green. In theorie is het dus mogelijk om de snelheid van een e-bike van buitenaf te begrenzen.
Ook bij de stichting zelf kan ik niet nader vinden hoe dit zou moeten werken. Maar goed, uiteindelijk is dit een juridische blog en is de vraag dus “mag de gemeente dit doen” en daarvan afgeleid de vraag “mag ik me daartegen verzetten”.

Als het gaat om functionaliteit die door de fabrikant is ingebouwd, dan lijkt het me in principe legitiem voor een gemeente om die functionaliteit in te roepen. Natuurlijk moet de wegomgeving er wel duidelijk op ingericht zijn, je moet weten dat je hier geacht wordt langzaam te fietsen. Ik twijfel of een gemeente de APV moet wijzigen om dit te mogen doen, het is zo nieuw dat hier nog geen precedent voor is.

Je zou als eigenaar van zo’n fiets ervoor kunnen kiezen om deze meldingen tegen te houden. Ik heb zo even geen idee hoe, maar laten we aannemen dat dit effectief kan. Dát kan een gemeente niet verbieden, zelfs niet als ze dat in de APV zet. Dat gaat om een ingreep in eigendom, en zoiets kun je alleen in een wet in formele zin verbieden – eentje die door het parlement is aangenomen.

Arnoud

Een naam hardop uitspreken valt nu ook onder de AVG, wacht, wat?

Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.

De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.

De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.

Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.

Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben.

In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben.
Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.

Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.

De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.

Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.

Arnoud

 

 

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

Een lezer vroeg me:

Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing?
Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud