Maakt het bij camerabeeldbewijs uit of de camera legaal de openbare weg filmt?

Dat bericht van laatst over vernietigen van camerabeelden maakte veel los. Wis je gewoon beelden omdat je geen zin hebt in discussie, ben je strafbaar. Eén aspect licht ik er even uit: het bezwaar dat je eigenlijk de openbare weg niet mag filmen. Wat doet dat er toe?

Op LinkedIn kreeg ik bijvoorbeeld deze reactie:

Formeel gezien mag je al helemaal geen beelden van de openbare ruimte maken, laat staan opslaan. Dus als de politie eventueel beelden van je Ring deurbel wil hebben, omdat ze mogelijk vermoeden dat er een misdrijf op staat, volstaat het om aan te geven dat je de openbare ruimte die zichtbaar is binnen het beeldgebied van je camera, middels een filter wegfiltert (blurred of afdekt) voordat e.e.a. opgenomen wordt, e.e.a. conform de voorschriften van de AP.
Het is natuurlijk prima als je met een filter zorgt dat je niet nodeloos de openbare weg filmt. En als de politie dan beelden bij je vordert, dan is dat vrij simpel: u mag de blokjes hebben maar meer heb ik niet. De enige echte eis is natuurlijk dat je ook echt een filter hébt – niet bluffen als oom agent aan de deur staat met een vordering, en ook niet snel naar boven rennen en een blurretje doen.

Dat je de openbare weg “helemaal niet” mag filmen, is wat mij betreft wel echt te kort door de bocht. Als die openbare weg onvermijdelijk is bij je bewakingstaak, of het anderszins noodzakelijk is dat je ook die opneemt, dan mag dat prima. Je krijgt wel met de AVG te maken, maar dat is niet hetzelfde als “dat mag niet”.

Veel mensen die de openbare weg filmen met een aangebrachte camera zullen de AVG schenden, al is het maar omdat ze geen duidelijke waarschuwing hebben (of een privacyverklaring). En die duidelijke waarschuwing geeft nóg een probleem: het is strafbaar om met een aangebrachte camera de openbare weg te filmen als dat niet duidelijk is aangekondigd (art. 441b Strafrecht).

Het is niet strafbaar om de AVG te overtreden (dat is bestuursrecht, iets heel anders). Het WvSr overtreden is natuurlijk wel strafbaar, maar dan geldt nog steeds dat wetsovertreding door een burger geen reden is om bewijs uit te sluiten. Alleen wetsovertreding door de politie kan die discussie starten. En dan nog: in Nederland zegt de rechter dan ‘foei’ en gebruikt ie het bewijs toch met de toverformule “de verdediging is niet in haar belangen geschaad”.

Arnoud

Minister Harbers: ‘Bestuurders die Apple Vision Pro dragen achter stuur krijgen boete’

Nederlanders die overwegen om met de nieuwe Apple Vision Pro deel te nemen aan het verkeer, maken zich schuldig aan roekeloos rijgedrag en dat is strafbaar, zegt Mark Harbers, minister van Infrastructuur en Waterstaat. Dat meldde het AD onlangs. De minister dreigt met artikel 5, en dat voelt een tikje spannend.

Koos z’n kapstok, noemde ik dat artikel vroeger, maar Wegmisbruikers is zo leuk niet meer sinds die officier-af is (en de AVG uitgebreider werd nageleefd, maar dat terzijde). Het idee is dat je met artikel 5 alles kunt aanpakken dat concreet of dreigend gevaar oplevert, een kapstokartikel waar alle mogelijke gedragingen aan opgehangen kunnen worden.

Een mogelijk gevaarlijke gedraging is “een televisie voor je ogen binden en hopen dat deze niet crasht of zonder stroom komt tijdens het besturen van een motorvoertuig”. Want dat is de kern van zo’n Vision Pro: het is geen bril met een AR-overlay met een en ander, maar een beeldscherm waar (door een interne camera opgenomen) beeld van de buitenwereld om je heen wordt getoond met een overlay met een en ander. Valt het ding uit, dan zie je dus niets meer.

