Raad van State: Tweede Kamer hoeft broncode van debat-app niet openbaar te maken

| AE 12600 | Informatiemaatschappij | 1 reactie

De Tweede Kamer hoeft de broncode van de Debat Direct-app definitief niet openbaar te maken, meldde Tweakers donderdag. Dit is de einduitspraak in die zaak van laatst, waarin een IT’er al sinds 2018 probeert toegang te krijgen tot de broncode van de Debat Direct app van het parlement. De Raad van State oordeelt nu dat dit niet kan, omdat de ingezette wetten – de Wob en de Wet hergebruik overheidsinformatie – niet van toepassing zijn op de Tweede Kamer als orgaan. Het artikel bij Tweakers gaf vele reacties, inclusief speculatie waarom de overheid toch zo moeilijk zou doen met het achterhouden van deze informatie. Die nota bene feitelijk al online staat, want het is Javascript.

Mijn gevoel bij de zaak is dat men dacht, een Apple + Android app én een webapp dan kan iedereen erbij. Er is dan geen reden om ook nog de API’s vrij te geven. Misschien kortzichtig/naïef, maar ik zie het praktijkgerichte argument wel dat “iedereen er nu toch naar kan kijken”? De vraag om API’s is marginaal te noemen.

Je houdt dan het principiële punt over, en dat is natuurlijk een zeer geliefde kluif voor juristen. (Wat zegt een advocaat in een contractenzaak als eerste? “Pacta sunt servanda”. En als tweede? “Dit lijkt een eenvoudig geschil, maar het gaat om het principe”. De rechter weet dat het dan een lange dag gaat worden.)

Bij een principieel punt moet natuurlijk je algemene regels aandragen om je zaak te onderbouwen, en dan gaan andere belangen meespelen. Zoals hier, als je zegt “in principe heeft de burger recht op de broncode” dan moet je een wet zoals de Wet hergebruik overheidsinformatie erbij slepen. En dan is er een principieel verweer: de TK valt buiten die wet. Je wilt dan niet als TK het precedent scheppen dat je voor software wél onder die wet valt. Waarom niet? Uit principe niet. Dat werkt twee kanten op.

Vervolgens liet men de advocaten los en die zijn vanuit dat principieel verweer gaan terugvechten. Er is dan niemand die een stap terugdoet, zoals door te zeggen “jongens alles stáát al online” of “weet je wat, hier is een API definitie en onze endpoint staat hier, zullen we de rest van het geld besteden aan wat nuttigs”. Want het ligt onder de rechter, dus blijf je eraf.

Zoals ik wel vaker zeg, geen complot veronderstellen waarin simpele incompetentie of naïviteit genoeg is als verklaring.

Arnoud

Ombudsman over probleem etnisch profileren: draai bewijslast om

| AE 12589 | Informatiemaatschappij, Regulering | 81 reacties

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in hoeverre etniciteit daarbij een rol heeft gespeeld. Hiermee wordt voorkomen dat de burger zelf moet aantonen dat een uitkomst op basis van verboden etnisch profileren is gerealiseerd, iets wat gezien de black box van overheidsbesluiten vaak onmogelijk is. Sommigen zouden zeggen dat de AVG dit al eist.

Etnisch profileren is het gebruik van criteria als ras, huidskleur, nationaliteit, taal, geloof of afkomst bij opsporing of rechtshandhaving terwijl dat niet objectief te rechtvaardigen is, zo valt te lezen in het rapport “Gekleurd beeld” dat eerder deze week verscheen. Daarbij doet het er niet toe of dit de bedoeling was (zoals bij de toeslagenaffaire) of dat het een onbewuste bijkomstigheid is van bijvoorbeeld data-gedreven opsporing – dat de data een bepaalde wijk aanwijst, omdat de postcodes sterk correleren met een etnische verdeling. Waar het om gaat, is dat we als samenleving niet op basis van deze criteria willen handelen, ook al lijken ze goede voorspellers van het te bestrijden gedrag.

De reden is natuurlijk simpel: deze criteria zijn geen voorspellers.

