Meta en Google zijn aansprakelijk voor schade door verslaving aan sociale media

Geplaatst op in Ondernemingsvrijheid, Privacy, 4 reacties
Photo by cottonbro studio on Pexels

De jury in een rechtszaak in de VS heeft Google en Meta aansprakelijk gesteld voor de schade die een 20-jarige vrouw leed door verslaving aan sociale media. Dat meldde Tweakers vorige week. De vergoeding is zes miljoen dollar en uiteraard komt er hoger beroep. Maar toch.

Bij The Conversation hebben ze de achtergrond:

KGM – now 20 years old – said she began using YouTube at age six and Instagram at age nine, and allegedly developed compulsive use patterns, including up to 16 hours in a single day on Instagram. The platforms’ design features, she argued, contributed to her anxiety, depression, body dysmorphia, and suicidal ideation.
En niet alleen wist men tot op het hoogste niveau bij Meta en Google van deze effecten, men maakte op dat niveau de vergelijking met drugs en gokken. Dat soort uitspraken komen via de discovery-regels dan naar buiten bij een rechtszaak, en de jury concludeerde hieruit dat er bewust ingezet is op de dienst verslavend maken:
In addition, a YouTube memo reportedly described “viewer addiction” as a goal, and an Instagram employee wrote the company was staffed by “basically pushers”.
Mag ik even kwijt dat hiermee het argument “jamaar de ouders moeten hun kinderen in de gaten houden op internet” definitief naar de prullenbak mag. Het is -zoals ik al lang roep- niet realistisch om van individuele mensen te verwachten dat die op kunnen tegen het marketinggeweld van enorme bedrijven die alle tijd en geld hebben om hun misleiding te optimaliseren.

Arnoud

 

Ziggo heeft zijn voorwaarden gewijzigd. Mag ik nu opzeggen?

Geplaatst op in Ondernemingsvrijheid, 4 reacties
Ziggo sign. Kabelweg, Amsterdam - May 7, 2016 More: Original public domain image from Flickr

Een lezer vroeg me:

Op 16 maart verschenen de nieuwe voorwaarden van Ziggo. Mag ik nu opzeggen omdat ze de voorwaarden wijzigen? Of zitten daar nog eisen aan?
Met enige regelmaat wijzigen algemene voorwaarden van grote dienstverleners zoals internet- en telefonieproviders. Dat geldt dan ook voor vaste klanten, want vrijwel altijd staat er een wijzigingsbeding in de oude voorwaarden.

Dat voelt oneerlijk (en is het natuurlijk ook), want je ging het contract aan onder bepaalde voorwaarden en die worden nu ineens anders. Daarom zijn er diverse wettelijke regelingen die bepalen dat je een opzegrecht krijgt.

Ziggo is hier coulant: bij ongeveer elke wijziging bieden ze een opzegoptie aan. Maar laten we het eens juridisch bekijken: wanneer heb je een wettelijk recht van opzeggen?

De eerste eis is natuurlijk dat de wijzigingen de voorwaarden betreffen waaronder jij zaken met het bedrijf doet, en dat ze jouw contract raken. Dit moet het bedrijf dan ook duidelijk aan je melden, en wel minstens dertig dagen voordat de wijzigingen in werking treden.

De tweede is dat de wijziging voor jou nadelig moet uitpakken. Artikel 7.2 Telecommunicatiewet heeft het alleen over “voorgenomen wijziging van een beding”, maar je moet dit lezen binnen de Europese Richtlijn waar dit uit komt (artikel 105 EECC):

(…) tenzij de voorgestelde wijzigingen uitsluitend in het voordeel zijn van de eindgebruiker, van strikt administratieve aard zijn en geen negatieve gevolgen hebben voor de eindgebruiker, of rechtstreeks worden opgelegd door het Unie- of het nationale recht.
Dit moet dan voor iedere voorwaarde gelden, het is niet zo dat drie voordelige wijzigingen één negatieve goedmaken. Dit is ook hoe de ACM het interpreteert. Wanneer een voorwaarde negatief is, moet objectief maar per geval worden bekeken. ‘Objectief’ betekent hier vooral “los van jou als persoon”.

