EC start formele procedure tegen X wegens verspreiding desinformatie

De Europese Commissie is een formele procedure gestart om te beoordelen of het socialemediaplatform X de Digital Services Act heeft overtreden. Dat las ik bij Tweakers. Velen spreken daarbij van “het tegengaan van desinformatieverspreiding” en dat geeft natuurlijk ophef, want desinformatie is niet hetzelfde als strafbare informatie. Maar het ligt iets genuanceerder.

De actie is een vervolg op eerdere constateringen van de EC dat X (née Twitter) de DSA niet zou nakomen. Zoals ik in oktober blogde naar aanleiding van een brief van Eurocommissaris Thierry Breton:

De brief is een reactie op de vele propaganda- en desinformatieberichten die opdoken sinds de terreuraanvallen van Hamas in Israel. Hiertegen moet X harder en sneller optreden, zeker als daarover geklaagd wordt door autoriteiten. Dat gebeurt nu te weinig, aldus Breton. En het is ook weinig transparant waarom sommige berichten wel en andere niet worden weggehaald.
De reactie van Musk was klassiek: welke individuele berichten bedoelde u, en laten we praten over de inhoud daarvan. Maar dat is niet hoe de DSA rolt. Die eist structurele maatregelen, zoals een adequate groep moderatoren en een analyse van systeemrisico’s en wat je daar allemaal tegen kunt doen. (Desinformatie komt voor in de DSA als een voorbeeld van een systeemrisico.) Van dat alles hebben we vervolgens niets gemerkt.

De EC neemt nu de volgende stap en dat is een formeel onderzoek. De aangekondigde onderwerpen zijn:

  • Te weinig doen tegen verspreiding van illegale content (dus strafbaar/onrechtmatig, niet perse desinformatie)
  • De effectiviteit van de Community Notes en hun rol binnen het bestrijden van desinformatie
  • Te weinig informatie geven aan researchers (informatiedelen is wettelijk verplicht) en geen transparantie over advertenties (een uitgebreid register is ook verplicht)
  • Het misleidend ontwerp van de Blue checks (ik had nog niet gehoord dat daar wat mis mee was)
Hoe lang het onderzoek duurt, is niet op voorhand te zeggen. “Tot het klaar is”, oftewel tot er genoeg is om een inbreukactie te starten dan wel tot blijkt dat er toch niets aan de hand is. Een normaal bedrijf zou snel klaar zijn, omdat óók een medewerkingsplicht en het verstrekken van informatie tot je taken behoort als VLOP (zeer groot online platform). Ja, hahaha.

Arnoud

 

Is het legaal om in datalekken te snuffelen?

Een lezer vroeg me:

Wanneer een organisatie gehackt wordt en de interne data online wordt gepubliceerd, is het dan legaal om dit als burger te bekijken? Of moet je dan journalist zijn? Laten we er even vanuit gaan dat ik niet het doel heb om mensen te intimideren met het tot me nemen van de gelekte data.
De laatste zin verwijst naar het verbod op doxxing, dat per 1 januari van kracht zal worden (wetsvoorstel). Daar hoef je je geen zorgen over te maken, omdat dit verbod gaat over het verspreiden van informatie, niet om het bekijken of op je eigen harde schijf hebben.

Er is echter een relevanter verbod, namelijk artikel 139g Strafrecht. Dit stelt strafbaar dat iemand niet-openbare gegevens verwerft of voorhanden heeft

terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
Let op dat het hierbij niet uitmaakt of het gaat om persoonsgegevens (AVG) of andersoortige gegevens, zoals bedrijfsgeheime broncode of meetgegevens van sensoren. Het enige criterium is of de gegevens openbaar waren of niet.

Dat criterium geldt overigens voor de verkrijger op het moment van verkrijging. En specifiek bij zo’n online gezet datalek gaat dat dan mis: de gegevens zijn dan al openbaar, iedereen kan er immers in snuffelen. Dat die openbaarmaking onrechtmatig is, is niet relevant. Zoals bij invoering van dit artikel werd gezegd:

Gegevens die op het internet zijn geplaatst, zijn openbaar mits het publiek toegang heeft tot de internetpagina waar de teksten zijn weergegeven (vgl. Hof Amsterdam 23 november 2009, NJFS 2010,29). Het downloaden van openbare gegevens van internet is dus niet strafbaar op grond van deze strafbepalingen.
Het enkel snuffelen uit nieuwsgierigheid is dus niet strafbaar. Als je de gegevens voor wat anders gaat gebruiken, dan krijg je wel allerlei wettelijke bezwaren. Ze overnemen in een eigen bestand (je AI trainen, je marketingdata verrijken of een waarschuwingssite bouwen, ik noem er een paar) kan al snel in strijd zijn met de AVG als er persoonsgegevens in zitten. De gegevens kunnen beschermd zijn door auteursrecht of databankrecht. Een herpublicatie kan smaad opleveren. En ga zo maar door.

