Een naam hardop uitspreken valt nu ook onder de AVG, wacht, wat?

Geplaatst op in Privacy, Uitingsvrijheid, 14 reacties

Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.

De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.

De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.

Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.

Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben.

In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben.
Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.

Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.

De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.

Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.

Arnoud

 

 

Europees Hof van Justitie: IAB-systeem voor cookiepop-ups in strijd met AVG

Geplaatst op in Ondernemingsvrijheid, Privacy, 12 reacties

Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat meldde Tweakers. In iets juridischer taal oordeelde het Hof van Justitie dat het IAB de (mede) verwerkingsverantwoordelijke is voor alle tracking die daar aan hangt.

Zoals Tweakers uitlegt:

IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem.
In dit framework zit iets dat een “transparency and consent string” (TC string) heet, waarmee consent centraal beheerd wordt en door alle leveranciers uitgelezen kan worden:
A TC String’s primary purpose is to encapsulate and encode all the information disclosed to a user and the expression of their preferences for their personal data processing under the GDPR. Using a Consent Management Platform (CMP), the information is captured into an encoded and compact HTTP-transferable string. This string enables communication of transparency and consent information to entities, or “vendors”, that process a user’s personal data. Vendors decode a TC String to determine whether they have the necessary legal bases to process a user’s personal data for their purposes. The concise string data format enables a CMP to persist and retrieve a user’s preferences any time they’re needed as well as transfer that information to any vendors who need it.
Hiermee kun je op één site consent geven voor bijvoorbeeld adverteerders A en B, waarna die consent ook ingezet kan worden op een andere site. De TC string wordt daarom gedeeld met alle sites waar het framework wordt ingezet. Klinkt dit spannend qua AVG? Ja, dat dacht ik ook.

De Belgische toezichthouder stelde een onderzoek in en vond dat het IAB – beheerder van het framework – eigenlijk de verwerkingsverantwoordelijke was voor de TC string, waar immers persoonsgegevens in zitten. IAB ging daartegen in beroep, want die string wás niet eens een persoonsgegeven en bovendien waren het de afnemers van het framework die de gegevens gebruikten, niet zij.

Het Hof van Justitie kreeg dit als prejudiciële vragen voorgelegd, en kwam niet geheel verrassend tot de conclusie dat (a) de TC string persoonsgegevens bevat en (b) het IAB wel degelijk verwerkingsverantwoordelijke daarvoor is.

Allereerst het persoonsgegeven-zijn. Die TC-string is letterlijk alleen een reeks voorkeuren en consents, terwijl een persoonsgegeven tot een identificeerbaar persoon herleidbaar moet zijn. Dat laatste is het geval, aldus het Hof:

45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren (…)
Dit is genoeg: het is niet nodig dat je vervolgens met het IP-adres tot een naam en adres of contactgegevens kunt komen. Dit bevestigt dus mijn opvatting dat onder de AVG “127.0.0.1/20240308-08:09” je identiteit is en niet slechts een code waarmee je nog een ‘echte’ identiteit (zoals je naam) moet gaan halen.

Natuurlijk heeft IAB geen toegang tot de logs van haar leden, zodat zij niet aan de string kan zien om welke persoon het gaat. Maar in het dossier was terug te vinden dat die leden “verplicht zijn om [IAB] op haar verzoek alle informatie te verstrekken waarmee zij gebruikers kan identificeren van wie de gegevens zijn opgeslagen in een TC-string.” Nee, ik weet ook niet waarom, maar het staat er, dus kan IAB óók de bezoekers identificeren.

Is het IAB dan verwerkingsverantwoordelijke? Dat ben je als je doel en middelen vaststelt. En dat hebben ze gedaan:

Wat in de eerste plaats het doel van die verwerking van persoonsgegevens betreft, blijkt (…) dat het door IAB Europe opgestelde TCF een standaard is die ertoe strekt te waarborgen dat de AVG wordt nageleefd wanneer de persoonsgegevens van gebruikers van een internetsite of applicatie worden verwerkt door bepaalde ondernemingen die deelnemen aan de online veiling van advertentieruimte.

[Verder blijkt] dat het TCF een standaard is die de leden van IAB Europe worden geacht te aanvaarden wanneer zij zich bij deze vereniging willen aansluiten.

