‘Ook OpenAI en Anthropic negeren robots.txt-verzoeken om sites niet te scrapen’

Photo by Chuck Underwood on Unsplash

OpenAI en Anthropic negeren verzoeken van websites in robots.txt-bestanden om niet gescrapet te worden. Dat las ik bij Tweakers. Dat is opmerkelijk, want eerder meldde men nog dit wel te gaan doen. De reden is onduidelijk, mogelijk heeft het te maken met het onderscheid tussen “crawlen om AI-trainingsvoer te vinden” en “crawlen om bronnen te vinden waarmee AI-uitvoer ondersteund wordt”.

Dit is dus precies waarom robots.txt niet de oplossing is voor dit probleem. Robots.txt is ooit gemaakt om boteigenaren aan te geven waar de website-eigenaar problemen verwachtte, zoals bij cgi-bin scripts of URL’s met sessieparameters of mappen waar toch niets te halen viel. Dat was handig voor de boteigenaar want dat scheelt netwerkverkeer en rotzooi weggooien.

Hier gaat het niet om elkaar helpen maar om een verbod: je mag deze site/content niet gebruiken voor jouw tekst en datamining. Ook niet als je het voorzichtig doet. Daar zit een juridisch haakje aan, artikel 15o van onze Auteurswet (gebaseerd op Europese regels) zegt dat TDM mag tenzij er een machineleesbare optout is gegeven.

Het probleem: iets is pas machineleesbaar (=zonder menselijke tussenkomst te interpreteren) als daar een standaard voor is. En die is er niet. Dus dan krijg je dat men iets pakt dat er op lijkt, namelijk robots.txt en daar dan doet alsof je een verbód uitspreekt als je zegt “GPTbot disallow *”. Dit werkt om meerdere redenen niet, al is het maar omdat je alleen per bot kunt uitsluiten en niet per soort gebruik (wel voor je zoekmachine, niet voor je dataset).

We hadden in de jaren nul hetzelfde met het Automated Content Access Protocol, dat geen succes werd omdat er geen consensus was dat je dit moest willen. En er zijn diverse pogingen om een “ai.txt”-achtige standaard te zetten, maar die hebben allemaal hetzelfde probleem: waarom zou ik dat ondersteunen? Als ik dat doe, mag ik dingen niet die de concurrent wel mag (want die ondersteunt het niet).

De enige route is dat de wetgever een standaard bindend voorschrijft, dit is hoe jij uitgever het opschrijft en daar ga jij crawlerbaas elke keer verplicht kijken voordat je verder crawlt. Maar het Europese standaardisatieproces duurt jaren. Ik ben dus heel benieuwd hoe hier een standaard geforceerd gaat worden. Een dappere rechter die durft te zeggen “genoeg uitgevers gebruiken formaat X, dat is dan vanaf vandaag maar standaard”.

Arnoud

 

Scholen mogen sociale media alleen gebruiken na afspraken over gegevens

Photo by Jonathan Robles on Pexels

Onderwijsinstellingen moeten duidelijke afspraken maken met socialemediabedrijven over wat er met gegevens van studenten en docenten gebeurt. Dat las ik bij Nu.nl. Het volgt uit een advies van de Autoriteit Persoonsgegevens aan een onderwijsinstelling die een bepaald socialemediaplatform wilde inzetten. Wat betekent dit voor de praktijk?

De school (die verder anoniem wordt gehouden) maakte zich zorgen over het mogen gebruiken van een socialemediadienst voor marketingdoeleinden. Men wilde hiermee “met inzet van betaalde en organische content potentiele studiekiezers helpen in het maken van een goede studiekeuze“. Dat raakt aan persoonsgegevens – personeel en studenten die in beeld komen, of marketingmedewerkers die de dienst bedienen. Maar ook van toekomstige leerlingen, die via de content interacteren met de school.

Velen roepen al jaren dat dit juridisch best spannend is, het zal dan ook niet verbazen dat de school een DPIA liet uitvoeren om de risico’s in kaart te brengen. De DPIA focust op het verlies van grip op persoonsgegevens, omdat de dienst kan besluiten daar zelf andere dingen mee te doen. Ook waren er vragen over de gekozen route van toestemming als grondslag, en ontbraken afspraken over het overbrengen van persoonsgegevens naar landen buiten de EU.

Zo te lezen heeft de school fors werk verricht. Het proces van toestemming is voor de verandering solide ingericht, inclusief actieve focus op het wegnemen van indirecte druk om toestemming te geven (wat immers een probleem is bij werknemers, maar ook bij studenten). En er is goed nagedacht over hergebruik door de socialemediadienst.

