Tag: data

About data

Subscribe Feeds

Meerdere algoritmen van de overheid voldoen niet aan de basiseisen (excuses, lange blog maar dit is zeg maar mijn ding)

Geplaatst op in Informatiemaatschappij, Innovatie, 10 reacties

De algoritmes die door de Rijksoverheid worden gebruikt, voldoen lang niet altijd aan de basiseisen. Van de negen getoetste algoritmes voldeden er zes niet aan de eisen, las ik bij Nu.nl. Dit blijkt uit onderzoek van de Algemene Rekenkamer. Deze zes bieden dan ook bijzondere risico’s: gebrekkige controle op prestaties of effecten, vooringenomenheid, datalek of ongeautoriseerde toegang. En omdat het kan gaan om algoritmisch besluiten (zoals verkeersboetes), is dat best schokkend.

Het toegepaste toetsingskader komt uit een eerder onderzoek, Aandacht voor Algoritmes, en bestaat uit 5 perspectieven waarbij het perspectief ethiek als rode draad verbonden is met de andere 4 perspectieven:

  • Sturing en verantwoording: eenduidigheid doel;
  • Model en data: in lijn met doelstellingen;
  • Privacy: ondermeer wettelijke verplichting verwerkingsregister;
  • ITGC: toegankelijke loginformatie;
  • Ethiek: ethische richtlijnen.
Voor wie het wil toepassen: er is een downloadbaar Excel-model om in te vullen. En wie meer wil weten over dat perspectief ethiek, in september begint onze cursus AI Compliance en Governance weer.

Het rapport Algoritmes Getoetst past het kader nu toe op negen overheidsalgoritmes, namelijk:

  1. Rijksdienst voor Identiteitsgegevens: Ondersteuning bij de beoordeling van de kwaliteit van foto’s voor identiteitsbewijzen
  2. Rijksdienst voor Ondernemend Nederland: Risicomodel dat gebruikt wordt bij de beoordeling van aanvragen voor de Tegemoetkoming Vaste Lasten (TVL)
  3. Belastingdienst Toeslagen: Ondersteuning bij de beoordeling van aanvragen voor huurtoeslag in het toeslagenverstrekkingensysteem (TVS)
  4. Centraal Bureau Rijvaardigheidsbewijzen: Ondersteuning bij de beoordeling van de medische rijgeschiktheid van mensen
  5. Politie: het Criminaliteits Anticipatie Systeem (CAS) voorspelt waar en wanneer het risico op incidenten hoog is
  6. Directoraat-generaal  (DG) Migratie: Zoekt intelligent in vreemdelingenpersoonsgegevens of iemand al eerder in Nederland is geregistreerd
  7. Centraal Justitieel Incassobureau (CJIB): Koppelt gegevens voor verkeersboetes aan op kenteken geconstateerde verkeersovertredingen
  8. SZW Inlichtingenbureau: Levert signalen aan gemeenten voor rechtmatigheidscontrole op bijstandsuitkeringen
  9. Sociale Verzekeringsbank (SVB): Ondersteuning bij de beoordeling van AOW-aanvragen.
Allemaal algoritmes, maar niet allemaal van dezelfde soort. Het rapport legt netjes uit dat ook een simpele beslisboom telt als een algoritme, net als data-koppelingen voor uitwisseling (als dit veld door filter X komt dan is het een datum en dan is het volgende veld een achternaam, zulke dingen). Maar er zijn ook algoritmes die ik ervan verdenk machine learning te zijn, zoals dat fotokwaliteitsbeoordelingssysteem van de RvIG of het lerende algoritme van de politie.

Verder hebben de algoritmes verschillende functies: vaak ondersteuning (technisch voorbereiden van data, een preselectie klaarzetten, zoekresultaten sorteren) maar soms ook besluitvorming (agent 40404 bij het CJIB) en soms van die twijfelgevallen zoals bij de ‘signalen’ van de SZW die best sturend kunnen worden opgevat – precision bias, het vooroordeel dat de computer gelijk heeft omdat deze objectief rekent en tien cijfers achter de komma heeft. Of omdat er bij iedereen wel wat te vinden is als je goed zoekt (iedere lezer van deze blog schendt minstens één regel van socialezekerheids- of belastingrecht, gegarandeerd).

