Heb jij al een opzegknop voor je proefabonnementen op je website?

Geplaatst op in Ondernemingsvrijheid, 7 reacties
Photo by Clker-Free-Vector-Images on Pixabay

Verstopt in een richtlijn over financiële diensten is een plicht om een duidelijke herroepingsknop op je website te hebben. Dat gaat nog een dingetje worden, want eigenlijk moet dit 12 december al ingevoerd zijn maar onze wet is er nog niet op aangepast.

In 2023 nam Europa Richtlijn 2023/2673 aan over op afstand gesloten financiële diensten. Deze vult de bestaande consumentenbescherming van overeenkomsten op afstand aan, met als venijnige nieuwigheid een algemene regel over het via een online interface kunnen opzeggen van proefabonnementen en bestellingen in de 14-dagenperiode.

Iedere via een online-interface gesloten overeenkomst

De herroepingsfunctie wordt op een gemakkelijk leesbare manier aangeduid met de woorden “hier de overeenkomst herroepen” of een ondubbelzinnige overeenkomstige formulering. De herroepingsfunctie moet gedurende de herroepingstermijn te allen tijde beschikbaar zijn. De herroepingsfunctie moet duidelijk zichtbaar op de online-interface worden weergegeven en gemakkelijk toegankelijk zijn voor de consument.
Oftewel: er moet een grote dikke rode knop op je site “Annuleer mijn abonnement”. De eisen hieraan zullen waarschijnlijk net zo streng zijn als bij de bestelknop waar het nodige over te doen was de laatste tijd.

Het gaat hier dus niet om een algemene plicht dat je online contracten via een aparte knop moet kunnen opzeggen. De scope is beperkt tot de 14-dagenperiode waarbinnen je wettelijk van je online gesloten overeenkomst af moet kunnen. Ik noem proefabonnementen apart, want daar zit meestal het grootste probleem. Fysieke bestellingen kun je terugsturen, een abonnement stopzetten is meer gedoe.

Uiterlijk op 19 december moet dit wettelijk zijn geregeld, en per 19 juni 2026 moet deze eis wettelijk afdwingbaar zijn. De sanctie is eenvoudig: de proefperiode wordt naar een jaar verlengd, want de eis tot deze knop wordt aan de essentiële informatie (art. 6:230m BW) toegevoegd die voorafgaand moet worden gegeven.

Arnoud

Een AI-model is geen kopie van haar trainingsdata (of toch wel?)

Geplaatst op in Innovatie, Intellectuele rechten, 15 reacties
ananitit / Pixabay

Getty Images heeft dinsdag grotendeels verloren in de rechtszaak in Londen tegen het AI-bedrijf Stability AI over diens beeldgenerator. Dat meldde Reuters. Hoewel de generator (Stable Diffusion) was getraind op Getty-content én Getty-foto’s kon reproduceren, vond de Engelse rechtbank dat geen sprake was van rechtenschending. Hoe zit dat?

Stable Diffusion is een van de oudste beeldgeneratoren. De kern van de werking is het diffusiemodel, waarbij uit een startafbeelding ruis wordt verwijderd op basis van een prompt, om te komen tot een resultaat dat statistisch correspondeert met de in de trainingsdata aangeleerde patronen.

Die trainingsdata kwam van internet natuurlijk. Iets preciezer van het LAION-datasetcollectief. Deze bevat dan weer tienduizenden afbeeldingen waar Getty auteursrecht op had, wat voor het stockfotobedrijf reden was om een rechtszaak te beginnen.

Probleem: een diffusiemodel bevat niet letterlijk kopieën van die foto’s. Die zijn gebruikt om op te trainen, om die patronen uit te ontwaren. Bij dat trainen worden natuurlijk kopieën gemaakt, alleen was hier de complicatie dat dat niet in Engeland was gebeurd. Dus dat kun je onder Engels recht niet als inbreuk behandelen.

Het Engelse vonnis behandelt dan ook de kwestie als secondary infringement, oftewel het invoeren van een kopie naar het grondgebied van het Verenigd Koninkrijk. En dan wordt het nog knap ingewikkeld: kun je een AI-model, een diffusiemodel, wel zien als een kopie van haar trainingsdata?