Het advies van de AP blijft echter een beetje steken in algemeenheden en tips. Dit heeft denk ik te maken met dat niet zij maar een niet nader te noemen andere toezichthouder bevoegd is (gokje: Ierland), en dat de AP dan niet voor haar beurt kan spreken. Ik vat de tips even samen:

  • Je moet zelf bedenken of je gezamenlijke verwerkingsverantwoordelijke bent. Een hint is dat het niet uitmaakt dat je grip op de gegevens verliest. Als de socialemediadienst een verwerking doet die jouw doelen ten goede komt, wijst dat ook op gezamenlijkheid.
  • Als je gezamenlijk bent, maak dan goede afspraken.
  • Je moet dit per verwerking doen, op lager detailniveau dan “wij uploaden de video en de dienst zorgt algoritmisch dat studenten-in-spe deze zien”.
  • Maak afspraken over bewaartermijnen door de socialemediadienst. Niet alleen de video maar ook de comments dus.
  • Als de dienst in een derde land zit, dan zou je met SCC’s kunnen werken (de Schrems-schaamlap). Maar ga dan wel zelf na of je die kunt afdwingen in het derde land (“small Dutch school sues tech giant, film at 11”).
  • Je toestemmingsformulier moet je afstemmen op de specifieke verwerkingen (zie punt 3), oftewel dat moet er allemaal in staan.
  • Heel goed dat je mitigerende maatregelen tegen de dreiging van dwang hebt genomen, maar ga tóch nog een keertje goed na of mensen geen dwang ervaren.
Ik hoop voor de verandering niet al te cynisch te klinken: dit is op zich een keurig advies over welke punten na te lopen, het biedt alleen weinig concrete houvast bij het afvinken van die punten.

Arnoud

 

 

Mag ik met cameratoezicht controleren of de parkeerplek voor mijn deur vrij is als ik aan kom rijden?

Photo by Thatmientay on Pixabay

Een technisch vernuftige kwestie bij Reddit:

Ik heb een camera op de 3 parkeerplekken voor mijn huis hangen met een scriptje die checkt of er een parkeerplek leeg is. Deze camera, in tegenstelling van [mijn] deurbel en tuin camera, neemt niet op maar neemt alleen een snapshot van de huidige situatie, maakt hier een base64 string van en stuurt die naar een (gesloten) API. Mijn overburen hebben hier over geklaagd, en normaal gesproken zou ik er geen twee keer over nadenken en de camera weghalen. Maar zij zijn nou net de reden dat ik dit script heb geschreven aangezien zij de hele dag thuis zitten en zodra de plekken voor ons huis vrij komen meteen de buitenste twee innemen met hun beide auto’s, ondanks dat ze gewoon een oprit hebben.
De achterliggende reden voor dit stukje huisvlijt (link met technische details) is dat de betreffende straat in een breder gebied met eenrichtingsverkeer ligt. Kan de vraagsteller niet bij zijn huis parkeren, dan moet hij een fors stuk doorrijden alvorens weer bij een parkeerplek te komen. Weet hij deze situatie tijdig, dan kan hij ergens in de buurt parkeren.

Maakt dat uit? Jazeker, want bij het maken van beelden in de openbare ruimte kom je bij de AVG uit en die vereist een onderbouwd gerechtvaardigd belang. In deze situatie weten hoe je moet rijden vind ik wel een rechtens te respecteren belang (indirect te linken aan recht op privé-leven, dit is gewoon belangrijk voor veel mensen):

Lange straat met eenrichtingsverkeer en parkeerplekken alleen aan onze kant van de straat. Als ik aankom rijden vraag ik aan me voice assistant of er een plek beschikbaar is zodat ik weet dat ik voor de deur kan parkeren of al eerder een plek moet vinden. Het kan in ons dorp bij mooi weer extreem druk worden. Als ik doorrijdt en er is geen plek voor de deur of verder in de straat, moet ik een aardig stukje omrijden om het nog een keer te proberen.
Natuurlijk moet er van de AVG ook een afweging met de belangen van anderen gemaakt worden. Andere mensen komen in beeld als die foto wordt gemaakt, en zij hebben ook recht op privé-leven als ze gewoon op straat lopen of voor mijn part hun schoenveters strikken op die parkeerplaats.

Hoe weeg je dat tegen elkaar af? Het mooie aan deze oplossing vind ik dat die camera niet de hele dag filmt. Alleen als de vraagsteller een signaal stuurt, neemt de camera een foto die naar de telefoon van de vraagsteller gaat. Die kan dan in de auto beslissen hoe verder te rijden.

