Facebook en Instagram zonder reclame? In november kan het (tegen betaling)

Geplaatst op in Ondernemingsvrijheid, 17 reacties

Vanaf november heb je op Facebook en Instagram de keuze uit een gratis versie met gepersonaliseerde reclame, of een betaalde versie zonder reclame. Dat meldde Nu.nl onlangs. Daarmee hoopt Facebook-moederbedrijf Meta te voldoen aan de strenge Europese privacywet – ze bedoelen die recente uitspraak van het Hof die in feite het businessmodel van Meta afschoot. Dus hoezo zou dit nu wél moeten gaan werken?

Die uitspraak ging goeddeels over het mededingingsrechtelijk aspect van misbruik van persoonsgegevens, maar het Hof deed nog iets opmerkelijks: het sprak zich hard en duidelijk uit tegen de grond toestemming bij dominante platforms zoals Meta:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

De achterliggende motivatie is dat omdat Facebook zo’n dominante positie in de markt heeft, gebruikers niet zomaar ergens anders heen kunnen gaan. Er is dan niet echt een keuze, en zonder keuzevrijheid is toestemming niet rechtsgeldig.

De hint van “if necessary for an appropriate fee” werd duidelijk gehoord in Menlo Park en daarom krijgen we nu dus betaalde opties:

Voor Facebook en Instagram zonder reclame kun je vanaf november een abonnement afsluiten. Die kost via de website 9,99 euro per maand en via de app 12,99 per maand. Via de app is duurder omdat Google en Apple een commissie inhouden op betalingen via de Play Store en de App Store.
(Hogere prijzen vragen buiten de App Store om mocht dacht ik niet van Apple, maar dat terzijde.)

Meta zegt de data van betalende gebruikers niet te gebruiken voor advertenties.

Arnoud

Gaat de VS Europa links inhalen met haar AI regulering?

Geplaatst op in Innovatie, 3 reacties

Met een presidentieel decreet wil de Amerikaanse president Joe Biden toekomstige AI-modellen van vangrails voorzien. Dat las ik bij De Tijd dinsdag. Het nieuws komt een week nadat de Europese wetgever er nog niet uit is met de AI Act, dus het is nogal een verrassing: krijgt de VS nu ineens méér regulering dan Europa?

De Wall Street Journal noemt de Executive Order van Biden (want dat is het) een “emergency federal power”. Want Biden kan als president geen wetten invoeren. Met een executive order of decreet kan hij de federale overheidsorganen aansturen, wat indirect behoorlijk wat impact op de maatschappij kan hebben.

Eerder had het Witte Huis al een “Blueprint for an AI Bill of Rights” uitgegeven, een streven met vijf beginselen voor wat wij trustworthy AI zouden noemen. Biden maakt in zijn XO daar nu acht uitgangspunten van. Ik citeer de belangrijkste passage van iedere, namelijk het punt waar hij ingaat op wat zijn overheidsorganen gaan doen:

  1. My Administration will help develop effective labeling and content provenance mechanisms, so that Americans are able to determine when content is generated using AI and when it is not.
  2. The Federal Government will promote a fair, open, and competitive ecosystem and marketplace for AI and related technologies so that small developers and entrepreneurs can continue to drive innovation.
  3. My Administration will seek to adapt job training and education to support a diverse workforce and help provide access to opportunities that AI creates.
  4. Ty Administration will build on the important steps that have already been taken […] in seeking to ensure that AI complies with all Federal laws and to promote robust technical evaluations, careful oversight, engagement with affected communities, and rigorous regulation.
  5. The Federal Government will enforce existing consumer protection laws and principles and enact appropriate safeguards against fraud, unintended bias, discrimination, infringements on privacy, and other harms from AI.
  6. The Federal Government will ensure that the collection, use, and retention of data is lawful, is secure, and mitigates privacy and confidentiality risks.
  7. My Administration will take steps to attract, retain, and develop public service-oriented AI professionals (…)   The Federal Government will work to ensure that all members of its workforce receive adequate training (…).
  8. My Administration will engage with international allies and partners in developing a framework to manage AI’s risks, unlock AI’s potential for good, and promote common approaches to shared challenges.
Allemaal zaken die de overheid zelf gaat regelen dus. Burgers en bedrijven hebben daar niet direct mee te maken, behalve als ze willen verkopen aan de overheid. Nog steeds niet spannend, een overheid kan inkoopvoorwaarden hanteren immers.