Dit is een hele fundamentele vraag. Modellen leren patronen, maar leggen daarmee niet de trainingsdata zelf vast. Of toch wel? Het is (soms) mogelijk om specifieke bronafbeeldingen te reconstrueren, wat het vonnis “memorized images” noemt. Onduidelijk is of dat inherent is, hoe wijdverspreid dat gaat en in hoeverre de prompt daarin meeweegt (Nasr et al, Su et al).

De rechter kreeg vele analogieën aangereikt, maar dat bleek hier eerder verwarrend dan behulpzaam. Hij gaat daarom terug naar de wet zelf, die spreekt van een “infringing copy”. Dat wil zeggen, letterlijk lezend, dat er een kopie van een beschermd werk in zit. En dat is niet het geval, althans dat blijkt niet uit het bewijs. Kopieën zijn wel gebruikt bij het maken van het diffusiemodel, maar ze zitten er niet in. 

Kern van deze conclusie is wel dat Getty had ingezet op “de modelgewichten en het model als zodanig is per definitie een kopie van de trainingsdata”. Die stelling wordt als te algemeen en te kort door de bocht verworpen.

De insteek “met het diffusiemodel kunnen kopieën worden gemaakt van onze foto’s” had een andere conclusie gegeven, maar dan kom je bij discussies als “de dienst zet aan tot inbreuk” en de vrijwaring voor dienstaanbieders en ik denk dat Getty daar weg van wilde blijven.

Het is één uitspraak in 51 zaken wereldwijd en ongetwijfeld wordt hoger beroep ingesteld.

Arnoud

 

Waarom hoeven betrokkenen niet binnen 72 uur geïnformeerd te worden over een datalek?

Geplaatst op in Privacy, Security, 4 reacties
Photo by Pixabay on Pexels

Een lezer vroeg me:

De laatste tijd zijn er verschillende datalekken in het nieuws gekomen waarbij gedupeerden pas weken later werden gewaarschuwd. Ik weet dat in de AVG een meldplicht binnen 72 uur bij de AP geldt voor organisaties, maar waarom is er niet ook zo’n harde deadline voor getroffen personen?
De AVG eist (artikel 33) dat datalekken “zonder onredelijke vertraging” worden gemeld bij de toezichthouder. Om te voorkomen dat mensen te lang dralen, staat er ook een harde deadline van uiterlijk 72 uur na ontdekking bij. Maar wie dan nog niet alles weet, mag een gedeeltelijke melding maken.

De rationele achter deze harde deadline is dat de toezichthouder zo vanaf het begin mee kan kijken en waar nodig aanwijzingen kan geven. Door dat vroeg in het proces te doen, is er nog ruimte voor sturing, kan bewijs nog worden gevorderd enzovoorts.

Naast deze meldplicht bestaat er ook een mededelingsplicht aan getroffen betrokkenen (artikel 34). Deze mededeling moet ‘onverwijld’ gebeuren, maar hier staat geen hard getal bij. De reden om ook dit zo snel mogelijk te laten gebeuren is natuurlijk dat je dan maatregelen kunt nemen zoals je wachtwoorden wijzigen.

Bij deze mededelingsplicht is geen harde termijn genoemd. De AVG geeft daar geen expliciete reden voor. Vermoedelijk is de gedachte geweest dat betrokkenen weinig hebben aan halve informatie, en dat je in die eerste 72 uur vaak nog bezig bent met dingen oplossen. Het is dan denkbaar dat even wachten beter is.

Het is echter niet zo dat je, omdat er geen hard getal staat, je mag wachten tot je een keer zin hebt om te melden. ‘Onverwijld’ is hoe dan ook zo snel mogelijk, en als het weken duurt dan kan de toezichthouder je daar echt voor op de vingers tikken. Lid 4 biedt zelfs expliciet de optie om je te sommeren per direct iedereen te informeren.

Arnoud

Mag je als waterbedrijf mensen mailen dat er een bacterie in het drinkwater zit?