Besluitvormend gaat overigens niet perse samen met complex: het toekennen van toeslagen is een simpel algoritme dat toch besluiten neemt (u heeft recht op huurtoeslag, u bent medisch geschikt om te rijden). Dat kan logisch lijken in een standaardsituatie, zoals het rapport uitlegt:

Een aanvraag wordt automatisch goedgekeurd wanneer de aanvraag door het algoritme als laag risico is aangemerkt, bijvoorbeeld omdat het bedrag waarop de aanvrager aanspraak maakt laag is en er geen aanwijzingen voor misbruik of oneigenlijk gebruik zijn. In dat geval komt er geen ambtenaar meer aan te pas.
Bij elektronicawinkel Coolblue is er (volgens mij) zo’n simpel algoritme: een vaste klant (meer dan X aankopen in 6 maanden) die een product van minder dan 10 euro koopt en retourneert, mag het houden en krijgt zijn geld terug. En bij voedselbezorgers geldt vaak ook zoiets: minder dan X klachten per maand/kwartaal/jaar, dan klacht automatisch goedkeuren en geld terug. De kosten/baten analyse is dan evident.

Wat ging er zoal mis bij deze overheidsalgoritmes? Bij drie organisaties ging het eigenlijk om de IT-processen er omheen (beheer, beveiliging, toegang), dat sla ik even over. Een relevanter risico is de governance bij uitbesteding: de ontwikkeling en implementatie van de algoritmes of datamodellen wordt dan door een externe partij gedaan, maar de overheidsinstantie moet daar wel toezicht op houden. Dat ging bijvoorbeeld mis bij dat fotokwaliteitsbeoordelingssysteem, dat was een black box waar alleen goed/onvoldoende uit kwam zonder dat men kon zien waarom, laat staan bijstellen.

Het rapport noemt nog een belangrijke fout die ik ook herken uit de praktijk:

Vaak wordt bij de verwerking van gegevens in massale processen vertrouwd op foutmeldingen en gaat men ervan uit dat de afwezigheid van foutmeldingen een garantie is voor de juiste werking van het algoritme. Dat is niet altijd het geval.
Zeker als het gaat om ‘zwakke’ klanten (zoals bij bijstand of toeslagen) moet je echt meer hebben dan een piepsysteem. Dit is trouwens ook waarom dat systeem van “laag risico = automatisch goedkeuren” riskant is, mensen kunnen onterecht in de bak laag risico zitten (of juist niet) en dat wordt dan niet opgemerkt.

De laatste die ik eruit licht, is de bias of vooringenomenheid in model of data. Dit is een lastige, want er is veel over te doen maar dit onderwerp zit ook vol met misverstanden. Zo stellen mensen bias vaak gelijk aan het strafbare feit discriminatie. Bias kan echter over van alles gaan, denk aan een aselecte steekproef uit de brondata, zonder dat je meteen een ethische groep, gender of andere groep op de korrel wil nemen. En zelfs als zo’n systeem expliciet onderscheid maakt naar zeg gender of ethiciteit dan kan dat onbedoeld zijn, of het gevolg van een onbewust onderscheid bij de mensen die de dataset hebben gevoed.

Het onderzoek laat zien dat er zelden wordt gecontroleerd op bias of de over- of ondervertegenwoordiging van bepaalde groepen. Dat is wel belangrijk, want het kan zomaar je data in sluipen:

Stel dat in het verleden samenwoonfraude intensiever is aangepakt en dat met deze gegevens een algoritme wordt ontworpen voor fraudedetectie. Dan zal het algoritme samenwoonfraude beter voorspellen, omdat deze vorm van fraude vaker voorkomt in de data. En als samenwoonfraude vooral door vrouwen wordt gepleegd dan is sprake van bias naar vrouwen toe.
Van eerdere blogs weet ik dat er nu reacties komen van het soort: maar fraude is fraude, als je zo dus meer samenwoonfraude door vrouwen weet te vinden dan heb je meer fraude gevonden en die kun je dan bestrijden. Dat mag zo zijn, maar als overheid heb je ook de plicht om je fraudebestrijding eerlijk te verdelen, zonder onderscheid naar kenmerken zoals gender of etniciteit. Als de politie alleen mannen boetes geeft voor door rood licht fietsen, en de vrouwen laat gaan, dan klopt dat gewoon niet. Ook niet als de mannen het tien keer vaker doen.

Dan nog het onderwerp transparantie, wat van belang is omdat je (onder meer vanwege de AVG) moet uitleggen hoe zo’n systeem werkt, wat er gebeurt en hoe de uitkomst tot stand is gekomen. Het rapport maakt onderscheid tussen technische en procedurele transparantie, en merkt terecht op dat weinig mensen willen weten hoe het technisch precies werkt. De procedurele transparantie (welke data en waarom, welke controle op de machine en waarom überhaupt een algoritme) blijkt echter vaak afwezig, terwijl dat juist is wat de burger nodig heeft.