Het IAB stelt dus vast waar het TCF voor gebruikt wordt (doel) en hoe je dit doel moet realiseren als lid (middelen). Dat is genoeg, dat in de praktijk het IAB niet betrokken is bij de dagelijkse werking is niet relevant. Daarmee zijn ze dus verwerkingsverantwoordelijke, zij het gezamenlijk met de leden die immers de gegevens verwerven die ze voor eigen doeleinden (het afstemmen van marketing en reclame) gebruiken.

De kop van het Tweakers-artikel zegt “TCF in strijd met AVG”. Dat gaat wat ver: hooguit kun je zeggen dat IAB als verwerkingsverantwoordelijke haar plichten (zoals informatieverstrekking en faciliteren van rechten) niet is nagekomen. Als ze dat (en de andere AVG eisen) gaat doen, dan zou het TCF kunnen blijven bestaan. Echter, in de Belgische procedure is al een boete (250.000 euro) opgelegd en twee maanden de tijd om een actieplan in te dienen met verbeterpunten. Dat suggereert dat een verbod de volgende stap gaat zijn.

Arnoud

 

 

 

 

 

Nu bedrijven als Marktplaats data delen met Belastingdienst, kunnen sommige gebruikers onterecht het label ‘potentiële fraudeur’ krijgen

Geplaatst op in Privacy, Regulering, 39 reacties
man wearing gray polo shirt beside dry-erase board
Photo by Kaleidico on Unsplash

Een korting op de uitkering of gelabeld worden als fraudeur: dat risico is gegroeid voor mensen die handelen via platformbedrijven. Dat meldde NRC onlangs. Die moeten sinds kort gegevens delen met de Belastingdienst, waardoor die ook bij uitkeringsinstanties terechtkomen. En let op: geen verhaal hebben betekent dat je een fraudeur bent.

De onderliggende wet is de zogeheten EU-richtlijn gegevensuitwisseling digitale platformen, in het vakgebied bekend als DAC7. DAC7 introduceert “de verplichting voor rapporterende platformexploitanten om gegevens en inlichtingen te verzamelen, verifiëren en rapporteren over te rapporteren verkopers die relevante activiteiten verrichten via hun digitale platform”, aldus de Belastingdienst.

NRC legt uit:

Hoe het werkt: het Inlichtingenbureau, een stichting, stuurt op verzoek van gemeenten (die de uitkeringen verstrekken) het BSN-nummer van een burger met een uitkering naar de Belastingdienst. Die kijkt vervolgens of er iets is veranderd in het inkomen of vermogen van die persoon en beantwoordt die vraag met ‘ja’ of ‘nee’. Die uitvraag – bijvoorbeeld naar nieuwe ‘overige inkomsten in box 1’ – wordt twaalf keer per jaar gedaan.
Stichting Inlichtingenbureau is een “informatieknooppunt” opgericht door het Ministerie van Sociale Zaken en Werkgelegenheid opgericht, samen met de Vereniging van Nederlandse Gemeenten. De Belastingdienst kan zo centraal en eenvoudig gegevens opsturen, waarna het bureau deze verdeelt over de gemeenten.

Marktplaats en collega’s moeten gegevens delen over verkopers, behalve als ze “incidenteel” wat verkopen. Daar zit je al snel aan:

De verkoopplatforms als Vinted, Marktplaats of Bol moeten volgens een Europese Richtlijn (DAC 7) persoonsgegevens van verkopers verzamelen, vastleggen en rapporteren. Hiervan zijn uitgezonderd verkopers van goederen die slechts incidenteel actief zijn op deze platforms. Van een incidentele (uitgesloten) verkoper is sprake als de verkoper in een kalenderjaar minder dan 30 transacties heeft verricht en hij niet meer dan € 2.000 met de in dat jaar verrichte transacties heeft verdiend (hierna: de drempel).
Met 30 transacties à €70 zit je hier al aan. Ik ga vast te snel als ik dan een gemiddeld bedrag van €183 per transactie hanteer (“Dagelijks vinden er 150.000 transacties plaats, jaarlijks wordt er voor 10 miljard euro verhandeld.”) en me dan afvraag of die drempel niet te laag is.

In ieder geval, als je over die drempel gaat dan sturen de platforms je account- en betaalgegevens (zoals IBAN) naar de Belastingdienst. En dat gaat indirect dus weer naar de gemeente, die als jij een uitkering hebt dan van jou wil weten waarom jij geen fraude hebt gepleegd door deze bedragen te verzwijgen toen je ze verdiende. Heb jij daar geen antwoord op, dan staat je fraude dus vast en moet je je uitkering terugbetalen.

