Hoe een Belg in de Cariben een koninkrijk wil stichten (betalen met bitcoin, geen lastige regels)

Geplaatst op in Internetrecht, 3 reacties
Photo by Martin Hayes on Unsplash

Sommige mensen kunnen rijk zijn niet verdragen zonder er een ideologie aan te hangen. Olivier Janssens wil daarom ‘een soort Dubai, of anders een tweede Monaco’ beginnen, op een van de Kleine Antillen. Dat meldde het FD onlangs, en u weet wat ik van soevereine cryptobro’s vind.

De kern van het verhaal is niet echt nieuw. Meneer Janssens (NYT achtergrondartikel) heeft een groot stuk grond van het eiland Nevis (de kleine helft van Saint Kitts en Nevis) gekocht:

Daar wil hij een vrijwel onafhankelijke economische zone stichten, met de wat kitscherige naam Destiny. Het moet, zo legt Janssens uit in een video over zijn plannen, een soort Dubai worden, of anders een tweede Monaco. Maar belangrijker dan hoe het eruit zal zien, is hoe het eraan toe zal gaan. Hij wil – binnen de grondwet van Saint Kitts en Nevis – zo weinig mogelijk lastige regels, vooral op financieel en medisch gebied.
Je eigen land(je) stichten is niet nieuw natuurlijk. Het praktische probleem – naast erkenning – was altijd al hoe je jezelf bedruipt, omdat je meestal niet genoeg onderdanen hebt wonen die belasting gaan betalen. Meneer Paddy Roy Bates van Sealand (dat geschutsplatform in de Noordzee) probeerde het met paspoortverkoop, en daarna door het gehele eiland aan de Pirate Bay-jongens te verkopen.

Nu dankzij crypto is alles nieuw en anders en wereldorde 3.0 – het is geen nieuwe munt, het is een fundamentele verschuiving van financiële en economische macht. Sorry, mijn innerlijke ChatGPT kwam even vrij.

De boel financieren met crypto biedt mensen wereldwijd de kans in te stappen zonder al te veel gedoe. Ik moest denken aan het geval van het cryptoschip Satoshi, want het probleem is altijd hoe je vervolgens eigen regels maakt. Want geen land accepteert uiteindelijk dat ze een stuk van zichzelf kwijtraken.

Jezelf tot speciale economische regio uitroepen en wat handige uitzonderingen claimen is ongeveer het beste dat je kunt doen, zoals engnek Peter Thiel doet in Honduras:

Die laatste heeft op een eiland voor de kust van Honduras ook een eigen hobbyproject, genaamd Próspera, de eerste plek ter wereld waar je overal met bitcoin kunt betalen. De veiligheid wordt gegarandeerd door een private bewakingsdienst en er is eigen wetgeving, die door drie gepensioneerde Amerikaanse rechters wordt gebruikt om conflicten te beslechten.
Maar uiteindelijk is ook dit ‘gewoon’ een setje afspraken binnen het privaatrecht en blijft Honduras gewoon de baas.

Arnoud

Mag een bedrijf mij in de voorwaarden verbieden ze negatief te recenseren?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 17 reacties
Photo by Markus Winkler on Unsplash

Een lezer vroeg me:

Ik ben een kleine ondernemer. Recent heb ik een online cursus gekocht, waarvan de inhoud me zó tegenviel dat ik anderen er voor wilde waarschuwen. Daarop kreeg ik een mail van de cursusaanbieder dat ik de voorwaarden had geschonden en €150 boete moet betalen voor iedere dag dat die review nog online staat. Kan dat zomaar?
Een boetebeding in algemene voorwaarden kán op zich, zeker in een zakelijke overeenkomst. (Bij consumenten is meestal niet haalbaar.) De rechter kan boetes matigen, bijvoorbeeld als er geen totaal maximum bij staat of als de bedragen excessief zijn voor de overtreding.

Meestal worden boetes verbonden aan specifieke plichten, zoals geheimhouding schenden, het werk hinderen of medewerkers van de wederpartij in dienst proberen te nemen. Daar is op zich weinig mis mee, en je kunt er in principe vrij over onderhandelen.