Het rapport sluit af met een set aanbevelingen om bovenstaande beter door te voeren, ook bij organisaties die meer op afstand staan van de Rijksoverheid. Ik zou zeggen: ook de private sector kan dit prima oppakken.

Arnoud

 

 

Hoe datarommel van mobieledataharkbedrijf App Annie tot een boete van de beurstoezichthouder leidde

Geplaatst op in Regulering, nog geen reacties
geralt / Pixabay

Mobieledataverzamelbedrijf App Annie heeft voor 10 miljoen met de Amerikaanse beurswaakhond SEC geschikt, las ik bij The Verge. Ik kende ze ook niet, maar App Annie “produceert business intelligence tools en markt rapportages voornamelijk voor de app industrie”. Ze verzamelt data zoals Google Analytics bij aangesloten bedrijven, inclusief data over gebruik van de mobiele apps van die bedrijven, zodat die meer inzicht in hun appgebruik kregen. Tevens kon App Annie die data aggregeren en zo doorverkopen aan bijvoorbeeld beleggers die willen weten hoe een bepaalde branch ervoor staat. En daar ging het mis: men verkocht niet keurig enkel de geaggregeerde data.

De schikking legt uit waar het precies misging:

The order finds that App Annie and Schmitt understood that companies would only share their confidential app performance data with App Annie if it promised not to disclose their data to third parties, and as a result App Annie and Schmitt assured companies that their data would be aggregated and anonymized before being used by a statistical model to generate estimates of app performance. Contrary to these representations, the order finds that from late 2014 through mid-2018, App Annie used non-aggregated and non-anonymized data to alter its model-generated estimates to make them more valuable to sell to trading firms.
App Annie kreeg dus individuele data van bedrijven, maakte daar een statistisch model van voor sectoren en corrigeerde dat met de originele, individuele data. Vervolgens had ze heel goed passende modellen, waar beleggers gretig voor betaalden. Maar dát is natuurlijk niet de afspraak.
“App Annie sought to distinguish itself in the alternative data space by providing securities market participants with valuable information in a new and innovative way,” said Erin E. Schneider, Director of the SEC’s San Francisco Regional Office. “It went to great lengths to assure its customers that the financial and app-related data it sold was the product of a sophisticated statistical model and that it had controls to ensure compliance with the federal securities laws. These representations were materially false and misleading.”
Het bedrijf moet stoppen, en de CEO mag drie jaar lang niet in een dergelijke functie bij een beursgenoteerd bedrijf werken.

Het laat voor mij zien hoe lastig is het is om goede grip op data-hergebruik door derden (verwerker of niet, in de zin van de AVG) te krijgen. Want je kunt afspreken wat je wilt, maar als die data elders is dan heb je er vervolgens geen zicht meer op. Dit is ook waarom ik altijd zeg dat je onder de AVG niet kunt vertrouwen op welke contractuele afspraak, garantie of vrijwaring dan ook. Ga het na, en lever bij voorkeur gewoon géén individuele data.

Arnoud

 

Gaat het om open source of open API’s bij de overheid?

Geplaatst op in Regulering, 6 reacties

De overheid heeft een moeizame relatie met ict, zo poneert een interessant Tweakers-artikel over openbaarheid bij overheids-ICT-projecten. Al geruime tijd (sinds 2002, Motie-Vendrik) worstelt men met het idee van openheid bij software en data die door de overheid wordt ontwikkeld. Het sterkst is het pleidooi geweest voor het openen (bevrijden) van software. Maar zelf neig ik er steeds meer naar om te zeggen: het gaat om de data en de API’s. Dat ga ik uitleggen.

Het Tweakers-artikel gaat in op een recente rechtszaak om vrije (vrij als in vrijheid) toegang te krijgen tot de broncode van de “Debat Direct”-app, waarmee het mogelijk is om debatten in het parlement live te bekijken of achteraf terug te kijken. Er is alleen geen Linux versie, uitsluitend MacOS en Windows worden ondersteund. In maart bepaalde de rechtbank dat deze app wettelijk niet openbaar hoeft te zijn, onder meer omdat de Wet openbaarheid van bestuur niet geldt voor de Tweede Kamer en de Wet hergebruik overheidsinformatie niet geldt voor apps.

Vervolgens blijkt dat de app gewoon Javascript is, niet eens obfuscated, zodat je je kunt afvragen wat er dan niet openbaar is aan die broncode. En het gevolg is natuurlijk dat alleen een licentie nodig is, want zonder licentie mag je niets met software, hoe openbaar of publiek beschikbaar de broncode ook is.