Ik citeer even het AD:

In de gebruiksvoorwaarden van de Vision Pro geeft Apple aan dat de bril nooit gebruikt mag worden bij het besturen van een voertuig. Wanneer de bril in Nederland beschikbaar komt krijgen klanten een soortgelijke tekst voor hun ogen. Dat is nodig, want het aantal Nederlanders dat aangeeft de mobiele telefoon te gebruiken in het verkeer neemt al langere tijd toe, meldde verzekeraar Interpolis die dit al langere tijd in de gaten houdt. In een onderzoek van twee jaar terug gaf 71,5 procent van de Nederlanders aan het mobieltje wel eens te gebruiken tijdens het rijden of fietsen.
Dat laatste was natuurlijk aanleiding om het in de hand houden van een telefoon apart strafbaar te stellen, artikel 61a RVV. De jurisprudentie daarbij is nogal breed: ook het klemmen onder je hoofddoek of het met klittenband aan je arm vastzetten van je telefoon is “vasthouden”. Gewoon op je schoot laten liggen is dat dan weer niet.

Het verschil? Bij de hoofddoek vond het Hof relevant dat je tussen het bellen door de telefoon moet pakken, bijvoorbeeld om op te hangen. Kennelijk is dat bij telefoons op schoot niet zo belangrijk, of is in die zaak dat argument niet aan de orde geweest. Het rekt de betekenis van “in de hand houden” wel een beetje op naar “zo meteen in de hand gaan houden”.

Een Vision Pro hou je niet in de hand, hij zit om je hoofd met een band. Dat was met die hoofddoek ook, en daarbij vond het Hof doorslaggevend dat je er geen handsfree interface bij hebt:

Op grond van de in de Nota van Toelichting genoemde gronden, is het hof van oordeel dat ook de onderhavige wijze van telefoneren door de betrokkene onder het begrip ‘vasthouden’ als bedoeld in artikel 61a RVV 1990 dient te worden begrepen. Immers, anders dan wanneer gebruik wordt gemaakt van hulpmiddelen die uitdrukkelijk bestemd zijn om handsfree te bellen, zal de betrokkene bij het daadwerkelijk gebruik van de telefoon deze handmatig moeten bedienen, terwijl deze zich aan het oor bevindt.
Daar komt bij dat in 2019 door de minister is ingegaan op de vraag of smartwatches om de pols niet ook ‘vastgehouden’ worden, omdat je die ook handmatig moet bedienen. Nee:
Zoals hierboven al is opgemerkt valt het dragen van smartwatches en andere apparatuur, zoals internetbrillen, die zijn ontworpen om aan het lichaam te dragen, niet onder de definitie van het begrip «vasthouden». Een smartwatch dragen is dus niet verboden. Dit is verduidelijkt in de toelichting.
Dit is alweer even geleden, maar ik vermoed dat men bij ‘internetbril’ dacht aan Google Glass (dus een bril met glas en daarop een projectie) en niet aan bijvoorbeeld de Oculus Rift, die net als de Vision Pro een scherm voor je ogen hangt. Ik kan bij terugzoeken op die term echt alleen referenties naar Google’s bril vinden.

De Vision Pro heeft dus géén handbediening nodig in de traditionele zin, zoals bij de telefoon onder de hoofddoek. Hij is ontworpen om aan het lichaam te dragen. Maar voor mij is dan toch doorslaggevend dat hij je zicht blokkeert en dus geen ‘bril’ is, zodat die uitzondering niet op zou gaan. Ik acht de kans dus reëel dat een rechter de Vision Pro toch een “telefoon” noemt en “om je hoofd doen” rekent onder “vasthouden”.

Arnoud

Hoe riskant is het om in het openbaar te zeggen dat je gelekte Apple-sourcecode leest voor je emulator?

Een lezer vroeg me:

In deze presentatie vertelt iemand hoe hij een emulator aangepast heeft zodat hij z’n iPod kan emuleren. Daarbij valt me op dat hij toegeeft gelekte (gestolen) source code van Apple te hebben gebruikt. Is dat dan niet vreselijk riskant om zo in het openbaar te zeggen?
Dit is inderdaad een opmerkelijke. Ik citeer even uit de video:
But it turned out the iBoot source code got leaked in 2018. I was very lucky with that. I don’t know who leaked it, but I am very grateful for them. Because it really helped me understand […].
In 2018 lekte inderdaad de broncode uit van het deel van Apple’s iOS besturingssysteem dat voor het opstarten (booten) zorgt. Apple being Apple leidde dat natuurlijk tot vele juridische dreigementen. Het bleek om een werknemer te gaan, en al snel werd duidelijk dat de code intussen verouderd was en daarmee niet echt meer commerciële waarde.

Deze persoon had er echter toch wel baat bij: de broncode gaf gedetailleerde inzichten in hoe de iPod opstart en daarmee hoe deze precies in elkaar zit. Dat heb je weer nodig om een emulator te maken – een softwaretool die zich voordoet als een iPod, zodat applicaties voor dat platform daarmee gebruikt kunnen worden.