Wél spannend wordt het wanneer Biden de Defense Production Act uit 1950 inroept. Deze wet is aangenomen aan het begin van de Korea-oorlog en geeft de president de bevoegdheid om producten onder de DPA te scharen wanneer dat noodzakelijk is voor de nationale veiligheid.

Biden rekent daar nu de enorme foundation models onder die het leeuwendeel van de nieuwe AI uitmaken, zoals GPT4 en Google’s modellen. De insteek is dat deze ook voor kwaadaardige cyberactiviteit ingezet kunnen worden, waarmee de VS kwetsbaarder wordt jegens buitenlandse actoren. Wederverkoop of IaaS-levering van zulke modellen aan buitenlanders wordt hiermee gereguleerd, de minister van Handel mag ingrijpen als zo’n transactie onwenselijk is vanuit de staatsveiligheid en inzet van AI in kritieke sectoren wordt aan overheidstoezicht onderworpen en zo nog het een en ander.

Opmerkelijk is vooral de eis aan generative AI: veel media melden dat generatoren hun content moeten gaan watermerken. Dat staat er niet: er komt onderzoek naar effectieve technieken om ‘synthetische’ content te kunnen onderscheiden van echte, en daaruit wordt dan een standaard afgeleid. Maar buiten de bovengenoemde scope kan de president private partijen niet bevelen uitvoer van hun tooling te watermerken.

De XO is natuurlijk wel een enorm sterk signaal dat er regulering aan zit te komen, en omdat alle grote AI providers ook willen leveren aan de overheid is de kans groot dat men deze standaarden gaat ondersteunen in ál hun producten en diensten. In combinatie met de AI Act die we in januari verwachten, levert dat in 2024 ineens een enorme regulering op van de wildwestsector die we nu hebben.

Arnoud

 

Mag je versie 2 van je game een nieuwe game noemen?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 10 reacties

Het spel Counter-Strike 2 heeft meer dan 7,5 miljoen reviews op gamestreamingdienst Steam, met 88% positief, las ik bij Rock Paper Shotgun. Best knap voor een game die toen net een paar dagen uit was. Of wacht: die recensies zijn de afgelopen jaren afgegeven voor Counter-Strike: Global Offensive, waar CS2 feitelijk een grote update van is. Klopt dat dan nog wel?

Counter-Strike is een spel uit alweer 1999, dat na diverse updates in 2012 op de markt kwam als Global Offensive – CS:GO is tegenwoordig ongeveer synoniem met FPS, en speelbaar op vrijwel alle grote platforms (Microsoft Windows, OSX, Linux, Xbox 360 en PlayStation 3). Regelmatig zijn er grote toernooien met serieuze prijzen. Dit is dus zeg maar best een bekend merk.

Counter-Strike 2 wordt algemeen gezien als een grote update, zoals bijvoorbeeld Tweakers:

De shooter blijft free-to-play en spelers kunnen al hun skins uit CS:GO meenemen naar Counter-Strike 2. … [O]pvallende wijzigingen zijn veranderingen in de matchmaking. Spelers met een hoge CS Rating in Premier kunnen niet langer in een team zitten met spelers die dat niet hebben. Ook worden de ‘associates’ van een of meerdere spelers die hebben valsgespeeld en een permanente ban hebben gekregen, gestraft met verlaagde Profile Rank en CS Rating.
Verder is er meer veranderd:
You may find the new minimum specs exclude your computer, or that it’s simply less comfortable to play because left-handed weapons have been removed. You may find that your favourite mode – the one that prompted you to spend all that money opening in-game crates – has disappeared overnight.
Ook werkt de game niet meer op MacOS. Je kunt je dan afvragen of je dit nog wel een update van CS:GO kunt noemen. Producent Valve meent van niet, ze kozen immers voor een naamsverandering waarin nadrukkelijk “versie 2” wordt gehanteerd.

Ik denk dat het in de softwarewereld wel algemeen aanvaard is dat “versie 1” en “versie 2” als andere stukken software gezien worden. Weliswaar met een onderling verband, maar niemand zal zeggen dat Windows 2.0 en Windows 3.1 eigenlijk dezelfde software zijn, bijvoorbeeld.