Het beeld is na overleg met de buren van hoge resolutie teruggebracht tot een simpel 640×480 pixel beeld, wat we nu postzegelformaat noemen en toen ik jong was “wat mijn monitor maximaal aan kan”. Het beeld wordt verder niet opgeslagen. Ik zie dat als zo’n beperkte inbreuk op de privacy van passanten dat ik de belangenafweging in het voordeel uit vind vallen van de vraagsteller.

Het enige punt dat voor mij overblijft is hoe je voor de buurt duidelijk maakt dat de camera niet de hele dag filmt. Het is nu met de overburen besproken, maar er wonen meer mensen in die straat, om van passanten nog maar niet te spreken. (Het is kennelijk een populaire parkeerplek voor dorpsbezoekers.) Ik kom dan uit bij bijvoorbeeld een lampje dat aan gaat als de foto wordt gemaakt, en een bordje “Filmt niet!” goed zichtbaar bij het ding.

Ik zie in de comments nog discussies over de term ‘sensor’, waarbij kennelijk het zo zou zijn dat sensoren wel de weg mogen bevoelen en camera’s een ander verhaal zijn. Dat klopt juridisch niet. Het criterium is of er persoonsgegevens verwerkt worden – mensen herkenbaar zijn, zeg maar. Of je dat nou doet met warmtebeeld, een MRI scan of een ladinggekoppelde component maakt daarbij helemaal niets uit.

Arnoud

Procedurefout bij massaclaim blijkt toch niet fout

Photo by stevepb on Pixabay

De procedurefout van The Privacy Collective tegen Oracle en Salesforce blijkt toch niet fout. Dat maak ik op uit het hoger beroep van deze claimorganisatie waar recent arrest in werd gewezen. Ze doet genoeg om haar achterban te informeren, en had de fouten bij de oorspronkelijke dagvaarding keurig rechtgezet. Alleen: hoe nu verder?

In 2020 startte de organisatie een massaclaim tegen Oracle en Salesforce. Ik blogde toen:

In de kern komt de achterliggende techniek erop neer dat wanneer je een site met advertenties bezoekt, allerlei bedrijven hun cookies op die pagina uitlezen om zo te achterhalen hoe interessant jij bent. Hoe meer informatie je dan kunt combineren, hoe beter je dat kunt. Vervolgens kun je een bod uitbrengen om een advertentie te mogen tonen, en het hoogste bod wint dan.
Dit voelt als niet de bedoeling qua AVG, alleen kun je als individu vrij weinig (oké, het is niet kansloos). Een massaclaim ligt meer voor de hand – een miljoen keer tien euro is een heel mooi bedrag. En dat kan sinds een tijdje, zij het dat je als claimorganisatie representatief moet zijn conform een hele trits wettelijke criteria.

In december 2021 vonniste de rechtbank Amsterdam dat de betreffende stichting niet representatief genoeg was. Haar bewijs daarvan kwam met name uit een webpagina waar je “met één klik” kon aangeven het initiatief te steunen. Dat vond de rechter te vaag, mede omdat de link tussen hen steunen en getroffen zijn door de snode cookies van Oracle c.s. niet heel duidelijk is.

De stichting had na het vonnis de teugels stevig aangetrokken. De claim was duidelijker omschreven, de achterban steviger vastgelegd et cetera. Daarmee voldeden ze dus alsnog aan de wet. Alleen: meet je dat dan in hoger beroep opnieuw, of beoordeel je de zaken zoals ze lagen bij de eerste dagvaarding? (Voor de juristen, ex tunc of ex nunc toetsing.)

Het gerechtshof vindt een ex nunc toetsing (hoe staan we er nu voor) eigenlijk de enige logische optie:

Het is, vanuit een oogpunt van goede rechtspleging, ongewenst om, als in eerste aanleg blijkt van een gebrek dat hersteld kan worden, herstel van dat gebrek in appel buiten beschouwing te laten. Dat zou afbreuk doen aan de integrale nieuwe toetsing van het geschil in appel. Uit het arrest van de Hoge Raad van 11 februari 2022 (Trafigura, ECLI:NL:HR:2022:165) waarin ook de ontvankelijkheid in een collectieve actie aan de orde was, zij het onder de oude versie van art. 3:305a BW, volgt dat herstel van een aanvankelijk bestaand ontvankelijkheidsgebrek kan leiden tot ontvankelijkheid in appel.
Dit geldt algemeen, en ook bij specifiek de WAMCA waar deze claim op gebaseerd is. De reden is creatief: dit is vrij nieuwe wetgeving en men is bezorgd over partijen die vanuit oneigenlijke belangen en met winstoogmerk gaan procederen, dus moet je hun bevoegdheden en rechtspositie op elk moment opnieuw kunnen beoordelen.

