‘Leg in het OER vast dat tentamens worden beoordeeld op studentennummer’

472301 / Pixabay

Het anoniem beoordelen van het werk van studenten moet op de UU verplicht worden om te zorgen voor een eerlijke beoordeling. Dat pleidooi las ik vorige week. Nee, geen internetrecht maar wel AVG en een hoop rechtenstudenten lezen deze blog, dus het krijgt vandaag toch een stukje aandacht hier. Want anoniem beoordelen zou niet kunnen volgens het CvB omdat de AVG in de weg zit. Eh, huh?

De kern van het pleidooi is dat de Universiteit Utrecht het anoniem beoordelen van tentamens en werkstukken verplicht moet stellen. Dit ter voorkoming van bias: een docent die weet dat hij het werk van Wim dan wel Wilma nakijkt, kan daar verschillende beoordelingen aan geven terwijl de antwoorden eigenlijk inhoudelijk hetzelfde zijn.

In 2020 zegde de rector van de UU nog toe hiervoor te gaan zorgen, maar dat werd later alsnog afgeblazen:

De vraag is volgens hem of anoniem tentamineren in alle gevallen past bij het uitgangspunt van het Utrechts onderwijsmodel. Dat gaat uit van kleinschalig onderwijs en persoonlijk contact tussen studenten en docenten. In sommige gevallen kan het dan bij de beoordeling van studenten juist een voordeel zijn als de docent de student wél kent.
De AVG was dus niet de eigenlijke reden. Die wet komt wel in beeld als het gaat om het verifiëren van de effectiviteit: deze wordt lastig aan te tonen als persoonlijke gegevens van studenten niet mogen worden verzameld. Ik vermoed dat dit zit in het externe onderzoekers toegang tot tentamens met naam en toenaam geven, of in het juist registreren van allerlei zeer privacygevoelige gegevens (denk aan geslacht of etnische afkomst) om op bias daartegen te testen. Dus ik snap die wel.

De studenten halen overigens genoeg onderzoek aan dat overtuigend laat zien dat die bias aanwezig is en dat anoniem nakijken dus effect daartegen zal hebben. Dan voelen de bezwaren toch weer meer als koudwatervrees, en is voor mij “soms kan het wél een voordeel zijn” dan niet goed te volgen.

Ik kan me als docent namelijk niet voorstellen dat je ooit iets haalt uit niet-anoniem nakijken. Ik zou het zelf juist lastig vinden, heb je een vraag op het randje en dan weet je dat het Wim is die dit vak moet halen of eruit gaat en dan direct terug naar Syrië kan (geen inschrijving = ongewenste vreemdeling). Die kennis moet je niet willen hebben bij het beoordelen van dat tentamen lijkt me.

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

Een lezer vroeg me:

Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash omgezet die wordt gematcht tegen een database. Dat lijkt mij veilig en bovendien buiten de AVG vallen. Onze FG zegt dat dit nog steeds biometrische gegevens zijn en dat het dus niet mag. Klopt dat?
Het klopt dat ook zo’n systeem met templates biometrische persoonsgegevens verwerkt, maar het klopt niet dat de AVG dan automatisch zegt dat het dus niet mag.

Een vingerafdruk is een biometrisch persoonsgegeven volgens de definitie uit de AVG, “fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon” (artikel 4 lid 14). Of je die kenmerken nou opslaat als een plaatje of als een feature vector, dat maakt niet uit. Je blijft die kenmerken van die vinger bewaren.

De meeste systemen die werken met vingerafdrukken of andere biometrie, verwijzen naar hashes en roepen dan dat het anoniem is. Dat is AVG-technisch niet waar. Een gegeven is pas anoniem als het niet meer tot een persoon te herleiden is, maar het is niet genoeg dat namen ontbreken of iets dergelijks. Een toegangscontrolesysteem dat vingerafdrukken opslaat met enkel daarbij “mag naar binnen ja/nee” zonder namen of rugnummers valt gewoon onder de AVG.

De AVG zegt dat je geen biometrische persoonsgegevens mag gebruiken behalve in uitzonderlijke gevallen. De relevante uitzondering is in Nederland opgenomen in de Uitvoeringswet AVG, artikel 29:

… het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken [is] niet van toepassing, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden.
Die noodzaak is een hoge eis. Kort gezegd, je hebt eigenlijk geen andere reële optie – en je kunt onderbouwen dat andere opties niet goed genoeg werken. Vaak zie je dat men volstaat met “het is algemeen bekend dat biometrie heel veilig is” of “de kosten voor sleutels zijn hoog” maar dat is niet genoeg.