Hier wordt de boete verbonden aan iets dat in principe los staat van de overeenkomst, namelijk klagen over de overeenkomst. Letterlijk verboden is dat niet, maar toch verwacht ik dat de rechter dit zal vernietigen als onredelijk bezwarend. Daarvoor zijn twee redenen:

  1. Er is geen redelijke grond om zo’n verbod op te nemen. Dit heeft niets te maken met de kwaliteit van het werk of daarmee samenhangende afspraken.
  2. Een klacht of recensie (binnen het legale en fatsoenlijke) betreft een uiting in het algemeen belang. Daarmee wordt een grondrecht van de klant geschonden.
Probleem is natuurlijk dat dit geen zekerheid is, en dat je dus naar de rechter zou moeten om hier een uitspraak over te krijgen. Daar kan ik alleen tegenover stellen dat ik eigenlijk nog nooit heb gezien dat er zakelijk werd geprocedeerd over zo’n recensie-boete.

Arnoud

AI krijgt geen auteursrecht op zelfgemaakt beeld in VS

Geplaatst op in Intellectuele rechten, Uitingsvrijheid, 4 reacties
A Recent Entrance to Paradise, afbeelding vervaardigd met de DABUS tool waarover het artikel gaat.

Het Hooggerechtshof in de Verenigde Staten buigt zich niet over de vraag of kunstmatige intelligentie auteursrecht kan krijgen op visuele kunst. Dat meldde Tweakers bij Nu.nl (huh). Daarmee is een voorlopig definitief ‘nee’ gegeven op het principiële punt of je een AI-systeem als maker op kunt voeren.

De zaak is een nederlaag voor de Amerikaanse computerwetenschapper Stephen Thaler, die enige faam geniet in de IE-wereld als het lang drammende eenzame genie inzake creatieve computerprogramma’s. Alweer in 2012 liet hij een AI een kunstwerk maken, en hij spreekt antropomorfiserend over “zelfbewuste” (sentient) AI.

Thaler zet breed in: wereldwijd probeert hij octrooi te krijgen op uitvindingen gedaan door zijn creatie DABUS, en in de VS vecht hij ook voor auteursrechtelijke erkenning. De inzet daarvan is altijd het principiële punt dat zijn AI formeel als uitvinder of maker genoemd moet worden.

De auteursrechtdiscussie kan alleen in de VS, vanwege haar registratiesysteem. Formeel heb je ook in de VS automatisch auteursrecht (Berner Conventie) maar registratie is vereist om te mogen procederen en biedt de optie van statutory damages indien vooraf gedaan.

Het US Copyright Office kan aanvragen onderzoeken en afkeuren als niet aan de eisen is voldaan, wat ook hier gebeurde. Met het formele argument dat DABUS geen mens is, terwijl menselijke creatieve arbeid noodzakelijk was. Dat bleef bij de rechter overeind.

In hoger beroep ging men er eens goed voor zitten. Nergens in de Auteurswet stáát namelijk dat alleen een mens een werk kan maken. Dat was nooit echt een discussie omdat auteursrecht alleen een ding was bij menselijke makers (en een enkele makaak). Maar toch staat het er indirect wel:

[T]he court found that multiple provisions make clear that authors must be human beings. Ownership provisions assume the author can hold property; duration provisions measure terms by the author’s lifespan; joint authorship requires intent; and registration requires a signature – all capacities only humans possess.
Voor mij is die eerste het belangrijkste. Een auteursrecht is uiteindelijk een vermogensrecht, oftewel iets dat je kunt verhandelen of exploiteren. Om dat te hebben, moet je wel bestaan. En dat kan ook bij rechtspersonen zoals bedrijven of stichtingen, maar de wet kent daarbij een gesloten systeem. Je bent pas een persoon als de wet dat zegt (zei hij heel anti-soeverein).

De Supreme Court had hier een fundamentele uitspraak over kunnen doen, maar laat die kans aan zich voorbij gaan. Daarmee blijft de uitspraak van het Court of Appeals overeind.

In de tussentijd heeft het US Copyright Office AI-prompteurs een sprankje hoop gegeven; je kunt een zogeheten compilation copyright krijgen als je menselijke creativiteit toevoegt door “selection, coordination, or arrangement” binnen de uitvoer van de AI. Die moet dan weer wel uit het werk zelf af te leiden zijn. Een prompt, hoe creatief ook, is daarbij niet genoeg.