Arnoud

 

Laadpassen voor elektrische auto’s al jaren gevoelig voor fraude, is dat erg?

Laadpassen voor elektrische auto’s zijn al jaren fraudegevoelig, waardoor het mogelijk is om op kosten van iemand anders de auto op te laden. Dat las ik bij Security.nl, dat zich baseert op eigen onderzoek van cybersecuritybedrijf Vest: vanaf het aanvraagproces voor een pas tot aan het gebruik en betalen voor de dienst gaat het mis, aldus onderzoeker Alexander van Ee.

Zo ongeveer alles dat qua security zou kunnen helpen, blijkt niet aangezet of niet aan controle onderworpen. Je kunt een laadpas aanvragen op andermans naam en bankrekeningnummer, zonder controle. Activatie van de pas blijkt praktisch niet nodig. Klonen van passen is triviaal. De pas praat via een onbeveiligd protocol met de laadpaal. Betalen gaat enkel op basis van uitlezen van het pasnummer, en die zijn eenvoudig te raden (en dus te klonen). Oh, en met een extra stukje software kun je druppelladen: opeenvolgende laadsessies van 59 seconden, die stuk voor stuk gratis zijn omdat pas na 1 minuut wordt afgerekend. Bent u daar nog?

Bij NRC deden ze navraag bij de aanbieders, en die zijn pragmatisch:

De laadpasaanbieders en laadpaaloperators zijn zich bewust van de risico’s, maar achten de kans op misbruik klein. Laadstationexploitant Fastned, dat zelf geen passen verstrekt, zegt „geen noemenswaardige fraudeklachten” te ontvangen.
Onderzoeker Pol Van Aubel, verbonden aan de Nijmeegse Radboud Universiteit verduidelijkt:
Bij veel publieke laadpalen is cameratoezicht, en fraude is strafbaar en op te sporen. Het is immers een trage vorm van diefstal, zegt Van Aubel. „Je staat al snel minstens een kwartier te laden, en bij een tragere lader wel twee uur. Het is niet alsof het een heel lucratieve en risicoloze manier van fraude is.”
Het onderliggende probleem is natuurlijk dat alle passen met alle palen moeten werken. Dat oplossen vereist dus aanpassingen in zowel pas als paal, en dat is behoorlijk duur. Maar zou het juridisch moeten, zoals diverse lezers me vroegen?

Toevallig is bijna een jaar geleden de NIS2-richtlijn aangenomen, die eisen stelt aan de cyberbeveiliging van “kritieke infrastructuur”. Laadpaalinfrastructuur valt daaronder (annex 1, categorie Energie/Elektriciteit) dus die exploitanten (aangenomen dat ze middenbedrijf of groter zijn) moeten de boel op orde hebben. Maar wat betekent dat? Artikel 21 legt het uit zoals alleen een jurist zou doen:

Member States shall ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems which those entities use for their operations or for the provision of their services, and to prevent or minimise the impact of incidents on recipients of their services and on other services.

Oftewel, zorg er voor dat het goed is en dat je de risico’s onder controle hebt. En daar zit hem de kneep: is afwezigheid van cybersecurity een probleem als er geen reële gevallen van misbruik daarvan zijn? Niemand laadt op andermans kosten, gekloonde laadpassen zijn geen ding en gratis druppelladen kan maar dan sta je vele uren bij de paal, tsja wie wil dat nou?

Iets formeler gezegd: een goede cyberbeveiliging is gebaseerd op een risicoafweging. Je neemt de grootte van het risico en de zwaarte van de impact mee, en baseert daar je beleid op. Zelden voorkomende issues met nauwelijks impact kun je in dat beleid prima als restrisico/aanvaardbaar classificeren, met eventueel een potje geld voor dat enkele slachtoffer.

Arnoud

FTC wil onrechtmatig gebruik van gekloonde stemmen door AI tegengaan

De FTC wil consumenten beschermen tegen misbruik en fraude van stemklonen door AI. Dat las ik bij Tweakers. Daarom vraagt de Amerikaanse toezichthouder om input door middel van een wedstrijd waarin geldprijzen te winnen zijn voor de inzenders met de beste ideeën.