Het is hierbij verplicht om expliciet de wijzigingen toe te lichten, zodat je niet zelf hoeft te zoeken op welke woorden anders zijn. Als ik dat document lees, zie ik vooral administratief geneuzel, maar een paar dingen springen er uit:

  • De definitie van ‘fair use’ is veranderd: je mag diensten alleen gebruiken waarvoor deze zijn bedoeld, en niet op een manier die in strijd is met de wet. Nieuw is de toevoeging dat je respectvol met Ziggo-medewerkers omgaat.
  • Het prijsveranderings-beding is aangepast. Voorheen stond er een algemeen onbegrensd recht om de (hoogte van de) vergoedingen te wijzigen. Dit is nu beperkt tot maximaal 4% van de vaste maandelijkse kosten, of € 2,75 per maand en moet uit een kostenverhoging, heffingen of nieuwe diensten volgen.
  • Ziggo mag een klacht buiten beschouwing laten als deze gebaseerd is op feiten van meer dan 12 maanden geleden.
  • Arbitrage door het beruchte e-Court is niet meer mogelijk.
Ik zie eerlijk gezegd niet meteen hier een evident nadelige wijziging in, afgezien van het fair-use beding. Dus die pakken we er even bij:
We leveren onze diensten onder de voorwaarde dat jij deze op een eerlijke manier gebruikt en je niet als een onredelijke gebruiker gedraagt. Dit noemen we ‘fair use’. Fair use houdt onder andere in dat: a je de diensten niet commercieel gebruikt. b je de diensten alleen gebruikt waarvoor deze zijn bedoeld, en niet gebruikt op een manier die in strijd is met de wet. c je geen overbelasting van ons netwerk of overlast voor andere gebruikers veroorzaakt. d je geen excessief gebruik maakt van de dienst. Een voorbeeld hiervan is als je twee keer meer data verbruikt dan de 10% grootverbruikers. e je respectvol omgaat met onze medewerkers, en je niet discriminerend seksistisch, of agressief gedraagt
In de oude voorwaarden heette dit nog “oneigenlijk of excessief” gebruik. Daar was geen definitie voor, behalve bij telefonie waar langdurig de verbinding open laten staan of vele korte gesprekken in korte tijd voeren golden als excessief.

Wel stond er in de oude voorwaarden: “De beoordeling van excessief en oneigenlijk gebruik ligt geheel bij Ziggo.” Dat is volgens mij zelfs een oneerlijk (zwartelijst) beding (art. 6:236 sub d BW), dus goed dat dat aangepast is.

Over het algemeen is de nieuwe definitie van ‘fair use’ dus voordeliger voor de klant dan de oude “oneigenlijk of excessief gebruik” definitie. Of staan er stiekem toch dingen in die nieuw en nadelig zijn?

  1. Commercieel gebruik: dit stond al in de oude voorwaarden als verbod (artikel 10 lid 3).
  2. Alleen bedoeld en geen illegaal gebruik:  dit is het oude “oneigenlijk” criterium (artikel 21 lid 1).
  3. Overbelasting/overlast: dit is het oude “excessief of overlast” criterium (artikel 21 lid 1).
  4. Excessief: dit stond er dus al, maar het voorbeeld van “2x de top 10%” is nieuw.
  5. Respect naar de medewerkers: dit is inderdaad echt nieuw.
Beleid over excessief is, is min-of-meer wettelijk verplicht: al in 2021 bepaalde de rechter dat je beleid duidelijk kenbaar moet zijn (iets waar ik me sinds 2008 over opwind). Dus dat kun je nog als ‘neutrale wijziging’ opvoeren.

Ik zet vraagtekens bij of “2x de top 10% is automatisch excessief” een negatieve wijziging is. Hiervoor zou je eigenlijk moeten bepalen hoe vaak dat voorkomt, want excessen zijn naar hun aard zeldzaam.

Het respectbeding negatief noemen komt bij mij niet door de giecheltoets, omdat je het objectief moet lezen. Er is geen rechtens te respecteren belang om respectloos met de helpdesk te mogen bellen.

Dus: opzeggen mag, als je kunt hardmaken dat de “2x de top 10%” regel objectief gezien negatief uitpakt voor de consument. Wie suggesties heeft, roept u maar!

