Een NDA in je bug bounty stoppen is een heel slecht idee, ook voor Uber

OpenClipart-Vectors / Pixabay

Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees naar het lek als een “geplande securitytest”. En dat is dan net nadat ik twee bedrijven (zakelijk) heb moeten overtuigen dat je ethical hackers géén NDA moet voorleggen als ze je ongevraagd een potentieel datalek komen melden.

In 2016 liet Uber een fors datalek gebeuren, met kort daarna nog eentje. (Ik vind “was hit by a data breach” geen gepaste tekst, het is geen meteoor maar nalatigheid, kom nou.) Bij die laatste wilden de hackers een ton aan losgeld, anders zouden ze de data op internet zetten. “Information is extremely sensitive and we need to keep this tightly controlled,” zo besloot men intern. Toenmalig Uber security chief Joe Sullivan handelde ook daarnaar: hij onderhandelde met de hackers en liet ze een bug bounty contract tekenen, in ruil voor een ton die in bitcoin werd betaald.

Dat was in zoverre onhandig dat de FTC na dat eerste datalek een onderzoek had ingesteld en van plan was Uber met een schikking weg te laten komen. Toen dat tweede datalek een jaar later alsnog uitkwam, kwam daar natuurlijk weinig meer van terecht.

Nu kan het natuurlijk gebeuren dat iemand een datalek ontdekt en dat meldt, om aanspraak te maken op de financiële beloning – bug bounties – die een bedrijf uitlooft. Ook Uber doet dat: tot tienduizend dollar kun je verdienen met je tip over een datalek. Maar daar is een aparte website en procedure voor, en je krijgt het geld dan ook gewoon overgemaakt. Deze manier van afhandelen riekt dan dus ook niet naar een gewone bountyclaim.

Het blijkt echter wel staande praktijk om tipgevers aan een dikke geheimhouding te binden, en ik vind dat dus raar. Ja, als je iemand inhuurt dan kun je voorwaarden onderhandelen en geheimhouding is dan een prima onderhandelpunt. Maar wanneer iemand van buitenaf komt aanwaaien, dan moet dat zeker geen voorwaarde zijn. (Een tijdelijke, redelijke periode zodat je het lek kunt dichten is natuurlijk wél prima.) Het schrikt mensen af, ondanks dat het niet bindend is, en het laatste wat je zou moeten willen als organisatie is dat een tipgever liever de pers belt dan jouw organisatie.

Arnoud

Als de inspecteurs binnenvallen, gaan bij Uber alle schermen op zwart

Als Uber in 2014 in Europa wil starten met taxidienst Uberpop, ontstaat er een strijd met de autoriteiten om deze dienst die gebruikmaakt van chauffeurs zonder vergunning te legaliseren. Dat meldde het FD onlangs. “Please hit the kill switch ASAP … Access must be shut down in AMS‘. Zo citeert men dan Uber CEO Travis Kalanick, die geschrokken reageert op een inval van de Inspectie Leefomgeving en Transport, die toezicht houdt op de taxidiensten. De schermen gaan dan ook op zwart, zodat niemand nog bij de informatie kan. Dat zou stevige juridische gevolgen moeten hebben.

Uit gelekte interne stukken blijkt dat Uber tot het uiterste gaat om Uberpop – haar illegale snordersdienst gepromoot als Web 2.0 sociale deeldienst – erdoor te drukken. Inclusief de inzet van Neelie Kroes, over wiens pro-Uber tweet ik me al in 2014 verbaasde omdat ze toen nog Eurocommissaris was. Maar dat terzijde. Zoals FD zegt, het was “direct duidelijk dat de taxidienst verboden is, en alleen een wetswijziging [kan] Uberpop uit de illegaliteit houden.” En de toezichthouder mag ze daar aan houden, en kan desnoods een inval doen om de bewijzen te verzamelen.

Uber ziet dat uiteraard anders, maar krijgt tot mijn (positieve) verrassing van Zuidaskantoor De Brauw te horen dat je daar echt aan moet meewerken.