De Europese rechtspraak heeft hier nog geen vergelijkbaar antwoord op. Zijdelings kwam het aan de orde in de Painer zaak in 2013, waar de advocaat-generaal opmerkte dat alleen mensen de benodigde creativiteit kunnen leveren. Maar dat is geen deel van het arrest zelf geworden. (Heel enthousiast lezend zou je het uit rechtsoverweging 90-92 kunnen halen.)

In lijn met die laatste Amerikaanse zaken is het Levola-arrest uit 2018, dat bepaalde dat ook bij ons de creativiteit in het werk zelf herkenbaar moet zijn. Keuzes ten tijde van het prompten of anderszins besturen van de AI-software tellen dan niet mee, omdat je die niet kunt zien in de uitvoer.

Arnoud

 

Gaat AI het concept open source definitief verwoesten?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 27 reacties
Photo by Claudio Schwarz on Unsplash

Het chardet-project heeft laten zien dat AI open source kapot gaat maken, aldus Bruce Perens. En hij kan het weten, want hij schreef de definitie van open source destijds. Chardet is van licentie veranderd na een AI-herimplementatie, en de vraag is dus of dat kan.

Chardet is een Python-bibliotheek die van een tekst aangeeft in welke codering (zoals UTF-8, Cyrillisch of Oost-Aziatisch) deze opgemaakt is. Handig ding, wel even opletten want de licentie is de bekende LGPL. Dus wijzigingen aan de library zelf kun je alleen onder LGPL verspreiden. (En dat verhaal over statisch en dynamisch linken.)

Sinds versie 7 is de bibliotheek ineens onder de MIT licentie beschikbaar. Dat scheelt, want de enige eis is dan dat je de auteursvermelding en licentietekst niet weghaalt uit de broncode. En dat je de auteur, in dit geval ene Dan Blanchard, niet aansprakelijk kunt stellen, maar dat terzijde.

Zoals Perens uitlegt:

Blanchard says he was in the clear to change licenses because he used AI – Anthropic’s Claude is now listed as a project contributor – to make what amounts to a clean room implementation of chardet. That’s essentially a rewrite done without copying the original code – though it’s unclear whether Claude ingested chardet’s code during training and, if that occurred, whether Claude’s output cloned that training data.
Probleem: hoewel Blanchard de code sinds 2012 onderhoudt, was hij niet de originele auteur. Dat was Mark Pilgrim, die rond die tijd van internet was gevallen maar nu ineens weer opdook met een boze ticket: No right to relicense this project.

Auteursrechtelijk klopt dat; zonder overdrachtsakte kan Blanchard code van Pilgrim niet onder een andere licentie plaatsen. Maar Blanchard stelt dus dat versie 7 een geheel nieuwe versie is, en roept daarbij dat zelfs een “clean room implementation” vormt.

Clean room reverse engineering is een oude techniek waar veel mythes omheen hangen. Kort gezegd: groep A analyseert iemands software en documenteert wat het moet doen. Groep B krijgt die documentatie en maakt software die dat doet. A’s analyse is legaal, en B kopieert de software niet dus handelt ook legaal.

Dit staat of valt met één cruciale aanname, namelijk dat B geen toegang heeft tot de software die A analyseert. Want als je wél kopieert, ga je nat. En toegang hebben en dan iets sterk vergelijkbaars maken levert op zijn minst een donkerbruin vermoeden van kopiëren op.

Clean room werkte om geheim gehouden software (zoals de IBM PC BIOS software) legaal te kunnen imiteren. Maar bij open source is het juridisch gezien absurd om van clean room te spreken. De broncode ligt letterlijk voor het oprapen. Dus hoe kun je dan met droge ogen beweren dat je een schone herimplementatie hebt gemaakt?

Oh ja, we deden het met AI. Blanchard zegt allereerst dat zijn nieuwe code vrijwel volledig anders is, wijzend op een software-plagiaattool die slechts 1,29% gelijkenis tussen de bronbestanden ziet. Dat komt dan weer omdat Blanchard aan de codegenerator van Anthropic’s Claude heeft gevraagd een nieuwe versie te maken:

For full transparency, here’s how the rewrite was conducted. I used the superpowers brainstorming skill to create a design documentspecifying the architecture and approach I wanted based on the following requirements I had for the rewrite […]
Hij gebruikte daarbij nadrukkelijk de opdracht “kijk niet naar de LGPL code”, wat voor mij net zo nuttig is als “maak geen fouten” in je prompt. Zeker omdat het volgens mij een publiek geheim is dat LLM-codegeneratoren getraind zijn op Het Hele Internet en dus ook op alles op Github. Waaronder de originele chardet.

