Privacy is springlevend, in Europa én de VS!

Al jaren verschijnen er boeken en artikelen met titels die suggereren dat privacy dood is. En ja, privacy is niet eenvoudig in een door data en algoritmen gedreven samenleving. Hoe beschermen we ons privéleven en onze persoonsgegevens wanneer beginselen als transparantie, data minimalisatie, doelbinding en beveiliging moeilijk te verenigen zijn met de enorme economische – maar ook maatschappelijke – belangen die gemoeid zijn met data-analyses. Heeft de algemene verordening gegevensbescherming (AVG) aan de bescherming een nuttige bijdrage kunnen leveren? Als binnenkort de artikelen over 1 jaar AVG gaan verschijnen, zou op die vraag beste wel eens een positief antwoord gegeven kunnen worden. Europa zal zich op de borst kunnen kloppen en we kunnen constateren dat privacy niet dood is. Dat is mooi denk ik dan, maar hoe staat het eigenlijk aan de andere kant van de Atlantische oceaan, waar de meeste privacy-bedreigende software vandaan komt? Want wij kunnen onze privacy-zaakjes wel op orde hebben ...

Privacy in de VS
Eén blik op het tech-nieuws van de New York Times geeft direct een antwoord: privacy is ook in de Verenigde Staten springlevend! Twee headlines trekken direct de aandacht, waarbij de eerste wel meteen de nodige scepsis oproept: “Google says it found religion in privacy”. De tweede “Facebook faces a big penalty, but regulators are split over how big” trekt vooral de aandacht door een foto van een benauwd kijkende Mark Zuckerberg. Beide artikelen hangen sterk met elkaar samen. Zuckerberg kijkt zorgelijk vanwege de boete die de Federal Trade Commission op gaat leggen voor misbruik van persoonsgegevens van Facebookgebruikers. Dat er een boete aankomt staat buiten kijf. Echter, het bepalen van de hoogte van deze boete, en vooral ook de vraag of Mark Zuckerberg persoonlijk aansprakelijk gesteld kan worden, naast Facebook, blijkt in het licht van politieke overwegingen de nodige verdeling op te roepen.

Forse boetes in de VS
Hoever durft de Amerikaanse overheid te gaan in het straffen van een van de meest waardevolle en invloedrijke bedrijven van de VS? Hoewel Democraten hierin erg ver willen gaan, zijn de Republikeinen toch vooral bang dat dit een negatieve impact heeft op de economie en innovatie. Dat een hoge boete zeker tot de mogelijkheden behoort, werd reeds duidelijk in 2012 toen Google een boete kreeg van 22.5 miljoen dollar. In die zaak ging het om misleidende informatie over hoe bepaalde tools gebruikt werden om gebruikers te volgen. Ook Facebook lijkt rekening te houden met een zeer hoge boete. De New York Times stelt dat Facebook hiervoor maar liefst 3 tot 5 biljoen dollar gereserveerd heeft. Privacy en overtredingen worden serieus genomen!

Een fooi in Europa
Dat moet in Europa stof tot nadenken geven. Zeker ten opzichte van de Amerikaanse tech-giganten. Uber lijkt er in Nederland voor het niet-melden van een datalek schappelijk vanaf te komen met een boete van 600.000 euro. Hoewel de Wet bescherming persoonsgegevens van toepassing is, het datalek vond plaats in 2016, lijken ook de in februari 2019 gepresenteerde “Beleidsregels van de Autoriteit Persoonsgegevens met betrekking tot het bepalen van de hoogte van bestuurlijke boetes” niet in de richting te gaan van miljoenen boetes, laat staan biljoenen (Staatscourant 2019 nr. 14586, 14 maart 2019). 

Tech-giganten omarmen privacy?
Dat Google topman Sundar Pichai privacy naar voren schuift als prioriteit, lijkt een directe reactie op wat er Facebook boven het hoofd hangt, en tevens op hoe Facebook hierop gereageerd heeft. Mark Zuckerberg heeft namelijk een week eerder al aangekondigd dat ook Facebook zich realiseert dat “the future is private”. Niet alleen ik ben sceptisch bij het lezen van dit soort uitspraken. In een reactie op beide artikelen in de New York Times wordt gesteld dat de techgiganten vooral het verhaal rondom privacy willen veranderen. Privacy gaat dan niet om het beperken van het vergaren en analyseren van de data van eigen gebruikers, maar om het niet-delen van deze gegevens met derde partijen. Toch lijken vooral de concrete maatregelen die Google aangekondigd heeft ter verbetering van privacy wel interessant. Zo wordt gesproken over een mogelijkheid om op YouTube en Google Maps te browsen in “incognito mode”, over automatische verwijdering van Google-geschiedenis na een bepaalde tijd en over betere tools om erachter te komen wat Google nu eigenlijk van je weet.