Wat de advocaten niet lijken te weten, is dat Uber nog een plan achter de hand heeft om de handhaving te frustreren: het blokkeren van alle computers tijdens een inval. En dat is precies wat Uber eind maart en begin april 2015 tijdens twee invallen door de ILT doet. ‘Het lijkt er sterk op dat hier de wet is overtreden’, zegt Brendan Newitt, advocaat bij De Roos & Pen. ‘De toegang tot informatie is vergrendeld. Daarmee werkte Uber niet mee aan de vordering van de inspecteur. Dat is een economisch delict en ook een strafbaar feit vanuit het strafrecht. De administratie moet beschikbaar en inzichtelijk zijn.’
Dit is typisch zo’n nieuw probleem dat dankzij ict ontstaat. Vroeger stond je administratie op papier ergens in een kamer. Maar heel weinig bedrijven hadden dan een mega-versnipperaar of houtkachel paraat om alles te verbranden, en wie dat overwoog wist in ieder geval heel zeker dat hij iets deed dat niet de bedoeling was. Met ict middelen lijkt het allemaal minder erg, waardoor je vaker over dit soort trucs leest.

Het deed me denken aan de actie van Centric-directeur Gerard Sanderink, die zijn telefoon op afstand liet wissen bij een inval. Dat kostte hem een miljoen aan dwangsommen. Verschil is hier: dit is een inval door een toezichthouder in het kader van handhaving van een wet, geen actie in het kader van een civiel geschil. De medewerkingsplicht is een stuk groter en de straffen ook een stuk ernstiger. Kort gezegd, als je een inval van een toezichthouder krijgt dan werk je mee en verschaf je alle informatie (art. 5:20 Algemene wet bestuursrecht). Dat betekent dus ook dat je wachtwoorden verstrekt, toegang geeft tot databases en wat er maar nodig is. Dit is bestuursrecht, “tegen jezelf getuigen” is daarbij geen argument. De straf kan tot drie maanden cel oplopen, en dwangsommen kunnen worden opgelegd tot alle informatie wordt verstrekt.

Ook is het strafrecht hier in beeld, nu het gaat om het niet toegankelijk maken van de administratie. Vorig jaar werd nog een ondernemer veroordeeld tot een taakstraf voor het niet voeren van een administratie, een collega kreeg een boete van 4000 euro. Dat waren kleine ondernemers, de theoretische maxima zijn vier jaar cel of € 22.500 boete. Heel erg in theorie zou Nederland nu een verzoek tot uitlevering van Kalanick kunnen doen, zowel in de VS als hier is het immers strafbaar om je administratie te verhullen. Maar dan moet de politieke wil wel heel erg groot zijn.

Arnoud

Hoe geautomatiseerd is de besluitvorming van Uber nu eigenlijk?

Vorige week verschenen drie uitspraken tegen Uber bv, waarin chauffeurs inzage in hun persoonsgegevens vroegen alsmede uitleg over de geautomatiseerde besluitvorming die het bedrijf zou toepassen. De uitspraken zijn fors en pittig, maar laten mooi zien hoe je als rechter de grenzen trekt tussen al dan niet toelaatbare besluitvorming.

De kern van het geschil werd veroorzaakt door deze passage in de privacyverklaring van Uber:

We use personal data to make automated decisions relating to use of our services. This includes: (…) Deactivating users who are identified as having engaged in fraud or activities that may otherwise harm Uber, its users, and others. In some cases, such as when a user is determined to be abusing Uber’s referral program, such behavior may result in automatic deactivation.”
Dit zagen we ook terug in de rechtszaken over de werknemer-status van chauffeurs; het geautomatiseerd gezag over personeel was een belangrijke factor. En het meer algemene punt is dat je niet zomaar geautomatiseerd gezag mag uitvoeren, dus op zijn minst moet je dan uitleggen wat je wel of niet automatisch doet.

In de eerste zaak ging het om de zogeheten “fraud probability score”, deel van het bedrijfsproces van Uber om frauderende chauffeurs tegen te gaan. Een voorbeeld daarvan is chauffeurs die via technische trucjes achterhalen welke bestemming een klant heeft voordat deze ingestapt is, zo kun je de weinig lucratieve ritjes mijden. Maar hoe komt die score tot stand, wanneer ben je een “fraudeur” volgens Uber? Maar helaas:

