Ik heb persoonsgegevens van het werk gedownload, kan ik nu een boete krijgen van de AVG?

Photo by Miguel Á. Padriñán on Pexels

Via Reddit:

Six weeks ago, a coworker messaged me he wanted to talk to me in private, and told me HR files were online and unprotected. He sent me the website with the unprotected files, and I went to the website and downloaded the files on my work PC and my private desktop at home, just to confirm it was actual protected data that was at risk of getting leaked. …

HR told me they wanted to speak to me and they questioned me about what happened with a lawyer present. Afterwards, they told me I had two options, either leave the company or they would fire me. If I left the company, they said they wouldn’t press charges. Otherwise, they said I could get a fine of up to 100k euros and a prison sentence of 6 months up to two years based on GDPR laws.

Uit de discussie blijkt dat deze bestanden met persoonsgegevens ergens in de bedrijfsomgeving voor iedereen toegankelijk waren. Wel moest je ingelogd zijn met je werknemersaccount, en je moest maar net weten wat de (niet te raden) URL precies was. Dat klinkt wel als een stukje gebrekkige beveiliging.

Is het handig zoiets te doen? Nee, maar tegelijk snap ik wel dat je toch even wil kijken als je zoiets raars tegenkomt. Ik zou alleen wél verwachten dat je daarna aan de bel trekt bij de CISO, FG of je manager en daarna de gegevens wist. Je wenkbrauwen optrekken en wat anders gaan doen (en de bestanden laten staan) is, hoe zeg je dat, niet aan te raden.

De reactie van het bedrijf is ook weer enigszins overtrokken. Allereerst kun je iemand op grond van een datalek veroorzaken al niet ontslaan, laat staan iemand die alleen kéék naar een datalek. Ten tweede is het volstrekt idioot en actief onwaar dat je als werknemer een wettelijke boete of celstraf kunt krijgen als je de AVG overtreedt.

De enige die een boete kan krijgen, is het bedrijf zelf. Heel misschien kom je uit bij persoonlijke aansprakelijkheid van de directie, maar afgezien daarvan zijn er geen personen die boetes kunnen krijgen. Mogelijk dat men hier indirect dreigde met aangifte voor computervredebreuk. Maar nog steeds: zwáár overtrokken reactie.

Desondanks natuurlijk buitengewoon vervelend om in zo’n situatie te komen. De kans is groot dat hoe je dit geschil ook vlot trekt, de werkrelatie blijvend verstoord is. Daar is alleen geen juridisch antwoord op.

Arnoud

Deense fitnessketen berispt voor toegang via gezichtsherkenning

Photo by Danielle Cerullo on Unsplash

De Deense privacytoezichthouder Datatilsynet heeft fitnessketen Sporting Health Club berispt voor het invoeren van toegang door middel van gezichtsherkenning. Dat meldde Security.nl vorige week. De kern: je moet héél duidelijk zijn over de alternatieven en die als gelijkwaardig presenteren.

De sportschool wilde 24/7 open zijn, maar kon (of wilde) niet altijd personeel daar aanwezig laten zijn. De oplossing is dan vaak biometrie, in dit geval gezichtsherkenning, om naar binnen te mogen.

Onder de AVG is biometrie voor authenticatiedoeleinden een moeilijke optie, omdat het een zwaar middel is. De sportschool koos dan ook voor de grondslag van toestemming, waarmee je de complicaties van de andere grondslagen omzeilt. Alleen moet die dan wel vrijwillig worden gegeven, en deel daarvan is dat er een equivalent alternatief is.

Dat ging hier niet helemaal goed:

De Deense Autoriteit voor Gegevensbescherming is van oordeel dat het feit dat u tijdens de openingstijden van de receptie de mogelijkheid heeft om via persoonlijke service in te checken bij de receptie tijdens de openingstijden van de receptie op zichzelf niet als een soortgelijk alternatief kan worden beschouwd, aangezien u daardoor beperkt wordt in uw toegang tot het centrum vergeleken met wanneer u toestemming geeft voor gezichtsherkenning.
Tijdens de bemensde openingstijden binnengelaten worden is niet hetzelfde als 24/7 automatisch naar binnen kunnen. Maar omdat er ook een optie was om op ieder moment (24/7 dus) een externe ondersteuning te bellen die je dan binnenlaat, was uiteindelijk het alternatief toch equivalent.

