Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?

Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is.

Arnoud

Valt mijn account onder de fiscale bewaarplicht?

| AE 10363 | Webwinkels | 16 reacties

Een lezer vroeg me:

Bij een webwinkel heb ik gevraagd mijn account te verwijderen, omdat ik er al tijden niets meer koop. Zij weigeren dit met het argument dat de gegevens nodig zijn voor de fiscale bewaarplicht. Klopt dat?

Iedere ondernemer is wettelijk verplicht zijn administratie 7 jaar te bewaren, zo omschrijft de Belastingdienst de fiscale bewaarplicht. Doel van deze wettelijke plicht is dat men daarmee je financiële positie en je transactiegeschiedenis als bedrijf kan achterhalen bij een boekencontrole. Daarom moet je onder meer je facturen en bijbehorende contracten bewaren, net als tussentijdse rekeningen en het kasboek.

Een webwinkel heeft vaak geen aparte stapel getekende aankoopbonnen en facturen, maar registreert dat in het account van de klant. Ook handig voor de klant, die kan dan zijn bestellingen terugzoeken en eventueel de factuur downloaden, bijvoorbeeld om een garantieclaim mee te onderbouwen.

Wanneer een onderneming elektronisch de aan- en verkopen registreert, vallen dergelijke gegevens onder die fiscale bewaarplicht. Die factuur in dat account van die klant moet dus bewaard worden, net als de ‘overeenkomst’, de registratie van de bestelling. Die informatie zit in het klantaccount maar valt nog steeds onder die fiscale bewaarplicht. Vanuit dat standpunt is het bewaren daarvan dus begrijpelijk.

Alleen, in een account kun je nog meer handige dingen doen, zoals je in- of uitschrijven voor de nieuwsbrief of dingen op je verlanglijstje zetten. Die informatie valt buiten de bewaarplicht, maar is persoonsgebonden en moet dus weg zodra deze niet meer van belang is.

Ook is het vaak mogelijk vanuit het account snel nieuwe bestellingen te doen, bijvoorbeeld met bewaarde betaalgegevens zoals een automatische incasso, een opgebouwd tegoed of een gekoppelde creditcard. Ook die mogelijkheid moet uit te schakelen zijn.

Voor webwinkeliers is het vanuit de software soms alles of niets: het hele account met alle gegevens kan weg, maar het is vaak niet mogelijk om te zeggen dat aankoophistorie en facturen wél maar interesseprofielen, betaalmogelijkheden en verlanglijstjes niét moeten worden bewaard. Die software is dan niet privacy by design, en dat maakt het problematisch deze verplichting goed na te komen.

Dit geldt natuurlijk ook voor andere diensten met accounts, maar je moet per dienst dan kijken wat er onder het account bewaard wordt en of dat fiscaal relevant is (of vanuit een andere wettelijke bewaarplicht). Bij een hoster zou ik bijvoorbeeld weinig meer verwachten dan facturen en dergelijke administratie, dus daar zou ik eerder het gehele account onder de bewaarplicht rekenen. Maar bij bijvoorbeeld een chatdienst of forum worden dingen gepubliceerd, en dat is natuurlijk totaal niet fiscaal van belang.

Meelezende webwinkeliers, hoe makkelijk is het in jullie software om accounts bijvoorbeeld onzichtbaar te maken maar wel de aankoophistorie met betaalinformatie te bewaren?

Arnoud

AI net zo goed als willekeurige mensen in het voorspellen van recidive

| AE 10360 | Innovatie | 22 reacties

AI-software blijkt net zo goed als een groep willekeurige mensen in het voorspellen van recidive bij Amerikaanse veroordeelden, las ik bij Ars Technica. Onderzoekers van Dartmouth College vergeleken de uitkomsten van de COMPAS software (die met machine learning technieken recidive probeert te voorspellen) met de inschatting van willekeurige mensen geworven via Amazon’s Mechanical Turk. Beiden bleken ongeveer even accuraat (65 en 62% respectievelijk), opmerkelijk genoeg inclusief de vooringenomenheid die eerder bij de software tot controverse leidde.

De COMPAS software (Correctional Offender Management Profiling for Alternative Sanctions) berekent op basis van een hele berg factoren de kans dat een bepaald persoon in recidive zou vervallen. Deze uitkomst wordt in Californië meegenomen in het besluit welke straf aan een veroordeelde op te leggen. In 2016 bleek uit onderzoek dat de software enige bias oftewel vooringenomenheid vertoonde, namelijk dat gekleurde mensen vaker ten onrechte als recidivist werden gesignaleerd en witte juist vaker ten onrechte als géén recidivist.