Bij toepassing van de ‘fraud probability score’ is sprake van profilering in de zin van artikel 4 onderdeel 4 AVG. Door geautomatiseerde verwerking van persoonsgegevens van [verzoekers] wordt immers een risicoprofiel opgesteld waarmee een voorspelling wordt gedaan over hun gedrag en betrouwbaarheid. [verzoekers] hebben evenwel niet gesteld en evenmin is gebleken dat op basis van dit risicoprofiel ten aanzien van hen geautomatiseerde beslissingen zijn genomen. De rechtbank gaat er daarom vanuit dat geen sprake is van geautomatiseerde besluitvorming in de zin van artikel 22 AVG.
Kennelijk wordt het profiel alleen gebruikt als stukje voorbereidende informatie voor menselijke fraudespeurders. We zien verderop een meer veelbelovende aanpak: ronkende persberichten dat Uber AI inzet om raar gedrag van chauffeurs op te sporen. Hoe meer geautomatiseerd dan een AI wil je het hebben? Maar wederom, helaas:
Volgens [verzoekers] volgt uit een persbericht dat het systeem is gebaseerd op kunstmatige intelligentie en ‘machine learning’. Daarmee is naar het oordeel van de rechtbank nog niet gezegd dat sprake is van geautomatiseerde besluitvorming zoals bedoeld in artikel 22 lid 1 AVG. Bovendien is daarvoor vereist dat ook sprake is van rechtsgevolgen of dat [verzoekers] anderszins in aanmerkelijke mate door het geautomatiseerde besluit worden getroffen. Een toelichting op dit punt ontbreekt.
Het gaat dus mis op de vraag wat er gebeurt met de uitkomsten van die automatische analyse. We zien dit ook terug in de tweede zaak, waarin het ging om je account kwijtraken wanneer Uber kennelijk automatisch concludeert dat je fraudeert.
Van een uitsluitend op geautomatiseerde verwerking gebaseerd besluit is sprake indien er geen betekenisvolle menselijke tussenkomst is in het besluitvormingsproces. In de Richtsnoeren is vermeld dat om daadwerkelijke menselijke tussenkomst te realiseren de verwerkingsverantwoordelijke ervoor moet zorgen dat al het toezicht op de besluitvorming zinvol is, en niet slechts een symbolische handeling vormt. Deze tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen. Hij moet alle relevante gegevens in zijn analyse betrekken.
Uber blijkt zo’n menselijke tussenkomst wel te hebben: haar EMEA Operational Risk team. Die blijken de output van het automatische systeem te krijgen als signaal, en gaan dan met eigen indicatoren zoeken en vervolgens conclusies trekken. Dat is dus zeker geen geautomatiseerde besluitvorming, althans zo klinkt het niet. Ja, ik klink wat skeptisch maar dat is omdat ik gewend ben dat mensen vrij strak achter de indicaties aanlopen – als de computer zegt dat het een fraudeur is, dan zijn er vast indicaties te vinden die dat bewijzen, en dan zijn we er. Dit is niet hetzelfde als “eens zien of chauffeur X een fraudeur is”.

Wat wél automatisch gaat, is dat je account bevroren wordt totdat dat EMEA Operational Risk team haar onderzoek heeft afgerond, of op zijn minst tot jij contact opneemt:

Gelet op deze toelichting van Uber gaat de rechtbank ervan uit dat het besluit om de toegang tot de Driver app na een fraudesignaal tijdelijk te blokkeren automatisch, zonder menselijke tussenkomst, wordt genomen. Deze tijdelijke blokkade heeft echter geen langdurig of blijvend effect, zodat het geautomatiseerde besluit geen rechtsgevolgen heeft of de chauffeur in aanmerkelijke mate treft.
Een bekend probleem dat de rechter wél adresseert is dat er te weinig transparantie is. Waarom vond het algoritme dat deze chauffeur frauduleus zou handelen? Welke factoren wogen mee, wat is er gebeurd? En dan is “dat is bedrijfsgeheim” of “we willen fraudeurs niet wijzer maken dan ze zijn” geen argument onder de AVG.
Op basis van de informatie die Uber heeft gegeven kunnen zij niet controleren welke persoonsgegevens Uber heeft gebruikt in het besluitvormingsproces dat tot dit besluit heeft geleid. Hierdoor is het besluit tot deactivering van hun accounts onvoldoende inzichtelijk en controleerbaar. Dit heeft tot gevolg dat Uber aan [verzoeker 2] en [verzoeker 4] op grond van artikel 15 AVG inzage moet verstrekken in hun persoonsgegevens voor zover die ten grondslag hebben gelegen aan het besluit tot deactivering van hun accounts, op zodanige wijze dat zij in staat zijn de juistheid en rechtmatigheid van de verwerking van hun persoonsgegevens te controleren.
En in de derde zaak wordt de discussie over automatische besluitvorming eveneens afgewezen wegens een te beperkte onderbouwing van de eisende partijen. Wel interessant daar nog de vraag over inzage in je gegevens in een standaardformaat – de eisers wilden een CSV bestand, om zo zelf de data te kunnen onderzoeken (neem ik aan).

