bestuursrecht Archives

Als de inspecteurs binnenvallen, gaan bij Uber alle schermen op zwart

Geplaatst op 15 juli 202212 juli 2022 in Informatiemaatschappij, Ondernemingsvrijheid, 9 reacties

Als Uber in 2014 in Europa wil starten met taxidienst Uberpop, ontstaat er een strijd met de autoriteiten om deze dienst die gebruikmaakt van chauffeurs zonder vergunning te legaliseren. Dat meldde het FD onlangs. “Please hit the kill switch ASAP … Access must be shut down in AMS‘. Zo citeert men dan Uber CEO Travis Kalanick, die geschrokken reageert op een inval van de Inspectie Leefomgeving en Transport, die toezicht houdt op de taxidiensten. De schermen gaan dan ook op zwart, zodat niemand nog bij de informatie kan. Dat zou stevige juridische gevolgen moeten hebben.

Uit gelekte interne stukken blijkt dat Uber tot het uiterste gaat om Uberpop – haar illegale snordersdienst gepromoot als Web 2.0 sociale deeldienst – erdoor te drukken. Inclusief de inzet van Neelie Kroes, over wiens pro-Uber tweet ik me al in 2014 verbaasde omdat ze toen nog Eurocommissaris was. Maar dat terzijde. Zoals FD zegt, het was “direct duidelijk dat de taxidienst verboden is, en alleen een wetswijziging [kan] Uberpop uit de illegaliteit houden.” En de toezichthouder mag ze daar aan houden, en kan desnoods een inval doen om de bewijzen te verzamelen.

Uber ziet dat uiteraard anders, maar krijgt tot mijn (positieve) verrassing van Zuidaskantoor De Brauw te horen dat je daar echt aan moet meewerken.

Wat de advocaten niet lijken te weten, is dat Uber nog een plan achter de hand heeft om de handhaving te frustreren: het blokkeren van alle computers tijdens een inval. En dat is precies wat Uber eind maart en begin april 2015 tijdens twee invallen door de ILT doet. ‘Het lijkt er sterk op dat hier de wet is overtreden’, zegt Brendan Newitt, advocaat bij De Roos & Pen. ‘De toegang tot informatie is vergrendeld. Daarmee werkte Uber niet mee aan de vordering van de inspecteur. Dat is een economisch delict en ook een strafbaar feit vanuit het strafrecht. De administratie moet beschikbaar en inzichtelijk zijn.’

Dit is typisch zo’n nieuw probleem dat dankzij ict ontstaat. Vroeger stond je administratie op papier ergens in een kamer. Maar heel weinig bedrijven hadden dan een mega-versnipperaar of houtkachel paraat om alles te verbranden, en wie dat overwoog wist in ieder geval heel zeker dat hij iets deed dat niet de bedoeling was. Met ict middelen lijkt het allemaal minder erg, waardoor je vaker over dit soort trucs leest.

Het deed me denken aan de actie van Centric-directeur Gerard Sanderink, die zijn telefoon op afstand liet wissen bij een inval. Dat kostte hem een miljoen aan dwangsommen. Verschil is hier: dit is een inval door een toezichthouder in het kader van handhaving van een wet, geen actie in het kader van een civiel geschil. De medewerkingsplicht is een stuk groter en de straffen ook een stuk ernstiger. Kort gezegd, als je een inval van een toezichthouder krijgt dan werk je mee en verschaf je alle informatie (art. 5:20 Algemene wet bestuursrecht). Dat betekent dus ook dat je wachtwoorden verstrekt, toegang geeft tot databases en wat er maar nodig is. Dit is bestuursrecht, “tegen jezelf getuigen” is daarbij geen argument. De straf kan tot drie maanden cel oplopen, en dwangsommen kunnen worden opgelegd tot alle informatie wordt verstrekt.

Ook is het strafrecht hier in beeld, nu het gaat om het niet toegankelijk maken van de administratie. Vorig jaar werd nog een ondernemer veroordeeld tot een taakstraf voor het niet voeren van een administratie, een collega kreeg een boete van 4000 euro. Dat waren kleine ondernemers, de theoretische maxima zijn vier jaar cel of € 22.500 boete. Heel erg in theorie zou Nederland nu een verzoek tot uitlevering van Kalanick kunnen doen, zowel in de VS als hier is het immers strafbaar om je administratie te verhullen. Maar dan moet de politieke wil wel heel erg groot zijn.