Het probleem krijgt steeds meer aandacht, ook in Nederland. In augustus nog waarschuwde de politie voor een nieuwe oplichterstruc:

Met behulp van artificial intelligence (AI) is het mogelijk om de stem van iemand anders te imiteren, bijvoorbeeld van een familielid. Vervolgens gebruiken cybercriminelen deze stem om iemand telefonisch op te lichten. Ze laten de stem bijvoorbeeld zeggen dat hij/zij in acute nood zit en snel geld nodig heeft. In het buitenland zijn op deze manier al diverse mensen voor honderdduizenden euro’s opgelicht, en ook de nationale politie maakt zich zorgen over de snelle opmars van AI.
Ook binnen bedrijven is dit een mogelijke truc, denk aan het nadoen van de stem van de directeur (wat bunq-man Niknam overkwam) om zo een collega dingen te laten doen. Natuurlijk is zoiets strafbaar, maar hier geldt “voorkomen is beter dan genezen”. Alleen, hoe dan?

De technologie is vrij verkrijgbaar en eenvoudig genoeg toepasbaar. Dat maakt het lastig om vanuit dat punt nog te reguleren. Natuurlijk, de AI Act zal hier regels over stellen maar wie zulke software exploiteert voor oplichters zal daar weinig aan gelegen zijn. Net zoals het Amerikaanse voorstel va president Biden dat zulke uitvoer gewatermerkt moet zijn (zodra men uitgevogeld heeft hoe dat zou moeten werken).

Veel verder dan “spreek een codewoord af” ben ik nog niets tegengekomen.  Jullie wel? Het kan 25.000 dollar opleveren, lees ik.

Arnoud

 

Hoe verweer je je tegen de uitspraken van de ChatGPT detector?

Een lezer vroeg me:

Ik las over de ontwikkeling van een “ChatGPT detector” bij wetenschappelijke papers. Weliswaar alleen voor scheikunde, maar ik vroeg me toch al af: als mijn paper op de universiteit door zo’n detector als plagiaat wordt aangemerkt, wat kan ik daar dan tegen doen? Dit is een behoorlijk black box verhaal.
De aangehaalde publicatie betreft een tool ontwikkeld door twee scheikundigen. Op basis van een relatief kleine dataset met abstracts kan de tool zeer accuraat een abstract als handgeschreven versus “komt uit ChatGPT” aanmerken. Het idee erachter is dat je zo’n detector domeinspecifiek moet bouwen, omdat je dan domeinspecifieke terminologie, taalgebruik, stijl en dergelijke mee kunt nemen in de afweging.

Voor plagiaatcontrole zou je dus per faculteit een aparte dataset moeten maken, dat lijkt me een te overzien probleem. Dus laten we even aannemen dat zo’n ding bestaat en ingezet wordt in de al bestaande procedure van plagiaatcontrole op papers en scripties. Wat dan?

Plagiaatscanners werken op dit moment vrij rechttoe-rechtaan: ze matchen stukken tekst met externe bronnen en produceren een rapport met highlights. Het plaatje rechtsboven (van scanner Ephorus) laat daarvan een voorbeeld zien. Een examinator gebruikt dat als input om zelf de vergelijking te controleren en daar conclusies uit te trekken. Dat gaat dan bijvoorbeeld zo:

Tijdens de controle van het werk is door de plagiaatscanner een overlap geconstateerd tussen het werk van [appellant] en een medestudent. De overlap omvatte bijna 100 procent van het werk. … De examencommissie heeft ook geconcludeerd dat [appellant] zich schuldig heeft gemaakt aan plagiaat vanwege het letterlijk overnemen van informatie van websites. Omdat [appellant] geen gebruik heeft gemaakt van aanhalingstekens of een bepaalde vormgeving, zijn de citaten niet als zodanig herkenbaar. Verder heeft [appellant] bijna letterlijk informatie overgenomen zonder bronvermelding.
De “ChatGPT detector” werkt iets anders. Uit de Nature-publicatie:
Using machine learning, the detector examines 20 features of writing style, including variation in sentence lengths, and the frequency of certain words and punctuation marks, to determine whether an academic scientist or ChatGPT wrote a piece of text. The findings show that “you could use a small set of features to get a high level of accuracy”, Desaire says.
Hier komt dus de uitspraak uit “op basis van statistische analyse lijkt het er zeer sterk op dat deze tekst uit de tool ChatGPT komt”. Dat is wel even een ander niveau dan constateren dat stukken tekst uit het paper gelijk zijn aan stukken tekst uit een specifieke, na te lezen bron.