Dit is dus een andere kwestie dan of de Belastingdienst die gerapporteerde inkomsten ziet als inkomen uit onderneming. Dat is een complexere analyse, waarbij meer ruimte is voor discussie.

Arnoud

 

Hoe online boodschappen doen soms misgaat: ‘Had 9 kilo appels’

Geplaatst op in Ondernemingsvrijheid, 6 reacties
By Wonderlane licensed under CC BY 2.0

Je let even niet op en je hebt zomaar veel te veel producten besteld bij je online boodschappen. Herkenbaar? Die retorische vraag stelde RTL Nieuws onlangs. Dat bleek vaak met appels te maken te hebben: je wilt er 5 en je krijgt 5 kilo. Ik kreeg de link ook, want mensen willen weten wat of hier een juridisch haakje aan zit.

Het is vaak je eigen fout, zo wordt de situatie juridisch kortweg geduid. Weggeven dus, want bij fruit en andere bederfelijke waar (80% van wat de supermarkt verkoopt, zeg maar) is er geen recht van retour.

“Niet gezien hebben” dat ze per kilo in plaats van per stuk gaan, dat is het enige waar ik eventueel wat van zou kunnen maken. De wet eist namelijk (art. 6:230m) dat de winkelier op duidelijke en begrijpelijke wijze allerlei informatie verstrekt, waaronder de voornaamste kenmerken van de zaken of de diensten. Het aantal in de verpakking (of “per stuk/kilo”) lijkt me daar wel onder vallen.

De vraag is dan dus, was de vermelding zodanig dat een gemiddeld oplettende consument deze zou herkennen als “per kilo” in plaats van per stuk? Als dat zo is, dan ligt het inderdaad aan jou.

Ik kijk dan even bij de Albert Heijn, biologische appels: ik zie een verpakking met zeven appels, een prijs van €3,49 die ik wat duur zou vinden voor één appel en de tekst “Een kilo heerlijk zoete biologische appels”. Ook staat er in grijze lettertjes “1kg” onder de titel van het product. Hetzelfde beeld krijg ik bij de Jumbo: ook €3,49, en hier “1kg” zowel in de titel van het product als eronder in lichtgrijs. Geen vermelding van gewicht in de lopende tekst, maar dat lijkt me hier niet echt nodig.

De enige waarbij ik marginaal enige discussie zou kunnen voeren is de Ekoplaza: alleen de “600gram” vermelding onder de titel geeft het gewicht, verder heb je alleen de foto (4 stuks) en de prijs €2,99 om te vermoeden dat dit niet om één appel gaat. Maar dan blijft de foto bij mij een hele sterke: hoezo denk je dat je één appel krijgt als de foto je er vier toont?

Arnoud

Chinese rechtbank ziet AI-gegenereerde kunst als inbreuk op auteursrecht

Geplaatst op in Innovatie, Intellectuele rechten, 16 reacties

De Guangzhou Internet Court heeft recent geoordeeld dat de uitvoer van een AI inbreuk op auteursrecht kan zijn, las ik in de Global Times. De rechthebbende had ontdekt dat als je vroeg om plaatjes van zijn werk – Ultraman – je dan plaatjes kreeg die auteursrechtelijk gezien inbreukmakend waren. De AI-dienst is daarvoor aansprakelijk, zo bepaalde de rechter.

Helaas is de naam van de AI-plaatjesdienst niet te vinden, maar de eiser is de rechthebbende op de Japanse Ultraman franchise, en die had dus zelf ontdekt dat vragen om plaatjes van dat werk (zie plaatje, klik voor groter) je de ‘echte’ Ultraman kreeg.

Niet heel raar zou je zeggen: je vraagt om X en je krijgt X, dat voelt de bedoeling van een computersysteem. Maar specifiek als X onder iemands auteursrecht (of merk) valt, is dit een tikje problematisch. Auteursrechtelijk gezien mag je ook niet een illustrator vragen om zo’n afbeelding te maken, immers.

Uniek is het niet: in januari verscheen een artikel in de New York Times waarbij men ‘ontdekte’ dat als je vraagt om “popular movie screencap Joker” je een afbeelding van Batman-personage The Joker krijgt die erg sterk lijkt op de wijd en zijd gepubliceerde foto van Joaquin Phoenix in die rol. Maar dit is wel de eerste keer dat een rechtbank dit ook als inbreuk ziet.

De rechtbank in Guangzhou oordeelde d dat de afbeelding inbreukmakend was, omdat deze duidelijke overeenstemming had met het beschermde personage van Ultraman. Iets verrassender was de bevinding dat de aanbieder van de dienst hiervoor aansprakelijk was. (Er moet een slordige €1200 aan schadevergoeding worden betaald.)

