/dev/null - Overig

Juridische vraag

25-04-2023, 20:54 door Anoniem, 11 reacties
In veel overenkomsten is een bepaling opgenomen die erop neerkomt dat (telemetrie)gegevens mogen worden gebruikt voor productverbetering. Bijvoorbeeld bij Microsoft.

Betekent dit niet dat de gegevens mogen worden gebruikt voor het trainen van een A.I.?

En is dit dan ook niet het geval bij het intypen of lezen van een (staatsgeheim) document?
Reacties (11)
26-04-2023, 08:29 door Anoniem
In de privacyverklaring van Microsoft staat het nodige.
https://privacy.microsoft.com/nl-nl/privacystatement
Onder het kopje "Hoe wij persoonsgegevens gebruiken" geven ze aan dat geautomatiseerde methoden, inclusief AI, gebruiken ter ondersteuning van hun handmatige methoden voor de gebruiksdoelen, waaronder productverbetering, en dat ze "enkele" van de conclusies van die systemen controleren en de onderliggende gegevens voor die conclusies gebruiken om het systeem te trainen.

Als je bij de productspecifieke details naar Windows gaat en daar op "meer informatie" klikt, zie je onder "Diagnostische gegevens" een subkop "Herkenning van handgeschreven en getypte teksten", waarin staat dat als je daarvoor kiest (kennelijk is dat opt-in) voorbeelden van de inhoud van wat je typt of schrijft worden verzameld, dat unieke id's (zoals e-mailadressen) worden verwijderd, en dat verder wordt verwerkt om functies zoals handschriftherkenning, automatische voltooiing, woordsuggestie en spellingscorrectie te verbeteren. Er wordt voor meer informatie verwezen naar:
https://support.microsoft.com/nl-nl/windows/diagnostische-gegevens-feedback-en-privacy-in-windows-28808a2b-a31b-dd73-dcd3-4559a5199319

Bedenk bij dit alles dat een van de centrale principes in de AVG doelbinding is: een organisatie verzamelt persoonsgegevnes voor vooraf omschreven doelen en mag die (met een paar uitzonderingen) dan ook alleen voor die doelen gebruiken. Als ze een AI trainen die niet gericht is op dingen als verbeteren van spelling en grammatica maar die zoals ChatGPT met de inhoud aan de haal gaat, staatsgeheim of niet, dan zijn ze in overtreding.

Natuurlijk moet je als je met staatsgeheimen of andere vertrouwelijke informatie te maken hebt niet meedoen aan het verbeteren van typen of schrijven. Dan is het delen van diagnostische informatie ook al problematisch, want daar is bij inbegrepen dat bij een crash van een applicatie geheugeninhoud wordt gedeeld, dus mogelijk de inhoud van een document of een deel daarvan. Dit valt onder optionele diagnostische gegevens, dus je hebt de optie om dat niet te delen.

Persoonlijk vind ik dat wat iemand op een privécomputer doet per definitie als vertrouwelijk moet worden beschouwd, en dat je het voorkomen van ongelukken ermee het beste zo dicht mogelijk bij de bron kan aanpakken. Met wat om te beginnen al niet bij de leverancier terecht komt kan de leverancier ook geen uitglijders maken. Daarom zou ik dus zeggen: zet zo veel mogelijk uit en niets extra's aan qua delen van informatie met de leverancier.
26-04-2023, 08:59 door Anoniem
Door Anoniem: Daarom zou ik dus zeggen: zet zo veel mogelijk uit en niets extra's aan qua delen van informatie met de leverancier.

* Zet zoveel mogelijk uit in de software.
* Prive: Blokkeer de rest zo veel mogelijk in je firewall en/of via een tool als bv Pi-hole
* Zakelijk: zet als beheerder alles dicht wat niet open hoeft te staan (het "Nee, tenzij" principe). En ja, dit zal een deel van je gebruikers kunnen frustreren.
26-04-2023, 09:08 door Anoniem
Daarom zou ik dus zeggen: zet zo veel mogelijk uit en niets extra's aan qua delen van informatie met de leverancier.
Dit moet allemaal uitstaan, heb je geen probleem met die datagraaiers dan zet je het maar zelf aan. Maar helaas
zijn de regels van de AVG niet zo en bewijzen ze voor mij dat zo voor die grote tech bedrijven zijn.
26-04-2023, 11:21 door Anoniem
Door Anoniem:
En is dit dan ook niet het geval bij het intypen of lezen van een (staatsgeheim) document?
Zit jij staatsgeheime documenten te typen op een door jou zelf beheerde machine die verbonden is met internet??
26-04-2023, 11:51 door Anoniem
Door Anoniem: Dit moet allemaal uitstaan, heb je geen probleem met die datagraaiers dan zet je het maar zelf aan. Maar helaas
zijn de regels van de AVG niet zo en bewijzen ze voor mij dat zo voor die grote tech bedrijven zijn.
Als "ze" zo eenzijdig voor die grote techbedrijven waren geweest had de hele AVG niet bestaan.