Arnoud

Moet ik wat doen als mijn gebruikers mijn ERP-tool voor planning van misdrijven gebruiken?

Geplaatst op in Ondernemingsvrijheid, Regulering, 11 reacties
Photo by 1981 Digital on Unsplash

Via Reddit:

Eén van de gebruikers van mijn SaaS voorraadbeheersoftware (ERP) heeft voorraadartikelen gelabeld met termen als wit, blauw, groen en hemelsblauw en hoeveelheden in grammen en kilogrammen. Hun herbevoorradingsmeldingen zijn ingesteld om 3 uur ’s nachts en per locatie is een “heat level” van 1 tot 5. Ze hebben meer dan $2 miljoen aan omzet gegenereerd via mijn SaaS-oplossing van $29 per maand. Dit riekt naar drugshandel. Ben ik wettelijk verplicht hier iets mee te doen?
De hoogst gepluste reactie suggereert dat dit bedrijf kleurpotloden verkoopt, al is onduidelijk wat dan het “heat level” zou zijn. Anderen denken aan het peperniveau van hot sauce. Bij drugshandel zou dat verwijzen naar het risico van politie-aandacht voor je verkooplocatie, en ook daar wordt in grammen verkocht.

In Europa worden SaaS-dienstverleners beschermd door de Digital Services Act (DSA). Deze bepaalt dat hosting providers niet aansprakelijk zijn voor illegale inhoud van klanten. Meestal denken we dan aan uitingsdelicten, maar de wet is zeer algemeen:

“illegale inhoud”: alle informatie die op zichzelf of in verband met een activiteit, waaronder de verkoop van producten of het aanbieden van diensten, indruist tegen het Unierecht of tegen het met het Unierecht in overeenstemming zijnde recht van een lidstaat, ongeacht het precieze voorwerp of de precieze aard van dat recht;
ERP-informatie over drugshandel voldoet aan deze beschrijving, want betreft informatie in verband met verkoop van producten in strijd met nationaal (straf-)recht in de EU.

Artikel 6 DSA zegt dan dat de hosting provider niet aansprakelijk is, mits hij:

  1. niet daadwerkelijk kennis heeft van de illegale activiteit of illegale inhoud (…) en
  2. zodra hij dergelijke kennis of dergelijk besef krijgt, prompt handelt om de illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken.
De uitdaging hier dus is: heeft deze SaaS-aanbieder door zijn gesnuffel in de klantdata “daadwerkelijk kennis” gekregen?

Die kennis moet in ieder geval (overweging 22) specifiek zijn; algemeen weten dat er illegale inhoud tussen kan zitten is niet genoeg. Bij meldingen wordt als criterium gehanteerd (overweging 53) dat er voldoende informatie is

om een zorgvuldige aanbieder van hostingdiensten in staat te stellen zonder een gedetailleerd juridisch onderzoek vast te stellen dat het duidelijk is dat de inhoud illegaal is (…).
Het moet dus ‘duidelijk’ zijn en je moet er geen advocaat of jurist bij hoeven halen om een juridische kwalificatie te doen. De rechtspraak rond de ecommerce richtlijn (voorloper van de DSA) gaat hier niet direct op in, en focust vooral op de vraag of geautomatiseerd scannen leidt tot ‘kennis’ (nee).

Ik zie hoe je met bovenstaande feiten redelijkerwijs zou kunnen denken dat de klant illegale zaken (drugs) aan het verkopen is. Een twijfelgeval daarbij vind ik wel de “heat level” factor. Inderdaad is “heat” een slang term voor “politieaandacht” maar dat is dan net té direct als je verder je productnamen camoufleert met kleuren.

Mijn advies bij deze vraag zou wel zijn om het account tijdelijk te sluiten (suspension) en de klant te verzoeken duidelijkheid te geven over wat ze verkopen. Aanleiding daarvoor zou dan het ongebruikelijk grote data- of opslagverkeer zijn. Het is toegestaan om dan te kijken wat er gebeurt, en als je dan zoiets opvalt dan mag je verduidelijking vragen.

Arnoud

Is een Franse uitspraak tegen SHA-256 een bindend precedent bij ons voor informatiebeveiliging?