Alleen, dat alternatief was niet duidelijk aangegeven bij de toestemmingsvraag. Die was op zich uitdrukkelijk en expliciet genoeg over wat er zou gebeuren met je gegevens (niets raars, overigens), maar die moet dus ook benoemen wat er gebeurt als je géén toestemming geeft.

Arnoud

 

AI gaat helpen op de SEH, mag dat van de AIA?

Foto DennisM2, Flickr (PD)

Op de spoedeisende hulp van het St. Antonius Ziekenhuis in Utrecht wordt sinds begin deze maand gebruikgemaakt van artificiële intelligentie (AI). Dat meldde lokale krant DUIC. Het systeem adviseert bij de beslissing of mensen moeten worden opgenomen of niet, zodat men eerder kan beginnen met plannen. Een mooiere aanleiding om mijn boek te pluggen, pardon het over de AI Act te hebben weet ik even niet.

Het ziekenhuis legt uit hoe het werkt:

Het algoritme gebruikt gegevens zoals leeftijd, bloedwaarden, hartslag en de hoofdklacht, om te voorspellen welke patiënten waarschijnlijk moeten worden opgenomen en welke ontslagen kunnen worden. Voor elke patiënt berekent het algoritme elke 5 minuten opnieuw de kans op opname of ontslag en past de verwachting aan als nieuwe uitslagen daar aanleiding toe geven.
Het voornaamste doel is sneller het proces van opnemen (bed vrijmaken, behandelaars alarmeren et cetera) op gang brengen. Dit kan in de praktijk soms uren duren, zeker als een buitenbed geregeld moet worden. Het blijft een advies, zo benadrukt men: uiteindelijk beslist altijd de arts.

Valt dit nu onder de AI Act als een hoogrisico-toepassing? Dat kan in twee gevallen in de context van gezondheidszorg:

  1. De AI is een gereguleerd apparaat onder de Medical Device Regulation (MDR), of een veiligheidscomponent daarvan.
  2. De AI is bedoeld om noodoproepen te classificeren of afhandeling te prioriteren, of voor de triage van patiënten die dringend medische zorg behoeven.
Over die tweede kan ik kort zijn. We zijn hier al voorbij de triage, want de patiënt is al binnen bij de SEH en er moet worden vastgesteld wat er nu met deze moet gebeuren. Triage is bij de deur bepalen hoe kritiek de hulpbehoefte is en of de patiënt naar binnen moet. Dat is dus niet van toepassing.

De MDR reguleert medische hulpmiddelen. Dit zijn apparaten, isntrumenten “of andere artikelen” die bestemd zijn om bij de mens te dienen voor

diagnose, preventie, monitoring, voorspelling, prognose, behandeling of verlichting van ziekte, diagnose, monitoring, behandeling, verlichting of compensatie van een letsel of een beperking, [etc]
Deze softwaretool wordt gebruikt voor monitoring en voorspelling bij mensen met ziekte, letsel of beperking. Dat het enkel gaat om een advies, maakt daarbij niet uit. Deze tool is dus een medisch hulpmiddel op zich, en daarmee hoogrisico.

Hoogrisico betekent: doe een conformiteitsassessment, heb een kwaliteits- en risicomanagementsysteem en zorg dat je data kwalitatief goed is. Screen op dingen die mis kunnen gaan, en heb een proces om in te grijpen.

Gelukkig voor het Antonius krijgen ze pas over drie jaar met deze eisen te maken, want voor gereguleerde producten kent de AI Act een uitgesteld regime. Heel erg is dat niet, want de MDR kent zelf ook al dergelijke eisen, waar een ziekenhuis overigens prima mee om kan gaan.

In deze analyse ben ik totaal niet ingegaan op hoe accuraat, zorgwekkend, vernieuwend of anderszins risicovol de toepassing is. Daar is een leuke boom of wat over op te zetten, natuurlijk. Er is het al wat oudere voorbeeld van een triage-AI die patiënten met een mogelijke beginnende longontsteking aanraadt het nog een nachtje aan te kijken. Prima advies, alleen niet als de patiënt astma heeft – dan moet je direct naar de SEH. Alleen zat die uitkomst niet in de dataset.

Het punt van de AI Act is: dat doet er niet toe. De analyse is formeel. Je kijkt of je valt onder een van de gereguleerde producten of een van de genoemde use cases. Zo ja, ben je hoog risico. Zo nee, ben je dat niet. Dat de AVG of andere wetgeving er iets van vindt in termen van risico, staat daar helemaal los van.