Juridisch gezien ligt de bewijslast bij de docent dan wel examencommissie dat sprake is van fraude (waar plagiaat of het inschakelen van hulplijnen onder valt). In dit Tilburgse voorbeeld uit 2021 werd door het College van Beroep een plagiaatbeschuldiging afgewezen omdat het aangedragen bewijs niet meer was dan “vraag 2d is opmerkelijk gedetailleerd beantwoord, in tegenstelling tot de rest”. Maar in de meeste gevallen is de plagiaat wel letterlijk en duidelijk.

Ik kon één geval vinden (uit Leiden) waarin de fraude zou zijn dat de student een derde had ingeschakeld om mee te schrijven. Dat lijkt nog het meest op het inzetten van ChatGPT: als docent zie je andere stijlvormen, een hoger niveau van redeneren, een heel andere wending dan in de eerder besproken onderzoeksopzet en concepten, zulke dingen.

Het kán natuurlijk dat je tussentijds ineens diepere inzichten verwerft (en discussie met anderen is legitiem om die te verwerven), maar als je dat niet kunt toelichten of laten zien als daarom gevraagd wordt dan kan men alsnog uitkomen bij fraude:

Het College overweegt dat niet het feit dat appellante een andere, ingewikkelde methode in haar scriptie heeft gebruikt kan worden aangemerkt als fraude, maar dat de verstrekte  toelichtingen van appellante over de door haar gemaakte keuzes in haar scriptie van dien aard zijn dat verweerder terecht en op goede gronden heeft geconstateerd dat het op juiste wijze vormen van een oordeel over de kennis, het inzicht en de vaardigheden van appellante geheel of gedeeltelijk onmogelijk is geworden en dus als fraude moet worden aangemerkt.
Ik vond één uitspraak uit Groningen over fraude (mede) vanwege de inzet van AI. De bewijslast werd volgens mij goed gedragen:
Appellante heeft in haar essay tenminste tien bronnen gebruikt die in het geheel niet bestaan. Daarnaast zijn er ook andere fouten gemaakt in de bronvermelding. Zo noemt appellante artikelen die niet in de door haar genoemde vakbladen zijn gepubliceerd en zijn er ook nog andersoortige fouten gemaakt.
Met dergelijke aanwijzingen onderbouw je je vermoeden van fraude prima, zeker als de studente daar weinig meer tegenover kan stellen dan dat het expliciete verbod op gebruik van AI pas van na haar afrondingsdatum was. Gebruik van tools om je werk te doen maakt dat het minder jouw werk is.

Van de zomer verscheen dit artikel waarin men een lichte toename signaleerde van fraudegevallen door GPT. Schokkend vond ik wel de daar gedane suggestie over detectie door ChatGPT zelf:

Bij vermoeden van plagiaat kan je aan het computerprogramma vragen of hij het geschreven heeft. ChatGPT geeft daar dan ‘eerlijk’ antwoord op. Die methode is niet altijd betrouwbaar, zegt Ferrantelli, dus uiteindelijk geeft het oordeel van de docent de doorslag.
Een methode die “niet altijd betrouwbaar is” lijkt me per definitie een methode die je niet moet gebruiken. Zeker als de makers van ChatGPT zelf hun eigen tool hiervoor offline halen omdat hij niet goed werkt.

(Meelezende afstudeerders-in-spe, wie hier een onderzoek van wil maken kan zich melden!)

Arnoud

In het moderatieteam van X heeft maar één persoon Nederlands als hoofdtaal, is dat erg

Het sociale medium X heeft één persoon in het moderatieteam van wie Nederlands de eerste taal is. Dat meldde Nu.nl onlangs op basis van de DSA-transparantierapporten die X née Twitter periodiek moet publiceren. Het moderatieteam telt 2.294 mensen, waarvan er eentje dus Nederlands spreekt.

De Digital Services Act eist van zeer grote platforms zoals X dat ze regelmatig updates geven over allerlei aspecten van de dienst. Deze transparantierapporten moeten elke zes maanden uitkomen, en een van de verplichte elementen is het aantal “human resources” per officiële EU-taal en hun kwalificaties. Dat doet X dus zo:

Allereerst valt mij dan op dat ze van “rapporteren per taal” gaan naar “dit zijn de volgens ons meest gesproken talen in de EU”, maar goed als de rest 0 is dan snap ik het wel. Verder komt er dan een uitgebreide tekst over hoe goed het team dan wel niet is (ik ben te cynisch want ik ruik ChatGPT). Maar de vraag blijft: is dit erg?