Desondanks blijft het idee hardnekkig, met name nu we steeds vaker met data-analyses werken die dan objectief zouden zijn. Want ja, als uit de data blijkt dat criminelen vaker uit regio X komen, dan is dat een feit toch? Dan mag je daar best op sturen, toch? Nou ja, nee: je handelt dan omgekeerd, uit die data volgt niet dat mensen met afkomst uit regio X significant vaker crimineel zijn. Om eens wat te noemen. En zelfs als de correlatie beide kanten op klopt, dan nog heb je waarschijnlijk een onderliggende factor over het hoofd gezien. Net zoals ze in Maine al jaren het aantal echtscheidingen terugdringen door margarineconsumptie te bestrijden. De cijfers zijn overtuigend, immers.

Daar komt natuurlijk bij dat de AVG het gebruik van deze bijzondere persoonsgegevens eenvoudig verbiedt, tenzij met heel goede reden die wettelijk is vastgelegd (en met waarborgen). Nou, dat kun je vergeten.

En dan komen we bij het punt van de bewijslast. Inderdaad moet je normaal als burger aantonen dat je onrecht is aangedaan, en dat is lastig bij zoiets groots als een onderzoek naar uitkeringsfraude (want een fraudepercentage van 0,2% van de uitkeringen is natuurlijk een hele goede reden voor strikte handhaving, dit in tegenstelling tot zeg btw fraude die qua Europese omvang gelijk is aan het totaal van de uitkeringen in Nederland). Maar de AVG draait de bewijslast zelf al om, het voor mij cruciale artikel 5 lid 2:

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen (“verantwoordingsplicht”).
Dit betekent dus dat je te allen tijde in staat moet zijn om uit te leggen hoe je tot bijvoorbeeld je keuze voor nader onderzoek bent gekomen. En dan mag het niet blijven bij mooie woorden over zorgvuldig gekozen datasets of historisch gevalideerde gegevens maar moet er echt een stappenplan bij, hoe kwam de conclusie tot stand en welke gegevens zijn daar precies bij gebruikt. Een simpele is “een willekeur-generator zegt bij 10% van de mensen ‘Nader controleren’ en dat was u”. Maar wat ook kan, is zeggen “we hebben alle uitkomsten gecorreleerd met etnische afkomst en zagen geen uitschieters”, daarmee toon je ook aan dat daar niet naar wordt gekeken.

Wat de meeste mensen willen, is gehoord worden en excuses krijgen als het misgegaan bleek:

De wijkagent kan als wit persoon nooit weten hoe het is. Maar hij kan wel zeggen: wat vervelend en naar dat dit u is overkomen. Dat hij mij het gevoel geeft: ik hoor u en zie u. Ik kan het niet oplossen, maar wel uw verhaal serieus nemen.
Helaas blijkt nou juist dát het moeilijkste om voor elkaar te krijgen. Maar misschien als we beginnen met die data-analyse en omgekeerde bewijslast, dat we dan de goede richting op geduwd worden.

Arnoud

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke taak viel. De bedrijven werden ook werkelijk gehackt met deze zwakheid, iets dat dus voorkomen had kunnen worden.

Tweakers legt uit dat het ging om de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, die online werden gepubliceerd nadat ze door exploitatie van een lek in deze VPN software werden verkregen. Beveiligingsonderzoeker Matthijs Koot (hoi) lichtte het NCSC in, omdat ook Nederlandse bedrijven er tussen stonden. Maar die deed er dus niets mee.

In het FD licht de dienst dit toe:

Binnen de ‘juridische mogelijkheden’ heeft het NCSC er alles aan gedaan om organisaties te informeren, e-mailt een woordvoerder van Justitie. Maar ‘organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.’ Ook nu bekend is dat de bedrijven daadwerkelijk zijn gehackt, worden ze dus niet op de hoogte gebracht.
Het probleem is dat er juridisch zoiets is als een vitale organisatie. Deel van het takenpakket van het NCSC is dat men alleen deze instanties mag informeren. Daarmee is er dus geen bevoegdheid om ook andere bedrijven te informeren.