Weten hoe de AI Act precies in elkaar steekt? Koop dan mijn boek The Annotated AI Act. In 411 pagina’s krijg je elk artikel van deze nieuwe wet geduid en van context voorzien.

Arnoud

 

 

ANWB introduceert Auto-stopfunctie tegen nachtelijke blokkeertarieven, mag dat?

Photo by Sue Winston on Unsplash

De ANWB introduceert in Nederland de Auto-stopfunctie in de ANWB Laadpas-app. Dat meldde Tweakers vorige week. Deze functie voorkomt dat er na 23:00 blokkeertarieven in rekening worden gebracht als de accu vol is. Doel is een maatschappelijke discussie op gang brengen, maar het maakt het leven voor de gebruiker wel een stuk makkelijker.

Eerder legde de Bond deze functie als volgt uit:

Normaal gesproken betaal je bij een laadpaal voor elke geladen kilowattuur, net zoals je bij de pomp afrekent voor elke getankte liter benzine of diesel. Het kan echter voorkomen dat je bij een laadpaal een tweede, tijdsgebonden tarief betaalt bovenop de stroomprijs: het zogenaamde blokkeertarief. Ben je langer dan een bepaalde tijd aan het laden, dan betaal je een bedrag per minuut dat je de laadpaal bezet houdt. Het idee daarachter is sympathiek, het moet voorkomen dat laadpalen onnodig lang bezet zijn.
Deze zomer voelde iemand zich nog ‘opgelicht’ toen hij in Frankrijk een rekening van 479 euro kreeg. Hij had de auto 26 uur aan de paal laten zitten, terwijl die normaal na zo’n 12 uur echt wel vol is. Maar zoals de ANWB in de aankondiging van de Laadpas-update meldt: “Iedereen moet ’s nachts zijn auto kunnen laden zonder uit bed te hoeven om extra kosten te voorkomen”.

Men stelt dat blokkeertarieven onnodig hoog zijn en bovendien direct beginnen nadat het laden voltooid is. Daarmee wordt het een extra verdienmodel voor laadpaalaanbieders, in plaats van alleen een civielrechtelijke boete voor laadpaalklevers.

In 2022 deed het Hof Arnhem uitspraak in het kader van handhaving bij paalklevers. Ook daar was de discussie dat het wel érg oneerlijk is dat je direct na het groene lampje weg moet rijden of een boete (€95) riskeerde. Het Hof vond dat niet een serieus bezwaar:

Voor zover van de zijde van de betrokkene is gesteld dat de bestuurder steeds bij het voertuig zou moeten blijven om te weten wanneer hij zijn voertuig moet verplaatsen, wordt opgemerkt dat na het aansluiten van een elektrisch voertuig aan een laadpaal door het voertuig in de regel zelf een berekening wordt gegeven van de te verwachten laadtijd, terwijl de bestuurder ook zelf een zodanige berekening kan maken.
De app zou bijvoorbeeld vanaf 30 minuten voor de eindtijd meldingen kunnen geven, zodat je naar je auto terug kunt. Alleen: halverwege je afspraak of bezoek teruggaan om de auto te verplaatsen is nogal gedoe. En dat geldt des te meer voor de laadplek-als-parkeerplaats in de nacht.

Dan kom je bij juridische taal als “redelijkheid en billijkheid”: kun je van mensen verwachten dat ze inderdaad om 01:42 opstaan en de auto verplaatsen? Of dat ze de auto niet laden als de eindtijd 01:42 zou zijn?

Arnoud

Amerikaanse rechter: TikTok verantwoordelijk voor door derden geplaatste content; gevolgen voor sociale media

Photo by and machines on Unsplash

TikTok heeft in een Amerikaanse rechtszaak een nederlaag geleden die grote gevolgen kan hebben voor claims tegen andere socialemediabedrijven in de Verenigde Staten. Dat meldde Villamedia onlangs. De video-app kan zich niet op de bescherming voor tussenpersonen (Section 230) beroepen bij een claim wegens overlijden van een tienjarige die meedeed aan een “blackout-challenge”.

De moeder van het meisje had het platform aansprakelijk gesteld voor het overlijden, omdat het platform via algoritmes aanbevelingen deed voor filmpjes over deze challenge. De hoofdregel is natuurlijk dat platforms niet aansprakelijk zijn voor content van gebruiker. Section 230, de Amerikaanse DSA, bepaalt expliciet dat dit hen niet aangerekend kan worden.