Formeel heeft X aan de DSA voldaan: artikel 42 eist niet meer dan dat je vertelt hoe veel mensen per taal je hebt en wat hun kwalificaties zijn. “We hebben niemand en die halve paardenkop die er zit, kan niets” is een juist antwoord als dat de situatie is. Echter, artikel 16 eist dat je adequaat omgaat met klachten over content, en een onkundige halve paardenkop kan dat natuurlijk niet. Je cijfers zeggen dus wel iets over de kwaliteit van je moderatieteam.

Het aantal mensen (en hun talen + deskundigheid) past natuurlijk ook goed in een analyse van de systemische risico’s (artikel 34) waar je als VLOP naar moet kijken. Als je te weinig mensen hebt om het Nederlandse taalgebied goed te modereren, dan kunnen er dingen misgaan in Nederland. Dat is echter iets voor het risk assessment dat pas over een half jaar hoeft te verschijnen.

Arnoud

 

Streamingdiensten moeten 5 procent van omzet in Nederlandse content steken

Grote streamingdiensten moeten vanaf 1 januari 5 procent van hun jaaromzet investeren in Nederlandse films en series. Dat meldde Nu.nl onlangs. De nieuwe wet geldt voor streamingdiensten die in Nederland jaarlijks meer dan 10 miljoen euro omzetten, zoals Netflix, Disney+ en Amazon Prime. Ik kreeg er vragen over: mag een land dat zo dicteren?

Het is zeker geen unieke nieuwe Nederlandse regel, dat je als contentproducent voorgeschreven krijgt dat een deel van je producties Nederlandstalig moeten zijn. Juridisch is een vergelijkbare constructie terug te vinden in de Audiovisuele Media Richtlijn die een percentage van maar liefst 30% voorschrijft:

De lidstaten zorgen ervoor dat onder hun bevoegdheid vallende aanbieders van audiovisuele mediadiensten op aanvraag een aandeel van ten minste 30 % aan Europese producties opnemen in hun catalogi en dat die producties aandacht krijgen.

Het kost enige moeite maar vrijwel alle grote platforms nemen dit zeer serieus, mede vanwege concurrentie-overwegingen:
The study argues that the increase in European titles available on streamers is due to “regulatory pressure in boosting the acquisition and production of European film and TV,” as well as the fact that global players are now competing directly with local and regional players for commissioned content. It can also be noted that streamers and broadcasters have started collaborating on ambitious series in key markets.
Maar hoe kun je een partij zo concreet verplichten om producties op een bepaalde plek te produceren? Dat lijkt te botsen met de ondernemers- en uitingsvrijheden: als onderneming bepaal ik zelf wel wat ik produceer, in welke taal en op welke plek ter wereld.

Alleen, die vrijheden zijn niet onbeperkt. De uitingsvrijheid mag bijvoorbeeld worden ingeperkt als dat noodzakelijk is om andermans rechten te beschermen (zoals bij smaadwetgeving of de AVG). Hier gaat het om een wat abstracter begrip, namelijk de pluriformiteit van het media-aanbod: het is maatschappelijk zeer wenselijk dat er mediaproducties uit Europa komen en niet alléén maar uit Hollywood, zeg maar. En gezien de machtsposities van deze productiemaatschappijen is het dan redelijk om ze zo’n verplichting op te leggen.

Arnoud

 

Mag je versie 2 van je game een nieuwe game noemen?

Het spel Counter-Strike 2 heeft meer dan 7,5 miljoen reviews op gamestreamingdienst Steam, met 88% positief, las ik bij Rock Paper Shotgun. Best knap voor een game die toen net een paar dagen uit was. Of wacht: die recensies zijn de afgelopen jaren afgegeven voor Counter-Strike: Global Offensive, waar CS2 feitelijk een grote update van is. Klopt dat dan nog wel?

Counter-Strike is een spel uit alweer 1999, dat na diverse updates in 2012 op de markt kwam als Global Offensive – CS:GO is tegenwoordig ongeveer synoniem met FPS, en speelbaar op vrijwel alle grote platforms (Microsoft Windows, OSX, Linux, Xbox 360 en PlayStation 3). Regelmatig zijn er grote toernooien met serieuze prijzen. Dit is dus zeg maar best een bekend merk.