Geplaatst op in Ondernemingsvrijheid, Privacy, 27 reacties
Photo by Tosab Photography on Unsplash

Er is een bacterie gevonden in het drinkwater in de regio Utrecht. Dat meldde RTV Utrecht vorige week. De darmbacterie enterokokken kan gevaarlijk voor de gezondheid zijn. Veel mensen klaagden echter het niet direct van het waterbedrijf gehoord te hebben. Dat mocht niet van de AVG, zei hij spottend.

Volgens RTV Utrecht is het gevaar relatief:

Die bacterie komt van nature ook voor in de darmen van mensen en is niet gevaarlijk voor gezonde mensen. Voor mensen met een kwetsbare gezondheid kan de bacterie wel vervelende gevolgen hebben, zoals een infectie.
Desondanks is het advies breed gegeven om water drie minuten te koken voor consumptie (en werd het bronwater in alle supermarkten diezelfde ochtend leeggekocht). Maar niet iedereen kreeg de waarschuwing van waterbedrijf Vitens. Deels is het probleem dat niet iedere bewoner ook de klant is, zoals bij de verhuurder van een studentenwoning. Maar het blijkt ook juridisch moeilijk te zijn:
Daarnaast hebben sommige klanten toen ze zich ooit aanmeldden bij Vitens of daarna aangegeven dat ze geen mail van het bedrijf willen ontvangen. “Dan mogen we ze wettelijk ook geen mail sturen. Ook niet bij een calamiteit zoals deze.” [aldus een woordvoerder]
Dit doet natuurlijk vreemd aan, waarom zou bij een calamiteit de nood niet de wet breken?

Daarvoor moeten we naar artikel 6 lid 1 punt d AVG, een verwerking die noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. De AP legt uit:

Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om persoonsgegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.
Ik ken deze grond vooral uit de boekjes, want er wordt zeer zelden een beroep op gedaan. Overweging 46 noemt als voorbeelden natuurrampen en door de mens veroorzaakte rampen, en deze infectie is zeker niet op dat niveau. Daarbij komt dat de verwerking ‘essentieel’ moet zijn, dus niet “handig” of “beter uitkomend” dan andere vormen.

Belangrijker is voor mij dat een beroep op deze grondslag (overweging 46) alleen mogelijk is als je geen andere grondslag kunt inroepen. Hier had vooraf een vraag gesteld kunnen worden “Wilt u bij ernstige risico’s zoals bacteriën een noodbericht krijgen”, en om die reden vervalt deze mogelijkheid.

Blijft (zoals altijd) het gerechtvaardigd belang over. Dat mag altijd, ook zonder toestemming. Niet bij reclame (dat vereist opt-in), maar dit servicebericht is zeker weten geen reclame. Alleen zit je hier dan met het probleem dat bij verkrijging is aangegeven dat men ook geen serviceberichten wil. En dan houdt dat dus op.

Arnoud

Privacy First kritisch op Camera in Beeld: surveillance zonder wettelijke basis vrijdag 31 oktober 2025, 10:16 door

Geplaatst op in Privacy, Security, 4 reacties
Photo by Scott Webb on Pexels

Stichting Privacy First is kritisch op de politiedatabase Camera in Beeld, omdat het tot surveillance zonder wettelijke basis leidt. Dat meldde Security.nl vorige week. De registratiedatabank komt vaker langs, en elke keer weer is de vraag: waarom kan dat zomaar, gegeven dat heel veel camera’s in strijd met de wet hangen?

De politie legt zelf uit wat het doel van Camera in Beeld is:

Camera in Beeld is een systeem van de politie waar burgers en bedrijven vrijwillig hun beveiligingscamera(‘s) kunnen aanmelden. Dankzij deze informatie weten wij per straat welke beveiligingscamera’s beschikbaar zijn. Als er een misdrijf is gepleegd waarbij camerabeelden kunnen helpen om de daders op te sporen, kunnen wij die beelden gericht opvragen bij de camera-eigenaren.
Het is dus puur een registratiesysteem. Je meldt je aan (via DigiD) en geeft de locatie van je buitencamera(‘s) door. Jaarlijks krijg je een reminder of de informatie nog klopt, en dat is het. Er gaat niemand langsrijden of het klopt, en er is ook geen check of de camera er legaal hangt. Bij een onderzoek kan de politie je benaderen (dankzij je DigiD aanmelding) en vragen om beelden. Heb je die niet, even goede vrienden.