Privacy leeft ook in de VS!
Dat privacy leeft in Europa, geloof ik, zeker na de inwerkingtreding van de AVG. Over privacy in de VS was ik minder optimistisch. Gezien de recente ontwikkelingen ben ik ervan overtuigd dat privacy ook in de VS zeer levensvatbaar is. En terecht natuurlijk, want in Europa én de VS is privacy op steeds meer, en op zeer verschillende manieren een aspect dat een belangrijke rol speelt bij zowel het ontstaan en als bij het oplossen van maatschappelijke problemen.

Die aandacht voor privacy is goed. Echter, we moeten wel blijven waken voor ongewenste reconstructies en politieke verdeeldheid die de praktische betekenis van het recht kunnen ondermijnen. Privacy is niet iets van de overheid, van private ondernemingen of van de gebruiker, maar vergt juist een interactie tussen alle betrokken actoren. Niet alleen vanuit een juridisch-ethisch perspectief, maar juist ook vanuit een politiek, sociaal, technologisch en economisch perspectief. Privacy is bij uitstek een fenomeen dat vraagt om een multidisciplinaire tekentafel. De ontwikkelingen rond de grote Amerikaanse tech-giganten als Google en Facebook blijf ik met grote belangstelling volgen, net als de impact van de AVG in Europa.

Colette Cuijpers
Associate professor, Tilburg University
Lector Recht en digitale technologie
Juridische Hogeschool Avans-Fontys

=========================================

De eerste ervaringen met de Wet bescherming bedrijfsgeheimen

OpenRecht-blog 2019#4

Op 23 oktober 2018 is de Wet bescherming bedrijfsgeheimen (WBB) in werking getreden. Met deze wet wordt Richtlijn (EU) 2016/943 in Nederland geïmplementeerd (implementatie deadline was 9 juni 2018). De grondslag voor deze wetgeving is te vinden in artikel 10 bis van het Verdrag van Parijs (1967) en artikel 39 van het TRIPs verdrag (1994). De tekst van de WWB lijkt op de tekst van de Richtlijn en die lijkt weer op artikel 39 TRIPs.

Een bedrijfsgeheim is geen nieuw intellectueel eigendomsrecht. De bescherming van bedrijfsgeheimen is een verdere invulling van bescherming tegen oneerlijke handelspraktijken. 

Future Crops/Certhon
De nieuwe wet is de afgelopen periode al een paar keer ingeroepen in procedures. Onder meer in de zaak Future Crops tegen Certhon, die onlangs diende voor de rechtbank Den Haag (ECLI:NL:RBDHA:2019:2729). In deze zaak stelt Future Crops dat medewerkers van Certhon onrechtmatig hebben gehandeld (inbreuk op bedrijfsgeheimen hebben gemaakt) door foto’s te maken op het bedrijf van Future Crops. Op de foto’s zou knowhow van Future Crops zichtbaar zijn. Door het maken van de foto’s zou sprake zijn van ongeoorloofde en onrechtmatige mededinging.

Bedrijfsgeheim?
In deze zaak beantwoordt de rechtbank Den Haag als eerste de vraag of er in deze zaak sprake is van een bedrijfsgeheim. De rechtbank definieert een bedrijfsgeheim als: “Een bedrijfsgeheim is informatie in die zin dat zij, in de juiste samenstelling en ordening van de bestanddelen, niet algemeen bekend is bij, of gemakkelijk toegankelijk is voor degenen die zich gewoonlijk bezig houden met dergelijke informatie. De informatie moet ook handelswaarde bezitten omdat zij geheim is. Verder moet dit geheim ook zijn onderworpen aan redelijke maatregelen tot geheimhouding van de informatie. Dergelijke informatie wordt ook wel aangeduid als ‘knowhow’”.

Future Crops heeft aangegeven dat de specifieke onderdelen van de installatie niet door intellectuele eigendomsrechten worden beschermd. De ‘knowhow’ zou zitten in ‘het systeem van de gestapelde teeltbakken en de wijze van functioneren daarvan’. De wijze waarop Future Crops de niet beschermde techniek zou toepassen, de materialen die zij daarvoor heeft gemaakt, dat geheel zou kwalificeren als knowhow en is dus een bedrijfsgeheim. 

De rechtbank volgt Future Crops daarin en overweegt dat Future Crops aannemelijk heeft gemaakt dat de samenstelling van de toegepaste technieken uniek is. 

Stelplicht
Certhon stelt daaropvolgend dat Future Crops niet aan haar stelplicht heeft voldaan door niet concreet te onderbouwen waarom sprake zou zijn van een bedrijfsgeheim. De rechtbank overweegt dat het concreet onderbouwen van een bedrijfsgeheim botst met het belang om het bedrijfsgeheim geheim te houden. Wanneer Future Crops haar bedrijfsgeheim zou moeten onthullen aan Certhon, dan zou een effectieve bescherming van het bedrijfsgeheim in het geding komen. De rechtbank overweegt daarbij dat “Future Crops ... daarom zodanig concreet moet stellen dat de door haar ontwikkelde knowhow in fase 1 uniek is, zodat Certhon zich daarover weliswaar kan uitlaten, maar niet zodanig dat Future Crops daarmee inzicht geeft in de werking van de combinaties van technieken. In zoverre wordt de stelplicht van Future Crops genuanceerd.”