Vanaf 2021 moet alle nieuwe software van de overheid openbaar zijn, maar dat helpt natuurlijk niet voor al die legacy software die er al is. Of voor al die data en protocollen die er achter zitten. Gelukkig is er het Open Data portaal, waar je alvast een hoop overheidsdata in kunt vinden. Maar nog lang niet alles.

En ja die API’s dus. De Application Programming Interfaces dus, de manier waarop je als applicatie tegen een andere zegt wat ‘ie moet doen of geven. Die zijn de kern van het samenwerken tussen applicaties – en van het kunnen herimplementeren van functionaliteit, zoals bij die Debat Direct app. Als je weet hoe je moet vragen om een lijst van debatten en de livestream van debat 23, dan hoef je die hele app niet meer te hebben. Dat integreer je dan zelf in je dashboard of eigen app.

Wat mij betreft is dat de kern van vrije informatie: dat je overal bij kunt en alles kunt gebruiken waar je bij kunt. Of je dat nou doet met een bijgeleverde app of dat je er zelf eentje maakt, dat hoort niet ter zake te doen. Daarom: het gaat om de data (en de API).

Arnoud

Waarom is ransomware losgeld betalen eigenlijk niet strafbaar?

Geplaatst op in Regulering, 19 reacties

Een lezer vroeg me:

Zoals iedereen kan zien komt het steeds vaker voor dat organisaties worden getroffen door een ransomware aanval waarbij er losgeld moet worden betaald om weer toegang te krijgen tot de gegevens. Veel organisaties kiezen hiervoor omdat het in veel gevallen goedkoper is om te betalen, maar is dit eigenlijk niet tegen de wet? Er zijn toch strenge regels over “ongebruikelijk” betalingsverkeer en betalen aan verdachte landen?
Het is niet expliciet verboden om losgeld te betalen wanneer je data gegijzeld wordt. Nergens in het Wetboek van Strafrecht is bepaald dat dit niet mag.

Dat is hetzelfde als bij ‘gewone’ gijzeling, ook daar is nooit gezegd dat het verboden is de gijzelnemers te betalen. De reden is vrij simpel, de mensen die dat zouden doen zijn de slachtoffers, de mensen die onder extreme emotionele druk staan om hun geliefden terug te krijgen. Dat ga je niet strafbaar stellen.

Bij ransomware voelt het allemaal iets zakelijker, en het gemak waarmee de gijzelnemers optreden versterkt dat gevoel nog eens. Vaak gaat het om bedrijven of instellingen, niet om privépersonen, en om data die te backuppen was geweest (althans, zo lijkt het vaak). Dat maakt het een heel ander verhaal dan een miljonair wiens man of kind wordt ontvoerd en dreigingen over vermoorden ontvangt tenzij er wordt betaald.

Daar komt bij dat veel verzekeraars cyberverzekeringen verkopen waarbij schade door ransomware gedekt is. Dan krijg je helemaal het beeld dat een verzekeraar gewoon kan kiezen te betalen, omdat dat goedkoper is dan de data proberen te herstellen en de systemen schoon te schrobben. (Het risico blijft overigens dat er achterdeurtjes zijn blijven zitten, of dat de gijzelnemers later opnieuw betaald willen hebben, want waarom zouden ze dat niet doen.)

Desondanks is er op dit moment geen wet tegen. Er wordt wel met enige regelmaat voor gepleit, maar van een concreet wetsvoorstel is het (nog) niet gekomen.

Wel is het inderdaad zo dat een betaaldienstverlener zoals banken of Paypal ongebruikelijke transacties moeten melden, en dat dit kan leiden tot blokkades van bankrekeningen of audits van toezichthouders. Maar omdat losgeld vaak via bitcoin en dergelijk wordt betaald, valt dit vaak buiten dergelijk toezicht.

In theorie overtreed je overigens wel sanctiewetgeving als de gijzelnemers in een sanctieland zitten zoals Noord-Korea. Daar mag je geen zaken mee doen, en dus ook geen geld aan betalen. Maar ik heb dat altijd een ietwat overdreven interpretatie gevonden: losgeld betalen is geen “zaken doen”, nog los van dat je niet wéét waar de gijzelnemers zitten.