Is dit juridisch riskant? Allereerst het stukje van de gelekte geheimen. Die broncode was inderdaad een Apple bedrijfsgeheim, maar door het lek is die status er wel behoorlijk af ondertussen. Dat is het probleem met geheimen: als het eenmaal op straat ligt, dan is die status weg. En dan kun je blaffen wat je wilt als IP-advocaat, maar het wordt écht niet meer terug een bedrijfsgeheim.

Auteursrecht blijft natuurlijk wél gewoon bestaan bij een ongeautoriseerde publicatie (openbaarmaking en/of verveelvoudiging) van het werk. Apple kan dus zeer zeker op grond van haar auteursrecht verwijdering van die broncode eisen waar ze die ook ziet. Bij het eerste lek was ze er ook zeer snel bij met een DMCA takedown.

Deze meneer publiceert de broncode niet zelf: hij laat in de presentatie een paar screenshots zien met vooral feitelijke informatie, en legt uit dat hij zo vele inzichten kreeg en details kon achterhalen over de werking van het systeem, die dan weer zijn emulator kon.

Ideeën en principes halen uit een werk is geen inbreuk op het auteursrecht. Je schendt namelijk pas het recht als je het creatieve, het originele kopieert of herpubliceert. Zien dat je 42 moet zeggen als er een randapparaat aangezet wordt, is zeer zeker niet iets waar het auteursrecht wat van vindt. Dus de broncode door-akkeren en structuren, ideeën en namen documenteren is prima.

Wat niét mag, is die broncode even laten draaien en zien hoe het geheel werkt. Dat staat weliswaar in artikel 45l Auteurswet, maar dat geldt alleen voor mensen die bevoegd zijn de software te hebben:

Hij die bevoegd is tot het [laden, in beeld brengen, uitvoeren, transmitteren of opslaan van het software-werk], is mede bevoegd tijdens deze handelingen de werking van dat werk waar te nemen, te bestuderen en te testen teneinde de daaraan ten grondslag liggende ideeën en beginselen te achterhalen.
Zo te luisteren is dat ook niet gebeurd, maar als achteraf blijkt dat er bepaalde technische informatie is verkregen die je alleen bij het werk-in-uitvoer had kunnen krijgen, dan heb je wel degelijk een probleem.

Is het nou handig dit zo te zeggen? Meh. Ik weet niet of Apple nu echt zó veel zorgen heeft over gelekte broncode uit 2016 die al in 2018 niet meer relevant was. Het betreft hier ook geen commercieel misbruik maar een particulier project om oude Apple-hardware te emuleren.

Arnoud

 

 

Tonen van foto en ter beschikking stellen van camerabeelden geen inbreuk op AVG

edwardbrownca / Pixabay

Het delen van beeldmateriaal naar aanleiding van een misstand is niet perse een inbreuk op de AVG. Dat maak ik op uit een recent Rotterdams vonnis over een niet geheel alledaagse botsing tussen een werknemer, een clubbezoek onder werktijd en de werkgever.

De eiser in deze zaak had afgelopen januari een exclusieve club van exploitant Villasa bezocht. Hij had op dat moment standbydienst bij een bedrijf, en was dan ook met de bedrijfsbus en in kleding van het bedrijf aanwezig.

“In verband met incidenten die die avond waren voorgevallen” is iets later een medewerker van de club naar de directie van dat bedrijf gegaan met een foto van de beveiligingsbeelden. Het verzoek was uiteraard die persoon te identificeren, zodat men hem kon aanspreken op de financiële gevolgen. De misdragingen waren zelfs zo ernstig dat de club de man een toegangsverbod wilde opleggen.

In reactie verzocht het bedrijf om de camerabeelden:

zodat [bedrijf01] inzicht kon krijgen in de hoeveelheid alcohol die [eiser01] die avond had genuttigd. Villasa heeft dat verzoek ingewilligd en in [naam club01] (een deel van) de camerabeelden getoond aan [bedrijf01] . Een medewerker van [bedrijf01] heeft van de betreffende beelden video-opnames gemaakt. [bedrijf01] heeft deze video-opnames verstrekt aan haar jurist.
De man maakte hiertegen bezwaar op grond van de AVG: foto- en filmbeelden zijn immers persoonsgegevens, en die mag je niet zomaar verwerken laat staan aan een derde geven.