Het lijkt erop dat de reden vooral was het niet adequaat waarschuwen en optreden tegen inbreuken:

[T]he judgment specified that since users lack clear awareness of the potential copyright infringement risks to others, especially copyright owners, providers of generative AI services should remind users through service agreements. The court also ordered AI service providers to establish a complaint-reporting mechanism to assist rights holders in protecting their copyrights.
Een dergelijke uitspraak zou ook naar Europees recht logisch kunnen zijn. Goed verdedigbaar is dat zo’n generatieve AI-dienst valt onder wat de Digital Services Act een “platformdienst” noemt, met bijbehorende bescherming voor aansprakelijkheid. Die moeten echter wel adequate notice&action mechanismes hebben om klachten te ontvangen en af te handelen, en de voorwaarden van de dienst moeten duidelijk en in detail gemotiveerd aangeven wat er wel en niet mag en welke sanctie er bij overtreding kan volgen.

Arnoud

Basic-Fit zet camera’s in die gezondheidsproblemen en agressie detecteren

Geplaatst op in Innovatie, 11 reacties
edwardbrownca / Pixabay

Fitnessketen Basic-Fit zet AI-gestuurde ‘slimme camera’s’ en sensoren in om agressie, ongeautoriseerde toegang, gezondheidsproblemen, zoals flauwvallen, en andere incidenten te herkennen. Dat meldde Security.nl onlangs. Technologieleverancier Axis spreekt van een “revolutionaire oplossing”, ik spreek van een interessant AI Act-vraagstuk.

Het is moeilijk op de Axis-site een uitleg te geven die niet leest als een ChatGPT tekst, maar bij deze:

Smart cameras that are used for their sensory-like functions and remote control mechanisms are deployed in each gym. The various Axis products work together with a specifically designed AI algorithm to quickly detect and address issues on site, while also enabling gyms to operate 24 hours a day. Gym members can therefore feel safe, even when there is no staff around. In case of need or an emergency, a specially designed remote control room can be contacted from the Basic-Fit location. From there health concerns, aggression, fraud, and even foot traffic is monitored.
De kern is dus “slimme camera’s” die aan emotieherkenning doen, en op basis daarvan alarmpjes geven aan een menselijk toezichthouder. En dat gaf mij dan weer een alarmpje, want ‘emotieherkenning’ is zeg maar een dingetje onder de AI Act die binnenkort van kracht wordt.

Emotieherkenning is een van de controversieelste toepassingen van AI/ML. Het idee is dat je door analyse van uiterlijke kenmerken kunt vaststellen hoe iemand zich voelt – plus dat je dat kunt terugbrengen tot een serie labels zoals vreugde, woede, angst, walging, minachting, verdriet en verrassing. Voor geen van deze twee dingen is wetenschappelijke consensus, maar door het in een computer te stoppen en die “AI” te noemen creëert men een sfeer dat dit een opgelost probleem is. Dus als de AI zegt dat persoon A “woedend” is, dan gaat er een bewaker naar de locatie om persoon A de-escalerend aan te spreken en te verwijderen.

Mag het? Op dit moment wel. De AVG regelt het een en ander over cameratoezicht (zie het reglement), en bevat daarnaast regels over profileren en automatische besluitvorming. Maar wat hier gebeurt, is nog geen besluitvorming. De AI stuurt er een mens op af, waarna de mens op locatie het besluit neemt (“oh nee, hij was stoom aan het afblazen omdat hij leg day niet ziet zitten”). De analyse wordt verder niet aan je klantprofiel gekoppeld en er wordt verder ook niets mee gedaan. AVG-technisch lijkt dit dus wel in orde.

De AI Act kijkt er wat anders tegenaan. Het is niet verboden – het verbod op emotieherkenning geldt alleen bij gebruik op het werk of in het onderwijs. Bij vrij sporten zoals hier, is dat niet aan de orde (de trainers/werknemers worden hier niet mee gemonitord). Het is wel een hoog-risico AI (artikel 1(ab) van Annex III), dus het triggert een berg eisen zoals een risicomanagementsysteem, uitgebreide logging, adequaat menselijk toezicht en marktmonitoring op incidenten.

De AI Act is nog niet formeel aangenomen (verwachting: april) dus het is niet raar dat Axis nog niets zegt over hoe ze aan de wet voldoet. Daar hebben ze net als iedereen nog (slechts) twee jaar voor, want op dat moment moeten alle aspecten opgezet zijn. En dat is minder tijd dan je denkt.