De rechtbank had dit ook anders kunnen oplossen. De rechtbank had gebruik kunnen maken van de mogelijkheden die artikel 22a lid 3 Rv (beperkte toegang tot bedrijfsgeheimen in processtukken) en 27, 28, 29 Rv bieden.

Redelijke maatregelen
De volgende vraag is of Future Crops redelijke maatregelen heeft getroffen (en nageleefd) om de bedrijfsgeheimen te beschermen. Dat de vraag of maatregelen ook zijn nageleefd relevant is weten we, onder meer, uit de Wärtsilä uitspraak (ECLI:NL:RBMNE:2018:3715). De rechtbank oordeelt dat Future Crops redelijke maatregelen heeft getroffen, bestaande uit:

Certhon heeft, voorafgaand aan de opdracht, een geheimhoudingsverklaring moeten tekenen;
De ontwikkeling van de verschillende fases is zodanig (in tijd en plaats) georganiseerd dat de verschillende opdrachtnemers steeds slechts toegang hadden tot een deel van de installatie. Geen enkele opdrachtnemer kon de hele samenstelling waarnemen.
Er waren beveiligingscamera’s geplaatst.
Nadat de eerste keer foto’s waren gemaakt is Certhon schriftelijk gewaarschuwd dat dit niet mocht.

Dit alles betekent dat de rechtbank oordeelt dat het tot tweemaal toe, door werknemers van Certhon, maken van foto’s van de installatie bij Future Crops, onrechtmatig was. 

Jos van der Wijst
Advocaat
Bogaerts & Groenen advocaten

=========================================

Hoe ver gaat open recht?

OpenRecht-blog 2019#3

Open recht, een prachtig initiatief. Maar wat valt er onder, en wat niet? Het ligt voor de hand in ieder geval publiek toegankelijke data onder open recht te scharen, zoals wetgeving en rechtspraak (wel eerst nog even >90% anonimiseren). Gezien de voorgenomen initiatieven voor ‘Open Science’ (bijv. ‘Plan S’) kunnen daar in de nabije toekomst mogelijk ook academische publicaties onder worden geschaard. Moet er nog meer onder vallen? Deze blog geeft een aanzet voor een antwoord op deze vraag. Omwille van de omvang houd ik het bij een tweetal voorbeelden.

Metadata
Neem metadata. Dat is informatie over informatie (data over data). Stel dat een rechter in zijn of haar uitspraak verwijst naar een andere uitspraak. Kunstmatige intelligentie die de citatie automatisch herkent en deze informatie ergens opslaat en weergeeft, produceert informatie over de informatie. Dienen die data open te zijn als de onderliggende informatie (bijv. wetgeving) open is? Het gaat nog een stap verder om ook de achterliggende kunstmatige intelligentie ‘open’ te laten zijn. Dient bijvoorbeeld software ‘open’ te zijn die automatisch mogelijke ‘unfair terms’ of problemen met de GDPR indiceren?

In de huidige praktijk zijn metadata en software die (meta)data produceren niet of nauwelijks open. (Meta)data worden veelal als onderdeel van een product aangeboden, en dus tegen betaling. De onderliggende ‘source code’ wordt zelden vrijgegeven. Disruptieve intiatieven zoals ROSS (zoekmachine voor juridische vragen), Ravel Law (o.a. kunstmatige intelligentie voor Amerikaanse rechtspraak) en Premonition (winstkansen bij keuze bepaalde advocaat of rechter) delen de onderliggende code niet. 

Gevolgen gebrek aan open data
Dat ondernemingen hun bedrijfskapitaal willen beschermen (en geld willen verdienen) is begrijpelijk. Niettemin zijn er ten minste drie belangrijke consequenties van het gebrek aan open (meta)data en software waar de juridische gemeenschap zich rekenschap van dient te geven:

1.Wie zelf niets ontwikkelt, ligt qua kennis en mogelijkheden achter op degene die dat wel doet.

2.Wie niet deskundig is op het terrein van kunstmatige intelligentie, kan de betrouwbaarheid van kunstmatige intelligentie niet beoordelen.

3.Hoe groter de achterstand, des te moeilijker wordt het om de betrouwbaarheid te beoordelen.