Arnoud

T-Mobile deelde herleidbare locatiegegevens met CBS voor bouwen van algoritme

Geplaatst op in Ondernemingsvrijheid, Privacy, Regulering, 11 reacties

T-Mobile heeft jarenlang niet-anonieme gebruikersgegevens gedeeld met het Centraal Bureau voor de Statistiek, meldde Tweakers onlangs. Deze werden gebruikt om een algoritme te bouwen waarmee mensenstromen in kaart werden gebracht. NRC Handelsblad onderzocht een overeenkomst uit 2017 tussen de twee, waarbij het slechts „een pilot-project”, zou zijn waarbij alleen met „geanonimiseerde” gegevens zou zijn gewerkt. Dat blijkt dus niet waar, zo ontdekte de krant met een beroep op de Wet Openbaarheid van Bestuur, die daarmee een verontrustend inkijkje gaf in de manier waarop het CBS en T-Mobile met de privacy van bellers omgingen.

In 2017 ging het CBS een samenwerking met T-Mobile aan. Het doel was een algoritme ontwikkelen dat op basis van de locatiedata van één mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders kan meten. En dat noemen we dan wel “algoritme” maar het gaat natuurlijk om big data machine learning: gooi een grote bak met data in een opgevoerde versie van Excel en kijk hoe de grafiekjes lopen. En ja, dat werkt alleen met hele grote bergen data, en daarbij moet je per datapunt zo veel mogelijk informatie hebben. Het CBS aasde daarom niet alleen op telecomgegevens, maar ook op „data over betalingen” van banken en op andere informatie, wat je ‘verrijking’ kunt noemen of ‘datagraaien’ afhankelijk van aan welke kant je staat.

In het contract met het CBS staat dat T-Mobile „de methode voor het bepalen van locatiegegevens ook voor eigen doeleinden” mag gebruiken, „zowel tijdens als na de pilot”. Maar geen zorgen, „De data zijn zo privacygevoelig dat als er één partij vertrouwd kan worden om dit te analyseren … dan is dat het CBS”, aldus het businessplan.

En dan val ik van mijn stoel want dan blijkt men het verschil tussen pseudoniem en anoniem niet te kennen. Cruciaal, want de AVG is van toepassing op pseudonieme data – maar niet op anonieme. Dus wat krijg je dan, dat iedereen zegt dat de data anoniem is. Maar ik heb hier een AI die met 95% accuratesse voorspelt dat jouw data niet anoniem is maar alleen gepseudonimiseerd*. En ja hoor: “de unieke IMSI-nummers van mobiele toestellen zijn vervangen door andere nummers.” Dat is klassiek pseudonimiseren en nadrukkelijk niét anonimiseren. Ook niet als die andere nummers random zijn. Met de rest van de data is nog méér dan genoeg analyse te doen om over personen uitspraken te kunnen doen.

Gebruikers werden niet op de hoogte gehouden van de plannen. Wel werd de samenwerking besproken met de toezichthouders, maar daarbij werd niet verteld dat er toegang was tot niet-anonieme gegevens. Het Agentschap Telecom gaat, samen met de Autoriteit Persoonsgegevens, nu onderzoek doen naar het datadelen.

Arnoud * De AI zegt altijd “dit is pseudonimiseren” en dat klopt 95% van de tijd. Waar haal ik mijn VC funding voor deze GDPR Compliance Lawyerbot?

Ombudsman: overheid moet burger bij gebruik algoritmen centraal stellen

Geplaatst op in Informatiemaatschappij, Innovatie, 4 reacties

Bij het gebruik van data en algoritmen moet de overheid burgers centraal stellen, aldus de Nationale ombudsman die hiervoor een ombudsvisie ontwikkelde (via). Onder de titel “Een burger is geen dataset” dringt de ombudsman aan op transparantie, duidelijkheid en bereikbaarheid bij problemen. Je zou zeggen dat dit voor zich spreekt bij inzet van algoritmes, maar nee.

Ik weet niet meer waar ik het las, maar de quote was iets van “inzet van algoritmes is de ultieme bureaucratie”. En bureaucratie is dan weer de poging om de menselijke maat uit procedures te halen, wat op zich een loffelijk streven is om te voorkomen dat je vriendjespolitiek (cliëntelisme) en voortrekken of achterstellen krijgt. Als iedereen gereduceerd wordt tot een formulier, dan is iedereen gelijk. En dat geldt in het kwadraat natuurlijk voor reductie tot een datapoint in een AI systeem.

Daar staat tegenover dat een bureaucratie – en zeker de AI, oftewel de datagedreven bureaucratie – over het algemeen keihard is voor wie niet past op het formulier, of wie het vakje “bijzondere omstandigheden” zocht dat er niet bij bedacht was. Bij een gewone bureaucratie heb je dan nog de menselijke maat, je kunt de behandelende ambtenaar iets vragen of een indringend beroep doen bij de menselijke bezwaarcommissie. Een AI is daar in het geheel niet gevoelig voor. En dat is een groot probleem bij algoritmen in overheidsprocessen.