Arnoud

Hoe kunnen we transparantie toevoegen aan besluitvormende algoritmen?

Geplaatst op 9 maart 20186 maart 2018 in Innovatie, 16 reacties

Bestuursrecht en bestuursrechtspraak zijn onvoldoende in staat om ketenbesluiten te toetsen omdat onbekend is hoe een beslisregel exact is opgebouwd en tot welke resultaten deze leidt. Dat las ik in juristenblad NJB. Steeds meer beslisregels en algoritmes worden ingezet om tot formele besluitvorming te komen, maar daarbij is volstrekt onduidelijk hoe dat besluit tot standkomt. Dit op gezag van Marlies van Eck die promoveerde op dit probleem. En ja, dat is een groot probleem want juist bij juridische besluitvorming wil je weten hoe men tot de conclusie is gekomen.

Toevallig las ik vorige week ook nog een Amerikaans artikel waarin wordt voorgesteld een Algorithmic Impact Assessment in te voeren, vergelijkbaar met de milieuimpactanalyse die in de VS al verplicht is. Het doel van een AIA is het begrijpelijk maken van de besluitvorming (bij overheidsinstanties). Dit kent vier aspecten:

First, it would require any government agency that wants to use an algorithm to publish a description of the system and its potential impact. Second, agencies would give external researchers access to the system so they can study it. Third, it would require agencies to publish an evaluation of how the algorithm will affect the public and how it plans to address any biases or problems. And lastly, an AIA would require the agency to create a system for regular people to hold agencies accountable when they fail to disclose important pieces of information about an algorithm.

Deze eisen klinken zeer redelijk, maar het zijn behoorlijk pittige voorwaarden om als bedrijf aan te voldoen. Zeker omdat de techbedrijven die deze AI’s leveren, de werking van hun systemen als een onschatbaar waardevol handelsgeheim zien en daar dus geen inzicht in zullen willen geven. Dat geeft een patstelling: zonder disclosure geen mogelijkheid om te toetsen wat eruit komt, maar met disclosure geen bereidheid het systeem in te zetten voor de publieke taak.

Ik ben er nog niet uit hoe dat dilemma op te lossen. Dat Amerikaans artikel zegt dat het juist een prikkel tot innovatie geeft om een fairder systeem te ontwikkelen. Als je wel moet om überhaupt te mogen leveren, dan wordt het ineens een kans. Klinkt leuk, maar waarom zouden bedrijven die nu hun AI geheim houden dan ineens een open, transparant systeem opzetten?

Arnoud

Geen strafvervolging naast alcoholslot mogelijk

Geplaatst op 5 maart 20155 maart 2015 in Regulering, 49 reacties

Iemand die verplicht moet deelnemen aan het alcoholslotprogramma kan daarnaast niet ook nog strafrechtelijk worden vervolgd. Dat bepaalde de Hoge Raad dinsdag. De reden hiervoor is erg formeel: het alcoholslot wordt op grond van het bestuursrecht opgelegd, en bestuursrecht bestaat naast het strafrecht. Zo zou iemand dus twee keer gestraft worden voor hetzelfde feit, en dat is tegen een basisbeginsel uit het recht: “ne bis in idem”, in het Latijn.

Het alcoholslotprogramma bestaat sinds 1 december 2011 en wordt opgelegd aan bestuurders van motorvoertuigen die worden aangehouden met een hoog ademalcoholgehalte of die de blaastest weigeren. In die situatie kun je naar het CBR gestuurd worden, die je rijbewijs dan intrekt en pas weer vrijgeeft als je toestemming hebt gegeven voor het inbouwen van een alcoholslot zodat je niet meer kunt rijden wanneer je alcohol in je bloed hebt. Het inbouwen kost zeker 4000 euro en dat moet je zelf betalen.

Een prima idee, wat mij betreft, zelfs al zit er het nadeel aan dat je eventueel een vriend kunt laten blazen als je zelf dronken bent. Maar het juridische probleem ontstond toen bleek dat mensen náást het alcoholslot ook nog boetes of zelfs gevangenisstraf konden krijgen.