Het bovenstaande is aan de orde van de dag. Rechters die kunstmatige intelligentie laten bouwen om vergelijkbare gevallen te achterhalen, advocaten die dossierinformatie automatisch laten classificeren en rechtszoekenden die kunnen achterhalen hoe ‘goed’ een bepaalde advocaat is, waarbij de ene website voor de betreffende advocaat een kans op een gewonnen procedure geeft van 59%, de andere 73% voor diezelfde advocaat. Om de validiteit van dit soort technologieën te beoordelen, dient te worden bepaald welke zaken de software onterecht niet heeft meegenomen, welke percentages dossierinformatie onjuist zijn geclassificeerd en welke informatie is gebruikt om de ‘winstkansen’ van de advocaat te bepalen. De beste manier om software valide te maken, of de validiteit ervan te testen, is om haar open te stellen voor het grootst mogelijke publiek: iedereen.

Software open en FAIR
Hoe deze openheid te bereiken? Ik formuleer twee leidende principes. Het eerste is open source. Het toegankelijk maken van code voor anderen maakt het kritische mee- en tegendenken mogelijk. Dat kan ook voor commerciële partijen interessant zijn, omdat zij daarmee kritiek organiseren rondom hun producten die zij vervolgens kunnen inzetten of gebruiken om eigen producten te verbeteren. 

Het tweede principe is FAIR, wat in de context van open data staat voor Findable, Accessible, Interoperable, Reusable. FAIR houdt dan ook niet alleen in dat software kan worden gevonden en toegankelijk is, maar ook kan worden gekoppeld aan andere software en voorts kan worden hergebruikt. Het FAIR maken van software heeft als voordeel dat kan worden voortgebouwd op de kennis en expertise van anderen (en, in combinatie met het principe van open source, dat de software door een ieder kan worden verbeterd).

Het Maastricht Law & Tech Lab ziet het als haar missie om bij te dragen aan meer open source en FAIR software voor juridische kwesties. Deze visie sluit goed aan bij die van OpenRecht. Wie doet er nog meer mee?

Gijs van Dijck
Hoogleraar Privaatrecht, Maastricht Law & Tech Lab, Brightlands Institute for digital Smart Society (BISS)
 

=========================================

OpenRecht-blog 2019#2

Hoe de ‘Duck test’ weer eens van pas komt in het arbeidsrecht!

‘Als iets eruitziet als een eend, zwemt als een eend en kwaakt als een eend, dan is het waarschijnlijk een eend’

Half januari oordeelde de kantonrechter in Amsterdam dat Deliveroo een arbeidsovereenkomst met zijn fietsbezorgers heeft en dat de bezorgdienst binnen de reikwijdte van de vervoer-cao valt. Een collega van diezelfde rechtbank verwees de vraag eerder vorig jaar naar de wetgever. Omdat Deliveroo in beroep gaat zal de zaak zeker nog een staart krijgen. Maar ondertussen genieten de fietsbezorgers niet alleen de brede individuele en collectieve bescherming van het arbeidsrecht, maar ook de bijbehorende socialezekerheidsrechten.

Steeds vaker stellen rechterlijke colleges na feitenonderzoek vast dat de ondernemers, die het voor het zeggen hebben in de platformeconomie, eigenlijk voor wat betreft de arbeidsrelaties helemaal niet zo bijzonder zijn als ze zelf betogen. Het EU-hof bepaalde al dat Uber gewoon een taxi- en geen informatiebedrijf is. Het Britse Employment Tribunal oordeelde dat de chauffeurs ‘workers’ zijn en geen zelfstandigen. In 2018 bepaalde de New York State Unemployment Insurance Appeal Board dat Uberchauffeurs geclassificeerd kunnen worden als werknemers.

Deze rechters doen met hun rechtsvinding in feite niets anders dan ze altijd doen. Ze onderzoeken een feitelijke situatie zoals die door de partijen is voorgesteld, kijken welk normcomplex daarop van toepassing is en geven hun oordeel. Opvallend is dat al die oordelen leiden tot een normalisering van de arbeidsverhoudingen, we snappen ze als het ware weer, omdat ze in de vertrouwde vorm blijken te passen. In elk van de voorgelegde gevallen slaagt de rechter erin om een constructie, die op het eerste gezicht als nieuw en bijzonder werd gepresenteerd, onder te brengen in sociale instituties die hun maatschappelijk belang reeds lang hebben bewezen: de arbeidsovereenkomst, de cao, het socialezekerheidsrecht. Die leerstukken vormen belangrijke bronnen van sociale rechtvaardigheid in de samenleving en waarborgen bestaanszekerheid.

De Amsterdamse rechter baseert het oordeel op het dwingendrechtelijk karakter van het arbeidsrecht en met name de beschermingsgedachte daarachter. Korte metten wordt gemaakt met de vermeende vrijheid van de fietsbezorger, daar waar de partijen een zo ongelijke positie hebben. Interessant is ook dat de uitspraak uitgebreid ingaat op de feitelijke uitvoering in de praktijk en letterlijk voorschrijft dat ‘wezen voor schijn’ gaat. Dat doet denken aan begin jaren negentig, waarin de Nederlandse rechters forse correcties aanbrachten op de toenmalige flexconstructies die op de arbeidsmarkt werden geïntroduceerd. Denk nog eens terug hoe de Hoge Raad de draaideurconstructie als wisseltruc ontmaskerde: “Het gaat hier om een constructie die zich naar haar aard ertoe leent om te ontkomen aan de werking van de dwingendrechtelijke wetsbepalingen die beogen de werknemer bescherming te bieden, aangezien bij toepassing van die constructie deze wetsbepalingen, indien naar de letter genomen, niet tot het daarmee beoogde doel zouden leiden”.