Dat is een recht als je persoonsgegevens opvraagt, wanneer die onder toestemming of uitvoering overeenkomst zijn verstrekt. Maar dat is meteen ook beperkt tot gegevens die jij dan verstrekt, niet over gegevens die het bedrijf zelf verzamelt of maakt op basis van wat je aanlevert. En daar gaat het dus mis, want de gevraagde gegevens voldoen niet aan deze beperkte eis.

Alles bij elkaar dus ben ik vooral teleurgesteld over de beperkt onderbouwde eisen, de uitspraken zijn zelf goed onderbouwd en bevestigen de lijn die we al zagen. Maar praktisch komen we niet héél veel verder zo.

Arnoud

Uber en Lyft hoeven chauffeurs in Californië niet als werknemer te behandelen

Techbedrijven als Uber en Lyft hebben een belangrijke overwinning gehaald in de Amerikaanse staat Californië, meldde Nu.nl vorige week. De zogeheten Proposition 22 werd aangenomen, waardoor ride sharing platforms zoals Uber en Lyft uitgezonderd worden van de eerder aangenomen wet om gig economy-hulpjes als werknemer te behandelen. Dat scheelt de platforms 100 miljoen dollar aan kosten, hoewel ze wel minimumtarieven moeten betalen en een toelage voor ziektekosten te betalen, naar rato van de gewerkte uren.

De status van chauffeurs en bezorgers onder de wet is al een paar jaar onderwerp van forse discussie. Hebben we het over bijklussende parttime ondernemers, of juist over werknemers die met slinkse trucs buiten de beschermde arbeidswetgeving worden gehouden? Natuurlijk begonnen al die platforms als “even een centje bijverdienen” voor mensen die dat wilden, maar als je voor je inkomen zo goed als afhankelijk bent van zo’n platform én die clubs dicteren vrij gedetailleerd hoe je moet werken, dan vindt de wet daar wat van.

In Nederland blijft dit een langlopende discussie, maar in Californië pakten ze het wat voortvarender aan: daar werd gewoon een wet aangenomen die zulke hulpkrachten gewoon als werknemer aanmerkt. Klaar, geen discussie meer. Alleen wel gelijk een berg lobbywerk natuurlijk, wat dus leidde tot initiatiefswetsvoorstel 22 (de nummering is arbitrair geloof ik) waarin Uber en Lyft juist een uitzondering bedongen:

(…) an app-based driver is an independent contractor and not an employee or agent with respect to his or her relationship with a network company if the following conditions are met:

Die voorwaarden komen neer op (1) niet voorschrijven op welke tijden je moet werken, (2) niet verplicht elke klus aannemen, (3) niet uitsluitend voor dit ene bedrijf werken en (4) niet verbieden dat men andersoortig werk er naast heeft. Ik denk dat je met zo’n definitie ook in Nederland een heel eind komt, aangezien ook bij ons een werknemer iemand is die tijden voorgeschreven krijgt en moet doen wat de baas zegt (en gewoonlijk ook niet elders mag werken).

Wel weer een opsteker zijn dus die minimumtarieven, maar ook het feit dat het contract niet mag worden opgezegd behalve vanwege redenen die in het contract staan, waarbij er ook nog een appeals proces moet zijn binnen het bedrijf. Ook mogen fooien niet worden opgeëist door het bedrijf.

Arnoud

Uber laat passagiers audio opnemen als ze zich niet op hun gemak voelen, mag dat?

Uber test een nieuwe functie die passagiers audio laat opnemen wanneer ze zich niet op hun gemak voelen tijdens een rit. Dat las ik bij Tweakers. De opname wordt verstuurd naar Uber, zodat die de opname als bewijs kan dienen mocht dat nietpluisgevoel in verband staan met een daadwerkelijk onrechtmatig handelen. Creatief idee, al is het nog niet duidelijk hoe breed het zal worden ingezet. Maar het riep meteen bij mensen de vraag op of dat wel mag, zo stiekem de conversatie met de chauffeur opnemen enkel omdat jou het niet bevalt.

Bij het opnemen van gesprekken heb je in de praktijk te maken met zowel de AVG als de strafwet. Eerst maar die laatste. In veel landen (waaronder alle Europese landen en de VS) is het strafbaar om gesprekken van anderen op te nemen of stiekem af te luisteren met apparatuur. Iets ingewikkelder wordt het wanneer je zelf gesprekspartner bent. Dan verschilt het nogal per land of dat mag of niet.