Niet zomaar, maar de rechter ziet hier wel degelijk een grond: het gerechtvaardigd belang. De club had een duidelijk belang bij het willen identificeren van de man, gezien de ernst van de incidenten. Andere routes dan de werkgever vragen (die via bus en trui te achterhalen was), had de club eigenlijk niet.

Voor de werkgever was een en ander kennelijk ook ernstig genoeg:

Dat [bedrijf01], nadat Villasa bij haar op kantoor was langsgekomen, meer wilde weten over het gedrag van [eiser01] op de avond dat hij stand-by dienst had, is alleszins begrijpelijk. [eiser01] reed in de bedrijfsbus van [bedrijf01] waarin (zoals door Villasa gesteld en door [eiser01] niet betwist) gevaarlijke stoffen lagen en [bedrijf01] had er, met het oog op de veiligheid, een gerechtvaardigd belang bij inzicht te krijgen in de hoeveelheid alcohol die [eiser01] die avond had genuttigd. Daarnaast is aannemelijk geworden dat het tonen van (een deel van) de beelden noodzakelijk was om het gerechtvaardigd belang van [bedrijf01] te behartigen. Het is begrijpelijk dat [bedrijf01], om een inschatting te kunnen maken van de ernst van de situatie en eventuele (arbeidsrechtelijke) consequenties te kunnen verbinden aan het gedrag van [eiser01], de beelden met eigen ogen wilde zien (en bijvoorbeeld niet af wilde gaan op alleen de woorden van Villasa).
Oftewel: jij gaat met een bus met gevaarlijke stoffen ergens heen en drinkt alcohol terwijl je standbydienst hebt, dan moet je de gevolgen maar dragen. De AVG staat hier niet in de weg.

Arnoud

Amnesty: Europese landen gebruiken dubieuze AI-technologieën bij grensbewaking

a couple of men standing on top of a lush green field
Photo by Carl Tronders on Unsplash

Europese landen gebruiken in toenemende mate digitale technologieën om migratie in te perken, waardoor de kans op „discriminatie, racisme en disproportionele en onwettige surveillance” wordt vergroot. Dat las ik bij NRC vorige week. Men zet daar namelijk een AI-leugendetector in, en omdat ik dus de hele AI Act aan het doorakkeren ben wilde ik me hier even boos over maken.

Uit het artikel:

Sinds 2018 wordt het systeem in ieder geval gebruikt door Hongarije, Griekenland en Letland. Het systeem analyseert „details van gelaatsuitdrukkingen met behulp van gezichts- en emotieherkenningstechnologieën”. Het systeem „toetst” of migranten antwoorden over bijvoorbeeld hun herkomst naar waarheid beantwoorden. Er is geen wetenschappelijke consensus dat leugendetectors, ook die gerund worden door AI, betrouwbare resultaten afleveren.
Het betreffende systeem heet iBorderCtrl en komt uit een Europees researchproject dat al een paar jaar loopt. De kern is dat men een machine learning model heeft getraind om emotieherkenning te doen om zo de mate van eerlijkheid van antwoorden van migranten in te schatten.

Er is een zeer hardnekkige overtuiging dat als we maar goed genoeg ons best doen, het ons moet lukken om mensen eerlijk te beoordelen met een computersysteem. Waar dat vandaan komt weet ik niet (“techno-optimisme”) maar elke keer als je dan even verder kijkt wat erachter zit, dan schrik je je wezenloos.

Het model van iBorderCtrl kent bijvoorbeeld diverse factoren zoals “knippert met linkeroog” of “beweegt hoofd”, en als je genoeg van die factoren zou hebben dan zou je met hoge betrouwbaarheid de leugenaars van de eerlijkerds kunnen scheiden. Dat vereist “alleen maar” een dataset met leugenaars en eerlijkerds met een hoop van die factoren. Dit is een beetje lastig om in het wild voor elkaar te krijgen, al is het maar omdat het niet eenvoudig is leugenaars te betrappen.

Hoe loste men dat op? Ga even op de grond zitten want anders val je van je stoel:

To create the dataset, 32 participants (actors) were assigned a “truthful” or “deceptive” role to perform during the interview. Each participant had to answer 13 questions (see Table 1) with each answer segmented in many vectors. According to the authors, this procedure generated 86,586 vectors. The dataset consisted of 10 participants classified as having Asian/Arabic ethnic background and 22 as White European background, and 22 classified as male and 10 as female.
Inderdaad, we doen grenscontroles op basis van een ML-model dat met n=32 is opgebouwd waarbij de antwoorden geacteerd zijn. Was er iemand bij die zei dat dit een leuk idee was maar zeker niet in de praktijk ingezet kon worden?