Als iets eruitziet als een arbeidsovereenkomst, omdat de werkgever gezag kan uitoefenen over de werknemer en dat ook doet, dan is het waarschijnlijk een arbeidsovereenkomst!

Klara Boonstra
Hoogleraar internationaal arbeidsrecht, Vrije Universiteit Amsterdam
Directeur, Wiardi Beckman Stichting 

=========================================

OpenRecht-blog 2019#1

Kinderspel

Mag mijn zoon op Instagram?
Als ik over de schouder van mijn 11-jarige zoon meekijk op zijn tablet, zie ik dat hij op Instagram bezig is. Na vele en heftige discussies ging ik als ouder over stag. Het argument: “Iedereen mag het behalve ik en dan ben ik de nerd van de klas en dat komt door jou mam” had uiteindelijk succes. Mijn zoon mocht op Instagram. Uiteraard na een goed gesprek over wat wel en niet gepast is op Instagram, wat de gevaren en risico’s zijn van sociale media en onder voorbehoud van mijn recht om mee te mogen kijken en te mogen controleren indien daar reden toe is. Onder voorwaarden heb ik mijn zoon dus toestemming gegeven om op Instagram te gaan. Maar ik heb nooit toestemming gegeven aan Instagram voor het verwerken van zijn persoonsgegevens. Op grond van artikel 6 van de AVG is de verwerking van persoonsgegevens rechtmatig indien de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Uit de algemene voorwaarden van Instagram en het gegevensbeleid blijkt dat Instagram de verwerking van gegevens niet baseert op de grondslag contract (het zou een argument kunnen zijn dat met het aanmaken van een account een contract gesloten wordt op basis waarvan gegevens verwerkt mogen worden). Echter, om meer gegevens te mogen verwerken dan strikt noodzakelijk is voor het aanbieden van de dienst, wordt de verwerking van persoonsgegevens uitdrukkelijk gestoeld op het geven van toestemming.  

Minderjarigen en de AVG 
Hier doet zich echter een probleem voor, want artikel 8 van de AVG bepaalt immers het volgende:

“1.   Wanneer artikel 6, lid 1, punt a), van toepassing is in verband met een rechtstreeks aanbod van diensten van de informatiemaatschappij aan een kind, is de verwerking van persoonsgegevens van een kind rechtmatig wanneer het kind ten minste 16 jaar is. Wanneer het kind jonger is dan 16 jaar is zulke verwerking slechts rechtmatig indien en voor zover de toestemming of machtiging tot toestemming in dit verband wordt verleend door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

De lidstaten kunnen dienaangaande bij wet voorzien in een lagere leeftijd, op voorwaarde dat die leeftijd niet onder 13 jaar ligt.

2.   Met inachtneming van de beschikbare technologie doet de verwerkingsverantwoordelijke redelijke inspanningen om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.

3.   Lid 1 laat het algemene overeenkomstenrecht van de lidstaten, zoals de regels inzake de geldigheid, de totstandkoming of de gevolgen van overeenkomsten ten opzichte van kinderen, onverlet.”

Ook op grond van artikel 5 van de UAVG is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist, indien de betrokkene de leeftijd van zestien jaren nog niet heeft bereikt. Bovenstaande roept bij mij als moeder en jurist de nodige vragen op. Het nalezen van de algemeen voorwaarden op Instagram leert dat jongeren onder de 13 helemaal geen Instagram account mogen aanmaken. Met het oog op de inwerkingtreding van de AVG zijn er ook aanbieders die de leeftijdsgrens zelfs bij 16 jaar hebben neergelegd, zoals bijvoorbeeld Whatsapp. Maar heeft dit enig effect?

Iedereen 20 op Instagram!
Om mij heen zie ik alle kinderen gebruik maken van Whatsapp en Instagram. Als ik bij mijn zoon navraag doe hoe het kan dat hij als 11-jarige gewoon op Instagram zit, is zijn haast hilarische antwoord: “Mam, op Insta zijn we allemaal 20!” Het simpelweg invullen van een andere geboortedatum is dus blijkbaar voldoende om een account aan te maken. Maar dan is er toch geen sprake van een rechtsgeldige toestemming voor de verwerking van persoonsgegevens? En ook lijkt er geen invulling gegeven te worden aan het tweede lid van artikel 8 AVG dat een verwerkingsverantwoordelijke redelijke inspanningen moet verrichten om te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven. Door het invullen van een verkeerde geboortedatum lijkt er immers geen noodzaak voor het vragen van toestemming van een ouder, laat staan om dit te verifiëren.