Een bijkomstigheid: op de Axis-pagina zie ik diverse producten zoals een domecamera of een intercom. Ik weet zeker dat daar het bekende CE-logo op zit. Vanaf het moment dat de AI Act van kracht is, gaat dat logo óók betekenen dat het product aan die wet voldoet.

Arnoud

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

Geplaatst op in Security, Uitingsvrijheid, nog geen reacties

Een lezer vroeg me:

Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing?
Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud

Ruim 1000 klachten in een jaar over slimme deurbel: ‘Mensen voelen zich bespied’

Geplaatst op in Internetrecht, 19 reacties
Fermax doorbell with camera, Schiebroek, Rotterdam (2020) 01” by Donald Trung Quoc Don (Ch? Hán: ???) licensed under CC BY-SA 4.0

De Autoriteit Persoonsgegevens (AP) maakt zich grote zorgen over het toenemende aantal privacyklachten over slimme deurbellen, las ik bij RTL Nieuws. Het gaat om 200 klachten meer, over een inmiddels totaal van 1,2 miljoen deurbellen met camera in het land. En intrigerend: de meldingen zijn van burgers die dachten dat een particuliere camera zoals een slimme deurbel in de buurt meer filmde dan is toegestaan.

Het bericht haakt natuurlijk mooi in op die recente discussie over politievorderingen van beelden van deurbelcamera’s, waarbij ook al langs kwam dat je niet zomaar de openbare weg mag filmen. Het feit dat de politie impliciet die camera’s goedkeurt ‘irriteert’ de AP.

“Het is niet toegestaan dat de slimme deurbel de openbare ruimten filmt of bezittingen van anderen, legt de woordvoerder van de AP uit”, zo lees ik dan. Dat is mij wat te kort door de bocht, want er kúnnen redenen zijn dat het wel mag, maar als reactie op die vele extra klachten snap ik wel dat je er scherp in gaat.

De vraag is alleen wel wat de toezichthouder doet met die klachten:

“Bij de meeste meldingen kunnen mensen er onderling uitkomen, bijvoorbeeld door de camera anders in te stellen zodat die wel aan de eisen voldoet.” Een andere optie is dat de AP een brief stuurt om de regels nogmaals toe te lichten. In het uiterste geval kunnen mensen naar de rechter stappen.
Ik mis hier de stap dat de AP een boete of bevel geeft voor een illegaal opgehangen camera, want dat “mensen” naar de rechter moeten impliceert dat de AP niet zelf gaat handhaven. En natuurlijk, die “heeft niet de capaciteit om in alle gevallen te handhaven”, maar juist hier denk ik: twee handhavende acties met enige publiciteit zouden best een stevig signaal kunnen geven.

Arnoud

 

 

Avast krijgt 16,5 miljoen dollar boete voor verkopen van data aan adverteerders – en méér

Geplaatst op in Ondernemingsvrijheid, Privacy, 3 reacties
text
Photo by Tamanna Rumee on Unsplash

Antivirusbedrijf Avast krijgt in de Verenigde Staten een boete van 16,5 miljoen dollar omdat het jarenlang gebruikersdata verkocht aan adverteerders. Dat meldde Tweakers onlangs. Het gaf wat ophef: op een jaaromzet van een slordige 1 miljard dollar is dat niet echt imposant. Maar er is meer.

De Amerikaanse toezichthouder FTC meldt:

Since at least 2014, Avast has distributed browser extensions that it promoted through promising users enhanced privacy. It claimed, for example, that its products would “block[] annoying tracking cookies that collect data on your browsing activities” and “[p]rotect your privacy by preventing . . . web services from tracking your online activity.” It also stated that any sharing of user information would be in “anonymous and aggregate” form. (…) The complaint details how Avast collected highly detailed browsing data from millions of users and then, through its subsidiary Jumpshot, sold those browsing records to over a hundred clients, including major advertising firms. Avast also released this data in individualized, re-identifiable form, allowing these browsing histories to be traced back to specific people—in direct contravention of what Avast had promised.
De boete is dan wel voor de FTC de hoogste ooit in de categorie privacyschending, maar ik zie wel hoe dit gedrag met meer bestraft zou moeten worden dan enkel een bedrag overmaken.