Het voelt dan laten we zeggen een tikje misleidend om dit spel dan tóch op de pagina van de vorige versie te presenteren, omdat je als professionele partij zoals Valve moet weten dat alle positieve recensies blijven staan en CS2 dan meteen een héle mooie start krijgt in alle rankings.

Is dit nu iets waarvan je kunt zeggen dat Valve hiermee “het vermogen van de gemiddelde consument om een geïnformeerd besluit te nemen merkbaar is beperkt of kan worden beperkt”? Dat is namelijk het criterium om van een verboden oneerlijke handelspraktijk te spreken. In het Burgerlijk Wetboek is daar een hele regeling over opgenomen, inclusief een zwarte lijst van misleidende praktijken.

Helemaal onderaan (punt aa) staat als altijd verboden praktijk:

het plaatsen of doen plaatsen van valse beoordelingen of aanbevelingen van consumenten of op misleidende wijze voorstellen van consumentenbeoordelingen of sociale media-aanbevelingen, teneinde producten te promoten.
Je zou dan zeggen dat je mensen misleidt door beoordelingen van CS:GO te presenteren als beoordelingen van CS2. Die misleiding komt dan doordat je er niet bij zet “let op, recensie van oude versie”. Die tekst zie je regelmatig bij recensies, dus een gekke gedachte is dit niet.

Daar staat tegenover dat het conceptueel nog steeds wel hetzelfde spel is. Nieuwe kaarten, nieuwe wapens, diverse cosmetische aanpassingen: dat zijn we gewend van games:

Since the initial release of Global Offensive, Valve has continued to update the game by introducing new maps and weapons, game modes, and weapon balancing changes.[32] One of the first major additions to the game post-release was the “Arms Deal” update. Released on August 13, 2013, the update added cosmetic weapon finishes, or skins, to the game. These items are obtainable by a loot box mechanism; players would receive cases that could be unlocked using virtual keys, purchased through in-game microtransactions.[33][25] Global Offensive has Steam Workshop support, allowing users to upload user-created content, such as maps, weapon skins, and custom game-modes. Some popular user-created skins are added to the game and are obtainable from unboxing them in cases.[34]
En in het verleden was dat nooit een reden om bij de reviews ineens te vermelden “betreft oudere versie”.

Ondertussen heeft de community actie genomen: er staan nu een kleine miljoen negatieve reviews op Steam, dit maakt CS2 de laagst scorende game ooit. Dit is mede te wijten aan de bugs:

The first major reason for CS2’s low scores is the gameplay itself. A lot of bugs and glitches have frustrated gamers of all skill levels. A lot of game modes and content from CS:GO have also been removed and many players feel CS2 is “unfinished” and lacking content. … Many Counter-Strike players were frustrated that the arrival of CS2 spelled the end of CS:GO. CS:GO’s game file was also automatically replaced with CS2 for those who had the game downloaded. Not only were fans angry to have their favorite game removed, but others felt that Valve was being deceitful.
Op die manier lost het zichzelf wellicht op, maar toch lijkt het mij een goed idee recensies voortaan te voorzien van een versienummer of label van het exacte spel waar ze op betrekking hebben.

Arnoud

 

 

 

Brussel onderzoekt of advertenties voor client-side scanning in strijd met DSA zijn

Geplaatst op in Regulering, Uitingsvrijheid, 8 reacties

De Europese Commissie onderzoekt of een eigen politieke microtargeting advertentiecampagne op X, die steun voor het omstreden client-side scanning zocht, in strijd met de Digital Services Act (DSA) is. Dat meldde Security.nl onlangs.

Enige tijd terug tech-expert Danny Meki? dat de Europese Commissie op X een advertentiecampagne heeft gevoerd waarbij het via microtargetting zich richtte op mensen in Nederland, Zweden, België, Finland, Slovenië, Portugal en Tsjechië die wel eens tegen het voorstel zouden kunnen zijn. Deze kregen dan zeer gerichte tegenargumenten.

De ontdekking openbaar maken leverde Meki? – net als professor Armand Girbes – een shadowban op bij X: beperkt vindbaar gemaakt, zonder enige motivatie. Dat dát een DSA overtreding is, lijkt me duidelijk. Maar hoe zit dat met dat profileren zelf.