Geplaatst op in Privacy, Security, 4 reacties
Bron: Enrique Santos, Wikimedia Commons

Een lezer vroeg me:

Recent heeft de Franse AVG-toezichthouder (CNIL) een boete van 3,5 miljoen euro opgelegd. Deel daarvan was een inadequate beveiliging door gebruik van SHA-256. Heeft dit precedentwerking, oftewel mogen we nu stellen dat deze hashingtechniek daadwerkelijk niet meer passend is voor beveiligen van persoonsgegevens?
Op 30 december 2025 heeft de CNIL een boete van 3,5 miljoen euro opgelegd aan een niet nader genoemd Frans bedrijf voor het doorgeven van de gegevens van leden van hun loyaliteitsprogramma aan een sociaal netwerk voor gerichte reclamedoeleinden, zonder geldige toestemming. Inderdaad was inadequate beveiliging een deel van de grondslag.

Het bedrijf gebruikte SHA256 voor het hashen van wachtwoorden (met salt, dat wel). Dat vond de CNIL bezwaarlijk, omdat de collega’s van het ANSSI (Nationaal Agentschap voor Informatiesysteembeveiliging) hadden gezegd dat

Aanbevolen cryptografische hashfuncties, zoals de SHA2-familie, zijn zeer snel in uitvoering, wat in de context van wachtwoordopslag een voordeel is voor aanvallers, omdat ze hierdoor veel wachtwoorden kunnen testen (d.w.z. hashes kunnen berekenen).
Men wijst op algoritmes zoals Argon2, die mede ontworpen zijn om resistent tegen dergelijke brute force aanvallen te zijn, zelfs met moderde apparatuur. Het bedrijf had in de tussentijd ook al gewisseld naar Argon2.

De uitspraak over de ongeschiktheid van SHA-256 wordt hier vrij algemeen gedaan, en men wijst op eerdere aanbevelingen sinds 2020. Bij het berekenen van de boete wordt dan ook herhaaldelijk geërgerd gewezen op eerdere publicaties:

Bovendien moet met betrekking tot de schending van artikel 32 van de AVG worden opgemerkt dat de Commissie regelmatig communiceert over het belang van authenticatiemaatregelen voor de beveiliging, dat haar aanbevelingen met betrekking tot het wachtwoordbeleid al bekend waren ten tijde van de audits, en dat zij sinds december 2022 organisaties via haar website een tool ter beschikking heeft gesteld waarmee zij eenvoudig de sterkte van een wachtwoord kunnen controleren. De Commissie herinnert er ook aan dat zij regelmatig financiële sancties heeft opgelegd voor schendingen van artikel 32 van de AVG wegens onvoldoende maatregelen om de beveiliging van de verwerkte gegevens te waarborgen, met name in haar besluiten nr. SAN-2019-007 van 18 juli 2019, nr. SAN-2022-018 van 8 september 2022, nr. SAN-2023-023 van 29 december 2023 en nr. SAN-2024-002 van 31 januari 2024.
Dit klinkt voor mij alsof de CNIL hier een hard punt van gaat blijven maken. En terecht, gezien het securityprobleem dat hier onder zit.

Een beslissing van de CNIL is bindend in Frankrijk (tenzij de rechter ze terugfluit, maar dat zie ik hier niet gebeuren). Voor andere toezichthouders geldt dat niet, maar onder het zogeheten coherentiemechanisme van artikel 63 AVG moeten toezichthouders wel met elkaar samenwerken en hun inzichten op elkaar afstemmen. Het zou raar zijn als in Duitsland SHA256 gewoon aanbevolen wordt terwijl je in Frankrijk daar een dikke boete voor krijgt, bijvoorbeeld.

In de praktijk zie je daarom ook regelmatig dat toezichthouders wijzen op publicaties van collega’s, waarbij de CNIL voorop loopt als het gaat om inzichten rondom cybersecurity. Ook in Nederland zou ik dus maar vast gaan nadenken waarom voor jou SHA256 wél een veilige opslag van wachtwoord-hashes zou zijn. (Of migreren naar Argon2 of vergelijkbaar, dat is minder werk.)

Arnoud

Mag mijn hoster me een andere backup geven dan ik had gevraagd?

