Juridische beslissystemen zijn helemaal niet zelflerend

| AE 10549 | Innovatie | 16 reacties

Mooie column van Karin Spaink (dank Bram): Ondermijning als verdienmodel, over het AI-softwarepakket van Totta Datalab waarmee gemeenten de pakkans van fraudeurs kunnen vergroten. Zou je denken, maar het systeem is 50% accuraat oftewel wijst in de helft van de gevallen mensen onterecht als fraudeur aan die vervolgens een heel onderzoekstraject voor de neus krijgen. Spaink voelde Totta aan de tand daarover, maar kreeg “Mooi toch dat we fraude zo beter kunnen opsporen? En hun datamodel was zelflerend, dan haal je die systeemfoutjes er toch uiteindelijk vanzelf uit?” als reactie. En dat hoor ik vaker, dus daar ga ik eens wat over zeggen, dat zelflerende.

Een belangrijke belofte van Artificial Intelligence is dat systemen zelflerend zijn. Dat wil zeggen dat ze leren van fouten in hun uitvoer, zodat het de volgende keer beter gaat. Een bekend voorbeeld is de klokthermostaat die ik thuis heb. Daarop stel ik in dat het om zeven uur 19 graden warm moet zijn. Standaard begint hij dan om half zeven te verwarmen, en om zeven uur vergelijkt hij de werkelijke temperatuur met de ingestelde 19 graden. Afhankelijk van het verschil wordt dat begintijdstip aangepast. Het systeem ‘leert’ op die manier hoe snel mijn huis verwarmt.

Veel systemen zijn complexer dan dit. Een auto met zelflerende inparkeermogelijkheid of automatisch rem heeft tientallen sensoren die meten hoe de omgeving verandert tijdens het bewegen, en is in staat ook dit met de gewenste eindtoestand (geparkeerd staan in dat vak of stilstaan vóór het object) te vergelijken om zo tot aangepast rijgedrag te komen voor de volgende keer. Maar het principe blijft hetzelfde: er is een gewenste eindtoestand, er is informatie over het verschil met de werkelijke eindtoestand en er is een mogelijkheid het gedrag aan te passen om die twee dichter bij elkaar te brengen.

In juridische advies- of beslissystemen snap ik werkelijk niet hoe je van een zelflerend systeem kunt spreken. Daar is er geen gewenste eindtoestand die je als computersysteem uit kunt lezen. Het beste dat je kunt doen, is dat een mens achteraf analyses als fout markeert, hopelijk met indicaties waarom. Je kunt dan je analysesysteem aanpassen op basis van de nieuwe informatie. Maar in heel veel gevallen krijg je die input niet, omdat je zelden hoort hoe het vervolgtraject is opgelost zeker wanneer er wordt geschikt of via mediation een oplossing wordt getroffen. Is iemand dan een fraudeur of gewoon een persoon die koos voor betalen om van het gedoe af te zijn?

Meer fundamenteel zit je bij juridische systemen met het probleem dat er geen objectieve waarheid is. Een juridische stelling is waar omdat de rechter als orakel zégt dat deze waar is, en zelfs dan is het alleen maar waar totdat in hoger beroep de uitspraak anders blijkt. En die feedbacklus kan zomaar een paar jaar duren ook. Dus je kunt je systeem wel verbeteren op basis van nieuwe constateringen en nieuwe gegevens, maar om dat zelflérend te noemen gaat me echt veel te ver.

Arnoud

Mag je onder de AVG nog foto’s van kinderen publiceren?

| AE 10563 | Privacy | 11 reacties

Een lezer vroeg me:

Klopt het dat je onder de AVG geen foto’s van personen onder de 18 jaar meer herkenbaar op internet mag plaatsen? Daarvoor zou te allen tijde ouderlijke toestemming nodig zijn namelijk.

Nee, dat klopt niet. De regels rond fotogebruik zijn in principe onveranderd onder de AVG, behalve als je foto’s gaat gebruiken op toegangspasjes en dergelijke situaties waarin ze voor identificatie bestemd zijn.