Wettelijk kader aanpassen?
Maar zou het wettelijk kader dan niet moeten vereisen dat er inspanningen geleverd moeten worden om de correctheid van een geboortedatum te verifiëren wanneer een dienst wordt uitgesloten voor een bepaalde leeftijdscategorie? En hoe zou dit dan gecontroleerd moeten worden? Interessant in dit verband is een blogpost op Tweakers van een tijdje geleden onder de kop “Microsoft blokkeert accounts van kinderen en ontgrendelt ze alleen via een ouder”. In een poging de AVG na te leven heeft Microsoft bepaalde accounts van kinderen geblokkeerd. De oplossing dat ouders deze blokkering ongedaan kunnen maken door 50 cent te betalen met een creditcard lijkt een redelijke oplossing, maar vraagt zeker om nader onderzoek naar de mogelijke risico’s hiervan. Een andere manier die wordt aangeboden is om een foto van het paspoort, identiteitskaart of het geboortebewijs van het kind naar Microsoft te sturen. Dit lijkt me nu typisch een voorbeeld van “het middel is erger dan de kwaal”. Het opzetten van databanken vol met kopieën van paspoorten van kinderen bij aanbieders van online diensten lijkt me alles behalve wenselijk vanuit een oogpunt van privacy, en ook in strijd met het beginsel van subsidiariteit. Bovendien lijkt er ook sprake te zijn van schending van de AVG. Er is immers geen sprake van data minimalisatie en ook de beginselen van privacy by design en privacy by default lijken in het geding. Het derde lid van artikel 8 AVG roept vervolgens ook nog vragen op, want hoe verhoudt het niet naleven van de algemene voorwaarden zich vervolgens tot de verantwoordelijkheden van de aanbieder van de dienst? Kan de dienst zich erop beroepen dat zij niet konden weten dat er toestemming van een ouder nodig was? En is dit dan een rechtvaardiging om de gegevens zonder toestemming van de ouder te verwerken? Dit lijkt me niet, contract breekt immers geen wet, maar dit roept wel veel vragen op in relatie tot de praktische implementatie van de AVG in een context waarin kinderen nu eenmaal volop actief zijn, en het ook maar de vraag is of het wenselijk is de participatie van kinderen te verbieden.

En in een loot box is iedereen 18!
Als ouder ervaar ik zeker niet alleen de nadelen, maar ook de voordelen van het kunnen communiceren met mijn kinderen, ook via algemeen gangbare online diensten en apps. De problematiek rondom toestemming van minderjarigen en het gebrek aan controle op leeftijdsgrenzen speelt overigens niet alleen bij sociale media. Bij gaming speelt momenteel de discussie over zogenaamde “loot boxes” en of deze zijn toegestaan onder de kansspel wetgeving. Ook bij games waarin dit soort loot boxes worden aangeboden is in de algemene voorwaarden veelal bepaald dat deze alleen gekocht mogen worden door personen van 18 jaar en ouder. Echter ook hier zijn de leefdtijdseisen eenvoudig te omzeilen door simpelweg een andere geboortedatum in te geven. Hier moet je als ouder mogelijk nog voorzichtiger zijn, aangezien een koppeling met je eigen account en vooraf ingevulde creditcard gegevens er in dit scenario toe kunnen leiden dat je als ouder een flinke rekening gepresenteerd krijgt.

Ouderlijk toezicht dan maar?!
De achterliggende gedachte om de verwerking van persoonsgegevens op basis van toestemming met meer waarborgen te omkleden - zeker in geval van minderjarigen – is toe te juichen. Zoals uit bovenstaande blijkt roept dit vraagstuk in de praktijk echter nog zeer vele vragen op. Vooralsnog is het kinderspel om leeftijdsbeperkingen te omzeilen en is het niet duidelijk wat de consequenties hiervan zijn voor de verschillende betrokken partijen. Bovendien is het nog verre van duidelijk hoe de AVG op deze punten praktisch geoperationaliseerd moet worden, zonder meer kwaad dan goed te doen. Als jurist een interessant onderwerp om nader onderzoek naar te doen. Als moeder reden genoeg om voorlopig toch maar gewoon een oogje in het zeil te houden en het gemopper van zoonlief op de koop toe te nemen: “Mam, ik heb toch ook recht op privacy!”

Colette Cuijpers
Associate professor, Tilburg University
Lector Recht en digitale technologie
Juridische Hogeschool Avans-Fontys

=========================================

OpenRecht-blog 2018#2

Vormgeving van de Nederlandse Data Agenda: relevantie voor eRecht

Data science for the good
Tijdens de Haagse Hackaton for peace, justice and security - in kort “Hackaton for good” - legde een aantal deelnemende partijen vragen voor aan overwegend enthousiaste jonge geeks. Een van de challenges kwam van het Internationaal Strafhof (ICC).