Om ze terug te fluiten dus, maar als dat je criterium is dan geldt dat dus óók als zij de teugels aantrekken. Daarom mag de stichting nu alsnog door met de claim.

Het andere punt dat voor lag, was de wijze van schadeberekening. Het gaat hier immers om immateriële schade, niet om schade waar je offertes van een reparateur van kunt laten zien. En het is goed mogelijk dat de een meer schade heeft dan de ander. Om die reden, aldus Oracle c.s., mag zo’n stichting niet één claim indienen.

Het is echter niet principieel onjuist om te denken dát er schade kan zijn, aldus het Hof. En de wet staat toe dat je dan met een staffel of categorieën werkt, zoals veel, weinig en nauwelijks schade, en dan per categorie een bedrag bedenkt. Discussie daarover is prima, maar dat is gewoon waar de zaak over gaat en geen reden de rechtszaak nu al te beëindigen.

En die likes dan, de steunbetuigingen op de website? Dat is genoeg, gezien wat de stichting nog meer doet op het gebied van informeren van de achterban. Alle belanghebbenden moeten registreren komt neer op een opt-in, en de wetgever heeft nou juist gekozen voor een opt-out. Daarvoor is het dus genoeg dat je weet dat de claim er is.

Alleen: hoe nu verder? Normaal behandelt het Hof bij een hoger beroep de gehele zaak zelf, als blijkt dat de rechtbank het verkeerd had. Alleen had de rechtbank hier niet geoordeeld over de inhoud, dus daarom wilden Oracle en Salesforce graag de zaak terug naar de eerste aanleg:

Het inhoudelijke debat over de toewijsbaarheid van de vorderingen waarin TPC kan worden ontvangen kan dan in twee feitelijke instanties worden gevoerd. Dat is in hun ogen in hoge mate wenselijk, zeker in deze zaak, die de eerste in zijn soort is, terwijl bekend is dat in het land andere collectieve vorderingen over ongeveer dezelfde materie aanhangig zijn. Terugwijzing past volgens Oracle en Salesforce ook binnen het systeem, nu immers de rechtbank inhoudelijk geen oordeel heeft gegeven.
Partijen moeten hier maar even over nadenken, en op 5 augustus volgt een nieuwe zitting om hierover een knoop door te hakken.

Arnoud

 

Wie bewijst er dat authenticatiemiddelen zijn misbruikt?

Photo by Signature Pro on Unsplash

Moet jij bewijzen dat je handtekening is vervalst, of de wederpartij het omgekeerde? Die vraag kwam recent zijdelings langs bij het Hof Amsterdam in een zaak over een borgtochtovereenkomst.

De gedaagde partij zou volgens een borgtochtovereenkomst op moeten draaien voor een lening van € 18.630 aan een (ondertussen failliet) bedrijf waar hij directeur en enig aandeelhouder van was. In art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Betwisten van de handtekening kan dus een effectief middel zijn om zo’n borg van tafel te krijgen.

Het Hof vindt de stelling dat deze persoon niets te maken had met de lening of borg moeilijk te geloven – hij was immers de enige directeur van het bedrijf. Die skepsis zien we terug in de beoordeling van de argumenten over identiteitsmisbruik:

In dat verband ligt het op zijn weg toe te lichten hoe het mogelijk is dat derden in het bezit zijn gekomen van gegevens met betrekking tot Zesto Groep zoals inloggegevens behorend bij de mailaccount en de bankrekening van Zesto Groep en wat de achtergrond en redenen ervan zijn dat diverse geldbedragen van de bankrekening van Zesto Groep zijn overgeboekt naar zijn eigen privérekening.
De achterliggende technologie is IDIN. Hierbij identificeer je jezelf via je bank, wat algemeen als veilig wordt gezien omdat toegang tot bankrekeningen al aan strenge authenticatie- en veiligheidsvoorschriften gebonden is. Daarnaast wordt gesproken over een mailaccount, dat is het info@ adres dus ik kan me nog nét voorstellen dat een ander dan de directeur in die mailbox kan.