Een basisprincipe uit het recht is dat je niet twee maal gestraft mag worden voor hetzelfde. Een boete krijgen (of de cel in moeten) is een straf, dat is duidelijk. Maar is een alcoholslot dat ook? Het is in theorie vrijwillig, je moet er formeel voor kiezen en je mág nee zeggen – alleen heeft ‘nee’ zeggen tot gevolg dat je vijf jaar geen auto mag besturen, pas daarna krijg je dan je rijbewijs terug. Dat komt in essentie neer op een verplichte opgelegde maatregel, zeg maar net zo vrijwillig als dat je bij een gevangenisstraf te horen krijgt dat je maandagochtend je mag melden bij de hoofdingang van het cellencomplex.

De Hoge Raad bepaalt dat het alcoholslot dan ook in feite een straf is, net zo goed als een boete die je opgelegd krijgt voor rijden onder invloed. En dan krijg je dus twee keer straf als je zowel een boete krijgt als een alcoholslot, en dat mag niet. Dat de een formeel uit het Wetboek van Strafrecht komt en de andere uit het bestuursrecht, doet daarbij niet ter zake.

Een belangrijke reden lijkt te zijn geweest dat je bij het CBR niet zomaar in beroep kunt gaan, en ook dat men de omstandigheden van de verdachte niet meeneemt. Dat soort zekerheden zitten in een rechtszaak bij de strafrechter wel ingebouwd. Dus daar ligt dan wellicht de oplossing: pas het wetboek van strafrecht aan en benoem het alcoholslot als een expliciete straf.

Het voelt voor mij dan ook een beetje als een formeel spelletje: ja klopt, je hebt gelijk dat het 2x straffen is maar dit is toch iets dat vrij simpel op te lossen is. Maar ja, als het om autorijden en straffen daartegen gaat, dan wordt elk formeel puntje aangegrepen om het proces zo veel mogelijk te vertragen.

Arnoud

Is een belastingsoftwaremaker aansprakelijk voor valse aangiftes?

Geplaatst op 2 maart 201524 februari 2015 in Ondernemingsvrijheid, 19 reacties

turbotax-intuit-software Belastingsoftwaremaker Intuit heeft de e-filing van belastingaangiftes via TurboTax tijdelijk stopgezet vanwege vermoedelijke fraude, las ik bij Slashdot. Criminelen zouden de identiteit van derden hebben gestolen en via TurboTax grootschalig valse aangiftes doen. Het bedrijf deed dit nadat de staat Utah 28 zekere fraudegevallen en 8.000 mogelijke fraudegevallen bij hen meldde. Wat voor mij de interessante vraag oproept: is Intuit aansprakelijk voor een frauduleuze belastingaangifte?

In principe is het natuurlijk aan de gebruiker hoe deze de software gebruikt. Als ik een dreigbrief typ in Word, is Microsoft daar niet aansprakelijk voor. Dat is ook logisch: hoe kunnen zij in vredesnaam zien wat ik typ, laat staan daaruit concluderen dat ik iets strafbaars doe? Pas als men zelf routines zou toevoegen waarmee aangezet werd tot strafbare feiten, zou dat anders komen te liggen.

Een verschil is wel dat TurboTax niet alleen een aangifte faciliteert, maar deze ook instuurt. Je aangifte gaat dan naar de servers van Intuit, en wordt vanaf daar aangeleverd aan de belastingdienst. (Bij ons werkt dat geloof ik iets anders: het pakket Elsevier Belasting Aangifte stuurt direct je aangifte naar de Belastingdienst, niet naar een Elsevier-server. Dit voelt ook iets logischer.)

Als je in die rol gaat zitten als bedrijf, dan kun je onder zekere omstandigheden aansprakelijk worden voor wat er door je servers heengaat. Een dienst zoals van Intuit valt onder dezelfde regels voor aansprakelijkheid als die voor internet- en hostingproviders, omdat de wet (art. 6:196c BW) spreekt van een “dienstverlener van de informatiemaatschappij” oftewel een partij die diensten op of via internet levert. Het faciliteren van belastingaangiftes is dat net zo goed als het hosten van informatie.

Het maakt daarbij uit of je alleen informatie doorgeeft (zoals een ISP doet, eventueel met een tijdelijke cache) of dat je informatie opslaat en doorgeeft (zoals een hostingbedrijf doet). De laatste kan namelijk aansprakelijk worden voor de opgeslagen informatie wanneer hij niet ingrijpt na een klacht; dit is waarom elke hoster een notice/takedown-beleid heeft.