Het probleem dat het Internationaal Strafhof neerlegde was het volgende. De procureur van het hof analyseert een groot aantal documenten in geschreven vorm van velerlei oorsprong: nieuwsartikelen, NGO rapporten, getuigenverklaringen, etc. Deze teksten bevatten informatie over plaatsen en personen. De vraag van de datascientist van het Hof was, hoe kunnen de relaties tussen de in de documenten genoemde personen en plaatsen automatisch worden vastgesteld. Dit is relevant, aangezien het Hof nu gebruik maakt van analysten die manueel dit werk uitvoeren. De verwachting van de challenge was dat deze taak goedkoper, sneller en beter uitgevoerd kan worden door de computer. Maar, was vervolgens de vraag, hoe pakken we dat dan aan?

Enkele dagen volgend op de Hackaton vond – eveneens in Den Haag, het congres plaats met de titel: Data Science voor maatschappelijke uitdagingen. De conferentie was georganiseerd door het Leiden Centre of Data Science en Science Works in het kader van de inspanning van de Nederlandse overheid om een Nationale Data Agenda te formuleren. Om te assisteren in de vormgeving waren verschillende – veelal multidisciplinaire, datacentra van de Nederlandse universiteiten aanwezig om met de overheid te sparren over wat er zeker niet in de data-agenda mag ontbreken.

Data-infrastructuur, ook voor het recht
De overheid moet helpen om een goede infrastructuur neer te leggen waarin data gebruikt kan worden om processen over te nemen waarin machines veel beter zijn dan mensen, zo werd tijdens het congres eensluidend gesteld. Ons land doet dit door een belangrijke rol te spelen in het initatief dat de architectuur vormgeeft voor data-gebruik door machines. Deze architectuur draagt het acronym FAIR, wat staat voor Findable, Accessible (under well-defined conditions), Interoperable en Reusable. Deze architectuur heeft allereerst tot doel om data leesbaar te maken voor machines, omdat alleen computers via algoritmes in staat zijn de giga of terabytes aan data door te nemen en daaruit verbanden te destileren.

Dit is heel relevant – ook voor het rechtendomein. De tekst-documenten, zoals het Internationaal Strafhof stelde in haar challenge, zijn bij uitstek niet geschikt voor machine-readable analyse. Daarin moeten allereerst de kern-concepten bepaald en gevonden worden, waarna pas de relaties tussen deze concepten kunnen worden onderzocht. De relaties die vervolgens gelegd worden, geven belangrijke aanwijzingen voor hypotheses, die vervolgens verder onderzocht kunnen worden door de juristen.

Internet der data
Het FAIR protocol is de opstap naar het internet van data omdat het in een data-management voorziet op basis van overeengekomen principes die er voor zorgen dat de data door machines ingelezen kunnen worden. Dat maakt de data dus ‘open’. Dat betekent overigens niet dat de data onder alle omstandigheden ‘open’ zijn. In feite wordt de data gesegmenteerd en wordt via meta-data zichtbaar, waardoor verschillende onderdelen van de data beschikbaar worden, mits toestemming is verkregen. FAIR voorziet dus in een veilige architectuur dat de toestemming voor data-entry regelt middels toestemming door het data-subject. Daarmee heeft de overheid een belangrijke rol om via deze architectuur het commerciële gebruik van data te regiseren, door gebruik te verbinden aan toestemmings-verplichting. Hiermee wordt het publieke belang gediend.

Het internet terug naar de data subjects
Niet alleen voor het toekomstige internet van data is de bescherming van data en data subjects van belang, maar ook voor het huidige internet. Sir Nigel Shadbolt, de rechterhand van Tim Berners-Lee (de man achter het world wide web), presenteerde een initiatief SOLID (Social Linked Data) om tot een soortgelijke bescherming te komen van het internet. Het internet, zo stelde Sir Nigel, moet terug gegeven worden aan de data subjects die zich vervolgens in trusts kunnen verenigen om zo de toestemming voor het gebruik van hun data te bepalen. De hoop is dat zo het publiek meer vertrouwen krijgt in het gebruik van data voor het oplossen van maatschappelijke uitdagingen.

Data science voor het (open)recht
De Hackaton-for-Good in Den Haag werd enthousiast afgesloten met 23 prachtige elevator-pitches. De informatici van het ICC lieten zich inspireren door de gedrevenheid waarmee de jonge computer scientists aan de slag gingen om een oplossing te geven voor een probleem dat, indien opgelost, handen vrij kan maken voor het ‘echte’ onderzoek van juristen naar de vervolging van internationale strafzaken.

Het congres in Den Haag eindigde eensgezind, met de aanbeveling dat de Nederlandse overheid moet investeren in een goede infrastructuur voor data science. Bovenal moet de overheid de architectuur omarmen van Nederlandse bodem: FAIR. Dit biedt immers een perfecte basis voor het oplossen van nontrivial data-problems, zoals de computer scientist het zou uitdrukken.