De DSA is gericht op reguleren en transparantie, maar verbiedt an sich niet zo heel veel dingen. Ook bij advertenties (artikel 26) wordt er met name gevraagd om dingen aan te geven:

  1. Duidelijk markeren dat iets een advertentie is;
  2. Van wie deze afkomstig is (en wie er voor betaalde, indien niet dezelfde entiteit);
  3. “Rechtstreeks en gemakkelijk toegankelijke nuttige informatie over de belangrijkste parameters die worden gebruikt om te bepalen aan welke afnemer de reclame wordt getoond en in voorkomend geval over de wijze waarop die parameters kunnen worden veranderd.”
(Over dat laatste blogde ik laatst.) Dit is gericht op transparantie, weten waarom je bepaalde advertenties krijgt. Maar als die informatie inhoudt “we hebben een profiel samengesteld dat bij jou en nog 10 mensen in de EU paste” dan is daar verder niets mis mee.

Een direct verbod zie ik verder niet. Van de zeer grote platforms zou je wellicht nog kunnen zeggen dat zij microtargeting moeten zien als een systemisch risico, en daar dan maatregelen tegen moeten nemen, maar dat is bepaald indirect.

Al sinds 2021 ligt er een voorstel voor een Verordening over transparantie bij politieke reclame. Van de zomer is dit stil komen te vallen, de redenen zijn onduidelijk. Maar de bedoeling hiervan is om targeting op basis van persoonsgegevens expliciet te verbieden (art. 12).

De verwijzing naar persoonsgegevens suggereert dat de AVG er ook wat van zou moeten vinden, maar een hard verbod ga je niet vinden in deze wet. Je kunt natuurlijk zaken aandragen als profileren, maar dat geldt bij álle advertenties en wordt niet anders omdat jij vrij specifiek eruit gepikt wordt.

Het enige echte argument uit de AVG betreft je politieke voorkeur: als de (micro)targeting gericht is op politieke tegenstanders, dan worden bijzondere persoonsgegevens verwerkt en dat is simpelweg verboden voor zo’n doel.

Arnoud

Kun je als werknemer tekenen voor doorzoeken van je privéapparatuur?

Geplaatst op in Ondernemingsvrijheid, Privacy, 32 reacties

Via Reddit deze intrigerende vraag:

Recently, my employer (a private company in the tech industry) has updated their “security policy” which all employees are required to sign. In the new policy, it states that in the case of an HR investigation or suspected breach of company policies, employees consent that the company may “conduct a forensic investigation, including of personal devices, when necessary”.
Waarbij de vraag natuurlijk is “mag dat”. Het gaat hier wel heel erg ver met dat “ook persoonlijke apparatuur”, maar het komt zeker vaker voor dat je moet tekenen voor zo’n doorzoekbevoegdheid.

Om maar met dat tekenen te beginnen, het voegt buitengewoon weinig toe om werknemers een handtekening te laten zetten onder welk bedrijfsbeleid dan ook. Hooguit kun je daarmee bewijzen dat de werknemer het gezien heeft, al weet ik weinig situaties waarin dat écht van belang is.

Uit handtekeningen wordt vaak een akkoord afgeleid, en dat gaat hem hier zeker niet worden. Die handtekening is niet vrijelijk gezet, men is immers letterlijk verplicht om te tekenen. Juridisch gezien ontbreekt dan de wil op het aangaan van een overeenkomst, het geven van toestemming of wat de werkgever maar hoopte te bereiken. En dan is het ding juridisch niet bindend.

Zou je het eenzijdig kunnen opleggen? Die handtekening is voor de vorm, even de schrik erin jagen, laten zien dat iedereen tekent dus verzet heeft geen zin, ja gezellig bedrijf zou dat zijn. Maar de echte vraag is dan: mag je als werkgever bij een onderzoek jezelf toegang verschaffen tot allerlei apparaten?

Het antwoord komt neer op “als dat écht nodig is gezien het concrete bedrijfsbelang in de specifieke zaak en je geen andere manieren hebt om aan dat belang te komen”. Zomaar wekelijks alle laptops doorsnuffelen op mogelijke overtredingen is natuurlijk niet in orde, bij een specifieke verdenking van fraude/verduistering door de werknemer de laptop gericht doorzoeken op bewijs is een heel ander verhaal.