De AI Act bepaalt dat systemen voor grenscontrole hoogrisico kunnen zijn, wanneer ze specifiek een van deze usecases betreffen:

  1. Leugendetectors gebruikt door publieke autoriteiten
  2. Risico-assessments bij grenscontroles
  3. Onderzoek van visum- en asielaanvragen
  4. Het detecteren, herkennen en identificeren van personen (behalve bij verificatie van reisdocumenten)
Een hoogrisico-AI moet aan strenge eisen voldoen, waaronder de eis van een kwalitatief goede dataset (artikel 10, lid 2-5). In de woorden van artikel 3:
Training, validation and testing datasets shall be relevant, sufficiently representative, and to the best extent possible, free of errors and complete in view of the intended purpose. They shall have the appropriate statistical properties, including, where applicable, as regards the persons or groups of persons in relation to whom the high-risk AI system is intended to be used.
Hoe je dat precies voor elkaar krijgt, leer je op mijn opleiding AI Compliance Officer, maar het moge duidelijk zijn dat dit systeem niet zal voldoen. Toch blijft het gewoon doorhobbelen, want de Europese IT-systemen voor grenscontroles zijn tot 2030(!) vrijgesteld van de plicht aan de AI Act te voldoen (artikel 83).

Arnoud

 

 

Chinese spionagesoftware ontdekt op computersysteem van Nederlandse krijgsmacht

white Macintosh computer
Photo by bert b on Unsplash

China heeft een computersysteem van de Nederlandse krijgsmacht geïnfecteerd met geavanceerde spionagesoftware, meldt de MIVD dinsdag. Dat las ik bij Nu.nl. De impact lijkt beperkt maar de ontdekking is bijzonder genoeg. Het riep ook vele vragen op: is dit juridisch gezien bijvoorbeeld een oorlogsdaad?

Het achterliggende rapport is bij de NCSC te downloaden. De kern is dat de malware via een bekende kwetsbaarheid in FortiGate-apparaten van leverancier Fortinet binnendringt en toegang op afstand faciliteert. Technisch niet heel spannend, het is vooral opmerkelijk dat de MIVD hiermee naar buiten treedt én zo expliciet China aanwijst als organisator.

Is het nu oorlog? Niemand die het ziet, maar juridisch gezien is hier weinig over te zeggen. Er is namelijk niet echt een definitie van ‘oorlog’. In de Conventie van Genève van 1952 is staat bijvoorbeeld “any difference arising between two states and leading to the intervention of members of the armed forces”, oftewel het is oorlog als de strijdkrachten van twee landen tegen elkaar vechten.

De MIVD is deel van onze strijdkrachten en laten we aannemen dat deze malware ingezet is door de Chinese People’s Liberation Army Strategic Support Force, zeg maar hun cyberstrijdkrachten. Maar is dit een “interventie”, is hier sprake van gebruik van wapens?

Los daarvan: het is pas echt oorlog als minstens een van de twee landen dat vindt, of als een hogere macht (zoals de VN) dat verklaart. Daar is bij deze malware geen sprake van.

Arnoud

Enschede hoeft privacyboete van 600.000 euro toch niet te betalen

De gemeente Enschede komt onder een boete van de Autoriteit Persoonsgegevens ter hoogte van 600.000 euro uit, las ik bij Nu.nl. Met behulp van sensoren werd tussen 2018 en 2020 gemeten hoe druk het in de binnenstad van Enschede was. De AP meende dat daarmee de AVG werd geschonden, de rechter oordeelt anders.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen.

De gemeente was erg boos over de boete. Ik citeer de wethouder:

Weliswaar was het niet de intentie van Enschede om mensen te volgen, maar het kon gewoon gebeuren bij lang genoeg tellen. De wethouder: “Het feit dat de AP die suggestie wel heeft gewekt in haar boetebesluit en in haar media-uitingen, vindt het college van Enschede zeer kwalijk”.
Het achterliggende probleem was volgens mij een verschil van inzicht over de betekenis van “ik zie daar een mens, daar nog een mens en achterin twee mensen, er zijn dus vier mensen” versus “daar loopt Jentje Nijhuis en daar achterin Teun de Vries”. Dat laatste is evident een vorm van identificeren, maar bij “ik zie daar iemand” kun je je afvragen of dat wel hetzelfde niveau van identificatie is.