Geplaatst op in Ondernemingsvrijheid, 9 reacties
Photo by Massimo Botturi on Unsplash

Een lezer vroeg me:

Als kleine ondernemer is mijn zakelijke data erg belangrijk. Ik heb een contract met mijn hoster dat ze elke dag een backup maken en die een jaar bewaren. Nu wilde ik de backup van bijna een jaar geleden vanwege wat oudere bestanden, maar ik krijg een backup die bijna een maand minder oud is. Is dat wel in de haak?
Dat lijkt mij niet te kloppen, hoewel het natuurlijk afhangt van wat er precies is toegezegd. Een gebruikelijke formulering van zo’n backupclausule is deze:
Opdrachtnemer zal dagelijks van de middels de Dienst opgeslagen gegevens een reservekopie maken. Opdrachtnemer zal deze reservekopieën bewaren voor een termijn van een jaar en op verzoek beschikbaar stellen.
Hier kunnen nog zaken staan over kosten en het mogen opvragen van één bestand versus alles ineens, maar dat is minder van belang. De kern is dus: dagelijks en een jaar lang bewaren.

Je zou zeggen dat dan een kopie van bestand X van 3 mei 2025 op te vragen moet zijn. Of dat dan de versie van 02:00 of van 19:31 is, is wellicht nog een vrije keuze. Maar waarom zou je bestand X versie 4 juni krijgen als je om 3 mei vroeg?

De enige reële verklaring die ik kan bedenken is dat de hoster niet elke nacht een volledige backup maakt, maar alleen wat er is gewijzigd sinds de dag er voor. Dat scheelt immers nogal in de opslag, met name omdat je het een jaar lang bewaart.

Een schema van periodiek (bijvoorbeeld tweewekelijks) een volledige backup en dagelijks een beperkte is vrij gebruikelijk. Het zou kunnen dat daarbij niet alle datumstempels correct teruggezet worden, al blijf ik daar vraagtekens bij houden.

Zuiver juridisch zeg ik dus: met dit beding heb je recht op de versie van 3 mei, en is leveren van die van 4 juni niet conform de afspraak.

Arnoud

Als je opzettelijk een AVG-inbreuk uitlokt, heb je geen recht op vergoeding van de schade

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties
Photo by Maxim Ilyahov on Unsplash

Merkwaardige zaken geven merkwaardige uitspraken, is een oud juridisch motto. Zo ook hier in Brillen Rottler: wie een AVG-inbreuk uitlokt door opzettelijk persoonsgegevens aan te bieden en dan de ander aan te spreken op noncompliance, kan wegens misbruik van recht worden tegengehouden.

De achtergrond van de zaak klinkt als iets dat ik vaker heb gezien. De eisende partij had zich ingeschreven voor de nieuwsbrief van opticien Brillen Rottler, en vervolgens een inzageverzoek gedaan met de kennelijke hoop de opticien op een inbreuk te kunnen betrappen.

Brillen Rottler herkende de man (kennelijk wordt er breed geroepen dat dit een professioneel AVG-inbreukspeurder is) en weigerde zijn verzoek met een beroep op misbruik van recht. Waarop de man 1000 euro schadevergoeding eiste bij de rechter wegens geen gehoor geven aan zijn inzageverzoek.

Dat eindigde dus bij de hoogste Europese rechter, die nu bepaalt dat dat wel degelijk een vorm van misbruik is.

Allereerst: waar staat dat in de wet? Artikel 12 lid 5 AVG geeft als enige grond dat “kennelijk ongegronde of buitensporige” verzoeken mogen worden afgewezen. Dit was één verzoek, dus moeilijk dat ‘buitensporig’ te noemen zou je denken. Maar het Hof ziet dit als een kwalitatief en niet een kwantitatief criterium: ook één verzoek kan buitensporig zijn, mits aan twee eisen is voldaan:

[T]en eerste een reeks objectieve omstandigheden waaruit blijkt dat, ondanks de formele naleving van de voorwaarden van de Uniewetgeving, het doel van die wetgeving niet is bereikt; en ten tweede een subjectief element, bestaande uit de intentie van de betrokkene om een ??voordeel te behalen uit de Uniewetgeving door kunstmatig de voorwaarden te scheppen om dat voordeel te verkrijgen.
Allereerst moet je verzoek dus niet een ‘echt’ AVG-doel dienen. Dat gaat bij inzage met name om het kunnen controleren en zo nodig laten corrigeren van je gegevens. Dat was hier niet echt aan de orde: je weet wat je invulde bij de nieuwsbriefinschrijving.