Bij het banksysteem is dat wat meer twijfelachtig, gezien het algemeen bekende feit dat daar tweefactorauthenticatie en andere controles en toezicht zijn. Terecht zegt het Hof dan ook:

Onder deze omstandigheden lag het op de weg van [appellant] toe te lichten hoe het mogelijk is dat derden aan zijn persoonlijke inloggegevens zijn gekomen als het werkelijk zo is dat een en ander buiten hem om is gegaan. [appellant] heeft die toelichting evenwel niet gegeven. De stelling van [appellant] dat de stem in de geluidsfragmenten van de telefoongesprekken niet van hem is, maar van [naam 3] en dat daaruit zou moeten blijken dat niet [appellant] maar [naam 3] betrokken is geweest bij de totstandkoming van de overeenkomsten, is door [appellant] – tegenover de betwisting van [geïntimeerde] – op geen enkele wijze onderbouwd.
Dit wringt in zoverre dat normaliter de wederpartij bij een “stellige ontkenning” moet bewijzen dat de handtekening wél door die persoon is gezet (art. 159 lid 2 Rv). En daar komt bij dat de borg door deze meneer is aangegaan vanuit zakelijke motieven – zijn eigen bedrijf, immers – en dat de strenge handtekeningeis daarmee van tafel is.

De man krijgt de borgverplichting dus gewoon opgelegd. Had hij enige argumenten ingebracht waarom zijn account gehackt was of internetbankieren overgenomen, dan was dat wellicht anders komen te liggen.

Arnoud

Bij de rechter eisen dat je geen cookies meer op je computer geplaatst krijgt, het kan!

Photo by stevepb on Pixabay

4 grote internetondernemingen wordt geboden het plaatsen en/of uitlezen van ’tracking cookies’ zonder dat de gebruiker daarvoor toestemming heeft verleend te staken en gestaakt te houden. Aldus de rechtbank Amsterdam in een recent kort geding, dat wat mij betreft wel wat meer aandacht had mogen krijgen. Want ja, je kunt dus een cookieplaatsverbod afdwingen bij de rechter.

Toegegeven, het is wel een wat dure en tijdrovende operatie. Deze meneer trok ten strijde tegen Linkedin en Microsoft vanwege diverse tracking cookies die hij aantrof, inclusief cookies “na diens expliciete weigering die toestemming te verlenen”. Reactie Microsoft: dat kunnen wij niet want we weten niet wie u bent, maar zie de handleiding van uw browser.

Dank je de koekoek dacht die meneer, en stapte naar de kortgedingrechter. Een relatief makkelijk verhaal: cookies zijn informatie, en informatie opslaan op randapparaten via telecommunicatie mag alleen met toestemming (art. 11.7a Telecommunicatiewet). Behalve functionele, en dat is natuurlijk discussie genoeg.

De rechter ziet echter genoeg aanknopingspunten voor de stelling dat deze cookies niet voor functionele doeleinden worden geplaatst, maar (direct of indirect) voor advertentiedoeleinden. ALleen al het in kaart brengen van (individuele) bezoekers en hun surfgedrag kan wel degelijk al als tracking cookie worden aangemerkt, aldus de rechter.

Was er toestemming? Die moesten de ‘partners’ van MS en Linkedin natuurlijk netjes vragen volgens de contracten, dus het was geregeld. Maar nee:

De betrokken gedaagden blijven als verwerkingsverantwoordelijken echter (ook) zelf verantwoordelijk voor het bewerkstelligen van het verkrijgen van toestemming op rechtsgeldige en rechtmatige wijze voor het plaatsen en uitlezen van de tracking cookies en zij kunnen daar op grond van artikel 26 lid 3 AVG ook op worden aangesproken, ongeacht wat er in het contract met haar partners staat.
Je moet meer doen dan enkel instructies of standaardtools geven en zeggen dat het wel goed zat zo. De bedrijven wordt dan ook verboden om nog cookies te plaatsen – en wel op straffe van een dwangsom van 500 euro per cookie, gemaximeerd op 25.000 euro.

Ik voorzie wel wat executieproblemen bij dit vonnis: hoe moet Microsoft weten dat dit cookie gezet wordt bij deze eindgebruiker?

Arnoud

Wat is er juridisch mogelijk tegen nepauteurs en nepartikelen in al dan niet nepjournals?

Photo by Pixabay on Pexels

Academisch publiceren wordt steeds meer bedreigd door onwetenschappelijke krachten, zo opende een artikel over fictieve artikelen en/of auteurs recent. Dergelijke neppublicaties zijn sterk in opkomst, uiteraard dankzij generatieve AI dat wetenschappelijk klinkende tekst per strekkende meter produceert inclusief mooie bronvermeldingen. Is er juridisch wat aan te doen, zo vraagt de auteur zich af.

Nepartikelen en zelfs nepauteurs zijn van alle tijden, moet je dan als jurist zeggen, maar de laatste tijd loopt het wel de spuigaten uit. Bij Retraction Watch las ik zelfs dat drie tijdschriften in de CiteScore top 10 geheel nep zijn:

These journals are filled with automatically generated papers, all using the same template, extensively using buzzwords such as “blockchain,” “metaverse,” “deep learning,” “immersive visualization,” “neuro-engineering technologies,” and “internet of things.” Most papers claim to examine the recently published literature on these topics by “a quantitative literature review of the main databases.” They also claim to analyze initially (always!) between 170 and 180 articles that satisfied the undisclosed “eligibility criteria.”
Of Rian van Rijbroek heeft een nieuwe baan, of hier zijn mensen zeer creatief met ChatGPT aan de slag geweest.