Counter-Strike 2 wordt algemeen gezien als een grote update, zoals bijvoorbeeld Tweakers:

De shooter blijft free-to-play en spelers kunnen al hun skins uit CS:GO meenemen naar Counter-Strike 2. … [O]pvallende wijzigingen zijn veranderingen in de matchmaking. Spelers met een hoge CS Rating in Premier kunnen niet langer in een team zitten met spelers die dat niet hebben. Ook worden de ‘associates’ van een of meerdere spelers die hebben valsgespeeld en een permanente ban hebben gekregen, gestraft met verlaagde Profile Rank en CS Rating.
Verder is er meer veranderd:
You may find the new minimum specs exclude your computer, or that it’s simply less comfortable to play because left-handed weapons have been removed. You may find that your favourite mode – the one that prompted you to spend all that money opening in-game crates – has disappeared overnight.
Ook werkt de game niet meer op MacOS. Je kunt je dan afvragen of je dit nog wel een update van CS:GO kunt noemen. Producent Valve meent van niet, ze kozen immers voor een naamsverandering waarin nadrukkelijk “versie 2” wordt gehanteerd.

Ik denk dat het in de softwarewereld wel algemeen aanvaard is dat “versie 1” en “versie 2” als andere stukken software gezien worden. Weliswaar met een onderling verband, maar niemand zal zeggen dat Windows 2.0 en Windows 3.1 eigenlijk dezelfde software zijn, bijvoorbeeld.

Het voelt dan laten we zeggen een tikje misleidend om dit spel dan tóch op de pagina van de vorige versie te presenteren, omdat je als professionele partij zoals Valve moet weten dat alle positieve recensies blijven staan en CS2 dan meteen een héle mooie start krijgt in alle rankings.

Is dit nu iets waarvan je kunt zeggen dat Valve hiermee “het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt”? Dat is namelijk het criterium om van een verboden oneerlijke handelspraktijk te spreken. In het Burgerlijk Wetboek is daar een hele regeling over opgenomen, inclusief een zwarte lijst van misleidende praktijken.

Helemaal onderaan (punt aa) staat als altijd verboden praktijk:

het plaatsen of doen plaatsen van valse beoordelingen of aanbevelingen van consumenten of op misleidende wijze voorstellen van consumentenbeoordelingen of sociale media-aanbevelingen, teneinde producten te promoten.
Je zou dan zeggen dat je mensen misleidt door beoordelingen van CS:GO te presenteren als beoordelingen van CS2. Die misleiding komt dan doordat je er niet bij zet “let op, recensie van oude versie”. Die tekst zie je regelmatig bij recensies, dus een gekke gedachte is dit niet.

Daar staat tegenover dat het conceptueel nog steeds wel hetzelfde spel is. Nieuwe kaarten, nieuwe wapens, diverse cosmetische aanpassingen: dat zijn we gewend van games:

Since the initial release of Global Offensive, Valve has continued to update the game by introducing new maps and weapons, game modes, and weapon balancing changes.[32] One of the first major additions to the game post-release was the “Arms Deal” update. Released on August 13, 2013, the update added cosmetic weapon finishes, or skins, to the game. These items are obtainable by a loot box mechanism; players would receive cases that could be unlocked using virtual keys, purchased through in-game microtransactions.[33][25] Global Offensive has Steam Workshop support, allowing users to upload user-created content, such as maps, weapon skins, and custom game-modes. Some popular user-created skins are added to the game and are obtainable from unboxing them in cases.[34]
En in het verleden was dat nooit een reden om bij de reviews ineens te vermelden “betreft oudere versie”.

Ondertussen heeft de community actie genomen: er staan nu een kleine miljoen negatieve reviews op Steam, dit maakt CS2 de laagst scorende game ooit. Dit is mede te wijten aan de bugs:

The first major reason for CS2’s low scores is the gameplay itself. A lot of bugs and glitches have frustrated gamers of all skill levels. A lot of game modes and content from CS:GO have also been removed and many players feel CS2 is “unfinished” and lacking content. … Many Counter-Strike players were frustrated that the arrival of CS2 spelled the end of CS:GO. CS:GO’s game file was also automatically replaced with CS2 for those who had the game downloaded. Not only were fans angry to have their favorite game removed, but others felt that Valve was being deceitful.
Op die manier lost het zichzelf wellicht op, maar toch lijkt het mij een goed idee recensies voortaan te voorzien van een versienummer of label van het exacte spel waar ze op betrekking hebben.

Arnoud

 

 

 

Brussel onderzoekt of advertenties voor client-side scanning in strijd met DSA zijn

De Europese Commissie onderzoekt of een eigen politieke microtargeting advertentiecampagne op X, die steun voor het omstreden client-side scanning zocht, in strijd met de Digital Services Act (DSA) is. Dat meldde Security.nl onlangs.

Enige tijd terug tech-expert Danny Meki? dat de Europese Commissie op X een advertentiecampagne heeft gevoerd waarbij het via microtargetting zich richtte op mensen in Nederland, Zweden, België, Finland, Slovenië, Portugal en Tsjechië die wel eens tegen het voorstel zouden kunnen zijn. Deze kregen dan zeer gerichte tegenargumenten.