Het tweede element is subjectiever: “kunstmatig de voorwaarden scheppen” om mensen op een inbreuk te betrappen. Daarbij mag je meenemen dat meneer dit vaker doet, zodat de indruk duidelijker is dat hij het niet om dat ‘echte’ doel doet.

De zaak is terugverwezen voor de benodigde feitelijke inschatting, maar de hint is wel duidelijk dat deze meneer niet 1000 euro rijker de zaal zal verlaten.

Arnoud

Chatapps mogen vanaf april in EU niet meer scannen op beelden van kindermisbruik

Geplaatst op in Privacy, Security, Uitingsvrijheid, 2 reacties
Alexandra_Koch / Pixabay

Chatdiensten zoals WhatsApp mogen vanaf 3 april berichten niet langer scannen op beelden van kindermisbruik, las ik bij Tweakers. De ophef ging toch over of ze dat móesten? Inderdaad, maar dit is een ander aspect van de discussie.

Al sinds 2022 is er ophef over een EU-wetsvoorstel dat communicatiedienstverleners zoals chatdiensten wil verplichten om berichten (en daar bij behorende afbeeldingen) te screenen op misbruik. Dit impliceert namelijk onder meer het moeten doorbreken van end-to-end encryptie en het lezen van alle berichten, wat laten we zeggen een tikje ver gaat.

Het communicatiegeheim bij dit soort diensten is verankerd in de stokoude ePrivacy-richtlijn, artikel 5 lid 1:

De lidstaten garanderen via nationale wetgeving het vertrouwelijke karakter van de communicatie en de daarmee verband houdende verkeersgegevens via openbare communicatienetwerken en via openbare elektronische-communicatiediensten. Zij verbieden met name het afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van de communicatie en de daarmee verband houdende verkeersgegevens door anderen dan de gebruikers, indien de betrokken gebruikers daarin niet hebben toegestemd, tenzij dat bij wet is toegestaan overeenkomstig artikel 15, lid 1.
Om het mogelijk te maken dat aanbieders dergelijke scans kunnen doen, bestond er sinds 2021 een tijdelijke verordening die een wettelijke basis hiervoor creëerde om zo de “tenzij dat bij wet is voorzien”-uitzondering te triggeren.

De uitzondering stond meelezen en controleren toe voor zover dat “strikt noodzakelijk is” voor

het gebruik van specifieke technologie met als enig doel onlinemateriaal betreffende seksueel misbruik van kinderen op te sporen, te verwijderen en te melden aan rechtshandhavingsinstanties en organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen, en het benaderen van kinderen op te sporen en te melden aan rechtshandhavingsinstanties of organisaties die in het algemeen belang optreden tegen seksueel misbruik van kinderen;
Dit was ingestoken als een tijdelijke regeling, die af zou lopen op 3 april 2024 maar werd verlengd tot en met komende 3 april.

Een nieuwe verlenging stond in de steigers, maar is dus vastgelopen in politieke discussie. Het voorstel uit maart van het Europees Parlement lijkt daar splijtzwam in te zijn geweest. Tweakers legt uit:

Zo wil het [Europees] Parlement niet dat het scannen geldt voor berichten die eind-tot-eind versleuteld zijn. Het Parlement wil ook niet dat ieders berichten gescand kunnen worden, maar alleen die van mensen waarvan een rechter vermoedt dat ze verbonden zijn aan het maken of verspreiden van kindermisbruikmateriaal.
De kern hierachter is dat men massasurveillance wilde verbieden. Maar technisch is het lastig om onderscheid te maken tussen gewone mensen en mensen met enige verdenking dat ze misbruikmateriaal uitwisselen. Natuurlijk, als er een justitiële verdenking geldt dan kun je daarop acteren maar dan ben je niet meer aan het scannen – dan werk je mee aan een gericht onderzoek. Scannen is bedoeld om een breder net uit te werpen.