Een foto met een herkenbaar persoon daarop is een persoonsgegeven, en gebruik daarvan valt onder de AVG. Er is een uitzondering voor strikt huishoudelijk en particulier gebruik, maar die gaat niet op als je de foto publiceert of in meer dan familie- en vriendenkring verspreidt. De fotograaf/publicist van zo’n foto moet dus aan de regels voordoen.

Eén van de regels uit de AVG is dat je een grondslag moet hebben. Dat kan toestemming zijn, maar dat is niet de enige grondslag. Ook het uitvoeren van een contract is een grondslag, en hier belangrijker is het eigen gerechtvaardigd belang, namelijk de vrijheid van meningsuiting. Onder dat belang mag je dingen publiceren over mensen, zolang je maar netjes rekening houdt met hun privacy.

Rekening houden met privacy doe je door bij de foto na te gaan of er vervelende, gênante of intieme details op staan en die eventueel te blurren als dat irrelevant is. Je moet daar in ieder geval over nagedacht hebben en kunnen rechtvaardigen waarom je vond dat je die details niet hoefde weg te halen. “Het was op de openbare weg” is daarbij te mager, ik zeg het maar vast.

Het maakt in principe niet uit of de persoon op de foto meerder- of minderjarig is. Dat speelt onder de AVG alleen bij toestemming; als iemand nog geen zestien (dus niet achttien) is, dan is ouderlijke toestemming nodig in plaats van toestemming van hem- of haarzelf. Maar als je een andere grondslag hebt, dan is dit niet relevant. Wel is het zo dat hoe jonger een persoon is, hoe zwaarder zijn of haar privacy zal wegen bij de belangenafweging. Kinderfoto’s zijn zelden nieuwswaardig, dus daar zul je eerder moeten blurren, weglaten of bijsnijden.

Uiteindelijk komt dit neer op grofweg dezelfde afweging als onder het oude portretrecht uit de Auteurswet. Wie daarmee kan werken, kan dus ook onder de AVG netjes foto’s publiceren.

Een nieuw recht onder de AVG is het recht op vergetelheid. Je kunt eisen dat gebruik van je gegevens wordt gestaakt, wanneer dat gebruik achterhaald of irrelevant is. Maar dat recht geldt niet wanneer een publicatie “nodig is voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie”, zo staat in lid 3 van artikel 17 waar dat recht in staat. Als de publicatie op zich dus legitiem is en rekening houdt met privacy, dan kun je ook met het recht van vergetelheid niets daartegen doen.

Arnoud

Mag je als kleine vereniging blijven werken met Google Drive onder de GDPR?

| AE 10556 | Informatiemaatschappij | 8 reacties

Een lezer vroeg me:

Wij zijn een kleine vereniging die zich wil voorbereiden op de AVG. Eén zorg is onze ledenadministratie, die we nu beheren in Google Drive. Ik heb begrepen dat dit mag als we een verwerkersovereenkomst met Google sluiten, maar hoe ga ik dat in vredesnaam doen bij zo’n gigant? Plus hoe houd ik toezicht op hun securitymaatregelen, wat ik vereist ben onder de AVG.

Er zijn veel dingen om je zorgen over te maken bij Google, maar dat je een verwerkersovereenkomst met ze moet sluiten zou er geen moeten zijn. Het bedrijf voorziet in een standaard DPA waar alle gebruikers van haar clouddiensten automatisch onder vallen. Als je met deze overeenkomst kunt leven, dan heb je dus voldaan aan de eis een verwerkersovereenkomst met je verwerker Google te sluiten.

Natuurlijk staan er dingen in die je als verwerkingsverantwoordelijke scherper zou willen hebben. Een verwijderperiode van 180 dagen nadat de instructie is gegeven is bijvoorbeeld vrij ruim, en het kost geld als je Google wilt auditten. Maar alles bij elkaar vind ik hem niet eens zo heel slecht. Zeker niet als je bedenkt dat Google keurig zo ongeveer alle securitycertificeringen heeft die er bestaan.

Voor een mkb organisatie zoals een vereniging zou ik dus geen reden zien om van Google af te stappen als de angst is dat je het qua security of verwerkersovereenkomst niet geregeld krijgt. Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen (of met een eigen verwerkersovereenkomst weet te onderhandelen met een lokale partij).