In Nederland is de wet duidelijk: het is alleen strafbaar een gesprek op te nemen als je daar geen deelnemer aan bent – en ook niet opdracht van een deelnemer hebt om dat te doen. Maar in bijvoorbeeld Duitsland is het ook strafbaar om je eigen gesprekken op te nemen, tenzij de wederpartij daarmee instemt. (Wikipedia heeft een lijst per land.) Het is me niet duidelijk hoe ‘papier’ die wetten zijn, het voelt nogal cru dat je een slachtoffer van aanranding in de taxi gaat vervolgen wegens illegaal opnemen en de chauffeur vrijuit laat. Ik heb zoals u leest wel hele grote moeite met dit soort wetten, vanwege de bewijsnood die het vaak geeft en de botsing die je (mede daarom) met de vrijheid van informatiegaring krijgt.

De AVG kan ook een rol spelen, maar die is beperkt. Je eigen gesprekken opnemen is een verwerking van persoonsgegevens – van je gesprekspartner immers. Maar wie dat enkel doet om voor zichzelf dat gesprek vast te leggen (als bewijs dat er iets toegezegd is, dat er een bedreiging langskwam of iets dergelijks) die handelt daarmee voor strikt eigen huishoudelijk gebruik. Daarop is de AVG dan in het geheel niet van toepassing. (Zou je die opname gaan publiceren, dan geldt de AVG wel maar kom je wellicht in de journalistieke exceptie terecht.)

Zou de chauffeur deze functie gebruiken, dan wordt dat anders. Weliswaar kan die ook prima behoefte hebben aan een gespreksopname, want ook chauffeurs worden bedreigd, aangerand, uitgescholden of opgelicht (“geef me korting of ik geef je maar één ster”), maar een chauffeur handelt bedrijfsmatig en zijn verwerkingen van persoonsgegevens vallen dan wél gewoon onder de AVG. Hij zou dus op de taxi een sticker moeten doen dat er opnames in de taxi gemaakt worden, en een reglement hebben wat daarmee gebeurt. Ook als het een zzp’er is.

Voor Uber zelf is me nog niet duidelijk hoe het uitpakt. Als ze de opname alleen bewaren ten behoeve van de passagier, dan stellen ze zich op als verwerker en dan lijkt me er verder weinig mis mee. (Ik moet een examenvraag maken over de verplichtingen van een verwerker voor een niet onder de AVG vallende partij voor mijn opleiding senior privacyjurist.) Maar ik krijg het gevoel van dat tekstje dat Uber zélf gaat beslissen wanneer de opname wordt vrijgegeven en waarvoor, en dat zou maken dat ze zelf de verantwoordelijke worden (mogelijk samen met de passagier). In dat geval valt de opname wél onder de AVG en dan moet de app duidelijk aan de chauffeur maken dat er wordt opgenomen.

Arnoud

Autoriteit Persoonsgegevens beboet Uber voor te late melding datalek

Taxibedrijf Uber heeft een boete van 600.000 euro gekregen van de Autoriteit Persoonsgegevens. Dat meldde Tweakers eerder deze week. Uber was te laat met het melden van een datalek, dat de gegevens van 174.000 Nederlandse klanten en chauffeurs betrof. De boete is lager dan je onder de AVG zou verwachten, maar dat komt omdat het datalek onder de oude Nederlandse wet werd uitgedeeld. Verrassend daarbij is dat de hostingpartij van Uber eveneens aangesproken wordt, en wel als zelfstandig verantwoordelijke. Dit terwijl gewoonlijk hosters juist als verwerker worden gezien die de data beheren in opdracht van hun klanten.

Het meest opmerkelijke aspect van het lek vond ik nog dat Uber bewust het lek onder de pet hield: de hackers die het datalek hadden gevonden, kregen een ton in dollars betaald om het maar geheim te houden. Dat is nou net niet de bedoeling onder de meldplicht datalekken, vandaar dat de boete relatief hoog uitviel. Terecht, wat mij betreft. Ook in Engeland vielen boetes, mede om die reden.

Wat mogelijk nog een dingetje wordt, is dat in het boetebesluit hostingbedrijf UTI eveneens wordt aangesproken voor het datalek. Dit omdat zij (mede)verantwoordelijke is voor de verwerkingen rondom de hosting van de gegevens, waarbij de beveiliging niet op orde bleek. En dat is raar, want de standaardopvatting is dat hosters slechts verwerkers zijn. Ze handelen in opdracht en doen wat de klant zegt, niet meer en niet minder.