Deze zaak uit 2014 maakt een duidelijke afweging. Een collega stuurde WhatsApp-berichten van de werknemer door naar de directie. Deze vond de inhoud zo ernstig dat ze de werknemer direct ontsloegen. Daarbij werd ook de werklaptop doorzocht:

De kantonrechter is van oordeel dat [werkgever], gelet op de verklaring van [collega] en de naar zeggen van [werkgever] door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [werknemer]. [Werkgever] heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van [werkgever], en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [werknemer] tijdens het dienstverband van en met bedrijfsmiddelen van [werkgever] heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van [werkgever], van [collega] verkregen informatie, kan niet worden gezegd dat [werkgever] bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [werknemer] minder belastende, wijze had kunnen plaatsvinden.
Bij dit alles is eventuele toestemming van de werknemer dus niet relevant.

Bij het doorzoeken van privéapparatuur moet je als werkgever nóg terughoudender zijn. Daar heb je immers sowieso niets te zoeken, dus het is moeilijk voorstelbaar dat er dan toch een bedrijfsbelang ontstaat waarmee je in die apparatuur zou moeten. Daar komt bij dat je dan zaken moet doen zoals wachtwoorden raden of beveiliging omzeilen die in principe strafbaar zijn.

Misschien wordt het tijd om een nieuwe slogan toe te voegen aan mijn arsenaal. Na “data is niets” en “toestemming vraag je bij nieuwsbrieven en anders doe je het fout” zou dat dan iets van “werknemers tekenen alleen hun arbeidscontract, de rest is saai toneel” kunnen zijn. Meh, nog even aan werken.

Arnoud

Rechter beboet Criteo voor plaatsen trackingcookies

Geplaatst op in Ondernemingsvrijheid, Privacy, 11 reacties

Criteo, een exploitant van reclametechnologie, kreeg vorige week te horen dat het moet stoppen met haar cookiepraktijken wegens strijd met de AVG. Dat meldde Emerce vorige week. De Nederlandse rechter volgt daarmee de uitspraak van de Franse CNIL van afgelopen zomer en voegde daar “flagrante schending van de wet” aan toe. Oké.

Criteo biedt, zoals wel meer marktpartijen, tussenhandeldiensten aan voor advertenties en zet daarbij multi-site tracking in. Zij kreeg dus afgelopen zomer een boete (40 miljoen euro), met name omdat zij dit deed zonder adequate toestemming van de personen die zo werden getrackt.

De eiser in deze zaak had gemerkt dat hij nog steeds tracking cookies kreeg van Criteo, zonder daarbij om toestemming te zijn gevraagd. Kan kloppen, aldus het bedrijf, maar wij eisen van onze afnemers dat zij die toestemming regelen. Dus u moet niet bij ons zijn. Wie de afnemers zijn, dat weten we eigenlijk niet maar ze zijn zorgvuldig geselecteerd. Daarop stapte de man naar de rechter.

Dat zulke tracking cookies plaatsen zonder toestemming niet mag, daarover was iedereen het wel eens. Het ging dus over de vraag waar Criteo stond als niemand om toestemming vroeg, en hoe veel informatie het bedrijf moet geven over haar partners.

Volgens de rechter is het klip en klaar: je mag wel naar je partners kijken, en als die het regelen dan is dat mooi, maar als die het niet doen dan krijg jij het gevolg juridisch op je bordje. Zoals de CNIL het deze zomer zei:

“..dat het feit dat de partners verantwoordelijk zijn voor het verzamelen van de toestemming (…), het bedrijf niet ontslaat van zijn verplichting, overeenkomstig artikel 7 AVG, om te kunnen aantonen dat de betrokkene toestemming heeft gegeven.”
Criteo dient te waarborgen dat vooraf toestemming wordt verkregen, en mag niet vertrouwen op contractuele afspraken en ingrijpen na een piepsysteem. Waarborgen betekent dat je het regelt én dat je blijft kijken of het werkt. En zo nodig zélf de toestemming vraagt, of niet verwerkt als je niet zeker weet dat er toestemming is verkregen.
Volgens Criteo kan zij niet meer doen dan zij doet; zij heeft ongeveer 21.000 partners en het uitvoeren van audits op al deze partners is een zeer complexe aangelegenheid. Daar tegenover stelt [eiser] dat het “kinderlijk eenvoudig” is voor Criteo om haar partners geautomatiseerd te controleren, maar dat Criteo uit winstbejag liever blijft stilzitten totdat er iemand klaagt.
Men citeert deskundige Floor Terra die desgevraagd aangeeft in een middag een scriptje in elkaar te kunnen draaien dat in een nacht 10.000 websites controleert of ze cookies sturen zonder toestemmingsvraag. Als je zó eenvoudig al een basic compliance check kunt doen, dan heb je echt geen argument meer waarom je dat niet zou hoeven doen.