Wijzigingen van dit niveau vereisen instemming van de Raad van Ministers, maar die wilde er niet aan. Nieuwe gesprekken zullen niet op tijd iets opleveren, dus per 3 april vervalt dan de mogelijkheid om op vrijwillige basis te scannen.

Of iedereen daar daadwerkelijk mee stopt, is een open vraag. Het belang is vrij duidelijk, en de infrastructuur draait al jaren prima. Tussen de regels door lees ik dat we een paar maanden later een nieuwe tijdelijke verlenging mogen verwachten, wat tijdelijk stoppen dan helemaal onzinnig maakt.

Arnoud

Bits of Freedom krijgt ook in hoger beroep gelijk over keuzevrijheid op Instagram

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties
Photo by Zhivko Minkov on Unsplash

Nederlanders behouden de keuzevrijheid om zelf te bepalen hoe hun tijdlijnen op Instagram en Facebook eruitzien, zo meldde Nu.nl vorige week. In hoger beroep bepaalde het Gerechtshof Amsterdam dat Meta gewoon moet zorgen voor een keuze tussen een algoritmische en een ‘gewone’ tijdlijn. En dat dus dankzij Bits of Freedom.

Vorig jaar oordeelde de rechter dat Meta de gebruikerskeuze moet respecteren:

In dit geval ging het om wat het vonnis “aanbevelingssystemen” noemt, zeg maar je feed met berichten. Vroegâh was dat simpel omgekeerd-chronologisch: de nieuwste eerst. Nu gebruikt men termen als “for you”, “Most relevant” of “hot” en moet je maar hopen dat je alles ziet dat je wil zien.
Het probleem was toen niet zozeer dat er geen nieuwste-eerst feed was, maar dat die lastig aan te zetten was en ook nog eens vanzelf terugfloepte naar een algoritmische doomscrolling feed. Dat mocht dus niet van de Digital Services Act uit 2022 en och jeetje kermde Meta toen, dat kunnen wij écht niet in een paar weken inbouwen.

Dat leidde tot een executiegeschil een maand later, dat weinig opleverde voor het databedrijf. Daarop was men in hoger beroep gegaan, waar begin deze maand uitspraak werd gedaan. En ook hier blijft alles bij de originele uitspraak.

Vooruit, Meta kreeg gelijk dat haar “v-knopje” voor het keuzemenu wel degelijk voldoet. Volgens BoF was dat niet duidelijk genoeg, maar het Hof vindt dat het “v” symbool een gebruikelijk symbool voor een keuzemenu is.

Wel weer heel mooi: het Hof ziet dat dwangsommen voor Big Tech problematisch zijn, wat men eufemistisch “de financiële toestand van Meta Ierland” noemt. Meestal impliceert die term dat iemand te weinig geld heeft. Maar hier is de zorg dat de dwangsommen te snel het plafond raken en dat Facebook dan niets meer zal doen. Daarom verhoogt men dat plafond gelijk maar even naar tien (was vijf) miljoen Euro.

Arnoud

 

“Ruim 60 procent gemeentewebsites deelt illegaal data met Google”

Geplaatst op in Privacy, Regulering, 6 reacties
Photo by Caleb on Unsplash

Ruim 60 procent van de websites van Nederlandse gemeenten deelt data met Google, zoals IP-adressen van bezoekers, voordat gebruikers toestemming hebben gegeven. Dat meldde Tweakers onlangs. Het gaat onder meer om YouTube-embeds en Google Fonts.

Het bericht is gebaseerd op onderzoek van Nixon Digital. Zo wordt gemeld:

In meer dan de helft van de gevallen ging het om YouTube-embeds met trackingcookies. Die sturen data door, zelfs als bezoekers de video niet afspelen. Dat is te voorkomen door de embed vanaf een ‘nocookie’-domein te serveren. Ook Google Fonts en Google Analytics kwamen veel voor. Fonts kunnen sitebeheerders zelf hosten.
En dit is precies de kern van het probleem. Nee, dit mag niet – er gaan dan persoonsgegevens naar de VS zonder duidelijke AVG-grondslag. Terwijl er een technisch prima alternatief is, zoals hier genoemd. Dit “illegaal” noemen is een groot woord, maar juridisch-technisch niet onjuist. Maar het is ook de bestaande praktijk.