Clean room is dit dus zeker niet te noemen. Tegelijk wordt het inbreuk-argument wel weersproken door de feitelijke ongelijkheid tussen de broncodes. Er moet wel iets aantoonbaar overgenomen zijn om van inbreuk te mogen spreken.

Uiteindelijk is dat het punt van Perens: als je dus tegen een AI kunt zeggen “herschrijf deze code” en de gelijkenis is lager dan X procent, dan is iedere OSS licentie te omzeilen door de software gewoon even door zo’n LLM-room te halen.

Arnoud

 

Kan ik aansprakelijk worden gesteld als ik gratis bouwtekeningen beschikbaar stel?

Geplaatst op in Ondernemingsvrijheid, 15 reacties
Photo by Amsterdam City Archives on Unsplash

Via Reddit:

Hobbymatig vind ik het leuk om gebouwen te ontwerpen en uit technisch uit te werken. Nu had ik het idee om deze te gaan delen via een website waar mensen de ontwerpen, technische tekeningen e.d. kunnen downloaden. … De stukken zullen achter een acceptatie van een disclaimer komen waarbij ik aangeef dat ten alle tijden de stukken door een professional gecontroleerd moet worden en dat zaken zoals een constructieberekening moet worden gemaakt. [M]maar ik weet niet of dat dan voldoende is.
Als het gaat om eigen tekeningen, dus niet van elders vandaan gehaald, dan zie ik niet direct hier een probleem mee. Het is niet verboden om gebouwontwerpen vrij te delen.

Praktisch haal je je veel gedoe op de hals. Mensen zullen je tekening aanzien voor een doordacht ontwerp, doorgerekend en conform bouwkundig advies. Oftewel: we kunnen hierop bouwen, en als het instort is dat jouw fout.

Mensen denken dan gelijk aan disclaimers, zoals ook hier:

alle downloads op deze websites zijn met uiterste zorg vervaardigd echter dienen deze door professionals gecontroleerd te worden op juistheid alvorens dat deze worden gebruikt. …

Met deze tekeningen kan niet zoals ze nu zijn worden gebouwd

Dat klinkt goed, en als je dit inbouwt in een downloadproces als verplicht vinkje dan zou je een heel eind moeten komen.

De vaste lezer van deze blog weet dat ik skeptisch ben over disclaimers. De voornaamste reden is dat ze meestal worden gecombineerd met grote beloften, en mijn mantra is nu eenmaal dat de kleine lettertjes niet kunnen afnemen wat de grote letters hebben toegezegd.

Een disclaimer is dus niet een oplossing op zich. Het is het sluitstuk van een website die overal ademt dat het vrijblijvende tekeningen-ter-inspiratie zijn, waar je zelf best mee kunt beginnen maar die je moet laten controleren. En dat vereist dus meer dan “Gratis bouwtekeningen downloaden punt ennel” en wat generieke teksten.

Arnoud

Kan ik vanwege NIS2 de directie van Odido persoonlijk aansprakelijk stellen voor mijn schade uit dat datalek?

Geplaatst op in Ondernemingsvrijheid, Security, 6 reacties
Photo by Danielle Cerullo on Unsplash

Een lezer vroeg me:

Dankzij het Odido-datalek heeft mijn stalker me weer weten te vinden. Ik moet nu mogelijk noodgedwongen verhuizen, nieuw nummer nemen en wat al niet meer. Nu las ik dat onder de NIS2 Richtlijn de directie van een telecombedrijf persoonlijk aansprakelijk is voor schade door falende beveiliging. Kan ik een claim indienen?
Inderdaad bevat de NIS2 Richtlijn (2022/2555) een artikel dat een route biedt voor persoonlijke aansprakelijkheid van de directie. Artikel 20 lid 1 bepaalt namelijk:
De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreukendoor de entiteiten op dat artikel.
Doel hiervan is natuurlijk om de zorg voor goede cyberbeveiliging in de boardroom urgent te maken. De term “in privé aansprakelijk” is iets om je druk over te maken als bestuurder van een groot bedrijf.

Telecom (openbare elektronische communicatienetwerken of -diensten) is een essentiële entiteit, en het lijkt er sterk op dat de beveiliging van persoonsgegevens niet adequaat was bij Odido. Dus daarmee is dit artikel overdreven en kunnen we procederen, toch?