Voor mij zijn belangrijke factoren dat het echt nodig is dat je weet wélke personen naar binnen mogen (of toegang hebben), dat menselijk toezicht onhaalbaar is (bijvoorbeeld omdat men maar zelden naar binnen gaat) en dat alternatieven (zoals pasjes) geprobeerd zijn en vanwege een concreet probleem niet werken. Dus niet “we denken dat vingerafdrukken het beste zijn” maar “de rest werkt niet, zie hieronder waarom”.

Arnoud

Gordon wil anoniem reageren online onmogelijk maken, maar is dat haalbaar?

Zanger en entertainer Gordon is een petitie gestart waarmee hij wil zorgen dat anoniem reageren op internetfora en sociale media niet meer mogelijk is. De SBS-presentator vindt dat mensen een identiteitsbewijs moeten indienen voordat ze een account kunnen aanmaken. “Ik wil ervoor zorgen dat er jurisprudentie komt waar andere collega’s die gestalkt worden of van wie naaktfoto’s worden verstuurd op terug kunnen vallen”, zei hij eerder. Dat gaat nog best eens een probleem worden.

De aanleiding lijkt te zijn geweest dat Gordon een nieuwe televisieserie was begonnen over zijn hondje, dat volgens deskundigen te ziek zou zijn daarvoor. “Wij zien op basis van de vele filmpjes en foto’s dat de fokker van dit hondje zich niet aan alle regels heeft gehouden”, constateert de Hondenbescherming op basis van de voorschriften van de NVWA. Dit gaf vele anonieme commentaren, waarvan een groot deel inderdaad te walgelijk voor woorden is. Bij lang niet alle fora krijgt Gordon daar wat tegen gedaan, en vanwege anonimiteit is het lastig die mensen zelf aan te pakken. Vandaar het plan.

De presentator ziet het als oplossing als mensen niet meer anoniem een online account kunnen aanmaken. Hij stelt bijvoorbeeld voor om inlogs te koppelen aan de DigiD of het BSN. Dat heeft natuurlijk enig effect: wie weet dat zhij te traceren is, zal zich enigszins inhouden bij het doen van al te rare commentaren. Dit zal alleen wel een wetswijziging vereisen: gebruik van BSN voor dit doel – of voorschrijven van DigiD inlog – is niet mogelijk af te dwingen enkel met jurisprudentie. En ook meer algemeen, het eisen dat men de klanten identificeert is iets dat in principe een wet eist.

Je kunt natuurlijk (Lycos/Pessers) eisen dat het platform geeft wat men heeft, zoals het IP-adres. Maar stel nu eens dat ook het BSN of de gegevens van de DigiD-inlog daarbij zitten. Dan heb je toch nog steeds dezelfde route? Je elimineert alleen de tweede stap naar de internetprovider die IP-adres naar abonnee kan vertalen. Heel veel effectiever lijkt me dat niet.

In uitzonderlijke gevallen kun je binnen de huidige jurisprudentie de platformaanbieder aansprakelijk stellen. Het Delfi-arrest uit 2015 bepaalde dat een website die zeer controversiële berichten plaatst en weet dat daar grove, onrechtmatige reacties op gaan komen, zelf aansprakelijk is voor de inhoud daarvan. Wel lijkt het Hof de lat redelijk hoog te leggen: niet bij theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Indirect zou van zo’n aansprakelijkheid een dreiging uit kunnen gaan naar platformeigenaren: als je dát soort troep doorlaat, dan ben je kennelijk zelf aan te spreken, en iemand als Gordon zal dat ook met veel kabaal gaan doen. Dus dan maar beter daarop modereren. Dan krijg je natuurlijk meteen de discussie dat daarmee alle platforms alle negatieve uitingen zullen gaan weren – of stoppen met commentaar in het algemeen – omdat ze niet kunnen modereren op enkel de zeer ernstige gevallen. Ik heb met dat laatste altijd wat moeite gehad. Natuurlijk, vrijheid van meningsuiting is een groot goed maar het soort oprispingen waar we het hier over hebben, zijn die echt niet te onderscheiden van de serieuze kritiek wegens dierenmishandeling die met een tikje emotie wordt geplaatst?