In dit geval ging UTI echter wel verder dan gewoon klassiek hosten. Zo nam het bedrijf zelf beslissingen over de beveiliging en de wijze van opslag. Maar het belangrijkste nog is dat UTI en Uber gezamenlijk besloten wat er precies moest gebeuren. Dat is geen klassieke klant/leverancier relatie maar klinkt meer als een strategisch partnerschap. En dan is het niet zo gek dat er een vermoeden ontstaat dat je samen beslist voor welke doeleinden (en met welke middelen) je persoonsgegevens online zet.

Wat volgens mij de doorslag gaf, is dat UTI ook naar buiten trad als de aanbieder van de Uber-app (haar naam stond er in de appstore bij) en zelfstandig besloot hoe om te gaan met het datalek. Dan positioneer je jezelf wel heel erg in de rol van de eindbeslisser. Dat er dan een verwerkersovereenkomst is die wat anders zegt, helpt dan verder niet meer.

Hosters die nu denken, ik sla data op en beslis hoe deze te beveiligen dus ik ben verantwoordelijke, zo snel gaat het niet. Het blijft een afweging uit de totaliteit van omstandigheden. Een hoster die generieke software heeft voor beheer van gegevens en met zijn klant duidelijk afspreekt waar die aan toe is, zal weinig te vrezen hebben. Ook als je zelf je beveiligingsbeleid opstelt – zorg er voor dat de klant dit mag reviewen en er formeel al dan niet mee akkoord gaan, en je komt al een heel eind.

Beheer je clouddiensten of SaaS en bepaal je dus ook precies wat de software gaat doen, dan geldt deze les voor alles dat je aan de software toevoegt. Een klantendag voor elke nieuwe feature (of een stemmingsronde met unanimiteit) gaat te ver, maar zorg er wel voor dat de klant weet wat hij gaat krijgen en daar wat van kan vinden.

Arnoud

Hoe aansprakelijk is die Uber-auto voor die dodelijke aanrijding?

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk blijkt dat de auto of haar bestuurder toch meer te verwijten valt. En meer algemeen, wat doen we met de aansprakelijkheid van zelfrijdende voertuigen?

Het ongeval van afgelopen maandag lijkt een lastig te voorkomen incident geweest te zijn. Een vrouw stak op een onverwacht moment plotseling over met een fiets waar een hoop tassen aan hingen. De auto remde niet (en bleek iets te hard te rijden). “Het is duidelijk dat het moeilijk was geweest om een aanrijding te voorkomen, afgaand op de manier waarop het slachtoffer uit de schaduw de weg op liep.” Aldus de voorlopige conclusie van de politie.

In die omstandigheden zou denk ik in Nederland voor een gewone auto met bestuurder denk ik toch wel aansprakelijkheid ontstaan. De lat ligt namelijk erg hoog, en je moet altijd rekening houden met onverwachte zaken zoals overstekende personen. Een strafrechtelijke vervolging lijkt me uitgesloten maar de schade zul je (via de verzekering) toch denk ik wel moeten betalen.

Hoe een autonome auto precies in dat plaatje past, is nog niet echt duidelijk. Onze wetgeving kent het concept niet van een auto die zelf rijdt, maar gaat er vanuit dat er altijd een mens het stuur vasthoudt en de pedalen bedient (behalve indien relevante ontheffingen zijn verleend bij gehandicapte bestuurders). Het zou dus geen argument zijn dat de auto zelf besloot te remmen of juist door te rijden.

Ik ben er nog niet uit wat voor wetswijziging nodig zou zijn om dit op te lossen. Het voelt raar dat we een autonome auto aansprakelijkheidstechnisch anders behandelen dan een mensenbestuurde auto. Maar ze hetzelfde behandelen voelt óók gek want de werking is wezenlijk anders.

Misschien moeten we gewoon de hele vraag van aansprakelijkheid loslaten. We eisen dat auto’s zorgvuldig geprogrammeerd zijn maar verklaren auto-ongelukken te allen tijde als overmacht, waarbij de schade wordt betaald uit een fonds waar iedereen verplicht aan meebetaalt. Dan ben je de hele discussie kwijt én is iedereen zeker van zorg en vergoeding bij schade.

Arnoud

Uber is een taxidienst, geen digitaal deelplatform

Het bedrijf Uber is een taxidienst met een app, geen bemiddelingsplatform. Dat blijkt uit het arrest van het HvJ van 20 december vorig jaar. De uitspraak volgt op vragen uit 2012 van de Spaanse rechter in een zaak aangespannen door een concurrent. Door deze uitspraak is het duidelijk dat de diensten van Uber als iedere andere taxidienst mogen worden gereguleerd, de hippe app-interface en alle mooie woorden over de deeleconomie ten spijt.