Niet helemaal. NIS2 is een richtlijn, geen verordening zoals de AVG of AI Act. Dat betekent dat deze pas rechtskracht heeft als Nederland een wet heeft aangenomen die NIS2 nader uitwerkt. Dat is nog steeds niet gebeurd, hoewel dat eigenlijk wel had gemoeten. Ik citeer de digitale overheid:

De Cyberbeveiligingswet treedt in werking nadat de Tweede en Eerste Kamer akkoord hebben gegeven. Naar verwachting is dat Q2 2026, maar dat hangt af van wanneer de behandeling in de Kamers is.
Totdat die wet er is, kun je je dus niet rechtstreeks op de bepalingen eruit beroepen. Zogeheten horizontale directe werking bestaat niet bij richtlijnen, zeggen juristen dan. (De overheid aansprakelijk stellen voor de te late implementatie is een theoretische optie, die bij de illegaaldownloadendiscussie werkelijk werd ingezet.)

Soms is er indirect wat mogelijk. Dat heet richtlijnconforme uitleg: kunnen we een wél geldende wettelijke bepaling zo lezen dat wat de richtlijn bedoelt, er ook onder valt. Dat kan alleen als er ruimte voor interpretatie is, je mag niet een wetsartikel tegen de letterlijke tekst in oprekken. Ook moet het wel redelijk blijven.

In het voorstel van wet van de Cyberbeveiligingswet staat in het geheel geen artikel dat persoonlijke aansprakelijkheid voor bestuurders regelt. De Memorie van Toelichting legt uit:

Het voorgaande brengt met zich mee dat de artikelen 20, eerste lid … NIS2-richtlijn reeds zijn geïmplementeerd in het Nederlands recht. … Ten overvloede wordt nog opgemerkt dat naast het voorgaande ook civielrechtelijke aansprakelijkheid van het bestuur jegens de entiteit een rol kan spelen in het geval van niet-naleving van de Cbw, onder andere op grond van artikel 2:9 BW.
Dat laatste wetsartikel verwijst naar wat wij interne aansprakelijkheid noemen. De organisatie kan een bestuurder aansprakelijk stellen als deze te kort blijkt te zijn geschoten in zijn bestuurstaak. Artikel 20 lid 1 NIS2 is dan niet meer dan een verduidelijking dat cyberbeveiliging regelen een bestuurstaak is, zodat de interne aansprakelijkheid nu al mogelijk is. Odido zelf kan dus haar directie aansprakelijk stellen voor de schade als blijkt dat er wanbestuur gepleegd is op dit gebied.

Als slachtoffer de directeur persoonlijk aanspreken heet externe aansprakelijkheid, en dat regelt NIS2 dus niet. Althans, in de Nederlandse lezing – ik ben er nog niet van overtuigd dat deze beperkte insteek ook de bedoeling van de Europese wetgever was. De meeste landen hebben in hun NIS2-implementatiewet simpelweg artikel 20 overgeschreven, zodat in het midden blijft wat nu de bedoeling was.

Arnoud

Mag je een gesprek met de leraar op school ongevraagd opnemen? Ja, maar soms is het niet verstandig

Geplaatst op in Privacy, Uitingsvrijheid, 5 reacties

Onlangs was er in Zwolle commotie over een vader die een gesprek met de school van zijn dochter wilde opnemen, zo bracht het ND onlangs. De school weigerde gesprekken te voeren als hij dat zou doen. En dat is een pijnpunt dat velen zullen herkennen.

De zaak kwam bij de Landelijke Klachtencommissie Onderwijs (LKC) die eind januari uitspraak deed. De samenvatting van de klacht is recht voor z’n raap:

Klager klaagt erover dat het schoolbestuur instemt met het besluit van de schooldirecteur om geen gesprek met hem aan te gaan, vanwege de uitdrukkelijke wens van klager om een geluidsopname van het gesprek te maken.
De discussie over als burger of consument gesprekken opnemen met bedrijven of instanties loopt al een hele tijd. Dat is niet strafbaar, ook niet als je het niet meldt. Maar organisaties verweren zich er vaak toch tegen, bijvoorbeeld door zoals hier te stellen dat ze dan het gesprek niet wensen te voeren.