Het argument hier was dat TikTok zich deze content eigen gemaakt heeft door (algoritmisch) deze te pushen. Dan ben je niet meer een doorgeefluik zeg maar. En dit gaat ook niet over moderatie: het is een keuze wat je aanbeveelt.

Het artikel zelf is beroemd en kort:

No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.
De term “publisher or speaker” moet breed opgevat worden. Het dekt alle gevallen waarin een platform content van anderen doorgeeft. Dus niet alleen de passieve kaders biedt waarin de video gestart kan worden, óók bij aanbevelingen, gesorteerde overzichten en zoekresultaten.

In een zaak uit 2023 (Gonzalez v. Google) bepaalde de US Supreme Court nog dat Google/Youtube niet aansprakelijk te stellen was voor medeplichtigheid aan de terreurorganisatie ISIS. Die had een Youtubekanaal met advertenties, wat Google (kennelijk oogluikend) liet bestaan ondanks vele klachten. De Supreme Court wees de claim af op Section 230: ongeacht hoe Google ook deze content had gepromoot of gesteund, dat maakte ze een “publisher or speaker” van informatie van een ander en dús niet aansprakelijk.

Het Hof van Beroep in deze zaak pakt er een recentere uitspraak bij (Moody v. Netchoice, 2024). Hierin verbood de Supreme Court de staten Florida en Texas om eigen regels te maken over wat platforms voor moderatiebeleid mogen stellen. Zulke eigen regels gaan in tegen het First Amendment: modereren en kiezen wat je wel en niet toelaat is jóuw beschermde expressie, in de zin van de uitingsvrijheid.

Het Hof van Beroep gebruikt dit als argument om te zeggen dat algoritmische aanbevelingen dus de eigen uitspraken zijn van TikTok, en geen content van een ander die zij doorgeeft. En omdat Section 230 alleen bij die laatste categorie beschermt, is TikTok dus aansprakelijk te stellen voor de eigen uitspraken, de algoritmische aanbevelingen die ze doet.

Probleem hiermee is alleen dat de opstellers van Section 230 expliciet met hun wet ook algoritmische aanbevelingen – zoekmachines, in 1995-terminologie – wilden beschermen. Het zou raar zijn dat je Google mocht aanspreken op een zoekresultaat met het argument dat het hún content is, en niet doorgegeven content van die site. Dan blijft er niets over van Section 230.

Dus nee, deze uitspraak van het Hof is fout. Alleen: dat moet naar het Supreme Court om rechtgezet te worden, en dat zal een paar jaar duren (zeker met de te verwachten stroom aan claims rondom de presidentsverkiezingen).

En natuurlijk, het voelt raar dat TikTok niets te verwijten valt bij het promoten van zulke ernstige (en strafbare) video’s. Maar dat los je niet op met een groot gat in een algemene regeling. De Europese aanpak met, naast zo’n algemene regeling, een specifieke plicht tot optreden tegen strafbare content (met adequate teams van moderatoren) en het stipt opvolgen van bevelen van autoriteiten is dan een stuk verstandiger.

Arnoud

Braziliaans hooggerechtshof blokkeert toegang tot X

Photo by carolina daltoe on Unsplash

Socialemediaplatform X wordt geblokkeerd in Brazilië, las ik bij Tweakers. Het Braziliaanse hooggerechtshof nam deze beslissing omdat X niet tijdig een juridische vertegenwoordiger heeft aangesteld in het land. De uitspraak is een escalatie in een al veel langer lopend geschil tussen X-eigenaar Elon Musk en de Braziliaanse rechterlijke macht.

Het formele punt is vrij simpel: buitenlandse bedrijven zijn in Brazilië (binnen bepaalde kaders) verplicht om een lokale vertegenwoordiger te hebben als ze daar zaken doen maar er niet direct gevestigd zijn. Die vertegenwoordiger is dan aan te spreken voor eventuele schade of contractbreuk door het bedrijf. Hoe die het dan verhaalt op het buitenlandse moederbedrijf is iets dat ze dan onderling mogen regelen.

Dit kennen wij in Europa ook, leveranciers van allerlei productcategorieën – en AVG-verwerkingsverantwoordelijken – van buiten de EU moeten in die situatie ook een vertegenwoordiger stellen. In Brazilië is dat voor internetdienstverleners expliciet geregeld, inclusief ultieme sanctie dat internetproviders die diensten anders moeten blokkeren wanneer de rechter dat beveelt.