Een belangrijk aspect van deze problemen is volgens mij dat een algoritme al snel groeit boven het zicht van de ontwerpers. Een erin geslopen bias komt pas vele jaren later naar boven, een procedurele fout is niet zichtbaar omdat het een zeldzame uitzondering is, en ga zo maar door. Ondertussen is het systeem erg populair – want effectief – en wordt het breed ingezet.

Ik ben bang dat ik weer een nieuw mantra ga beginnen, maar: it’s the data, stupid. Ik zou er een lief ding voor over hebben als we voortaan spreken van datagedreven beslissen in plaats van “algoritmen”. Die algoritmen zijn standaard, off the shelf, niet interessant. Die zoeken patronen in je data en maken daar beslissingen mee. Je moet dus kunnen borgen dat je data goed is. En afgezien van mooie woorden over data governance komt er eigenlijk niets daarvan naar voren. Jammer.

Arnoud

 

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

Geplaatst op in Regulering, Security, 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna de politie vrij snel bij deze verdachte uitkwam. Goede actie, en hopelijk zijn de gegevens niet ondertussen al ergens anders naartoe. Maar, zo kreeg ik dan de vraag: dat kan toch niet, data is toch niets, hoe kan het dan worden gestolen?

In de pers moet je altijd uitkijken met termen als “diefstal van gegevens” want de meeste journalisten zitten niet zo op de juridische nuances. Van diefstal is alleen sprake als je “een goed” wegneemt zonder daartoe bevoegd te zijn, en dan ook nog eens met het doel je dat goed zelf toe te eigenen. Iets dat geen goed is, kun je dus niet stelen.

Data is in het algemeen geen goed; de definitie daarvan vereist kort gezegd dat de houder ervan als enige er wat mee kan doen (en dat er enige waarde aan het goed verbonden is). Dit volgt uit het Runescape-arrest dat bepaalde dat die criteria niet gelden voor gegevens in het algemeen, maar wel specifiek voor gegevens die objecten in virtuele werelden vertegenwoordigen. Als jij dat zwaard hebt, dan de rest van de deelnemers niet. Idem voor belminuten (op dezelfde dag beslist), als ik ze opbel dan kun jij dat daarna niet meer.

Persoonsgegevens zijn duplicatief, je kunt ze kopiëren. Daarmee voldoen ze niet aan die beperkte criteria en dus zijn het geen goederen. Alle wetgeving over eigendom is daarmee niet van toepassing. Dat is waarom ik “data is niets” zeg. Je kunt niet “je data terug” eisen, want de term “jouw” kan juridisch alleen op eigendom geplakt worden. Het is of je data blauw noemt, dat klopt gewoon niet.

Dat wil niet zeggen dat data juridisch vogelvrij is. Je kunt bij een data-beheerder gewoon contractueel afspreken dat hij je een kopie geeft wanneer je dat vraagt. En bij het strafrecht zijn er – vanwege het eerdere Computergegevens-arrest – aparte regels gemaakt over het wegmaken of kopiëren van data in strijd met andermans recht. En dat is wat deze meneer ten laste gelegd gaat worden. We noemen dat dan wel ‘data-diefstal’ maar we bedoelen het overnemen van gegevens na computervredebreuk (artikel 138ab lid 2 Strafrecht) of wederrechtelijk aftappen van gegevens (artikel 139c).

Arnoud

Hoe problematisch is de CLOUD Act nu echt?

Geplaatst op in Ondernemingsvrijheid, 26 reacties

Een hoop ophef en vraagtekens vorige week over het einde van Privacy Shield. Een belangrijke zorg was weggelegd voor de Cloud Act, want daarmee zouden Amerikaanse overheden ook toegang tot Europese data alhier kunnen vorderen. Daarmee zou de standaard oplossing – blijf in een Europees datacenter bij een Europees bedrijf – ook gevaar lopen. Hoe ver reikt die wet nu eigenlijk?

De Cloud Act is er gekomen naar aanleiding van een rechtszaak tussen Microsoft en de FBI over afgifte van data bij een Europese dochter van het Office-cloudbedrijf. Kort en goed zegt die wet, niet zeuren maar doen. Afgeven die hap, ook als die in het buitenland staat. Letterlijk (paragraaf 2713):

Electronic communication service providers and remote computing service providers must comply with the obligations of [this Act] to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.

Zo’n bevel kan aan Microsoft in Redmond, Washington worden gegeven. Die zou dan haar Europese dochter kunnen opdragen die gegevens door te geven, aldus deze wet.