Uber is al jaren verwikkeld in een hevige strijd met taxibedrijven en toezichthouders. Zij ziet zichzelf als een exponent van de nieuwe economie, waarbij bedrijven bemiddelen tussen aanbieders en afnemers maar zelf inhoudelijk geen rol hebben bij de diensten die vervolgens worden afgenomen. Die discussie is een moeilijke, maar nu lijkt het Hof de knoop wel doorgehakt te hebben.

In deze Spaanse zaak was de vraag in essentie of Uber aan te merken was als een vervoersdienst, een in het EU-verdrag speciaal geregelde categorie van diensten. Normaal mogen diensten niet zomaar worden gereguleerd vanuit het oogpunt van een vrij verkeer van diensten, maar specifiek bij vervoers- en taxidiensten kan dat wel.

Uber verweerde zich met een beroep op de E-commercerichtlijn: zij bood immers een dienst waarbij op afstand mensen met elkaar informatie uitwisselden, waarbij Uber niet bepaalde welke informatie dat was. Een dienst van de informatiemaatschappij, in het jargon. Die kwalificatie heeft een aantal belangrijke gevolgen, zoals dat je niet aansprakelijk bent voor de inhoud, maar voor Uber ook belangrijk: zo’n informatiedienst is per definitie geen vervoersdienst (of andersom). En lidstaten mogen informatiediensten in principe niet aan nadere regulering onderwerpen.

Het Hof van Justitie prikt echter door die opstelling heen en ziet Uber gewoon als een vervoersbemiddelingsdienst, wat binnen de scope van “vervoersdiensten” valt.

the intermediation service provided by Uber is based on the selection of non-professional drivers using their own vehicle, to whom the company provides an application without which (i) those drivers would not be led to provide transport services and (ii) persons who wish to make an urban journey would not use the services provided by those drivers. In addition, Uber exercises decisive influence over the conditions under which that service is provided by those drivers. On the latter point, it appears, inter alia, that Uber determines at least the maximum fare by means of the eponymous application, that the company receives that amount from the client before paying part of it to the non-professional driver of the vehicle, and that it exercises a certain control over the quality of the vehicles, the drivers and their conduct, which can, in some circumstances, result in their exclusion.

Kort gezegd, Uber bemoeit zich inhoudelijk met wat er gebeurt en dat houdt niet op bij de informatie-uitwisseling op het platform. Daarmee is het zwaartepunt van wat Uber doet, gericht op het vervoer en niet op de informatiedienst. Uber is dus een taxicentrale met een app, en geen deelplatform.

(De uitspraak is in zoverre uniek dat hij specifiek hangt aan de regels over vervoer uit het EU-verdrag. Voor andere bemiddelingsapps zoals AirBNB (logies) of Peerby (spullen bij je buurt) gaat dit arrest dus niet meteen op.)

Arnoud

Kan mijn werk me verplichten een Uber-account te nemen?

Een lezer vroeg me:

Voor mijn werk (een klein ICT-bedrijf, paar jaar oud) moet ik regelmatig naar klanten. Nu heeft de directie gemeld dat we dit via Uber moeten gaan doen om de kosten te drukken. Iedereen moet nu een account bij dat bedrijf nemen, en de kosten mag je wekelijks declareren. Ik ben het hier principieel niet mee eens, mede gezien dat mega-datalek recent. Kan ik hier iets tegen doen?

Een werkgever heeft in principe het recht om te bepalen hoe het werk wordt uitgevoerd. Daaronder valt ook hoe jij bij externe locaties zoals klanten komt. Neem maar een taxi, zoek de goedkoopste ov-optie of declareer eigen vervoer, het is zijn vrije keuze. Wil hij alleen taxi’s van bedrijf X, dan heb je je daarnaar te schikken. Op zich is Uber een legaal taxibedrijf (de UberX dienst dus, met chauffeurs met vergunning) dus als je mensen daarin wilt vervoeren dan is dat prima.

De wijze van uitvoering gaat hier alleen een tikje mis. Wanneer mensen voor hun werk met een Uber moeten reizen, sluiten ze de vervoersovereenkomst bedrijfsmatig. Het is dus het bedrijf dat de Uber bestelt en de mensen vervoert. Dat je dat privé even voorschiet is een bijkomstigheid; het is en blijft een zakelijk contract. Het doet dan raar aan dat je privé een account zou moeten nemen daar. Beter was geweest om een corporate account te nemen.