Je moet de uitspraak echter in het bredere kader zien van het al veel langer lopende geschil waar X in verwikkeld is. Rechter Alexandre de Moraes probeert X te dwingen harder op te treden tegen nepnieuws, en dit is de laatste in een reeks sancties die hij daarbij opgelegd heeft. Wikipedia documenteert het neutraal:

In april 2024 kreeg De Moraes te maken met publieke reacties vanwege het bevel van het Hooggerechtshof om verschillende X-accounts te blokkeren, waarbij de strijd tegen desinformatie als reden werd aangevoerd. X-eigenaar Elon Musk beschuldigde De Moraes van “schaamteloos en herhaaldelijk verraden van de grondwet en het volk van Brazilië”, wat er op zijn beurt toe leidde dat het Hooggerechtshof een strafrechtelijk onderzoek tegen Musk opende wegens het verspreiden van onjuiste informatie en vermeende belemmering van onderzoeken. De uitwisseling heeft gemengde reacties uitgelokt, zowel van Braziliaanse politici als van internationale internetgebruikers.
Je kunt dit zien als gewoon wat je krijgt als je probeert te doen of je met jouw dienst belangrijker bent dan een specifiek land. Dan escaleert handhaving en rechtspraak, en de ultieme consequentie (zie de discussie over Telegram blokkeren onder de DSA) is dan een blokkade of een verbod tot zakendoen.

Probleem is dat de hele toestand begon met een heftige politieke aanleiding: de bestorming van het Braziliaanse Congres in 2023, nadat oud-president Jair Bolsonaro de verkiezingen had verloren. Diverse sociale media, waaronder X, werden gebruikt om een en ander te promoten of zelfs coördineren. Begrijpelijk dat het land dan extra zwaar inzet op het de kop indrukken van staatsgevaarlijke uitingen.

Waarom X specifiek hier een punt van maakt, is niet helemaal duidelijk. Onder Musk staat de dienst niet bepaald bekend als een voorvechter van het vrije woord; men blokkeert in India of Turkije nadrukkelijk zaken (en mensen) die tegen overheidsopvattingen ingaan. Volgens Musk in 2023 was dat normaal voor internetbedrijven, je moet je nu eenmaal aan lokale wetgeving houden.

Bij Associated Press lees ik een mogelijke verklaring:

Far-right X users have been trying to involve Musk in Brazilian politics for years, said Bruna Santos, lawyer and campaign manager at nonprofit Digital Action.
Het zou hem er dan in zitten dat bij die andere landen het bevel gewoon bij de juridische afdeling terecht kwam, terwijl de actie van De Moraes direct bij Musk persoonlijk uitkwam. En die zag daar een dringende noodzaak tot verdedigen van het vrije woord.

Een meer fundamentele discussie is hoe je als multinationale internetdienst om moet gaan met lokale wetgeving. Die discussie is al behoorlijk oud. Het moeilijke eraan is altijd dat ieder land haar eigen normen en waarden heeft, en vindt dat ze die mag handhaven.

Als de dienstverlener hele andere normen en waarden uitdraagt, dan krijg je een conflict. Weggaan is natuurlijk altijd een optie, maar kun je als dienstverlener dan ook zeggen, ik pleeg burgelijke ongehoorzaamheid, ik blijf dit faciliteren want de onderliggende norm is belangrijker? Dat kan, maar de escalatie kan je dan behoorlijk wat omzet kosten.

Arnoud

 

 

 

Juridisch taalgebruik is ook een stukje performatieve magie (kennelijk)

Photo by Pexels on Pixabay

“We ontdekten dat mensen die de taak hadden officiële wetten te schrijven, op een ingewikkelder manier schreven dan mensen die de taak hadden onofficiële juridische teksten te schrijven met een vergelijkbare conceptuele complexiteit.” Aldus (de Googlevertaling van) een recent MIT onderzoek, dat er maar gelijk de magischespreukhypothese tegenaangooit. Maar er zit een kern van waarheid in.

Iedereen kent het probleem van de onleesbare juridische documenten. Meestal gaat het dan om voorwaarden, privacyverklaringen en dergelijke, maar ook bij wetsteksten en vonnissen is de leesbaarheid een fors probleem – zeker voor niet-juristen.