Het onderliggende probleem is dat vrijwel alle waardering voor wetenschappelijke papers automatisch berekend wordt. Het tellen van citations is de bekendste manier. En een tijdschrift lift daar weer op mee: hoe vaker er uit dat tijdschrift wordt geciteerd, hoe beter het wel zal moeten zijn. Dus ja, als je dan steeds je eerdere nepartikelen citeert en nieuwe artikelen rechtstreeks uit de API live zet, dan kom je als tijdschrift al snel in de top 10.

Dit doet pijn, niet alleen door de vervuiling maar ook omdat wetenschappers afgerekend worden op publiceren in de “goede” tijdschriften. Die top 10 van CiteScore is een metric om te bepalen of een tijdschrift “goed” is, en daar staan nu dus nog maar zeven tijdschriften in waar je als mens in zou willen staan.

Nepnieuws dus, om de juridische term te gebruiken. Het probleem is dat nepnieuws an sich niet strafbaar is. Wie goedkoop buzzword-gebrabbel wil publiceren, en dat zelf kan organiseren, moet dat vooral doen. De markt lost dat vanzelf wel op, want wie wil er abonnementen nemen op zo’n tijdschrift?

Ik ben er nog niet helemaal achter wat het businessmodel is hier. Ik denk het verleiden van onoplettende wetenschappers om hier te publiceren – vraag 300 euro “review fee” en publiceer daarna ongezien. Strafbaar is dat niet echt, je krijgt een publicatie dus oplichting is moeilijk hard te maken. Ik zie ook zo snel geen misleidende beloftes zoals dat topresearchers een peer review gaan doen.

Het doet denken aan de oude problematiek van de bedrijfsgidsen, maar daar was de misleiding groter: die vragen of je je gegevens wilt checken en leggen jouw “het klopt” uit als een akkoord op een betaald abonnement van 1500 euro per jaar voor vijf jaar zonder tussentijdse opzegging.

Hier zie ik echt niet meteen een juridisch haakje om tegen deze publicaties op te treden. De enige echte route is die van de Digital Services Act – merk dit aan als een systeemrisico. Alleen zijn de aanbieders van CiteScore en collega’s geen groot platform dat een dergelijke plicht heeft. Dat wringt, want dit ís een systeemrisico. Alleen is er niemand voor verantwoordelijk.

Arnoud

 

Hoe lang heb je als je niet meteen met je parkeerapp kunt parkeren?

Photo by donauwood on Pixabay

Parkeerder heeft evenwel onverwijld en ononderbroken uitvoeringshandelingen verricht. Dat is juridisch voor “je krijgt geen parkeerboete”. Zo oordeelde het Hof Den Haag recent over een naheffingsaanslag in de parkeerbelastingen van de gemeente Vlaardingen. De parkeerapp deed het niet meteen, maar hoe toon je dat aan?

De burger had zijn auto geparkeerd op een plek waar parkeerbelasting verschuldigd is. Die wilde hij met een parkeerapp voldoen, maar die kon ter plaatse geen verbinding maken. Hij besloot daarop naar zijn afspraak (een advocatenkantoor) te lopen, wat 70 meter verderop was. Daar kon hij wel de parkeeractie afronden.

Dat was om 12:09, dus 2 minuten te laat: een parkeercontroleur had reeds “om 12:07:34 uur geconstateerd dat voor de auto geen parkeerbelasting was voldaan en dat in de auto geen ter plaatse geldige parkeervergunning aanwezig was.”

Nu denkt u misschien, je hebt toch altijd 5 minuten om te betalen? Nou nee, dat is geen harde termijn die landelijk gelijk is. Vlaardingen hanteert een coulance termijn van één minuut, zo lees ik in het arrest. Bovendien had de parkeercontroleur niemand bij de auto of op route tussen de auto en de parkeerautomaat gezien.

Wie met de app wil betalen, moet dus bij de auto blijven staan om aan de controleur te laten zien dat hij bezig is. Nee, dat vond ik ook een beetje een gekke. Gelukkig voor parkerende burgers zijn zowel rechtbank als Hof het ermee eens dat dát niet de bedoeling is.