Wie met Google werkt, zal eerder in het achterhoofd moeten houden dat ze daar op de lange termijn (zeg een jaar of drie tot vijf) weer weg moet. Amerikaanse bedrijven hebben immers met de AVG conflicterende plichten op zich liggen, zoals de plicht lokale law enforcement toegang te geven tot clouddata.

Vooralsnog lijkt die plicht beperkt te zijn tot data in de VS, zodat je je veilig kunt wanen door een Europese dochter te contracteren. De dreiging van die Microsoft-rechtszaak over de cloud is nu even weg, zodat we op korte termijn geen uitspraak krijgen dat de FBI Amerikaanse bedrijven kan bevelen bij Europese dochters data te gaan halen. Echter, de reden daarvoor is zorgwekkend: er komt een nieuwe Amerikaanse wet die dat gewoon toestaat (heel grappig: de Clarifying Lawful Overseas Use of Data, oftewel CLOUD) en daarom is het niet meer relevant nog over de oude wet een uitspraak te doen. De zorg of dat wel compatibel is met de AVG, blijft dus gewoon bestaan.

Arnoud

WhatsApp verhoogt minimumleeftijd naar 16 jaar vanwege AVG

| AE 10559 | Privacy | 17 reacties

Gebruikers van chatdienst WhatsApp moeten voortaan minstens 16 jaar oud zijn, las ik bij Nu.nl. De aangepaste voorwaarden voor de chatapplicatie, die alleen in Europa worden doorgevoerd, eisen dat de gebruiker minimaal zestien is en maken afsluiting mogelijk van wie onder deze leeftijd blijkt. Er is vooralsnog geen informatie dat WhatsApp dit werkelijk gaat handhaven…. Lees verder

Je hebt nog 32 dagen om de AVG te implementeren #32totavg

| AE 10478 | Privacy | 30 reacties

Vandaag zijn er nog precies 32 dagen te gaan tot 25 mei 2018, de datum waarop de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht wordt. Er is nog steeds veel onzekerheid over de AVG, die van alles zou verbieden of onwerkbaar maken. De AVG noem ik altijd vooral… Lees verder

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Regulering | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem… Lees verder

Moet je bij een Linkedin-wervingsbericht een opt-out opnemen?

| AE 10517 | Privacy | 18 reacties

Een lezer vroeg me: Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk… Lees verder

Mag je reacties gebruiken voor wetenschappelijk onderzoek?

| AE 10542 | Intellectuele rechten | 20 reacties

Een lezer vroeg me: Ik wil wetenschappelijk onderzoek doen naar stijlontwikkelingen in de taal, en wil daarvoor onder meer reacties van diverse grote forums gebruiken. De beheerders geven aan dat dat niet mag vanwege auteursrecht, maar zit er wel auteursrecht op de vaak korte en simpele reacties die je overal vindt? En is er geen… Lees verder

Games met verhandelbare lootboxes zijn onwettig

| AE 10545 | Ondernemingsvrijheid, Regulering | 32 reacties

De Nederlandse Kansspelautoriteit heeft tien populaire games met lootboxes onderzocht en stelt dat vier daarvan de gokwet overtreden, las ik. De namen van de games worden niet genoemd, maar volgens de NOS zou het gaan om de zeer populaire spellen Fifa18, Dota2, PubG en Rocket League. De bedrijven krijgen acht weken de tijd hun games… Lees verder

Waarom moeten robots rechten krijgen?

| AE 10536 | Innovatie | 14 reacties

Geef robots alsjeblieft geen aparte juridische status, las ik bij NRC Handelsblad. In een open brief waarschuwen 150 prominente onderzoekers op het gebied van robots, kunstmatige intelligentie en rechtsgeleerdheid de Europese Commissie. Het argument om robots rechtspersoonlijkheid te geven hoor ik vaker de laatste tijd. Het zou aansprakelijkheidsproblemen oplossen, ethische dilemma’s kortsluiten en een belangrijke… Lees verder