Dat “geen check of de camera er legaal hangt” is dan wel een dingetje. Een vraag daarover ontbreekt, wel staat er een algemene vraag over de regels waarbij men verwijst naar een factsheet met tips. Die factsheet heeft ook weer wat juridische observaties:

  • Als u uw camera op uw eigen terrein richt, ontkomt u er soms niet aan dat ook de openbare weg wordt gefilmd. Dit moet zo beperkt mogelijk zijn. Voor een deurbelcamera gelden dezelfde regels als voor een gewone beveiligingscamera.
  • Maak duidelijk dat u een camera heeft hangen, bijvoorbeeld met een bordje of sticker.
  • Burgers mogen beelden maximaal 28 dagen bewaren.
  • Opgeslagen beelden mogen niet bereikbaar zijn voor anderen.
Dit is op zich een prima samenvatting (al is die 28 dagen arbitrair), maar nergens lees ik of de camera gericht mag worden op de openbare weg. En dat is het pijnpunt: dat mag in beginsel niet, want je krijgt de belangenafweging uit de AVG niet rond.

Mijn flauwe antwoord hierbij is altijd dat de politie niet over de AVG gaat, en dus geen rekening daarmee hoeft te houden in haar communicatie. De AVG is bestuursrecht met een eigen toezichthouder. Ander loket meneertje.

Beveiligingscamera’s lopen wél tegen het wetboek van strafrecht aan. Artikel 441b Strafrecht verbiedt het maken van afbeeldingen van personen (foto’s, video) met een aangebrachte camera waarvan “de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt”. Dat is dus waarom er bij bedrijven en openbare gebouwen cameratoezicht-bordjes hangen.

Particulieren doen dat zelden, en waar zou je dat ook ophangen? In de voortuin is rijkelijk laat, want het bordje moet zichtbaar zijn voordat je in beeld bent. Op de lantaarnpaal op de hoek mag niet, die is niet van jou. En vaak speelt ook mee dat mensen het liever niet te hard bekend maken, want daar komt ruzie met de buren van.

Formeel dus allemaal in overtreding, geldboete derde categorie (geen misdrijf trouwens). Ik kan geen beleidsregels vinden over wanneer de politie hierbij ingrijpt of niet. Dat lijkt me ook lastig: het voordeel van deze camera’s bij ernstige zaken is evident. Het nadeel is meestal slechts abstract, dus waarom zou je dan vervolgen? Maar expliciet zeggen dat je niet vervolgt, maakt ingrijpen onmogelijk als er zo’n burenruzie van komt.

Arnoud

 

Mag de rechter een onrealistisch korte implementatieperiode afdwingen in een vonnis?

Geplaatst op in Ondernemingsvrijheid, 5 reacties
Photo by Towfiqu barbhuiya on Unsplash

Facebook en Instagram moeten voor het einde van het jaar hun tijdlijnen aanpassen van een Nederlandse rechter. Dat meldde Tweakers vorige week. Dit was een spoedappel omdat Meta écht niet niet in de geëiste periode de softwarewijziging kon doorvoeren die zij in een eerder vonnis opgelegd kreeg: het moeten onthouden van de keuze voor een chronologische feed.

In mijn tijd was dat een bitflag in je profile, maar tegenwoordig gaat het ook hier “om aanpassingen die de kern van deze systemen raken, die moeten voldoen aan de toepasselijke privacy en veiligheidsregels, testprocedures moeten doorlopen en zijn onderworpen aan goedkeuringsprocedures van derden (Apple en Google)”.

Voor wie de vorige blog niet gelezen had: de chronologische feed is er al gewoon. Het probleem is dat je keuze om die op te vragen niet permanent is, maar binnen de kortste keren teruggezet wordt naar de algoritmische feed. Als Meta dus zegt dat men “met man en macht aan de slag gegaan” is met deze “complexe ingrepen in de bestaande systemen” dan bedoelen ze “een plekje maken om te onthouden welke feed je wilde”.