Arnoud

Websites verantwoordelijk voor reacties anonieme bezoekers

Als bezoekers anoniem op een website bedreigingen achterlaten, kan de eigenaar van die website verantwoordelijk worden gehouden voor het verspreiden van die bedreigingen. Dat meldde Nu.nl gisteren in buitengewoon stellige termen: het Europese Hof voor de Rechten van de Mens heeft definitief een einde gemaakt aan een rechtszaak die al negen jaar lang voortsleept, en mogelijk grote gevolgen heeft voor vrijheid van meningsuiting op het internet. En dat allemaal vanwege gescheld op een Estse nieuwssite – Delfi – waar mensen erg boos waren over een brug.

U denkt nu wellicht net als ik: Delfi, die zaak hádden we toch al gehad? Inderdaad had het Europese Hof voor de Rechten van de Mens dit al bepaald, maar nu heeft de Grote Kamer van dat Hof er nog eens naar gekeken en vandaar het ‘definitieve’ karakter van de uitspraak.

Op de nieuwssite kon iedereen reageren op nieuwsberichten, ook anoniem. Een bericht over een bedrijf dat een ijsweg zou gaan aanleggen, gaf grote boosheid: mensen moesten flink gaan omrijden als het bedrijf zijn zin zou krijgen, want de korte autoroute over het ijs werd opgeheven en je moest naar een ver weg gelegen brug of de dure veerpont van dat bedrijf nemen. Een aantal comments ging juridisch echt te ver, en het bedrijf stelde de site dan ook aansprakelijk voor de schade als gevolg van deze bedreigende teksten.

Uiteraard stelde de site niet aansprakelijk te zijn (hoewel ze wel de comments weghaalden, notice/takedown inderdaad), maar daar nam het bedrijf geen genoegen mee. De eis tot schadevergoeding werd toegewezen, waarop de site stelde dat de vrijheid van meningsuiting werd aangetast – als je als site aansprakelijk bent voor comments, dan kun je de comment-tent wel sluiten en dat zal flink wat minder uitingen opleveren.

Het Hof oordeelde in eerste instantie dat een site die anonieme commentaren toelaat, aansprakelijk is voor smadelijke of anderszins strafbare uitingen. Je hebt anders geen enkele optie je schade te verhalen, en dat is niet eerlijk naar de slachtoffers van die uitingen. En die uitspraak wordt nu bevestigd. Een professionele nieuwssite moet gewoon rekening houden met extreme uitingen en deze proactief monitoren.

Maar hoe zit het dan met de wettelijke bescherming voor tussenpersonen? Daar kan het EHRM formeel niets over zeggen, omdat dat een regel uit het EU-recht betreft en geen grondrecht of mensenrecht. Men volstaat dan ook met te zeggen dat een nationale rechter moet bepalen of je een tussenpersoon bent in de zin van de wet, en dat de conclusie van de Estse rechter (nee, want je bemoeit je door achteraf te modereren en een tussenpersoon moet neutraal blijven) dan ook definitief is.

Wel lijkt het Hof de lat redelijk hoog te leggen. Het ging in deze zaak niet om theoretisch mogelijk strafbare zaken, maar evidente dat-kan-écht-niet doodsbedreigingen en uitspraken die “tegen de menselijke waardigheid” ingaan. Dat lijkt dan aan te sluiten bij de regel die we al kennen bij de Europese notice/takedowns: alleen bij evident onrechtmatige zaken moet je ingrijpen als hoster of beheerder – en nee, niet alleen bij klachten, ook als je er zelf achter komt. Als je het zo bekijkt, dan zegt het Hof dus, je moet je comments gewoon lézen en als je dat-kan-écht-niet zaken ziet, dan moet je ingrijpen. Lees je niet, dan is dat jouw probleem. En Delfi deed weinig, te weinig, om in te grijpen bij dergelijke reacties.