De achterliggende logica snap ik niet helemaal, ik zie in de wet geen hard verbod op het informeren van een niet-vitale organisatie maar dat ligt vast aan mij. Ik kan me hooguit voorstellen dat je niet ieder lek aan ieder bedrijf wil melden, al is het maar omdat je niet zeker weet wie wel of niet lek is en het mogelijk héél veel belletjes worden als je voor iedere WordPress-vulnerability iedere slager met blog moet gaan bellen. Maar iets van een inhoudelijke afweging moet toch niet zo’n groot probleem zijn?

Arnoud

 

Keurig betaald met de parkeer-app en toch een bekeuring

| AE 12132 | Privacy | 30 reacties

Twee jaar geleden parkeerde rechtenhoogleraar Corien Prins haar auto in de Utrechtsestraat in het centrum van Tilburg, zo opende NRC een juridisch artikel. Ze betaalde met haar parkeer-app, die aangaf dat ze daar een uur mocht staan. Maar dat bleek niet te kloppen en ze kreeg een boete. Ja mevrouwtje, zo gaat het verhaal dan,… Lees verder

Politiek wil waakhond op algoritmes, maar ik heb liever een keurmerk voor de trainingsdata

| AE 11336 | Innovatie | 14 reacties

De Nederlandse politieke partijen D66 en CDA roepen het kabinet dinsdag in een motie op toezichthouder op te zetten die het gebruik van algoritmes bij de overheid in de gaten houdt. Dat las ik bij Tweakers maandag. De macht van algoritmes is een steeds grotere angst aan het worden: ze zijn niet transparant, ze kunnen… Lees verder

Overheidssites scheppen verwarring met cookies van Google Analytics

| AE 11206 | Privacy | 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren,… Lees verder

Rechter oordeelt dat Trump op Twitter geen gebruikers mag blokkeren

| AE 10610 | Informatiemaatschappij | 40 reacties

President Donald Trump mag op Twitter geen gebruikers blokkeren, omdat dit in strijd is met de Amerikaanse grondwet. Dat meldde Nu.nl vorige week. “Op die manier wordt de vrijheid van meningsuiting daadwerkelijk, hoewel bescheiden, ingeperkt. Meer is er niet nodig om de grondwet te schenden.” aldus de rechtbank. Wanneer de overheid immers de burger toegang… Lees verder

Steeds meer Nederlanders lezen aanmaningen en berichten in MijnOverheid niet

| AE 9667 | Informatiemaatschappij | 61 reacties

Steeds meer Nederlanders lezen de berichten in de Berichtenbox van MijnOverheid niet, meldde Tweakers afgelopen woensdag op gezag van de Ombudsman. Daardoor krijgen die mensen waarschuwingen en aanmaningen niet onder ogen, wat tot gevolg kan hebben dat rekeningen oplopen en ze in de schulden belanden. Maar hoera, er komt een app dus alles wordt beter…. Lees verder

Mogen onze politici mensen op social media blokkeren?

| AE 9575 | Uitingsvrijheid | 17 reacties

Amerikaanse politici mogen van een rechter in de staat Virginia geen mensen blokkeren op sociale media, las ik bij Nu.nl. Dit is strijd met het 1st Amendment, de vrijheid van meningsuiting, omdat politici in een openbaar forum niet zomaar mensen mogen verbieden hun mening te uiten. En daaronder valt ook het als politicus jezelf afschermen… Lees verder

De overheid gaat mijn privacypolicygenerator kapodtconcurreren!

| AE 7550 | Privacy | 24 reacties

Het ministerie van Economische Zaken komt halverwege 2015 met een online dienst waarmee bedrijven hun privacyvoorwaarden kunnen versimpelen en transparanter kunnen maken, las ik bij Nu.nl. De dienst wordt ingezet omdat veel Nederlanders aangeven voorwaarden en het privacybeleid van online diensten die zij gebruiken niet lezen, met name (36%) omdat de tekst te lang is… Lees verder