Bits of Freedom had als eiser nog gesteld dat dit in ieder geval als snelle patch zo door te voeren moet zijn, en definitieve implementatie kan dan later. Maar dat ziet het Hof anders: het moet goed gebeuren want “aannemelijk is dat de potentiële risico’s die kleven aan deze sneller te realiseren tijdelijke oplossing veel groter zijn”.

Punt is natuurlijk dat deze regel sinds 2023 geldt. Dus hoezo is het nú een ding dat dit maanden moet duren, even los van hoe reëel die schatting is?

In situaties als deze is het formalistisch bekeken heel makkelijk. De wet is er sinds 2023, de rechter legt uit wat de wet betekent maar die uitleg geldt dan ook sinds 2023 want de wet is de wet. Dus bij deze de constatering dat je het al 2 jaar verkeerd doet.

Dat kan behoorlijk hard uitvallen, maar het is een gevolg van het systeem waarin rechters de wet duiden maar niet maken. Een verrassende uitspraak is dus jouw probleem als marktpartij, en je moet van goeden huize komen om daarvoor een coulante behandeling te krijgen. (Ik moet nu denken aan de Box 3-uitspraak van de Hoge Raad.)

Wel zal bij de periode om het te realiseren meewegen hoe voorzienbaar deze interpretatie van de wet was, naast hoe moeilijk het aanpassen. En ik kan er hier werkelijk niet bij dat het zó raar en onlogisch is. Je “voorkeursoptie te allen tijde [kunnen] selecteren en te wijzigen” is toch alleen zinnig als dat wijzigen onthouden wordt? Ja, je mag wijzigen maar ik zet het bij de eerstvolgende klik weer terug. Kom nou.

Arnoud

 

 

‘Regering NL greep in bij Nexperia, omdat Chinese topman bedrijf leeg trok’

Geplaatst op in Regulering, 8 reacties
Photo by Ludovic Delot on Pexels

De Nederlandse regering greep in bij chipfabrikant Nexperia, omdat de Chinese topman bezig was de Europese tak van het bedrijf leeg te trekken. Dat meldde Tweakers vorige week op gezag van onderzoek van NRC. Daarvoor werd een nooit eerder gebruikte wet ingezet, wat mij als jurist natuurlijk de oren deed spitsen.

NRC licht toe:

Nexperia, dat een hoofdkantoor in Nijmegen heeft, maakt goedkope chips die in allerlei elektronica zit. De wafers, ronde schijven waarop deze chips gemaakt worden, worden geproduceerd in Manchester en Hamburg. Het merendeel van die chips wordt verwerkt door een ‘back-end’ fabriek in het Chinese Dongguan.

[Eigenaar Zhang “Wing” Xuezheng] wilde de productie van wafers volledig naar China halen, en onderbrengen bij een andere onderneming van hem, WingSkySemi. Daarvoor eigende hij zich de recepten toe voor de productie van chips uit de Nexperia-fabriek in het Britse Manchester, die ‘mosfets’ – simpele schakelaars – maakt.

Dit zou op zeer korte termijn gebeuren, en onder meer als gevolg hebben dat 40% van het Europese personeel zou worden ontslagen. Het onderzoekscentrum in München zou worden gesloten. Omdat het ministerie vreesde dat “cruciale technologische kennis en capaciteiten” verloren zou gaan, greep men in met een bevel onder de Wet beschikbaarheid goederen.

De Wbg komt uit 1952 en heeft een Koude Oorlog-motivatie. Iedere miniser mag bevelen uitvaardigen als dat “noodzakelijk is ter verzekering van het beschikbaar blijven van goederen ter voorbereiding op noodsituaties”. Achterliggend doel was onder meer hamsteren bij consumenten te voorkomen, maar ook om productie en continuïteit van de industrie te waarborgen.

De goederen hier waren de machines en andere activa van het bedrijf in Europa. Als die verloren zouden gaan voor Europa, dan zou “de Europe auto-industrie, consumentenelektronica en defensie” in gevaar komen. Het bevel verhindert de mogelijkheid tot verplaatsing of eigendomsoverdracht van die machines.