Helemaal lastig is het hier omdat Uber als bedrijf het met de privacy niet zo nauw neemt, getuige dat datalek en vele andere incidenten die de privacy raken. Het voelt dan bepaald onprettig om verplicht als werknemer zaken te doen met zo’n bedrijf, zelfs als het met een corporate account zou gebeuren zo stel ik me voor.

Juridisch vind ik het moeilijk een argument te bedenken: Uber is in Nederland nooit veroordeeld of beboet voor privacykwesties, dus hoe onderbouw je dan dat je écht niet wilt samenwerken met deze organisatie? Je kunt natuurlijk altijd inzetten op goed werkgeverschap, een veilige werkomgeving met respect voor privacy. Bij grotere bedrijven werkt het nog wel eens om te schermen met hun gedragscode Maatschappelijk Verantwoord Ondernemen.

Arnoud

Mag een bedrijf zomaar alles in de privacyverklaring zetten?

“We may collect, use, transfer, sell and disclose non-personal information for any purpose.” Zomaar een zin uit zomaar een privacyverklaring? Nou nee, deze stond in de Unroll.me verklaring, een handig bedoelde nieuwsbriefafmeldapp die stiekem van taxibedrijf Uber afkomstig bleek. Uber gebruikte de app om te ontdekken wie er met concurrent Lyft reed, om zo het succes van Lyft te kunnen meten. Dat gaf de nodige ophef, omdat mensen dit best wel bespioneren vinden. Maar het stáát er toch gewoon, aldus Uber?

Uit diverse onderzoeken blijkt keer op keer dat mensen privacyverklaringen en algemene voorwaarden niet lezen. (En dat het 200 à 300 uur op een mensenleven zou kosten om dat wél te doen, en dat is dan zónder eventuele wijzigingen). Dat maakt de reactie van Uber (mooi gekarakteriseerd als “Sorry you’re upset”) maatschappelijk gezien wat twijfelachtig. Als je wéét dat mensen een tekst niet lezen, is het niet netjes om te verwijzen naar die tekst als enige rechtvaardiging.

Juridisch gezien klopte het natuurlijk wel, in ieder geval in de VS. Daar geldt: alles mag qua privacy, zolang je het vooraf maar netjes zegt. Privacyverklaringen putten zich daar ook altijd uit in lappen tekst met wat men doet en kan doen, en wijzigen wekelijks omdat ze wat nieuws erbij bedacht hebben.

In Europa mag dat niet zomaar: dingen met persoonsgegevens doen vereisen toestemming (of een rechtvaardiging onder een contract, plus nog wat uitzonderingen), en die kun je niet opeisen in een privacyverklaring of in algemene voorwaarden. Een privacyverklaring legt uit wat er gebeurt áls er toestemming is. Maar de toestemmingsvraag moet op zichzelf duidelijk en specifiek zijn. Dus ook “Ik geef toestemming voor alles uit de privacyverklaring” is niet genoeg.

Het probleem is vooral dat deze praktijken zijn ontstaan vanuit een tijd waar toestemming vragen – of privacyschendingen – een uitzondering was. Natuurlijk, in de jaren zestig ging je ook de openbare ruimte in: het café, de supermarkt en ga zo maar door. Logisch dat de caféeigenaar dan keek wat je deed, en de supermarkteigenaar kon wellicht bedenken dat als veel mensen bier kopen, het handig is de chips er naast te zetten. In die context is “hang even een bordje op als je rare dingen doet” heel begrijpelijk. En omdat het een uitzondering is, valt het op en dan leren mensen er ook weer wat van.

Met toestemming hetzelfde. Volgens mij is nooit voorzien bij het invoeren van wetgeving over persoonsgegevens dat iedereen dagelijks vele malen toestemming zou geven. Elke keer als ik de wettelijke eisen stel, moet ik denken aan het soort informed consent dat je als patiënt moet geven bij een medische behandeling. Duidelijke uitleg, een vrijwillige keuze en specifiek aangeven wat je wel of niet wilt. Bij internet-toestemming krijg je een folder van zes kantjes (met sticker “Let op: kan inhoudelijk afwijken van de werkelijkheid”) en blijken je nieren ineens tracking pixels te bevatten. Dat werkt niet helemaal, om het zachtjes te zeggen.

Alleen: hoe moet het dan wel? Wettelijke regulering, dus keihard opnoemen wat er wel en niet mag, lijkt me te blokkerend voor innovatie. De toezichthouder in abstracto laten oordelen over nieuwe ontwikkelingen? En dan vooraf of achteraf? Daar zie ik ook weer weinig in.

Arnoud