Dit moet stoppen, en wel nu:

Criteo is niet van plan haar huidige werkwijze te veranderen. Dat betekent dat het onrechtmatig handelen van Criteo jegens [eiser] niet vanzelf zal stoppen. Dat wordt ook bevestigd doordat [eiser] zelfs na de brief van zijn advocaat van 8 augustus 2023 nog 39 gevallen van schending van het wettelijk toestemmingsvereiste heeft aangetoond. Het gaat hier om een – naar voorlopig oordeel – flagrante schending van de wet en [eiser] heeft er alleen al daarom voldoende (spoedeisend) belang bij dat dit stopt. Van hem kan niet worden gevergd dat hij deze schending nog langer duldt in afwachting van de uitkomst van een eventuele bodemprocedure.
Hoe Criteo dit wil gaan inregelen, is niet duidelijk. Maar ze zullen wel moeten: 250 euro per dag dat het weer gebeurt.

Ook moet Criteo een volledige lijst geven van alle partners die de gegevens gekoppeld aan het cookie hebben gekregen. Het Hof van Justitie had in januari al bepaald dat dat moet; enkel categorieën van ontvangers noemen mag wel in je privacyverklaring maar als iemand doorvraagt dan moet je concreet worden. Dit omdat je als doorvragende iemand natuurlijk die partners wilt aanspreken op bijvoorbeeld onrechtmatige verwerking.

Arnoud

Wat gaat de EU doen met generatieve AI en foundation models in de AI Act?

Geplaatst op in Ondernemingsvrijheid, 1 reacties
AlexandraKoch / Pixabay

De Europese wetgever trekt een sprint om de regulering van generatieve AI vast te leggen, las ik bij Euractiv. De snelle opkomst van GPT was een nogal onverwacht dingetje, waar men maar niet uitkomt. “This is the last thing still standing in the negotiation,” aldus Europarlementariër Dragos Tudorache nog dit voorjaar. Dat viel dus een tikje tegen.

De voorgenomen AI Act – die in januari van kracht moet worden – ging altijd uit van concrete systemen met specifieke toepassingen. GPT en collega’s zijn het tegenovergestelde van waar de wet van uit ging: ze zijn general-purpose oftewel foundational voor specifieke toepassingen. De hele opzet van systemen met doelen en risico’s past dus eigenlijk niet goed.

Maar we hebben een wet, GPT is een AI en dus moet en zal deze gaan passen. Inderdaad, hamer en spijker en zo. De kern van het probleem is dat de AI Act uitgaat van systemen met een specifiek doel, de “intended purpose” zoals vastgelegd in de documentatie. Deze AI doet toegangscontrole, die AI bestuurt een auto en die laatste verzorgt ouderen. Foundation models zijn breed georienteerd: ze kunnen alles, hoewel je ze vaak nog wel bij moet sturen om een specifiek ding te kunnen.

De snelle opkomst van ChatGPT met name heeft ertoe geleid dat het Europees Parlement heel snel een bepaling hierover heeft toegevoegd. Maar hoe dat zou moeten passen in het bredere systeem, blijft de vraag: wat moet je met eisen over documentatie die je doelstelling willen weten, als je geen doelstelling hébt?

Het voorgestelde compromis komt erop neer dat de eisen beperkt worden tot transparantie over hoe de systemen gebouwd zijn (data, parameters, evaluaties over bias, zulke dingen) en dat je voor de rest alleen aanreikt wat anderen nodig hebben om een specifieke AI te bouwen met jouw systeem.