De ontdekking openbaar maken leverde Meki? – net als professor Armand Girbes – een shadowban op bij X: beperkt vindbaar gemaakt, zonder enige motivatie. Dat dát een DSA overtreding is, lijkt me duidelijk. Maar hoe zit dat met dat profileren zelf.

De DSA is gericht op reguleren en transparantie, maar verbiedt an sich niet zo heel veel dingen. Ook bij advertenties (artikel 26) wordt er met name gevraagd om dingen aan te geven:

  1. Duidelijk markeren dat iets een advertentie is;
  2. Van wie deze afkomstig is (en wie er voor betaalde, indien niet dezelfde entiteit);
  3. “Rechtstreeks en gemakkelijk toegankelijke nuttige informatie over de belangrijkste parameters die worden gebruikt om te bepalen aan welke afnemer de reclame wordt getoond en in voorkomend geval over de wijze waarop die parameters kunnen worden veranderd.”
(Over dat laatste blogde ik laatst.) Dit is gericht op transparantie, weten waarom je bepaalde advertenties krijgt. Maar als die informatie inhoudt “we hebben een profiel samengesteld dat bij jou en nog 10 mensen in de EU paste” dan is daar verder niets mis mee.

Een direct verbod zie ik verder niet. Van de zeer grote platforms zou je wellicht nog kunnen zeggen dat zij microtargeting moeten zien als een systemisch risico, en daar dan maatregelen tegen moeten nemen, maar dat is bepaald indirect.

Al sinds 2021 ligt er een voorstel voor een Verordening over transparantie bij politieke reclame. Van de zomer is dit stil komen te vallen, de redenen zijn onduidelijk. Maar de bedoeling hiervan is om targeting op basis van persoonsgegevens expliciet te verbieden (art. 12).

De verwijzing naar persoonsgegevens suggereert dat de AVG er ook wat van zou moeten vinden, maar een hard verbod ga je niet vinden in deze wet. Je kunt natuurlijk zaken aandragen als profileren, maar dat geldt bij álle advertenties en wordt niet anders omdat jij vrij specifiek eruit gepikt wordt.

Het enige echte argument uit de AVG betreft je politieke voorkeur: als de (micro)targeting gericht is op politieke tegenstanders, dan worden bijzondere persoonsgegevens verwerkt en dat is simpelweg verboden voor zo’n doel.

Arnoud

Werknemer voor rechter na negatieve recensies: ‘Do not work here’

Marktonderzoeksbureau Innova uit Arnhem heeft een ex-werknemer voor de rechter gesleept, om de namen te achterhalen van zijn collega’s die negatieve recensies over het bedrijf op internet plaatsten. Dat meldde RTL Nieuws onlangs. Tot twee keer toe zonder succes: onlangs verloor de werkgever ook het hoger beroep.

De directe aanleiding lijkt te zijn geweest dat de werknemer na uitdiensttreding in dienst was getreden bij een klant van Innova, waarmee hij het relatiebeding uit de arbeidsovereenkomst zou hebben overtreden. Ook waren er negatieve reviews op een rekruteringsplatform (Glassdoor) geplaatst, waarvan men deze werknemer verdacht.

Alleen hoe bewijs je dat?

Op 10 en 22 augustus 2021 verschijnen twee negatieve reviews over (het werken bij) Innova. Innova vermoedt dat [geïntimeerde] en/of zijn collega [naam1] deze geplaatst hebben of hierbij betrokken zijn. Dit vermoeden krijgt Innova vanwege tussen hen gewisselde (Teams)berichten die zij via de account van [naam1] na diens ontslagname heeft achterhaald.
Hard bewijs komt er echter niet, toch pakt men door en komt 25.000 euro boete opeisen. Dat leverde alleen maar veel discussie tussen advocaten, dus dat kwam bij de rechter.

Innova had een zogeheten vordering tot afgifte ingesteld (art. 834a Rv), wat juridisch kan als je voldoende belang hebt bij de geëiste bewijsstukken. Het Gerechtshof legt uit:

Een vordering is toewijsbaar als is voldaan aan de volgende voorwaarden:

a. er moet sprake zijn van een rechtmatige belang

b. het moet gaan om “bepaalde bescheiden”

c. degene die inzage vraagt moet partij zijn bij de rechtsbetrekking.

Als degene die de stukken onder zich heeft gewichtige redenen heeft om die niet af te geven kan dat reden zijn om de vordering niet toe te wijzen (lid 4 artikel 843a Rv).