Ik kan op de site niet ontdekken of Intuit informatie opslaat of direct doorgeeft, dus dat maakt de vraag een tikje lastig om te beantwoorden. Het meest logisch is dat de informatie meteen doorgegeven wordt, en dan is Intuit niet aansprakelijk voor wat er door haar servers heengaat. Ook niet als ze het een paar minuten vasthoudt. Dat lijkt me ook normaal want wat kún je doen in die situatie, hoe kun je doorgifte van data tegenhouden als je deze niet opslaat?

Als men het lange tijd opslaat, dan zou de vraag worden wanneer zij weet dat een aangifte onmiskenbaar frauduleus is, want dat is de standaard voor aansprakelijkheid bij hosting van opgeslagen informatie. Ik denk dat daar weinig situaties zijn anders dan a) de gebruiker klaagt en b) de Belastingdienst klaagt. Dus dat is relatief makkelijk voor Intuit. Wacht op een klacht van een van beiden en grijp dan in.

In beide gevallen mag de rechter overigens een bevel uitspreken om aan het onrechtmatig handelen een eind te maken. Ook bij internetproviders; wel moet het verbod natuurlijk proportioneel zijn en effectief, iets dat bij de Piratebayblokkades niet bewezen kon worden.

Ik twijfel wel. Móet een partij als Intuit aansprakelijk gehouden worden voor zulke valse aangiftes? Het voelt wat gezocht. Aan de andere kant, ze kiezen er zelf voor om er met hun servers tussen te gaan zitten dus dan zet je jezelf in een positie om in te kunnen grijpen. En als je het kunt, dan zullen er situaties komen waarin je het moet.

Arnoud

De rechtsgeldigheid van een niet te openen pdf-bestand

Geplaatst op 12 december 20147 december 2014 in Privacy, 39 reacties

adobe-pdf-acrobat-foutmelding Die kende ik nog niet: “Het is immers algemeen bekend dat er, afhankelijk van bijvoorbeeld het e-mailaccount van de ontvanger of van de apparatuur die hij gebruikt of het netwerk op de plaats van ontvangst, problemen kunnen optreden bij het openen van bijlagen bij e-mailberichten.” Citaat uit een vonnis met een discussie over of een aankondiging van een gemeente wel correct was doorgegeven aan een burger.

De burger in kwestie was eigenaar van een perceel grond met een schuur erop. Die was zonder vergunning gebouwd, dus de gemeente gaf hem een last onder dwangsom tot verwijdering. Daarop volgde de nodige discussie per mail, onder meer over de vraag of het verwijderen van het dak genoeg zou zijn want dan is het geen schuur meer maar een “bouwwerk geen gebouw zijnde”. (Wie zei daar giecheltoets achterin?)

Vervolgens kreeg de man medio september een aanzegging per mail (met een PDF bijlage) waarin werd gemeld dat het bouwwerk nog niet was afgebroken en er dus dwangsommen moesten worden vertaald. Was dat nu rechtsgeldig?

De rechtbank meent van niet, en wel met name omdat de aanzegging in een pdf-bestand was opgenomen. Om rechtsgeldig te zijn, moet een dergelijk bericht correct bekendgemaakt zijn. Normaal gebeurt dat door een brief naar het huisadres, maar de schuureigenaar woonde ondertussen in Frankrijk en daar was de brief niet heengegaan. Maar de brief was ook per e-mail verstuurd, en in theorie kan dat genoeg zijn: er moet dan (art. 3:41 lid 2 Awb) een “andere geschikte wijze” worden gebruikt.

E-mail is in beginsel genoeg, aldus de rechtbank, tenminste als de gemeente en burger eerder al per e-mail hadden gecorrespondeerd. Dat is dan kennelijk een geschikt middel. Alleen, er is een verschil tussen mails kunnen lezen en bijlagen bij mails kunnen lezen. Zeker als je in Frankrijk rondloopt waar l’internet en les iPads toch net even wat minder strak werken. En als de burger dan ontkent dathij de bijlage niet kon lezen én je uit de mail zelf niet kon halen dat er een boete-aanzegging in de bijlage zat, dan moet de gemeente bewijzen dat de bijlage wel leesbaar was op l’ipad en France. Wat dus niet lukte.

Oké daar was ik een tikje sarcastisch. Maar het zal wel aan mij liggen, is het écht zo’n gedoe om bijlagen te openen in het buitenland? Afgezien van lage downloadsnelheden kan ik weinig bedenken. En is het niet logischer dat je even aan de bel hangt als je een bijlage niet kunt openen?

Arnoud