Wel is het zo dat jij moet aantonen dat je “onverwijld en ononderbroken” (zeg maar: als eerste en zo snel mogelijk) die parkeeractie afrondt. Maar hoe toon je aan dat je dat deed? Het Hof hanteert geen harde tijdsgrens (zoals die 5 minuten) maar geeft een vrije bewijsruimte:

Belanghebbende heeft gesteld en ter zitting van het Hof onweersproken bevestigd dat hij meteen na het parkeren, nog zittend in zijn auto, heeft geprobeerd het kenteken van de auto aan te melden via de parkeerapp op zijn mobiele telefoon. Toen dat niet lukte, is hij, omdat het eerder op die manier ook goed was gegaan, meteen naar het kantoor van zijn advocaat gelopen, alwaar het aanmelden wel lukte. Dit heeft alles bij elkaar een paar minuten geduurd, aldus belanghebbende. Gelet hierop is het Hof van oordeel dat belanghebbende vanaf de aanvang van het parkeren onverwijld en ononderbroken handelingen heeft verricht gericht op het betalen van de verschuldigde parkeerbelasting. De omstandigheid dat belanghebbende naar het kantoor van zijn advocaat is gelopen, dat ongeveer 70 meter van de parkeerplaats was gelegen, maakt voormeld oordeel niet anders, aangezien hij dat deed met het primaire oogmerk om aldaar de parkeerapp in werking te stellen.
Oftewel, leg maar uit wat je deed vanaf het moment dat je de auto parkeerde. Als dat een coherent verhaal is waaruit blijkt dat je zo snel mogelijk die app aan de praat wilde krijgen, dan is het goed.

Dit is een andere uitkomst dan die zaak in december, waar de parkeerder inlogproblemen had en achttien minuten nodig had om het op te lossen. Omdat hij was weggelopen van de auto, “is het risico ontstaan dat er in de tussenliggende tijd een parkeercontrole plaatsvond. De gevolgen hiervan komen voor rekening en risico van eiser.” Aldus de rechtbank in die zaak.

Met het criterium van dit Hof had die zaak denk ik anders uitgepakt: het lijkt erop dat die parkeerder ook onverwijld en ononderbroken bezig was met parkeerbelasting betalen. Tenzij je zegt, de app herinstalleren en het wachtwoord resetten valt daarbuiten. Het lijkt erop dat de rechtbank gewoon die achttien minuten hoe dan ook te veel vond.

Arnoud

ACM legt boetes op aan webwinkels voor nepkortingen

Photo by Artem Beliaikin on Unsplash

De Autoriteit Consument & Markt legt boetes op van in totaal 621.000 euro aan vijf webwinkels voor het gebruik van nepkortingen. Dat maakte de toezichthouder onlangs bekend. De webwinkels boden meerdere producten aan met een korting op een misleidende ‘van-prijs’: er werd niet echt korting gegeven of was de korting minder dan je zou denken.

De regels over prijzen en aanbiedingen staan niet in het Burgerlijk Wetboek maar in de Prijzenwet, nader uitgewerkt in het Besluit prijsaanduiding producten (Bpp). En dat is – door schade en schande geleerd – heel specifiek over hoe je kortingen mag presenteren (art. 5a):

Bij aankondigingen van prijsverminderingen geeft de verkoper de laagste verkoopprijs aan die door hem is toegepast gedurende een periode die niet korter is dan dertig dagen voor de toepassing van de prijsvermindering.
De laagste prijs in de afgelopen dertig dagen is dus de benchmark. (Je mag een langere termijn hanteren als je wilt, maar niet korter.) Deze regel is niet specifiek voor online winkels, maar daar wordt het vaakst met acties gestrooid en blijkt het ook het vaakst mis te gaan met van-voor aanduidingen.

De ACM controleert de prijsveranderingen geautomatiseerd, iets dat ik wel heel mooi vind bij toezicht houden op online. Bij prijsveranderingen kijk je dan wat de laagste prijs de afgelopen dertig dagen was, en je kunt al zo ongeveer automatisch het boetebesluit uitsturen (tentamenvraag: mag dat straks nog van de AI Act).

Een voorbeeld van hoe het misging, is het boetebesluit van Koopjedeal. Daar was een steelstofzuiger te koop met als van-prijs €199. Die ging eerst voor 99 euro weg, en een week later voor 104,99 euro. Dat mag niet: de laagste prijs is dan die 99 euro, niet de oorspronkelijke 199.

Bij een andere stofzuiger werd het nog bonter: daar ging niet de kortingsprijs omhoog, maar de ‘van’-prijs. En wel van 149,99 naar 199,99 euro. Dit is natuurlijk nog erger.