Probleem was hier dat het niet de ex-werknemer was die beschuldigd werd van de reviews, maar zijn collega. Men wilde van de ex-werknemer dus e-mails tussen hem en die collega hebben. En dat ligt lastig met dit artikel, want dit is eigenlijk wel bedoeld voor partijen die een onderling geschil bij de rechter hebben of gaan hebben.

En toen werd het ineens even heel complex. Innova bleek namelijk ook Glassdoor aangesproken te hebben, die de claim afwees (want Amerikaanse partij en free speech en zo, wat dacht je zelf). Maar er was meer: het bedrijf zat zelf al sinds 2019 op Glassdoor, en was dus volgens het Hof akkoord met de voorwaarde dat anonimiteit van werknemers een groot goed is. Oftewel, dan sta je dus zwak als je die toch ineens wil doorbreken.

Het is Innova dus niet gelukt om via haar contractspartner Glassdoor achter de namen van de plaatsers van de reviews te komen. Innova stelt dat zij daartoe ook niet is gehouden omdat daarvoor een lange en kostbare procedure in de Verenigde Staten nodig is (Glassdoor schrijft dat zij zichzelf en haar gebruikers recht op anonieme vrije meningsuiting in een procedure “agressively” zal verdedigen). Innova wil nu via een andere weg de namen achterhalen, namelijk via haar ex-werknemer [geïntimeerde] . De enige reden dat [geïntimeerde] deze namen kent is dat Innova hem ervan heeft beschuldigd dat hij die reviews geplaatst had. Vervolgens is hij ter ontlasting van die beschuldiging op zoek gegaan naar de plaatsers van de reviews. Hij heeft de betreffende (ex-)werknemers toegezegd dat hij hun namen niet zou prijsgeven.
In die omstandigheid ziet het Hof geen reden om afgifte van de e-mails te bevelen. De exwerknemer mocht, net als collega’s verwachten dat de werkgever de werkwijze van Glassdoor zou respecteren en dus niet zomaar de anonimiteit van plaatsers zou doorbreken.
Het gaat om anoniem geplaatste reviews met persoonlijke ervaringen, de anonimiteit wordt gegarandeerd door platform Glassdoor en Innova is, door zich via haar overeenkomst met Glassdoor te conformeren aan die anonimiteit, ten opzichte van haar werknemers in beginsel gehouden die te respecteren. Daarbij dient bedacht te worden dat ook de vrijheid van meningsuiting van de plaatsers van de reviews in het geding is.
Tevens is niet aan de inhoudelijke eisen voldaan, zoals een onderbouwing van hoe en waarom de reviews dan zo onrechtmatig zijn, waarom je pas na twee jaar daar zo’n punt van maakt en waarom het willen stellen van een precedent hier relevant is. Deze eis wordt dus (terecht) afgewezen.

Ik ga nog even verder, want veel ict-ers hebben ook voor hen vervelende en strenge bedingen in hun contracten. De overtreding van het concurrentiebeding wordt afgewezen: de werknemer was immers naar een klant overgestapt, terwijl het beding het verbood om bij “met Innova concurrerende ondernemingen in dienst te treden”. Een klant concurreert in het gewone spraakgebruik niet met een leverancier. Als je dat wel bedoelt, dan moet je dat duidelijker vermelden – onduidelijkheden in een eenzijdig opgelegd beding werken altijd in je nadeel.

Als laatste was er nog tussen Innova en die klant een zogeheten aftroggelbeding gesloten: die klant zou geen werknemers van Innova in dienst nemen, en dat was hier dus wel gebeurd. Maar omdat de indiensttreding an sich legaal is, moet er dan iets bijzonders aan de hand zijn om dit een onrechtmatig handelen van de werknemer te noemen.

Je kunt als twee bedrijven wel afspraken maken over wat je met elkaars personeel doet, maar dat kan dan alleen gevolgen hebben in de onderlinge relatie (zoals een contractuele boete of het verbreken van een samenwerking). Dus ga die boete maar halen bij je klant. Oh wacht:

Het hof begrijpt dat [Innova] dat liever niet doet omdat het een klant is. Maar die keuze houdt wel in dat als zij een derde partij, haar ex-werknemer [geïntimeerde] , hierop wil aanspreken, zij (gelet ook op wat hiervoor over zijn recht op vrije arbeidskeuze is overwogen) bijzondere omstandigheden moet stellen die diens handelen onrechtmatig maken.
Een overstap wordt voor een werknemer niet onrechtmatig omdat de oude met de nieuwe werkgever heeft afgesproken dat het niet mag.

Arnoud