Maar dat kan eigenlijk niet, want binnen de regels voor concerns kán een moeder niet direct bevelen wat een dochterbedrijf moet doen. Aandelen geven wel zeggenschap, maar geen bestuursbevoegdheid. Je moet dus het bestuur overtuigen, en dat kan eigenlijk alleen door te zeggen dat je het bestuur eruit gooit als ze niet doen wat je zegt. Dat zou nogal opvallen, en als in de statuten van die dochter ook nog vervelende dingen staan dan wordt dit helemaal een heilloze route.

Bovendien is er artikel 48 AVG:

Elke rechterlijke uitspraak en elk besluit van een administratieve autoriteit van een derde land op grond waarvan een verwerkingsverantwoordelijke of een verwerker persoonsgegevens moet doorgeven of verstrekken, mag alleen op enigerlei wijze worden erkend of afdwingbaar zijn indien zij gebaseerd zijn op een internationale overeenkomst, zoals een verdrag inzake wederzijdse rechtsbijstand, tussen het verzoekende derde landen en de Unie of een lidstaat, onverminderd andere gronden voor doorgifte uit hoofde van dit hoofdstuk.

Een bevel onder de CLOUD Act voldoet niet aan de eisen van dit artikel. De Europese dochter moet dit dus naast zich neerleggen, op straffe van hoge boetes (in theorie 20 miljoen Euro, art. 48 jo. 83 lid 5 AVG).

En meer algemeen vraag ik me dus al tijden af, hoe gaat dit überhaupt werken, dat vanuit Amerika opvorderen van persoonsgegevens? Moet de Ierse dochter van Microsoft dan een achterdeur inbouwen, komt er een bevel tegen de Ierse directie en zo ja hoe gaan ze dat dan afdwingen? Er zijn immers geen verdragen over wederzijds erkennen van zulke inzagebevelen. Dat is waar we al heel lang rechtshulpverzoeken voor hebben immers.

Ik zie hoe er een risico is als je data in de VS hebt staan, want dan kan men erbij en dat mag dan dus. Maar als je data hier staat en de beherend entiteit is Europees (ook al is de moedermaatschappij Amerikaans) dan zie ik gewoon niet hoe in de praktijk die data naar de VS zou gaan als de FBI dat zou willen.

Arnoud

Mag de politie de telefoon van een getuige leegtrekken?

Geplaatst op in Regulering, 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af hoe dat dan gaat als je uiteindelijk niet vervolgd wordt, want al die data is dan al wel bij de politie. Wat nu als je alleen maar getuige bent? En hoe zit dat in Nederland?

Hoofdregel in Nederland is dat de politie in geval van een strafbaar feit “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen” in beslag mag nemen (art. 94 Strafvordering). En een telefoon met inhoud voldoet aan die omschrijving, ook wanneer die van een getuige is. Die heeft wellicht foto’s gemaakt of in een chat met een ander relevante informatie staan, bijvoorbeeld. De nuance is natuurlijk dat de inbeslagname wel noodzakelijk en proportioneel moet zijn. Zomaar van alle omstanders de telefoon meenemen is natuurlijk idioot, maar de telefoon van een persoon die wekenlang chatte met de dader is een heel ander verhaal.

Als je de telefoon hebt, ligt snel een kopie maken en daarin spitten natuurlijk voor de hand. En hier wordt het juridisch ingewikkeld, want hier gaat het om privacygevoelige informatie en dan mag de politie in beginsel alleen dingen doen die wettelijk geregeld zijn. In 2017 bepaalde de Hoge Raad dat dit ook geldt bij telefoondoorzoekingen, maar dat gezien de praktijk het vooral van belang is dat er een duidelijke noodzaak is en er een onafhankelijke toetsing plaatsvindt. Blijkt achteraf dat de opsporing te ver ging met de doorzoeking, dan heeft dat gevolgen voor de rechtszaak (bijvoorbeeld dat het bewijs buiten toepassing blijft).

Anders ligt dat bij even snel kijken naar een paar berichtjes of foto’s. Dat is geen of slechts een geringe inbreuk op de privacy, en dat mogen agenten dus doen zonder specifieke opdracht. Even snel kijken bij de recente foto’s of de chat met de verdachte zou dus nog net kunnen, zelfs als de getuige niet meewerkt. Je moet als agent natuurlijk wel een goede aanleiding hebben waarom je dacht dat er iets zat bij die recente foto’s of waarom deze meneer/mevrouw met de verdachte zou hebben gechat en waarom dat relevant is voor het onderzoek naar die verdachte.