Nou kan dat – de privacy van de betrokken medewerkers is óók een grondrecht – maar een onderbouwing daarvan kom ik maar niet tegen. De vader had wél een verhaal:

Klager hecht eraan een gesprek op te nemen, zodat hij op een later moment terug kan luisteren wat er is gezegd, ter ondersteuning van zijn herinnering. Het kunnen terugluisteren van een gesprek schept duidelijkheid voor alle betrokken partijen en kan bijdragen aan het opbouwen en behouden van vertrouwen in elkaar.
Cynisch als ik soms ben, vrees ik dat “schept duidelijkheid en bouwt en behoudt vertrouwen” in angstgedreven organisaties ongewenst is. In een gesprek kun je informeel iets zeggen dat dan opgepakt wordt als formele toezegging of harde belofte. Achteraf op schrift zetten wat je éigenlijk wilde toezeggen is dan comfortabeler.

De school had ook een argument:

Het opnemen van gesprekken tussen ouders en medewerkers van de school past niet bij de wijze waarop de school gesprekken wil voeren met ouders. Het getuigt volgens de school niet van vertrouwen en samenwerking en komt het gevoel van veiligheid niet ten goede. … Wanneer een gesprek wordt opgenomen, brengt dit een bepaalde sfeer mee. De gespreksdeelnemers zullen, bewust of onbewust, minder vrijuit spreken.
Ook waren er zorgen over het openbaar worden van de opnames, waar de vader al van had aangegeven dat zéker niet te doen.

De argumenten van de school zijn echter algemeen. De LKO bepaalt echter dat de argumenten specifiek over dát gesprek moeten gaan. Waarom is dit onderwerp te gevoelig, waarom komt hier de privacy van de medewerker in het geding of worden de belangen van de leerling in kwestie onevenredig geschonden.

De school had dus niet met enkel deze algemene woorden mogen weigeren het gesprek te voeren. Ook wordt het ze verweten geen beleid te hebben:

De Commissie merkt tot slot op dat van een professionele onderwijsinstelling mag worden verwacht dat zij, gelet op de maatschappelijke ontwikkelingen, rekening houdt met en voorbereid is op de wens van ouders om gesprekken op te nemen en dat zij daar zorgvuldig en concreet onderbouwd mee omgaat.
Veel scholen zijn daar al, en ik juich dat ook zeer toe. De wens om duidelijkheid en behouden van vertrouwen zie ik als een zeer legitieme. Maar inderdaad moet je hier beleid over maken zodat je categorieën kunt onderscheiden. Een gesprek over je eigen kind opnemen voelt ergens anders dan een gesprek over het functioneren van de leerkracht die tegenover je zit. Dán kan dat veel eerder overkomen als aanvallen (“en we nemen het op ook mannetje”), dus dat zou ik als leerkracht weigeren.

Meelezende ouders, heeft jullie school beleid over opnemen van oudergesprekken?

Arnoud

Microsoft moet stoppen met volgen van scholier via trackingcookies, ook bij ons?

Geplaatst op in Privacy, Uitingsvrijheid, 8 reacties
Photo by Ali Dashti on Pexels

Een lezer vroeg me:

Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen over het gebruik van trackingcookies in Microsoft 365 Education. De toezichthouder stelde dat Microsoft niet over de vereiste wettelijke grondslag beschikt om door middel van trackingcookies de gegevens van de scholier te verwerken en moet het hiermee binnen vier weken stoppen. Als ik me hier in Nederland op beroep, moet mijn onderwijsinstelling dan ook stoppen met mij tracken? Deze software zit vaak vol met verplichte trackers en rommel.
Deze scholier, bijgestaan door het bekende noyb van Max Schrems, heeft inderdaad bij de Oostenrijkse Autoriteit Persoonsgegevens een uitspraak afgedwongen dat Microsoft deze minderjarige niet mag volgen. De grondslag daarvoor was niet zozeer de AVG, als wel de cookiewet (ePrivacy richtlijn) die veel strenger is en eigenlijk altijd toestemming eist, tenzij de cookies strikt noodzakelijk zijn voor de gevraagde dienst.

Tracking is in dat verband nooit noodzakelijk, want als je dat uitzet dan werkt je dienst nog steeds. Noodzaak wordt bekeken vanuit het perspectief van de gebruiker, niet van de dienstverlener. Dus “zonder tracking leren we niets en kunnen we als bedrijf niet verbeteren” is geen argument. En natuurlijk moet de noodzaak onderbouwd zijn, enkel roepen dat iemand dit wil vanwege een prettiger gebruikservaring is verre van voldoende.