Voor de AVG maakt dit niet echt uit: ook “ik zie daar iemand” en daar bepaalde gegevens aan koppelen is een verwerking van persoonsgegevens. Dat je de naam uit het paspoort niet weet en redelijkerwijs niet kunt krijgen, is geen argument daar tegenin. Maar in deze zaak werden de nodige maatregelen genomen:

(…) dat in het kader van de beoogde passantentelling in de binnenstad van Enschede in de periode van 25 mei 2018 tot en met 30 april 2020 met tien sensoren het MAC-adres is opgevangen van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld. De MAC-adressen werden tijdelijk op het werkgeheugen van de sensor opgeslagen en vervolgens gehasht (gepseudonimiseerd), waarna het gehashte MAC-adres direct naar de server van PFM werd doorgestuurd. Op de server werden van het gehashte MAC-adres (sedert 1 januari 2019) de laatste drie karakters afgeknipt.
Na die ene seconde in dat werkgeheugen bleef dus alleen een hash van het MAC-adres over, die na een paar seconden op de server drie karakters kwijt raakte, wat het reconstrueren van het MAC-adres nog knap ingewikkeld maakt. De vraag wordt dan serieus of zo’n gehandicapte hash nog wel telt als persoonsgegeven.

De rechter oordeelde in deze zaak van niet, omdat de AP een wel érg ingewikkelde bocht had gekozen:

12. De rechtbank constateert dat de AP haar besluiten in essentie heeft gebaseerd op de mogelijkheid voor eiser om natuurlijke personen aan de hand van gehashte, gepseudonimiseerde en afgeknipte MAC-adressen ter plaatse te identificeren. Hierbij gaat de AP in de genoemde manieren uit van de mogelijkheid dat een medewerker van de door eiser ingeschakelde bureaus of een medewerker van eiser zelf op enig moment in de vroege ochtend, als er weinig mensen op straat zijn, ter plaatse in staat zou kunnen zijn om vast te stellen dat een specifieke, unieke gebruiker van een mobiel apparaat zich binnen het bereik van een sensor bevindt en deze persoon dan mogelijk zou kunnen identificeren.
Die motivatie is te weinig. De AP had moeten onderzoeken of dit redelijkerwijs te verwachten viel, of dat het ook daadwerkelijk zou gebeuren. Een zuiver theoretische route van identificatie is te weinig.

Interessanter was voor mij geweest als de AP had gesteld dat ook de gehandicapte hash nog een persoonsgegeven was. De kans dat twee mensen in Enschede aldaar passeren met MAC-adressen die hashen tot hetzelfde getal (de laatste drie tekens negerend) lijkt me namelijk minimaal, zodat die handi-hash volgens mij nog steeds een identifier is in die context. En nee, je weet niet het echte MAC-adres laat staan de paspoortnaam van de telefoonhouder, maar dat is dus irrelevant.

Arnoud

 

 

Whoa, mijn camera maakt me ineens verwerkingsverantwoordelijke voor biometrische AI

Een lezer vroeg me:

Ik heb mijn huis beveiligd met camera’s van het merk Arlo. Nu krijg ik een mail dat ze gezichtsherkenning gaan activeren op mijn camera’s. Ik ben daar dan volgens hen ineens gegevensbeheerder bij en moet mijn bezoekers maar een vier pagina’s tellend document onder de neus van elk van mijn bezoekers schuiven. Kan dit zomaar?
Ik was ook een beetje verbaasd, maar cloud- en cameraleverancier Arlo heeft inderdaad zo’n update gedaan. De prijs ging omhoog vanwege ’toenemende kosten en investeringen in innovatieve oplossingen’, en daarna kregen mensen dus mails dat het privacybeleid is aangepast omdat men gezichtsherkenning gaat toevoegen aan de camera’s.

Technisch zie ik wel hoe dat kan werken: deze camera’s zijn allemaal verbonden met de servers van Arlo (say it with me, there is no cloud, it’s just someone else’s computer) en die kan dan gewoon een software-update sturen. De handleiding legt uit hoe dat moet werken:

2.2 Als de Eigenaar de functie voor gezichtsherkenning activeert, wordt bovendien biometrische informatie over de personen binnen het vastgelegde gebied verwerkt. Er wordt een foto van u, inclusief biometrische informatie, opgeslagen in een ‘bekende gezichten’-galerij die beschikbaar is voor de Eigenaar, samen met een ‘bekend gezicht’-tag, waardoor het Arlo-apparaat u kan herkennen wanneer u het gebied dat door het apparaat is vastgelegd in de toekomst betreedt. De Eigenaar krijgt (automatisch) bericht dat u het gebied betreedt. Arlo Europe heeft geen toegang tot de galerij met “bekende gezichten”.
Dit alles triggert natuurlijk de AVG, vandaar dat Arlo alvast een vier pagina’s tellend document opstuurt dat je dan aan je bezoek kan geven. Koffie?