Ik snap de overwegingen achter de uitspraak, maar zie ook wel meteen de tegenreactie: nu kun je dus je panelen wel sluiten als site. Dat klopt niet helemaal: de uitspraak is gedaan vanuit de context van een grote commerciële nieuwssite waar men zelf redactionele content plaatst en dan zegt “roept u maar”. Niet iedere site waar gereageerd kan worden:

Accordingly, the case does not concern other fora on the Internet where third-party comments can be disseminated, for example an Internet discussion forum or a bulletin board where users can freely set out their ideas on any topics without the discussion being channelled by any input from the forum’s manager; or a social media platform where the platform provider does not offer any content and where the content provider may be a private person running the website or a blog as a hobby.

GeenStijl is dus wél aansprakelijk voor z’n reaguurders, maar het Nationaal Computer Forum (ik noem maar een dwarsstraat) is dat niet. Hoe het zit bij de forums van bijvoorbeeld Fok, is een leuke. Ik denk dat die ook geen last van het vonnis moeten hebben, omdat die forums voldoen aan de “without being channelled” eis. Maar de reacties op frontpage-artikelen zijn natuurlijk dan wél de verantwoordelijkheid van de exploitant.

Ik ben heel erg benieuwd of dit werkelijk iets aan de praktijk gaat veranderen. Ik lees al veel mensen die roepen “we moeten stoppen met reacties toelaten”, maar dat is echt overdreven. Hooguit kun je overwegen om anonieme reacties te gaan weren. Maar het is echt geen gegeven dat je nu voor iedere comment aansprakelijk bent als een bijdehante advocaat er met een gezochte redenering tot een mogelijk strafbaar grensgeval van kan maken. Je bent aansprakelijk als grote commerciële partij wanneer je keihard strafbare uitingen er doorheen laat én achterover zit als mensen klagen. En die aansprakelijkheid-situatie kan ik ergens wel billijken.

Arnoud

Ben ik strafbaar als ik een TOR exit node draai?

tor-on.pngEen lezer vroeg me:

Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet?

TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet via één maar via meerdere tussenliggende servers doorgegeven. Elke server kan de buitenste laag lezen van het bericht dat hij ontvangt, en “pelt” deze eraf om het resultaat door te sturen. Het echte bericht zit dus helemaal diep in de kern verstopt, en tegen de tijd dat die kern is afgepeld, is alle informatie over de afzender wel verdwenen. Daarmee is in theorie haast volstrekt anonieme communicatie mogelijk.

De server die het TOR netwerk verbindt met het internet, heet de exit node. Dit zou een mailserver kunnen zijn die dan verbinding legt met ‘echte’ mailservers, of een server die pagina’s ophaalt van het worldwideweb, of juist informatie naar een website stuurt.

Het is op zich niet strafbaar om een TOR exit node te draaien. Het zou kunnen dat je provider het verbiedt in hun voorwaarden, dus dan zou je contractbreuk plegen. Maar het moet er dan expliciet staan, bv. als “Verboden je verbinding te sharen met derden buiten je huisgenoten”.

Het kan gebeuren dat iemand strafbare feiten pleegt via die exit node. Dan komt de politie uit bij jouw IP-adres en dan heb jij wat uit te leggen. Je bent niet automatisch strafbaar voor al hetgeen er via jouw exit node gebeurt. Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid. Zou iemand een smadelijk bericht posten via die exit node, dan ben jij daar niet voor vervolgbaar want jouw bedoeling was niet dat dat bericht geplaatst zou worden.

De wet kent echter ook het concept ‘voorwaardelijke opzet’. Kort gezegd “dat had je toch moeten weten dat dat kon gebeuren”, en in fraai juridisch “de aanmerkelijke kans aanvaardend dat”. Als je een exit node opzet die je zelf met firewallregels zo instelt dat hij alléén een Russische kinderpornosite kan bereiken, tsja dan aanvaard je de kans dat mensen kinderporno gaan opvragen of plaatsen. Ook als je mee gaat kijken met het verkeer over je exit node, en je ziet opvallend veel verkeer naar zo’n site, dan kun je strafrechtelijk aansprakelijk worden. Je weet dan dat de node misbruikt wordt, en dan moet je ook iets doen met die kennis.

De vraag is natuurlijk waar die grens ligt. Heb je voorwaardelijke opzet als je géén spamfilter instelt als je uitgaand SMTP verkeer faciliteert? Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?

Er is nog nooit een rechtszaak geweest over iemand die alleen een TOR node opereerde, en ik denk ook niet dat het snel zal gebeuren. Maar ja, je neemt een risico.

Arnoud