Toestemming was niet gevraagd, kennelijk omdat men zich wilde beroepen op het eigen gerechtvaardigd belang. Het ging alleen om first party cookies en beperkte tracking binnen de eigen software. Dus dat beroep zie ik wel. Maar dat mag niet, want cookies kunnen alléén met toestemming geplaatst als ze niet technisch nodig zijn.

In Nederland is er iets bijzonders aan de hand: onze cookiewet bevat een nationale ‘kop’ die toestemmingsloze tracking toestaat “om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”, zeg maar first-party tracking.

Vereist daarbij is dat “dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker”. Dat is in feite een wettelijk vastgelegde regeling van gerechtvaardigd belang.

Deze zaak zou in Nederland dus waarschijnlijk anders uitpakken bij dezelfde soort first-party tracking cookies zonder wezenlijke privacy-impact. Toestemming is niet nodig, want het gebruik is toegestaan binnen dat scherpe kader. Uiteraard moet de onderwijsinstelling wel kunnen onderbouwen dát de privacy niet of slechts gering wordt geraakt.

(Zelf heb ik altijd enige twijfels gehad bij of Nederland dit wel mág, die scherpe regel uit de Europese ePrivacy richtlijn zo afzwakken. Daar is nooit over geprocedeerd, en dat zal ook niet snel gebeuren.)

Arnoud

Mogen al die Odido-datalekcheckers wel opereren van de AVG?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 25 reacties
Photo by Egor Komarov on Unsplash

Een lezer vroeg me:

Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via een soort van lek-check laten zien wat er gestolen is en dit op naam, adres, email, iban etc zoekbaar aanbieden. Indirect verwerken en verspreiden zij zo opnieuw de gestolen data. Hebben zij daar een grondslag voor?
Om bij het begin te beginnen: het is strafbaar (art. 139g Sr) om gegevens te verwerven of voorhanden te hebben waarvan je redelijkerwijs kunt vermoeden dat ze uit misdrijf zijn verkregen. De Odido-datadump voldoet aan die omschrijving.

Vereist bij dit strafwetartikel is dat de gegevens “niet-openbaar” zijn, en daar kunnen we ondertussen over twisten. De gegevens zijn niet alleen te vinden via een specifieke .onion link of een in Nederland onbekende site, maar ook via vrij makkelijke kanalen, al moet je nog even nadenken over de Google-zoekopdracht. De wetgever was niet duidelijk over het criterium voor “niet-openbaar”.

Verder geldt een uitzondering voor een openbaarmaking die het algemeen belang dient, en daar beroepen alle datalek-checkers zich natuurlijk op. Dat is belangrijk, want zonder algemeen belang is het een strafbaar feit om de data te ontsluiten en daarmee verbiedt ook de AVG de verwerking (artikel 5 lid 1 onder a, geen rechtmatig doel).

Wat is dat algemeen belang? Naar zijn aard is dat vrij generiek. Het heeft maatschappelijk nut, de mensen vragen erom, er is behoefte in brede zin. Gezien de zeer beperkte communicatie vanuit Odido snap ik goed dat mensen concreet willen weten wat er gelekt is, en een checker komt aan die behoefte tegemoet. Dat is wel algemeen belang.

Daar staat tegenover dat er al diverse aanbieders zijn, waaronder het bekende en vertrouwde Have I Been Pwned. Ook onze politie heeft een kopie, dus je kunt (in theorie) een inzageverzoek onder de Wet politiegegevens bij ze doen. Formeel weegt “anderen doen het ook” niet mee bij een algemeen-belang afweging, want je zegt bij nieuws ook niet dat de nieuwswaarde vervallen is als drie kranten het al gebracht hebben. Maar ik vermoed dat dit hier zeker een discussie gaat zijn mocht dit bij de (straf)rechter komen.

Aangenomen dat de checker in het algemeen belang handelt, kom je bij de vraag welke grondslag. Er zijn er twee die relevant lijken:

  1. vitale belangen van de betrokkene
  2. gerechtvaardigd belang van de aanbieder of een derde
Punt 1 klinkt relevant, maar “vitaal belang” wordt zo beperkt uitgelegd dat je er niet aan komt tenzij het echt om leven en dood gaat. (En dan nog zijn er genoeg mitsen en maren.)