Vaak wordt dit toegeschreven aan behoudendheid. Bij een  publicatie over de langste zin uit een vonnis in 2023 merkte advocaat Raimond Dufour bijvoorbeeld op dat

De langste zinnen van de rechtspraak vind je in het strafrecht: De tenlasteleggingen zijn vaak oeverloze opsommingen die om een of andere reden altijd in één zin moeten worden geformuleerd.
Die reden is meestal dat het in eerdere teksten ook zo gebeurt. Maar enkel luiheid of gewoonte voelt wat mager, want je zou zeggen dat ook wetgevingsjuristen of OM-medewerkers teksten kunnen reviseren. (Er is een onderstroom die zegt dat dat riskant is zonder voordeel: als jouw nieuwe tekst afgekeurd wordt bij de rechter, dan heb jij het gedaan; de oude tekst wordt niet afgekeurd; waarom zou je.)

Het MIT onderzoek gaat heel diep terug de rechtsfilosofie in en formuleert een “Magic Spell Hypothesis”. Deze komt erop neer dat het moeilijke taalgebruik een keuze is om de wet effect te laten geven. Het moet klinken of deze wet de wereld gaat veranderen, en “Rechts houden mensen!” heeft dat effect veel minder dan “Bestuurders zijn verplicht zoveel mogelijk rechts te houden.”

Bij toverspreuken hoort een bepaald taalpatroon, zoals dat dingen rijmen of in een bepaalde cadans worden geformuleerd. Specifiek bij wetten is dat center-embedded syntax, de neiging om zinnen in elkaar te schuiven. Een voorbeeld (art. 310 Sr):

Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.
Dit op enigszins dramatische toon voorlezen is geen enkel probleem. De komma’s creëren dramatische pauzes, waarbij je een strenge toon kracht kunt bijzetten. Het onderzoek verwijst hier naar “distinctive low-frequency structures”, zinsconstructies die alleen (en dan juist ook vaker) in dit soort teksten voorkomen. Die dienen als trigger bij de luisteraar dat het hier om iets bijzonders gaat.

Een bijkomende reden is dat zo’n zinsconstructie dwingt tot scherper luisteren. Het verhoogt de verwerkingsbelasting, dit is geen zin die je met een half oor begrijpt. Een manier van respect afdwingen is te zorgen dat men héél goed naar je luistert.

Maar probeer dat eens met de B1/B2 taalvariant die ik Claude.AI liet genereren:

Iemand krijgt straf als hij een goed van iemand anders wegneemt, behalve als daar een goede reden voor is. Hij moet dan wel het goed willen houden. Dit geldt ook als het goed voor een deel al van hem is. De straf kan een gevangenisstraf zijn van maximaal vier jaar. Ook kan er een geldboete worden opgelegd van de vierde categorie.
Dit bevat dezelfde informatie, maar mist die dramatische komma’s en bevat ook geen triggers dat sprake is van een bijzondere tekst. Ik herken dit als jurist meteen als de tekst voor in de informatiebrochure of wanneer de rechter haar best deed om in eenvoudige taal te schrijven.

Ik vraag me nu af of de moeite om wetten en (vooral) vonnissen in eenvoudige taal te schrijven er mede mee te maken heeft dat deze magische kracht dan wegvalt. Dan is het niet meer écht.

Arnoud

 

Via de rechter toegang krijgen tot het Facebookaccount van je overleden partner

Photo by Pete Pedroza on Unsplash

Heeft een erfgenaam recht op toegang tot het Facebookaccount van een overledene, in het geval dat de overledene op grond van het beleid van Facebook geen keuze heeft gemaakt over wat er met het account moet gebeuren na overlijden? Die vraag moest de rechtbank Amsterdam recent beantwoorden, en dat deed ze met een genuanceerd “ja”.

De zaak werd aangespannen door de achtergebleven echtgenoot (gp) van een overledene van 31 jaar. De overledene had sinds 2010 een Facebookaccount, maar nooit aangegeven wat ze wilde dat daarmee zou gebeuren na overlijden. Op verzoek is het account veranderd naar de zogeheten ‘herdenkingsstatus’, maar daarna was inloggen onmogelijk, net als het lezen of downloaden van chats en andere content.