Maar er is meer: een “zeer capabel” foundation model moet ook nog extra regels krijgen omdat haar mogelijkheden onverwacht en onvoorspelbaar zijn. Zeg maar “we willen niet nóg een keer overvallen worden door AI’s die kunnen toveren”. Wat daarover precies vast moet liggen, is nog niet duidelijk.

Wil je weten hoe dit allemaal praktisch uit gaat pakken? Bestel dan mijn nieuwste boek: AI and Algorithms, mastering legal & ethical compliance.

Arnoud

Privacyexpert dient klacht in tegen adblocker-detectie YouTube

Geplaatst op in Ondernemingsvrijheid, Privacy, 31 reacties
Sophieja23 / Pixabay

Privacyexpert Alexander Hanff heeft bij de Ierse privacytoezichthouder DPC een klacht ingediend over de detectie van adblockers door YouTube. Dat meldde Security.nl onlangs. Googles videoplatform zou de Telecommunicatiewet overtreden (de ePrivacyrichtlijn, eigenlijk), omdat het detecteren van adblockers neerkomt op uitlezen van gegevens bij de gebruiker, en dat vereist toestemming.

De aanleiding is dat YouTube recent is begonnen met het blokkeren van gebruikers die een adblocker hebben geïnstalleerd. Ik blogde hier in februari over, maar kon geen goede juridische tegenargumenten bedenken, afgezien van (dank, tipgever) de Telecomwet:

ik kreeg de tip dat de EC dit ooit illegaal had genoemd, omdat je met zo’n blockerdetector informatie uitleest van de client zonder directe noodzaak. Dat is dan in strijd met de cookiewet, oftewel de op randapparaten lezen- en schrijvenwet. Ik ben niet helemaal overtuigd, je leest niet uit welke addons geïnstalleerd zijn, je kijkt in de DOM van je eigen pagina of een bepaald element zichtbaar is dan wel of iets op je eigen server opgevraagd werd.
Dit is dus ook de insteek die Hanff kiest, en hij hoopt dat de Ierse privacytoezichthouder snel actie onderneemt wanneer er veel mensen gaan klagen.

Hoe houdbaar is het nu echt? Dat verbod op uitlezen van informatie op randapparatuur gaat over snuffelen, spioneren, rondkijken waar je niet hoort te zijn. Het detecteren of iets van je eigen pagina geladen of getoond wordt vind ik niet echt daarmee in lijn.

De webpagina is geconfigureerd om te kijken of een bepaald vakje op die pagina (genaamd “_banner”) wel of niet zichtbaar is in het browservenster. Zo niet, dan concludeer je dat er een adblocker in het spel is. Dat is volgens mij niet uitlezen van informatie op het randapparaat, dat is uitlezen in je zelf verzonden informatie.

De ACM gaf iets later nog aan dat zij het niet als overtreding van de Telecomwet zien, vanwege de Nederlandse uitzondering op de cookiewet over gebruik dat slechts zeer gering of geen inbreuk op de privacy maakt. En inderdaad kan ik het detecteren van een adblocker moeilijk als een serieuze schending van mijn persoonlijke levenssfeer zien. Maar dat is een Nederlands bedenksel in de wet waarvan de vraag is of dat überhaupt wel mag.

Arnoud

Studente Vrije Universiteit niet gediscrimineerd met tentamensoftware Proctorio

Geplaatst op in Privacy, 9 reacties

De Vrije Universiteit Amsterdam (VU) heeft een studente niet gediscrimineerd met de tentamensoftware Proctorio. Dat las ik bij RTL Nieuws vorige week. De universiteit heeft aangetoond dat deze student tijdens haar tentamens niet meer problemen heeft ondervonden dan andere studenten en dat die problemen in het geval van deze student niet veroorzaakt werden door haar huidskleur.

De studente had in 2022 een klacht bij het College voor de Rechten van de Mens ingediend, en die had de VU opgedragen te bewijzen dat de software niet discrimineert. Kern van de klacht was dat de antispieksoftware haar steeds als afwezig markeerde omdat zij door haar huidskleur niet goed werd herkend.