Gerechtvaardigd belang dus. Dit belang is dan gelijk aan het algemeen belang dat de aanbieder van de dienst nastreeft (en dus niet het belang van de betrokkene, want die is niet een ‘derde’ volgens dit artikel). Daar moet deze dan een belangenafweging bij doen: is voldoende rekening gehouden met de privacy van de betrokkenen die allemaal in die dataset zitten, had dit met minder ingrijpende middelen gekund en is het allemaal netjes ingericht?

Een eerste checkvraag voor mij is altijd hoe men de AVG-rechten van betrokkenen respecteert. Kun je zonder gedoe verlangen dat je uit de checker wordt gehaald? Ik heb vele van deze diensten gezien en zelden zit dat er netjes in.

Tweede vraag is hoe de dienst beveiligd is. Het is natuurlijk niet de bedoeling dat bezoekers de dataset kunnen downloaden of leegtrekken met systematische zoekopdrachten.

Derde is hoe en of je de data met derden deelt, zoals je websitebouwer of de plek waar je de eigenlijke dataset hebt neergezet. Ik weet van diverse partijen die de dienst door AI laten schrijven. Dat is nogal spannend, want dan geef je dus die data zonder voorbehoud aan een Amerikaanse partij die er alles mee mag doen. Dat ligt onder de AVG op zijn zachtst gezegd nogal gevoelig. Los daarvan is de kans groot dat je code niet zo veilig is als je zou hopen.

Een juridisch detail is nog of de AP zou mogen optreden tegen zo’n site. Vanwege het beroep op het algemeen belang is hier denk ik de uitzondering voor journalistieke doeleinden van toepassing (artikel 43 lid 1 Uitvoeringswet AVG). De AP is niet bevoegd op te treden tegen gebruik van persoonsgegevens in de media.

Arnoud

Ik heb een iPhone opgeknapt en nu wil de oude eigenaar hem terug!

Geplaatst op in Internetrecht, 21 reacties

Via Reddit, vertaald:

Ik koop oude kapotte telefoons via eBay, repareer ze en verkoop ze door. Recent lukte het mij een volledig geruïneerde iPhone weer aan de gang te krijgen, waarna bleek dat deze nog op iemands iCloud ingelogd was. Ik kon deze daardoor niet activeren, dus ik heb hem gemaild of hij de telefoon wilde kopen dan wel unlocken. Zijn reactie: het is mijn telefoon, geef terug.  Ben ik dat juridisch verplicht?
Verder lezend blijkt de vraagsteller de telefoon gekocht te hebben van een reparatiebedrijf dat er kennelijk geen heil meer in zag. En die kreeg het weer van een recyclingbedrijf dat de telefoon in een donatiebox aantrof.

Na herstel blijkt de telefoon nog verbonden met iemands iCloud account. Dat is geen kwestie van even een factory reset, want Apple heeft dat dichtgetimmerd zoals alleen Apple dingen dichttimmeren kan:

Activation Lock turns on automatically when you set up Find My.* After it’s turned on, Apple securely stores your Apple Account on its activation servers and links it to your device. Your Apple Account password or device passcode is required before anyone can turn off Find My, erase your device, or reactivate and use your device.
Medewerking van de oorspronkelijke eigenaar is dus een vereiste om nog iets met deze telefoon te kunnen doen.

Merkwaardig hier is dat de telefoon dus niet als verloren of gestolen is gemeld. Dat zou een andersoortige melding opleveren (“Lost Mode”). Mijn vermoeden is dan ook dat de eigenaar de telefoon heeft weggegooid toen die stuk bleek, en nu blij verrast werd toen de vraagsteller deze weer tot leven bleek te hebben gewekt.

In die situatie heeft de vraagsteller geheel legaal gehandeld. De eigenaar deed afstand door de telefoon in de recycledoos te stoppen, de telefoon is legaal doorverkocht/weggegeven en via eBay legaal verkocht aan de vraagsteller.

De enige grote frustratie is dat er alleen geen rechtsplicht is voor die oude eigenaar om nu de passcode te geven of de telefoon te unlocken. Bij een verkoop wel (art. 7:15 BW), omdat de verkoper de telefoon dan “vrij van bijzondere lasten” moet geven. Dus hier kom je alleen uit door te onderhandelen met de oude eigenaar.

Arnoud