Het roept natuurlijk de vraag op of de AVG wel geldt. Dat hangt er voor particulieren (zoals de vraagsteller) vanaf of die alleen eigen terrein filmen of ook de openbare weg. Blijf je op eigen terrein, dan is de AVG niet van toepassing en dan heb je die bijsluiter ook niet nodig.

Film je (ook) de openbare weg, dan moet je inderdaad die brochure uitdelen aan iedereen die langskomt. Inclusief de buurman die z’n hond uitlaat, ongeacht of je nu wel of niet in je “Bekende gezichten”-galerij opslaat.

Handiger is misschien de gezichtsherkenning uitzetten. Ik kan voor een particulier thuis niet goed bedenken waarom je dit zou willen? Meehelpen aan het trainen van een database met gezichten waar Arlo (of een defensiebedrijf dat het koopt van Arlo) een AI op gaat bouwen lijkt me niet zo fijn. Helaas biedt de handleiding geen soelaas hoe dát zou moeten.

Arnoud

Uber krijgt boete van 10 miljoen euro van Nederlandse privacytoezichthouder

Uber moet een boete van 10 miljoen euro betalen van de Nederlandse privacytoezichthouder AP. Dat meldde Nu.nl onlangs. Dit omdat het bedrijf onvoldoende openheid van zaken heeft gegeven over hoe lang het bedrijf gegevens van Europese chauffeurs bewaarde en naar welke landen buiten Europa deze werden doorgestuurd.

De AP legt uit:

De AP heeft de boete opgelegd nadat meer dan 170 Franse chauffeurs aan de bel trokken bij de Ligue des droits de l’homme et du citoyen (LDH), een Franse belangenorganisatie op het gebied van mensenrechten. LDH diende vervolgens een klacht in bij de Franse privacytoezichthouder. Die heeft de klachten doorgestuurd naar de AP, omdat het Europese hoofdkantoor van Uber in Nederland is gevestigd.
Je zou de klachten kunnen samenvatten als “je privacyverklaring rammelt en bovendien is ie en Anglais, fils d’étalagiste.” Iets formeler:
  • De “guidance notes” werden uitsluitend in de Engelse taal aangeboden
  • Er werd niet “in een gemakkelijk toegankelijke vorm” gereageerd op een inzageverzoek
  • Het verkrijgen van gegevens in een overdraagbaar formaat was te lastig (het formulier was onvindbaar)
  • De informatie over de bewaartermijnen was niet voldoende specifiek
  • De informatie over doorgifte was niet volledig en betekenisvol genoeg
  • Het recht op gegevensoverdraagbaarheid was niet expliciet genoemd
Nou zou je denken, Uber heeft juristen genoeg, kunnen die geen privacyverklaring schrijven dan? Dat kan, maar kennelijk lagen die niet goed met de UX-mensen, want ik las dit in het boetebesluit:
In de in het rapport beoordeelde versie van de chauffeurs-app moeten, schematisch weergegeven, de volgende stappen worden doorlopen om bij het formulier te komen om een verzoek tot inzage of gegevensoverdraagbaarheid in te dienen: Menu > Help> Account and app issues > Legal concerns > Request your personal Uber data> Submit a privacy inquiry > inloggen via “Sign in to get help” of “Submit a privacy inquiry without an Uber account” waarna de chauffeur uitkomt bij het formulier (route 1).
Ik zou ook niet direct op het idee komen om via “Legal Concerns” naar een inzageformulier te gaan. De AP is het daarmee eens en noemt het “niet voor de hand liggend” dat je daar je rechten uitoefent. Zet het gewoon direct onder “Privacy” in het hoofdmenu, dan kan iedereen het vinden.

Als je je gegevens opvraagt, dan krijg je een fiche avec des valeurs séparées par des virgules met Engelse kopjes maar zonder enige uitleg over hoe dit te openen. Of wat te doen als het niet opent, want de separator is de komma en kennelijk wordt er niet altijd goed geëscapet, en dan mag je het zelf uitzoeken. (Ik twijfel zelf of dit niet een Excel issue is, maar dat terzijde.)

Er is nog veel meer; ik volsta even met het stukje over bewaartermijnen. Uber bewaart veel gegevens voor allerlei doelen, maar volstaat in de politique de confidentialité met algemene statements zoals dat “persoonsgegevens zo lang zullen worden bewaard als nodig is voor het rechtmatige doel van de verwerking“. Dit omdat het een enorme opsomming zou geven als je al die termijnen moest noemen.