Wing zelf is ondertussen ook afgezet als bestuurder, maar dat is niet op grond van dit bevel gebeurd. De Ondernemingskamer bepaalde op 13 oktober dat Wing belangenconflicten had met zijn andere bedrijf en daar niet zorgvuldig mee omging. Ook werd de governance van Nexperia niet goed ingericht nadat het ministerie haar zorgen had uitgesproken. Juridisch heet dat samen dan “dat gegronde redenen bestaan voor twijfel aan een juist beleid en een juiste gang van zaken” en dan mag een CEO geschorst worden.

In mijn boek Wetwijs in het digitale decennium bespreek ik wetgeving als de Critical Raw Materials Act (CRMA, Verordening 2024/1252) en de Wet veiligheidstoets investeringen, fusies en overnames, die bedoeld zijn om bij geopolitieke spanningen of zorgen over soevereiniteit in te grijpen. Deze konden tegen Nexperia echter niet gebruikt worden, omdat het bedrijf al voor invoering daarvan in buitenlandse handen was.

Arnoud

Mag een veiligmailenplatform eigenlijk wel zien wat er in de onderwerpregel staat?

Geplaatst op in Privacy, Security, 19 reacties
Photo by Brett Jordan on Unsplash

Een lezer vroeg me:

Verschillende organisaties in mijn omgeving, waaronder mijn zorgverlener, maken gebruik van een platform voor het versturen van “beveiligde e-mail”. Zodra de zorgverlener een bericht via dit platform verstuurt ontvang ik een e-mail van het platform met daarin een link. Deze link wijst naar een beveiligde webpagina om het bericht te lezen. Nu bevat de e-mail die het platform verstuurt ook het onderwerp van het bericht, en dat is dan medische informatie (herinnering afspraak voor uw wortelkanaalbehandeling). Ik vraag me af of dat wel mag, immers het platform kan zo die medische informatie inzien.
Dergelijke platforms worden zeker in de zorg veel gebruikt, omdat het daarmee eenvoudiger mogelijk is om aan de AVG te voldoen in de communicatie met patiënten of cliënten. De dienstverleners hebben certificeringen, worden contractueel aan van alles gebonden en zijn aan te spreken op fouten. Een e-mail is misschien sneller verstuurd, maar kan al die eisen niet halen.

Lang niet alle platforms gebruiken volledige end-to-end encryptie waarbij alleen afzender en ontvanger het bericht kunnen lezen. Dit betekent dat de dienstverlener in het midden in theorie in staat is om die berichten te lezen. En als daar dan medische of andere gevoelige informatie in staat, dan zie ik hoe dat op zijn minst onprettig kan voelen.

Tegelijkertijd: de AVG eist niet dat alle persoonsgegevens volledig afgeschermd worden voor allen anders dan de ontvanger. Je moet gepaste en adequate maatregelen nemen, maar in een situatie als deze kun je prima volstaan met een contractuele afspraak dat er niet naar berichten (of onderwerpregels) wordt gekeken. De dienstverlener zit al zodanig ingekaderd dat het echt niet nodig is om te eisen dat onderwerpregels neutraal worden ingesteld (“Nieuw bericht van uw zorgverlener”).

Arnoud

Kredietbeoordelaar Experian vertrekt uit Nederland na miljoenenboete Autoriteit Persoonsgegevens

Geplaatst op in Privacy, 16 reacties
Photo by PabitraKaity on Pixabay

De Autoriteit Persoonsgegevens heeft Experian een boete van 2,7 miljoen euro opgelegd wegens ongeoorloofde datahandel. Dat meldde Nu.nl onlangs. Experian gaat niet in beroep en stopt zijn werkzaamheden in Nederland. Dat voelt als een heftige reactie, maar de onderliggende motivatie van de boete maakt het begrijpelijk.

Zoals Nu.nl de bedrijfsvoering van Experian uitlegt:

Experian maakte op verzoek van klanten, zoals telecombedrijven en webwinkels, kredietwaardigheidsrapporten over mensen. Zo wisten de bedrijven vooraf of klanten in staat waren om aan betalingen te voldoen. Ook kwam door de rapporten aan het licht of er een risico op wanbetaling was.
Dat vergt natuurlijk een berg persoonsgegevens, dus het is niet raar dat de AVG hier geldt en de Autoriteit Persoonsgegevens hier naar kijkt. Uit het persbericht van de AP haal ik dat het vooral misging bij de informatieplichten: mensen kregen een krediet of lening niet, en pas achteraf ontdekte men dat dit op basis van een Experian-kredietscore was. Ook verzamelde men veel meer gegevens dan nodig.