Gelukkig ís er ook meer, zo blijkt uit het eigenlijke besluit (dank aan Floor T. die het quotte op Tweakers):

  • Prohibition on Selling Browsing Data: Avast will be prohibited from selling or licensing any browsing data from Avast-branded products to third parties for advertising purposes;
  • Obtain Affirmative Express Consent: The company must obtain affirmative express consent from consumers before selling or licensing browsing data from non-Avast products to third parties for advertising purposes;
  • Data and Model Deletion: Avast must delete the web browsing information transferred to Jumpshot and any products or algorithms Jumpshot derived from that data;
  • Notify Consumers: Avast will be required to inform consumers whose browsing information was sold to third parties without their consent about the FTC’s actions against the company; and
  • Implement Privacy Program: Avast will be required to implement a comprehensive privacy program that addresses the misconduct highlighted by the FTC.
Ik had het al eerder gezegd, maar zo’n bevel om data te wissen én om dat bij je klanten te gaan effectueren hakt er natuurlijk veel meer in. Dat zouden meer toezichthouders moeten doen.

Arnoud

‘Reddit sluit licentiedeal met AI-gigant voor trainen AI-modellen’, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 12 reacties
red and white 8 logo
Photo by Brett Jordan on Unsplash

Reddit heeft een licentiedeal gesloten met een ‘groot AI-bedrijf’, ten behoeve van het trainen van AI-modellen. Dat meldde Tweakers vorige week. persagentschap Bloomberg. Het zou gaan om Google, waar Reddit in 2023 nog tegen dreigde de crawlers van te blokkeren. Diverse redditors vonden dit heel vervelend nieuws. Dus vandaar de vraag: mag Reddit dat doen?

Tweakers vult aan:

De licentiedeal zou betekenen dat de inhoud van de door gebruikers gegenereerde inhoud op Reddit zal worden gebruikt om de AI-modellen van een niet nader genoemd bedrijf te trainen, meldt Bloomberg op basis van ingewijden. Het zou gaan om een overeenkomst ter waarde van omgerekend ruim 55,5 miljoen euro op jaarbasis.
De honger naar kwalitatieve content om generatieve AI mee te trainen is enorm. Reddit is een van de grootste social news aggregatoren, waar mensen commentaar geven op nieuws en andere links die men met elkaar deelt (“read it”). De discussie is vaak van goede kwaliteit, en er is ook veel context om inhoud te duiden – reacties krijgen up- en downvotes en onderwerpen worden in zogeheten subreddits op onderwerp verdeeld. Dankbaar voer om AI mee te trainen.

De Reddit Terms of Use zijn afgelopen september aangepast. De site hanteert daarbij de gebruikelijke mooi klinkende constructie van “je blijft eigenaar maar wij krijgen een beperkte licentie”. Of nou ja, ‘beperkt’:

a worldwide, royalty-free, perpetual, irrevocable, non-exclusive, transferable, and sublicensable license to use, copy, modify, adapt, prepare derivative works of, distribute, store, perform, and display Your Content and any name, username, voice, or likeness provided in connection with Your Content in all media formats and channels now known or later developed anywhere in the world. This license includes the right for us to make Your Content available for syndication, broadcast, distribution, or publication by other companies, organizations, or individuals who partner with Reddit.
In gewoon Nederlands staat hier dat Reddit alles mag doen dat ze willen, inclusief als dataset verkopen aan andere bedrijven. En vanwege dat ‘irrevocable’ kun je die licentie dus ook niet meer snel intrekken. Je kunt natuurlijk je account opheffen, maar de licentie blijft gegeven.

In Europa kun je via de AVG eisen dat je persoonsgegevens niet langer verwerkt worden. Weghalen van je account of je naam bij publicaties is dus zeker mogelijk. Verdedigbaar is dat je posts ook persoonsgegevens kunnen zijn, afhankelijk van de inhoud. Over weghalen daarvan zegt de privacy policy:

Please note, however, that the posts, comments, and messages you submitted prior to deleting your account will still be visible to others unless you first delete the specific content. After you submit a request to delete your account, it may take up to 90 days for our purge script to complete deletion. We may also retain certain information about you for legitimate business purposes and/or if we believe doing so is in accordance with, or as required by, any applicable law.
Ik lees dat “we may retain certain information for legitimate purposes” dus als een recht om tóch je berichten te blijven gebruiken, zij het zonder je naam erbij. In de context van verhandelen voor het trainen van AI is dat een logische verwachting. Het lijkt me ook AVG-compliant, omdat een bericht zonder naam zeker niet perse een persoonsgegeven is.

Arnoud