Voor mij is dit een evident symptoom van hetzelfde probleem als waarom we niet naar soevereine, Europese dienstverlening gaan. Die is er niet, althans niet met het gemak en de bekendheid (en dus lage kosten) waarmee Big Tech nu beschikbaar is. Een oplossing op basis van Google rol je zo uit.

De alternatieven vereisen werk en dus tijd en geld, met een lastig verhaal waarom. En dan houdt het snel op. Zeker in kleinere organisaties zoals gemeentes, waar de technische kennis toch al schaars is en de prioriteiten (terecht hoor) niet liggen bij datasoevereiniteit en AVG-compliance van je Wmo-aanvraagformulier.

Ik vrees dat hier geen eenvoudige oplossing voor is. Van iedere individuele organisatie is niet te verwachten dat ze ‘gewoon’ over gaan, want die tijd en kosten zijn lastig te rechtvaardigen.

We moeten het collectief doen. En dat kan maar op één manier, namelijk door wetgeving die dit verplicht mét een mechanisme voor dwang. En dan bedoel ik niet “de AVG”, want die is er al en die helpt niet. Een inkoopverbod voor overheden bij niet-Europese leveranciers zou wel helpen. Maar eenvoudig zal het niet zijn.

Arnoud

 

Waarom kun je ebooks niet gewoon kopen en meenemen?

Geplaatst op in Ondernemingsvrijheid, Uitingsvrijheid, 12 reacties
Photo by Pickawood on Unsplash

Een lezer vroeg me:

Vroeger kocht je nog gewoon boeken. Die waren dan van jou. Nu koop ik ebooks, maar kennelijk worden die niet je eigendom? De aanbieder kan ze ineens weghalen of terugtrekken, en ze naar een ander platform overzetten is al helemaal niet mogelijk. Wat zit hier juridisch achter, waarom is dat niet gewoon gelijk getrokken?
Een oud motto van de Nederlandse overheid was altijd: wat offline geldt, moet ook online gelden. Maar helaas is dat een beetje verloren gegaan in de modernde tijd.

In de kern is het probleem dat het concept ‘ebook’ heel lang gewoon niet in een juridisch vakje te duwen was. Het begrip eigendom geldt alleen voor fysieke, tastbare dingen – dingen die pijn doen als ze op je voet vallen. Voor ontastbare dingen bestaat het begrip vermogensrecht, maar dat gaat vooral over hoe je het aan een ander geeft.

Een ebook is dus niet je eigendom simpelweg omdat de wet dat niet als zodanig ziet. En dan mag de aanbieder zelf de regels invullen, en dat gebeurt natuurlijk in hun voordeel. Je mag er bij, tot het niet meer mag. Kopiëren, printen, copypaste: alleen als wij dat toestaan. En oh ja, regels over het omzeilen van zulke restricties zijn wél wettelijk vastgelegd: het kraken van kopieerbeveiligingen is onrechtmatig (en bij software zelfs een misdrijf).

Sinds een paar jaar is dit in Europa iets beter geregeld. Tegenwoordig staan er wel regels in de wet over “digitale inhoud”, volgens de wet”gegevens die in digitale vorm worden geproduceerd en geleverd”. Ebooks zijn daarvan het klassieke voorbeeld. Hier heb je, net als bij fysieke aankopen, recht op een goed product en dus ook garantie als dat niet zo blijkt te zijn.

Het is niet helemaal hetzelfde. Zo is er geen plicht dat digitale inhoud altijd moet werken. De mogelijkheden, compatibiliteit en interoperabiliteit moeten vooraf duidelijk gemeld zijn en anders heb je recht op geld terug. Helaas is daarbij niet expliciet geregeld hoe lang je van die inhoud moet kunnen genieten, anders dan “een periode die is afgestemd op het doel waarvoor de informatie kan dienen”. Oftewel: een ebook moet werken zo lang als je mag verwachten dat ‘ie werkt.

Het gebrek aan regels op dit punt vind ik een van de grootste gebreken van de informatiemaatschappij. Maar helaas is er weinig aan te doen buiten de wetgever aansporen hier meer regels over te maken.

Arnoud