Die gedachte is niet heel raar, want het is bekend dat de basis voor de software het opensourcepakket OpenCV is. Dit is een bekende set libraries voor objectherkenning (voor AI zijn wij objecten). Maar diverse tests laten zien dat het niet goed werkt:

The models failed to detect faces in images labeled as including Black faces 57 percent of the time. Some of the failures were glaring: the algorithms detected a white face, but not a Black face posed in a near-identical position, in the same image.
Op basis van deze informatie concludeerde het College dat er best wel eens sprake kon zijn van “ongeoorloofd onderscheid naar etnische afkomst” – de juridische term voor wat de media dan “discriminatie” noemt. Maar voor de duidelijkheid: die juridische term kent niet de component van afkeuring of opzet die we vaak bij “discriminatie” lezen. Je wordt anders behandeld, en dat kan per ongeluk gebeuren zonder dat iemand nadacht over huidskleur of wat dan ook.

De VU deed nader onderzoek naar wat er nu precies bij deze student was gebeurd:

De VU heeft met behulp van gegevens over het inlogproces kunnen aantonen dat de student tijdens haar tentamens niet meer problemen heeft ondervonden dan andere studenten. Dat de student bij een van haar tentamens langer deed over het verificatieproces en tijdens het tentamen een herstart moest maken kwam door andere dingen, die geen verband hielden met haar huidskleur. Zoals een slechte internetverbinding of het dragen van een bril.
Het oordeel van het College is dan ook dat geen verboden onderscheid is gemaakt. Men gaat niet expliciet in op detectie van huidskleur, maar vindt het voldoende aannemelijk dat de problemen samengaan met andere technische gebeurtenissen.

De student had het principiële punt opgeworpen dat de software niet onderzocht is op mogelijkheden voor discriminatie. Daar geeft het College haar gelijk, maar dat is een algemeen verwijt dat de wetgever moet oppakken. (Iets dat in de AI Act ook zal gebeuren.)

Arnoud

Heb ik recht op een kopie van ingezonden formulieren?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Privacy, 11 reacties

Een lezer vroeg me:

Als ik informatie upload naar een bedrijf (verhuurder, installatie onderhoudsbedrijf, etc.) heb ik dan het recht om die informatie terug te krijgen/eisen?

Neem een simpel geval zoals een contactformulier. Vaak krijg je geen kopie van je ingezonden formulier, dus moet je dat zelf kopiëren of schermafdrukken voordat je het instuurt. Heb ik niet gewoon recht op een kopie?

Er is geen algemene regel dat informatie ‘van jou’ is, in de zin dat je zonder meer een kopie daarvan op kunt eisen bij partijen die deze onder zich hebben. (Dat kan bij ‘gewoon’ eigendom wel, dat eis je terug via revindicatie.)

Veel mensen denken nu misschien aan auteursrecht. Dat klopt, ook op een relatief simpele tekst zoals een vraag in een contactformulier kun je auteursrecht claimen. Alleen: het auteursrecht is een verbodsrecht. Hiermee kun je dus hooguit de organisatie verplichten je bericht te wissen. Afgifte van een kopie kun je er niet mee afdwingen.

De AVG dan? Een bericht van jou afkomstig is te zien als een persoonsgegeven betreffende jou, en via je inzagerecht kun je dan een kopie daarvan krijgen (art. 15 lid 3). Dat is niet echt ’terugeisen’ maar je krijgt dan wel je tekst.

Alleen is het niet gezegd dat je dit krijgt in het bronformaat, een pdf met screenshot van je bericht is genoeg om aan het inzagerecht te voldoen. Een beroep op de dataportabiliteit (art. 20) zou je wél een mooi mailtje moeten opleveren. Daar zitten wel nogal wat juridische discussies aan, zoals onder welke AVG-grondslag je werkt als je een contactformulier invult. En dat maakt uit, want alleen bij toestemming of overeenkomst geldt dataportabiliteit.

Het belangrijkste voor mij is dat deze route buitengewoon omslachtig en tijdrovend is. Wie gewoon even zijn dossier op orde wil hebben (12 april contact gezocht via formulier, 26 april opvolging per telefoon) die zal hier niet op zitten wachten.

Volgens mij is het al jaren een aanbeveling dat formulieren een kopie mailen van het ingezonden bericht. Je kunt dat eventueel optioneel maken. En ja, er is dan een risico van misbruik voor overlast/spam (vul andermans adres in) maar dat zal hoe dan ook spelen wanneer de organisatie contact gaat zoeken.

Arnoud