Je zou zeggen: doet zo’n winkel dat dan niet, “Uw kredietscore is volgens Experian te laag dus graag vooraf betalen”? Maar de AP merkt Experian zelf als verwerkingsverantwoordelijke aan. En dat is terecht: de winkels hebben nul invloed op wat Experian doet. Het hele punt is juist dat dat de winkels alleen een score willen horen.

Maar dan moet Experian zelf dus wel naar mensen toe zeggen “op basis van dit gegeven is je kredietscore gedaald” of “je huidige score is dit, op basis van X, Y en Z”. Dat gebeurde niet, althans niet altijd.

Dit raakt aan de fundamentele vraag of Experian haar grondslag – uiteraard gerechtvaardigd belang – wel rond krijgt. Als je overal gegevens vandaan haalt, die niet altijd over krediet of betaalgeschiedenis gaan, en dat niet uitlegt, dan is de score nogal een verrassing voor mensen. En dat is een probleem:

Dat geldt te meer voor de gegevens die Experian verkrijgt uit niet-openbare bronnen , zoals de negatieve betaalregistraties bij haar klanten. Met name ten aanzien van deze negatieve betaalregistraties bij haar klanten kan in dit geval niet (zonder meer) worden gesteld dat een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking ten behoeve van kredietwaardigheidsbeoordelingen kan plaatsvinden.
Het verbaast me wel dat Experian kiest voor een volledig vertrek. Data van Nederlanders wordt ook gewist, en zo te lezen wordt het dus onmogelijk om nog kredietscores voor Nederlanders op te vragen. In andere Europese landen blijft men wel actief, wat dan weer raar aandoet omdat de AVG in principe overal hetzelfde zou gelden.

Arnoud PS: Abusievelijk vermeldde ik “Nexperia” in de koptekst. Dit is aangepast.

Kan een platform de voorwaarden met terugwerkende kracht herzien om AI te kunnen trainen met alle gebruikersdata?

Geplaatst op in Ondernemingsvrijheid, Privacy, Uitingsvrijheid, 4 reacties
ananitit / Pixabay

Een lezer vroeg me:

Veel is al gezegd over de recente aankondiging van Linkedin om standaard gebruikersposts en -data te gebruiken om AI te trainen. Wat mij opviel is dat het ook gaat om gegevens die vele jaren teruggaan, tot zelfs 2003! Kun je werkelijk je gebruiksvoorwaarden of privacy policy zo met terugwerkende kracht herzien?
Inderdaad gaat Linkedin binnenkort gebruikersdata gebruiken om AI systemen mee te trainen. Men gebruikt daarbij een opt-out systeem, wat erop wijst dat men zich AVG-technisch beroept op het gerechtvaardigd belang. Daarbij is immers een opt-out verplicht (artikel 21), waarbij formeel je dan redenen moet opgeven maar in de praktijk “ik wil het niet” geaccepteerd wordt.

Naast een uitzondering van privéberichten heeft LinkedIn gezegd niet te trainen op gegevens van minderjarigen. Ook salarisgegevens en sollicitatiegegevens worden niet meegenomen in de training.

Blijft de vraag: hoe kunnen en mogen ze dan teruggaan tot 2003? De reden daarvoor is even flauw als simpel: men stelt het recht te hebben om te trainen op alle data die er nu is. De datum waarop die data werd geschapen, is daarbij irrelevant.

Ook als je het vanuit auteursrechtelijk perspectief bekijkt, is het kort en goed niet van belang wanneer de data werd geplaatst. Je kunt vanaf vandaag bepalen dat alle aanwezige werken mogen worden gebruikt. Dat is dan geen wijziging met terugwerkende kracht. Dat zou het pas zijn als je ook zegt “oh ja we hebben de afgelopen vijf jaar getraind op je data, bij deze verklaren we dat alsnog legaal”. De enige manier om hier wat tegen te doen, is actief je oude berichten weghalen.

Arnoud