Arnoud

Waarom ik steeds zeg dat data niets is, juridisch gezien

Geplaatst op in Informatiemaatschappij, 23 reacties

Een lezer vroeg me:

Met enige regelmaat zie ik je zeggen dat data “niets is” of niet bestaat onder de wet. Maar dat kan toch niet waar zijn, data is de grondstof voor de internetmaatschappij en dan zou daar geen enkele juridische status of recht op bestaan? Kun je eens uitleggen hoe dat nu precies zit?

“Data is niets” is mijn wat kortdoordebochtpoging om het probleem te signaleren dat je inderdaad geen specifieke juridische rechten kunt uitoefenen om toegang tot (of een kopie van) elektronische data te krijgen. Weliswaar spreken we in de praktijk vaak van “mijn data”, maar dat is niet meer dan een beleefdheidsfrase, juridisch heeft dat geen betekenis.

Eigendom is “het meest omvattende recht dat een persoon op een zaak kan hebben”, aldus artikel 5:1 BW. Een zaak is dan weer (artikel 3:2 BW) een stoffelijk object dat voor menselijke beheersing vatbaar is. Digitale data voldoet niet aan die omschrijving, het is zo ongeveer het schoolvoorbeeld van onstoffelijke objecten. Juridisch gezien is het daarom onmogelijk om van eigendom op data te spreken.

Maar het Elektriciteitsarrest dan, en het Runescape-arrest, zal menig juridisch geïnteresseerde nu denken. Klopt. Die arresten bepaalden dat bepaalde onstoffelijke objecten toch zaken waren – althans “goederen”, in de terminologie van het strafrecht. Elektriciteit is stoffelijk (het zijn hupsende elektronen) en voor menselijke beheersing vatbaar, wel graag met rubber handschoenen. En de virtuele goederen in het spel Runescape kun je ook beheersen en wegnemen. Dat is dan genoeg om van “goederen” te spreken.

Formeel georiënteerde juristen vinden dat niet overtuigend, omdat het hier gaat om arresten uit het strafrecht. Dat wetboek kent eigen terminologie en eigen jurisprudentie, die niet automatisch doorgetrokken kan worden naar andere rechtsgebieden. Dat het strafrecht iets een goed vindt, maakt het in die opvatting dus geen zaak in het Burgerlijk Wetboek.

Maar er is nog een reden waarom je die arresten niet zomaar nar het algemene geval kunt trekken. Elektriciteit is sowieso geen goed voorbeeld, omdat het daar gaat om de hupsende elektronen an sich. Bij data hebben we het over de informatie die in die elektronen dan wel magnetische velden verstopt zit. Beheersing daarvan gaat toch echt een stukje anders. En bij het Runescape-arrest zat die data in een speciaal geconstrueerde omgeving waarmee het mogelijk was die data tot unieke elementen te vormen. Ik heb dat virtuele zwaard, en dus jij niet.

In het algemene geval is data iets dat te kopiëren is. Daarmee is het eigenlijk al geen zaak meer, kan het geen zaak zijn. Ga eens na wat er zou gebeuren als ik eigenaar ben van zeg een lijst plaatsnamen, en iemand maakt daar een kopie van. Is hij dan mede-eigenaar? Is die kopie dan een schending van mijn eigendom, en wat nu als hij hem onafhankelijk maakt? Volgens mij kom je dan al heel snel in volkomen onwerkbare situaties terecht.

Er zijn natuurlijk wetten die in speciale gevallen een oplossing kunnen bieden, zoals de Auteurs- of Databankenwet bij zo’n lijst, maar dat terzijde. Die wetten maken je nog steeds geen eigenaar van die data. Je kunt daarmee hooguit een kopie laten vernietigen, geen toegang eisen tot die data. Ook de AVG niet: die zegt wel dat je recht hebt op een kopie van je persoonsgegevens (en onder omstandigheden zelfs een elektronisch leesbare dump in bekend formaat) maar ook daarmee ben je er nog geen eigenaar van.

De belangrijkste reden dat ik zeg “data is niets” is uiteindelijk dat je geen enkel rechtsmiddel hebt om een kopie van je data op te eisen dat zo ongeveer onder alle omstandigheden werkt. Bij gewoon eigendom kan dat wel, de revindicatie van artikel 5:2 BW. Er moet wel iets heel bijzonders zijn wil je je eigendom niet kunnen terugkrijgen. En omdat data zo belangrijk is tegenwoordig én tegelijkertijd bij online diensten van anderen ligt, is dit wel een heel groot gevaar om je van bewust te zijn. Zorg dus dat je gewoon een kopie hebt van die data, en denk niet “oh het is mijn data dus ik eis ‘m wel op als het nodig is”.

Arnoud