Net als bij die Hotmail-zaak uit 2021 benadert de rechter het hier vanuit het erfrecht. Dat kent het begrip ‘saisine’:

“[D]e regel dat de erfgenamen in beginsel de positie van de erflater ‘voortzetten’, hoort zowat tot de eerste lessen van iedere cursus erfrecht.” Concreet hier dus: toen deze man overleed, werden zijn erfgenamen (kennelijk ouders en zus) de rechtsopvolger onder het contract met Microsoft waaronder deze de diensten Hotmail en OneDrive aan hem leverde. (Niet eigenaar van het account, accounts bestaan juridisch niet.)
Een overeenkomst kán niet-erfbaar zijn, als dat uitdrukkelijk is geregeld en past bij de aard van de overeenkomst. En dat is hier anders dan in die oudere zaak, omdat Facebook nadrukkelijk de optie kent van een niet-actieve herdenkingsstatus:
Als het recht op actief gebruik zou overgaan op een erfgenaam, dan zou dat betekenen dat de erfgenaam het Facebookaccount van de overledene onder de naam van de overledene zou kunnen voortzetten. Het persoonlijke karakter van de overeenkomst staat daaraan in de weg. Zo volgt uit artikel 3.1 van de Facebook Servicevoorwaarden dat ieder account moet zijn verbonden met een specifiek individu. Overgang van het recht op actief gebruik van een Facebookaccount verdraagt zich niet met het persoonlijke karakter van een Facebookaccount en met de gepersonaliseerde aard van de dienstverlening op Facebook.
Echter, wat wél is overgegaan is het recht op inzage of toegang tot de gegevens die horen bij het account. Alleen, dan kom je bij de persoonlijke levenssfeer en dataprotectierechten van anderen terecht, zoals de chatpartners van de overledene. Daarover is in Duitsland al wat geprocedeerd, en de Duitse rechter laat daar doorschemeren dat je hier rekening mee moet houden (bij e-mailaccounts).
Anders dan [eiser] heeft gesteld, kan niet worden aangenomen dat derden die op Facebook hebben gecommuniceerd met [naam] er rekening mee hebben kunnen of moeten houden dat erfgenamen van [naam] toegang zouden kunnen krijgen tot de gegevens die die derden met [naam] hebben gedeeld. Derden mogen in beginsel ervan uitgaan dat in één-op-één contact via Facebook uitgewisselde informatie vertrouwelijk is.
Belangrijk hierbij is dat de Facebook-documentatie duidelijk aangeeft dat privécommunicatie privé is. Bovendien is Facebook an sich meer privé dan e-mail:
Een Facebookaccount onderscheidt zich van een e-mailaccount vanwege de persoonlijke(re) aard van de communicatie via een Facebookaccount. Ook onderscheidt de communicatie via een Facebookaccount zich van de inhoud van fysieke dagboeken en brieven, in die zin dat het bij fysieke dagboeken en brieven een bewustere keuze is om gedachten en communicatie op die manier fysiek aan het papier toe te vertrouwen én om de inhoud daarvan bij leven te bewaren (of weg te gooien). Dat laatste is bij de inhoud van communicatie via een Facebookaccount veel minder het geval: dergelijke communicatie wordt vaak automatisch (ook voor langere perioden) bewaard zonder dat de gebruiker daar iets voor hoeft te doen.
Wat er precies persoonlijk(er) is aan een Facebookaccount dan een mailbox zie ik niet helemaal. Mogelijk is het de combinatie van soorten content (chats, foto’s, vindikleuks, verbindingen) die een totaalplaatje van iemand geven, ten opzichte van – bij de meeste mensen – een berg met 27.381 berichten waar je met zoekopdrachten probeert die ene mail in terug te vinden.

Toch ziet de rechter wel een geitenpaadje voor de man, die immers met name informatie uit het account wilde om de situatie rond de zelfdoding van de partner te kunnen reconstrueren. Hij krijgt dan ook wél toegang tot alle gegevens die geen persoonsgegevens van derden zijn.

Een complicatie die ik daarbij meteen zie, is wat dat precies betekent in de context van chats. Mijn gevoel is dat de rechter hier denkt aan het weglaten van namen van chatpartners, maar een chatbericht met datum (zeker in de context van een langdurige chat) lijkt me ook zonder naam wel een persoonsgegeven. Al was het maar omdat Facebook de berichten weer kan herleiden tot een persoon.

Arnoud

X gebruikt voorlopig geen berichten van Europese gebruikers om AI te trainen

Photo by Andrei Zolotarev on Unsplash

Socialemediaplatform X gebruikt voorlopig toch niet zomaar de gegevens van Europese gebruikers om zijn AI-modellen te trainen. Dat meldde Nu.nl vorige week. Gebruikers moeten eerst een duidelijke optie krijgen om hun toestemming daarvoor in te trekken. Of is het dan toch bezwaar maken?

Zoals vele partijen is ook X bezig met een eigen genAI chatbot. Deze heet Grok en heeft, wederom net als bij iedereen, enorm veel trainingsdata nodig. En dat kwam even goed uit, want X zit natuurlijk vol met conversaties en iedereen had algemene voorwaarden geaccepteerd waarin vast een regeltje te vinden was.