In zulke gevallen mág je het algemener houden. Echter:

Het slechts in algemene zin noemen dat persoonsgegevens worden bewaard zolang als noodzakelijk is voor bepaalde doeleinden (zoals Uber doet) kan niet gelijk worden gesteld aan het noemen van criteria ter bepaling van de bewaartermijn.
Je ontkomt dus niet aan minstens één niveau dieper gaan, en bijvoorbeeld op hoofdcategorieën benoemen wat je tegenkomt: voor facturatie, voor belastingaangifte, voor klachtafhandeling, zulke zaken. En dan per categorie een termijn.

Uiteraard heeft Uber bezwaar gemaakt, maar ondertussen zijn er wel de nodige verbeteringen doorgevoerd.

Arnoud

 

 

Duits bedrijf vindt honderden auteursrechtenschendingen per week, claimt geld bij Nederlands mkb

Het Duitse Copytrack vindt elke week honderden gevallen van verkeerd gebruikt beeldmateriaal en stuurt – vooral kleine – Nederlandse ondernemers claims voor soms voor meer dan duizend euro. Dat meldde BNR vorige week. Bekend verhaal, maar extra dubieus: Wie bij Copytrack online betaalt moet akkoord gaan met de algemene voorwaarden van het bedrijf. Hiermee verplichten gebruikers zich tot het betalen van de boeterekening van 900 euro, als foto’s nogmaals online worden gevonden.

Zoals ik ook tegenover de BNR journalist aangaf: Het frustrerende is, dit alles speelt binnen de wet. Als je een foto overneemt zonder toestemming dan moet je (als zakelijke partij) betalen. Alleen: hoe veel? De Hoge Raad heeft véle jaren geleden gezegd dat de gemiste licentie-inkomsten de schade zijn. Dus, wat vraagt die fotograaf normaal, wat kost deze foto in de beeldbank. Is dat een foto van 15 euro, dan is de schade 15 euro. Ben jij een exclusieve fotokunstenaar en krijg je 5000 euro per kopie dan is dat je schade. Net zoals het bekrassen van een custom built Spyder meer kost dan het oplappen van een oude Opel Corsa.

Schimmig wordt het vanwege de vele verhogingen die er arbitrair ingefietst worden. CopyTrack spant de kroon: je kunt alleen betalen via hun portaal, waar je en passant akkoord zou gaan met hun algemene voorwaarden met daarin een boetebeding(!). Dat kan, als deel van een schikking mág je afspreken dat vervolginbreuken 1000 euro kosten ongeacht de schade. Maar normaal lijkt me dat je daarover onderhandelt, niet dat je een stiekem vinkje ergens onderaan de pagina laat bungelen.

Mijn advies is en blijft dan ook: zoek zelf uit wat de foto écht kost, en betaal dat met 25% opslag (jurisprudentie). Ga niet in discussie, zij hebben geen énkele interesse in jouw argumenten en ze gaan nooit van z’n leven erkennen dat het bedrag omlaag mag. Maak het bedrag dus over en negeer de discussie. Dat werkt, ik ken niemand die vervolgens voor het verschil (hun eis minus jouw betaling) is aangeklaagd.

Je mág ook heel principieel in discussie gaan, bijvoorbeeld door te weigeren te betalen tot men een machtiging liet zien of een notariële akte die de inbreuk documenteert. Die ga je niet krijgen; wat je wél kan krijgen dan is een dagvaarding waar jij als weigerachtige inbreukmaker ingeschilderd wordt.

Dát is dan weer niet handig bij de kantonrechter die zich afvraagt waarom jij als persoon in de fout (je had immers een recht geschonden, dat weet je anders had je de factuur van de gekochte foto wel laten zien) niet gewoon betaalt wat de schade was.

Wat er wél aan te doen is? Klagen bij de opdrachtgevers, waarom ze met zo’n schimmige club in zee gaan. BNR vroeg DPG Media over de samenwerking met Copytrack:

DPG Media laat weten dat de samenwerking met het bedrijf tegen de loep wordt gehouden. ‘Wij hebben recent signalen ontvangen dat de communicatie van Copytrack stevig overkomt’, schrijft een woordvoerder. ‘Wij zullen deze signalen met Copytrack bespreken en zo nodig de werkwijze aanpassen.’ DPG zegt niet bekend te zijn met de hoge boetes die het bedrijf in rekening brengt.
Arnoud