Deze events hebben richting gegeven aan de ontwikkeling van data science, een data-infrastructuur, een internet der data. Een ontwikkeling die ook van groot belang is voor het recht en waarbij OpenRecht een grote rol kan gaan spelen als leverancier van FAIR legal data.

Mirjam van Reisen
Professor of Computing for society
Universiteit Leiden

=========================================

OpenRecht-blog 2018#1
 

OpenRecht, een oplossing voor juridische problemen?


Open recht. Sinds Koning Hammurabi de wetten van zijn land in steen liet beitelen, worstelen we ermee wat dat precies betekent. Het ideaal is duidelijk. Ieder kent de regels en kan elkaar er op aanspreken. Als we een geschil hebben, dan staan de oplossingen in de wet. Hammurabi's wet uit de achttiende eeuw voor Christus had al 64 artikelen met oplossingen voor geschillen in familierelaties (nr. 128 tot en met 191), inclusief de zakelijke gevolgen van adoptie, elkaar overlappende liefdesrelaties en het omgaan met kinderen uit buitenechtelijke relaties. Ook toen was het leven razend complex.

Van dat ideaal van open recht is nog weinig terecht gekomen. Het recht is in zekere zin transparant geworden. Maar dan toch alleen voor hen die zich toegang tot deze informatie kunnen permitteren. Leuk die Codex Justinianus uit de zesde eeuw na Christus, maar wie kon er een exemplaar van kopen, 900 jaar voor de boekdrukkunst werd uitgevonden?
Nog steeds is toegang tot juridische informatie een privilege en dat blijkt moeilijk te doorbreken. Nu staat het meeste recht achter een betaalmuur van Kluwer of Thomson Reuters. Over een paar jaar is het misschien IBM Watson die de sleutel tot het recht in de hand heeft. Intussen komt de volgende generatie AI er al aan.

Is het toegankelijk maken van het recht vechten tegen de bierkaai? De Stichting OpenRecht meent van niet. De visie van de oprichters is dat het mogelijk is om tegen lage kosten een platform te creëren waar juristen informatie met elkaar delen. Omdat hun ideeën zo zichtbaarder zijn dan achter de betaalmuur. Het zou kunnen werken. Als er een grote beweging richting dit nieuwe platform ontstaat en dit de plek wordt waar juridisch debat plaatsvindt.

Bij HiiL (motto: user friendly justice) proberen we de ontwikkelingen te volgen. Onze focus is hoe mensen met rechtsproblemen de informatie kunnen vinden die ze helpt om hun belangrijkste conflicten op te lossen: van burengeschillen tot de gasschades in Groningen. We zien aanbieders van contracten en standaard-convenanten voor scheiding en arbeidsgeschillen. We volgen platforms zoals MagOntslag en Uitelkaar.nl (disclosure: waar we als stichting een belang in hebben. Rechtbanken en advocatenkantoren geven stukjes informatie.

We kijken ook naar ontwikkelingen in andere sectoren. Juristen in de frontlinie gaan zich steeds meer spiegelen aan de zorgsector. Rechters, sociale advocaten en een leger van andere juristen en helpers houden zich bezig met de rechtsproblemen van individuele burgers en kleine bedrijven. Wat zij nodig hebben, is niet alleen de precieze info over de enorme brei van regels en procedurele complicaties die in de databanken zit. Maar ook de concrete informatie die nodig is om de meest voorkomende conflicten snel en rechtvaardig op te lossen.

Steeds vaker horen we de vergelijking met de medische zorg terugkomen. Daar staat het meeste wat de frontlinie van huisartsen en verplegers nodig heeft in een behandelrichtlijn. Pijn in de buik, de ziekte van Lyme (na een tekenbeet) of borstkanker. Iedere huisarts kan zo vinden wat de diagnose en behandelingsmogelijkheden zijn, op basis van wetenschappelijk onderzoek in de hele wereld.

Als de pijn zit in de relatie met broers en zussen rond een erfenis, of in een voorgenomen ontslag, is er dan ook niet een soort vaste behandeling met daarin natuurlijk een aantal rechtselementen die uit de jurisprudentie komen, maar ook het hoe van tot overeenstemming komen? Dat is het soort informatie waar alledaagse gebruikers van het recht een grote behoefte aan hebben.

OpenRecht wordt hopelijk niet een grote bak met informatie. Met discussie over alles wat los en vast zit in het gigantische wereldwijde juridische regelbestand. Hopelijk ontstaat er vooral een goede deling van informatie over de meest nijpende rechtsproblemen waar burgers en bedrijven mee te maken krijgen. Open recht met oog voor de problemen en de mogelijke oplossingen.

Maurits Barendrecht
Hague Institute for Innovation of Law (HiiL)
Tilburg University