Omdat de ACM niet met AI beboet, kan ze niet iedereen aanspreken. Maar dat levert dan gelijk een klacht op van willekeur, of beter gezegd van kiezen van overtreders op naamsbekendheid. (Aldus Koopjedeal, van wie ik persoonlijk nog nooit gehoord had, maar wie ben ik.) De ACM kiest webshops op basis van frequentie in de resultaten bij een forse lijst zelfgekozen opdrachten die consumenten ook zouden doen. Dat lijkt me objectief genoeg.

De ACM komt gezien de ernst van de overtredingen uit op een boete van 245.000 euro maar verlaagt deze met een derde omdat het de eerste keer was.

Voor consumenten is dit een gunstige uitspraak. Met dit besluit staat namelijk vast dat Koopjedeal (en de andere aangesproken bedrijven) een oneerlijke handelspraktijk hebben gepleegd. In juridische taal: het in strijd met het Bpp vermelden van prijzen is een schending van artikel 2b Prijzenwet, en dat is per definitie een oneerlijke handelspraktijk (art. 6:193f BW).

Een koop die je gedaan hebt door zo’n handelspraktijk is vernietigbaar (art. 6:193j lid 3 BW). Je kunt er dus vanaf, ook buiten de 14-dagentermijn en je hoeft géén gebruiksvergoeding te betalen. Bij vernietiging gaat het om de waarde op het moment van vernietiging (HR-arrest).

Veel mensen zullen niet perse het product terug willen geven maar het verschil met de ‘echte’ korting willen krijgen. De wet kent het systeem van partiële vernietiging, maar ik weet niet zeker of je daarmee de prijs omlaag kunt krijgen. Bovendien: wat ís de echte korting in zo’n geval? Het verschil tussen hoogste van-prijs en laagste kortingsprijs?

Arnoud

 

Heb je auteursrecht op bugfixes op andermans software?

“Het herstellen van een bug is in het algemeen geen grote bewerking”. Aldus de rechtbank Rotterdam in een recent geschil over broncodes. Voordat iedereen boos wordt: het ging hier over auteursrechtelijk grote bewerkingen, en dat is wat anders dan hoe moeilijk het is om voor elkaar te krijgen.

De zaak komt erop neer dat de koper van een stuk software de oude eigenaar (en ik vermoed, maker) daarvan inhuurde als zzp’er om hier bepaalde bug fixes in uit te voeren. Die leverde dat aan in de vorm van gecompileerde binaries, maar wilde geen broncode verstrekken en beriep zich op auteursrecht op de fixes.

Je kunt op zich ook op een klein werk (als in: weinig regels of woorden) auteursrecht hebben. Waar het om gaat, is of je een eigen intellectuele schepping dan wel eigen oorspronkelijk karakter/persoonlijk stempel daar in hebt zitten. Wat de rechter hier “banale of triviale elementen” noemt, valt buiten het auteursrecht. Die interrupt héét nou eenmaal 13h, dus dat getal zul je moeten noemen en daar is auteursrechtelijk niets intellectueels aan.

Intrigerender wordt het door de vervolgzin:

[D]e keuzes van de maker mogen niet louter een technisch effect dienen of te zeer het resultaat zijn van een door technische uitgangspunten beperkte keuze.
Dat je bij programmeren creatief bezig bent, erkent iedereen. Maar er zijn randgevallen waarin daar geen (of weinig) sprake van is. Het herstellen van fouten is zo’n randgeval: je bent dan niet iets nieuws en eigens aan het toevoegen, je herstelt andermans fouten (of denkt dat te doen), en dat is haast per definitie niet een eigen inbreng.

Natuurlijk, het hangt af van het soort fout. Als je een naiëve eenregelige aanroep van een functie vervangt door een pagina vol met checks en balances inclusief security best practices, dan is die pagina vast auteursrechtelijk creatief. Deze zaak lijkt te zijn gegaan om het meer standaardwerk, het corrigeren van kleine misstappen in het origineel.

Een punt is nog wel dat een bug best moeilijk kan zijn om op te sporen (ik heb veel bewondering voor deze) maar niet perse moeilijk om op te lossen áls je het probleem gevonden hebt. Iedereen kent het verschijnsel van een hele middag bezig zijn om een ongewenste puntkomma te lokaliseren. Het frustrerende is dan dat die activiteit niet auteursrechtelijk relevant is – het gaat alleen om creativiteit die in het resultaat te herkennen is.

Als laatste bleek de bugfixer/programmeur niet inhoudelijk diep te zijn ingegaan op wáár dan de creativiteit zat. Als je je op auteursrecht beroept, moet je (desgevraagd) wel kunnen aantonen waarom het jouw intellectuele schepping was.

Arnoud