Accuratesse in AI en machine learning is een heel lastig onderwerp. Wat betekent het dat je software 94,1% nauwkeurig is (de huidige score van mijn NDA Lynn geheimhoudingscontractenanalyserobot)? Meestal wordt ermee bedoeld dat in 94,1% van de gevallen de uitkomst van de AI gelijk is aan de verwachte of correcte uitkomst. En 5,9% van de gevallen is dus onjuist. Maar dat kan twee kanten op:

  1. Vals positief: een uitkomst wordt als positief (juist) aangemerkt, maar is eigenlijk negatief (onjuist). Bij de COMPAS software dus dat iemand recidivist zou zijn terwijl hij dat niet is.
  2. Vals negatief: een uitkomst wordt als negatief (onjuist) aangemerkt, maar is eigenlijk positief (juist). Bij COMPAS dus dat iemand recidive pleegt terwijl de software voorspelde dat hij dat niet zou doen.

Beide onjuiste uitkomsten zijn onwenselijk, maar om verschillende redenen. Een vals positief zorgt ervoor dat je meer energie in iemand steekt dan nodig is: je gaat iemand langer opsluiten of intensiever begeleiden om recidive te voorkomen terwijl dat helemaal niet speelt. En een vals negatief kost je meer achteraf, je hebt immers een nieuw misdrijf van die recidivist en dat had je nu net willen voorkomen.

Het is niet goed mogelijk beiden tegelijk te minimaliseren. Vaak zie je dat wanneer je de één in aantallen terugdringt, de ander groter wordt. Je kunt bijvoorbeeld eerder concluderen dat mensen recidive zullen plegen, waardoor je de vals negatieven vermindert. Er worden immers minder mensen vrijgelaten die recidivist blijken. Maar je hebt nu wel meer mensen ten onrechte als recidivist aangemerkt. En omgekeerd zou precies hetzelfde gebeuren, als je strenger bent in je beoordeling zul je minder mensen ten onrechte als recidivist aanmerken, maar daardoor ook eerder recidivisten laten gaan.

De kritiek op de COMPAS software richtte zich natuurlijk op de bias die de valse uitkomsten zou baseren op etnische afkomst. De vergelijking met gewone mensen laat nu zien dat dit niet perse de oorzaak is. Deze kregen namelijk de gegevens zónder indicatie van etnische afkomst, en gaven grofweg dezelfde voorspelling over recidive. Inclusief een hogere vals positief bij gekleurde mensen en een hogere vals negatief bij witte mensen. Dat zou dan eerder de conclusie rechtvaardigen dat die software er ook maar een gooi naar doet. Geen bias dus maar ook geen inhoudelijke analyse.

Arnoud

Mag een site me tegen betaling zeggen of ik gehackt ben?

| AE 10352 | Beveiliging | 31 reacties

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens… Lees verder

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Beveiliging, Privacy, Software | 19 reacties

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder

De eerste robotrechter van Nederland blijkt gewoon al actief

| AE 10341 | Innovatie | 11 reacties

‘Robotrechter e-Court is een groot en niet transparant zwart gat’, kopte Nieuwsuur onlangs tendentieus. Stichting e-Court is al jaren actief als alternatieve geschilbeslechter en heeft verzekeraars gevonden als bereidwillige afnemers voor haar digitale arbitragedienst. Snel en gemakkelijk maar controversieel. Opmerkelijk voor mij daarin: de eerste stap is een artificial intelligence die over je zaak oordeelt…. Lees verder

Waarom een beschrijvende handelsnaam op internet zo populair is

| AE 10311 | Merken, Webwinkels | 12 reacties

Iedere onderneming heeft een handelsnaam, van zeer fantasievol tot zakelijk en beschrijvend. In tegenstelling tot het merkenrecht geldt daarbij geen eis dat de handelsnaam onderscheidend vermogen moet hebben. Dit levert bij internetbedrijven regelmatig lastige problemen op, omdat daar geldt dat hoe beschrijvender de handelsnaam hoe hoger de herkenning bij de klant. Een recent arrest laat… Lees verder

Mag je op het werk de internetradio aan laten staan als dat geld kost?

| AE 10319 | Arbeidsrecht | 26 reacties

Wie in zijn eentje aan het werk is, zal snel geneigd zijn een muziekje aan te zetten. Vandaag de dag zelden meer een probleem voor de werkgever (de Buma/Stemra even daargelaten), maar twintig jaar geleden vaak een serieus discussiepunt vanwege de kosten. Maar toch ook in 2017 kennelijk nog, genoeg zelfs om in hoger beroep… Lees verder