Probleem daarmee is alleen dat heel veel van die trainingsdata als persoonsgegeven aan te merken is. En die verwerken vereist in de EU meer dan alleen een generieke clausule in de voorwaarden. Als je geen toestemming hebt, dan zul je dit moeten doen met een beroep op het “gerechtvaardigd belang“. Dat vereist dan weer de optie van afmelden met een beroep op persoonlijke omstandigheden.

Onduidelijk is welke grondslag X meent te hanteren, maar wat in ieder geval niet helpt is dat er een stilletjes ingevoerd toestemmingsknopje werd gehanteerd dat standaard op ‘ja’ stond.

De Ierse privacytoezichthouder schrok zo van deze ontwikkeling dat ze voor het eerst in haar bestaan haar zogeheten Section 134-bevoegdheid inzette: een spoedbevel tot stoppen van een bepaalde verwerking omdat de rechten van burgers ernstig en direct bedreigd worden.

Het roept natuurlijk de discussie op waarom men X aanspreekt terwijl zo ongeveer de hele wereld Twitter (en Reddit, en Facebook, et cetera) dagelijks leegtrekt om er AI modellen op te trainen. Het simpele antwoord is natuurlijk: die mogen dat óók niet, alleen zijn iets lastiger op te sporen. En nee, dat het “publieke data” is (wat dat ook betekent), is juridisch irrelevant.

Arnoud

 

Telegram-oprichter Pavel Durov opgepakt op luchthaven in Parijs

Photo by ev on Unsplash

Oprichter en directeur Pavel Durov van berichtendienst Telegram is zaterdagavond opgepakt op de Franse luchthaven Le Bourget. Dat las ik bij Nu.nl. Het sluit toevalligerwijs mooi aan bij mijn bericht van vorige week over het verzoek tot handhaving op het platform. Toch roept dit weer nieuwe vragen op.

Nu.nl legt uit wat de aanleiding was:

Volgens persbureau Reuters wordt Durov er door de Franse autoriteiten van beschuldigd te weinig te doen aan criminele activiteiten op Telegram. Door niet te modereren en geen of nauwelijks informatie te delen over gebruikers, zou de dienst vrij spel bieden aan drugshandelaren en kindermisbruikers.
Terzijde: Telegram is géén messenger-app zoals WhatsApp, maar eerder een chatgebaseerd sociaal netwerk georganiseerd rond groepen, die via trefwoorden te vinden zijn. Er is ook de mogelijkheid voor privécommunicatie, maar dat is eerder vergelijkbaar met een Instagram-privébericht; iets dat óók kan. En oh ja, de encryptie is centraal en zeker niet e2ee.

De situatie is opmerkelijk omdat Durov vrijwillig naar Frankrijk vloog, kennelijk in de wetenschap dat hij daar gearresteerd kon worden. (Hij heeft een Frans paspoort.) Hij vertrok uit Azerbeidzjan, waar hij tegelijkertijd met president Putin aanwezig was. Op de vlucht na een onwelgevallig gesprek over encryptie in Rusland?

In verband met vorige week roept het vooral de vraag op: wat is hier precies voor crimineels aan de hand? Het niet-naleven van de Digital Services Act (de oproep van vorige week) is immers een bestuursrechtelijke of civielrechtelijke kwestie, die wet kent geen bepalingen van strafrecht.

Frankrijk kent echter een met de DSA vergelijkbare wet die wél strafrechtelijk gehandhaafd wordt, Wet 2024-449 van 21 mei 2024 gericht op het beveiligen en reguleren van de digitale ruimte. Deze stelt bijvoorbeeld een jaar cel op het niet adequaat modereren tegen kindermisbruikbeeldmateriaal (art. 6-2-1).

Een andere mogelijkheid is dat men de kennis en activiteiten van Durov (of Telegram als bedrijf) ziet als zó ver gaand dat sprake kan zijn van medeplichtigheid. In Nederland is daarvoor vereist dat je actief hulp geeft, of inlichtingen of middelen verschaft (art. 48 Sr). Een platform bieden waar dit toevallig gebeurt is natuurlijk geen medeplichtigheid, maar zodra er iets blijkt van aanmoedigen, moderatie tegenhouden of onder tafel geld accepteren zodat men het kan blijven doen, dan kom je daar wel.

Arnoud