Ik denk dat de regels van de AVG het probleem niet zijn maar wel de mate waarin die grote techbedrijven erin slagen om op allerlei manieren dwars te blijven liggen in plaats van gewoon netjes aan hun verplichtingen te voldoen. Die bedrijven hebben teveel macht en invloed. Maar niet zoveel dat er geen AVG is, die is er wel degelijk.
26-04-2023, 14:33 door Anoniem
Door Anoniem: Maar niet zoveel dat er geen AVG is, die is er wel degelijk.
De AVG is enkel niet in het voordeel van de consument. Aangezien wanneer je opgeeft waarom je data verzamelt, mag je eigenlijk bijna alles. Ook het jarenlang opslaan van gegevens is met de meest simpele reden al legitiem.

De regels van de AVG zijn wel degelijk een probleem, die hadden juist de consument moeten beschermen.
26-04-2023, 19:31 door Anoniem
Bedankt voor jullie antwoorden!

De AVG zie ik niet zozeer als het probleem. De handhaving is m.i. echter bedroevend beperkt. Onder meer door het lage budget kan de A.P. ook moeilijk goed handhaven lijkt mij. En ik heb de indruk dat zij dit beperkte budget proberen zo efficient mogelijk in te zetten en zich richt op belangrijke ontwikkelingen.

Maar onder de streep lijken onze gegevens toch vogelvrij. Hoe kan het zijn dat onze banken allerlei trackers laten meedraaien tijdens het bankieren (gebruik ublock origin)? En dat per advertentie meer dan 1000 bedrijven griezelig veel zeer persoonlijke gegevens ontvangen: https://www.theregister.com/2021/06/17/johnny_ryan_lawsuit_adtech/

@anoniem 8.29:
>Onder het kopje "Hoe wij persoonsgegevens gebruiken"(...)

Het onaardige is dat de formulering zo is dat je er alle kanten mee op kan: "(...)Wij gebruiken gegevens in het bijzonder voor(...)". En "Wij gebruiken de gegevens ook voor onze bedrijfsvoering, waaronder". Zo volgen er nog wat meer zaken die je ook als voorbeeld uit kan leggen. Juridisch kun je hier weinig mee.

Het lijkt mij voor onder meer onze overheden wel relevant om ook in juridische zin goede afspraken te maken. Daarbij worden ook jouw en mijn gegevens hier, via de overheid (en verzekeraars e.d.) aan blootgesteld.
27-04-2023, 08:06 door Anoniem
Door Anoniem:
Door Anoniem: Maar niet zoveel dat er geen AVG is, die is er wel degelijk.
De AVG is enkel niet in het voordeel van de consument.
De burger, alsjeblieft, we zijn meer dan alleen consumenten.

En het is alleen maar de meest vergaande wet voor bescherming van de privacy van burgers ter wereld. Een wet die privacybewustzijn met een schok overal op de agenda heeft gezet, bij bedrijven én bij burgers zelf, niet alleen binnen Europa maar ook erbuiten. Een wet die al op verschillende plekken op de wereld tot navolging heeft geleid, in een intern rapport van Facebook noemt men het een tsunami van privacywetten. Met alles wat er niet goed gaat met de handhaving ervan is dit een wet die wel degelijk een enorme impact heeft gemaakt, en wel degelijk in het voordeel van burgers.

Mogelijk ben je zelf een van de vele, vele mensen die pas dankzij de AVG over de privacyproblemen met verwerking van persoonsgegevens was gaan nadenken en is je daardoor niet opgevallen hoe groot het verschil is tussen hoe het voor de AVG en erna was.
Aangezien wanneer je opgeeft waarom je data verzamelt, mag je eigenlijk bijna alles.
Er zijn geldige grondslagen benoemd voor de verwerking, en er worden eisen gesteld aan transparantie, zorgvuldigheid en bescherming van de data. Dat idee dat je bijna alles mag is hoe bedrijven die schijt hebben aan de AVG een van die grondslagen interpreteren, namelijk gerechtvaardigd belang. Die redeneren in essentie zo: ik verdien er geld mee, geld verdienen is een gerechtvaardigd belang, dus alles wat ik daarvoor doe mag. En jij lijkt te denken dat die redenatie klopt. Maar van een interpretatie van een wet die die hele wet onderuit haalt kan je op je vingers natellen dat die niet kan kloppen.

Gerechtvaardigd belang is pas een geldige grondslag voor de verwerking als die noodzakelijk is voor de behartiging van dat belang. Dat betekent dat het belang redelijkerwijs niet behartigd kan worden zonder die persoonsgegevens te verwerken.

Geld verdienen met het plaatsen van gerichte advertenties kan bijvoorbeeld ook zonder mensen te profileren: plaats ze bij inhoud waar de doelgroep in geïnteresseerd is. DuckDuckGo bijvoorbeeld plaatst advertenties op basis van de termen in de zoekopdracht, zonder mensen te volgen, en daarmee kunnen ze zichzelf prima bedruipen. De STER is in 2019 overgestapt van advertenties op de NPO-websites richten op personen naar ze richten op de content. Ze zagen hun advertentie-inkomsten toenemen. Dat zijn voorbeelden die laten zien dat het redelijkerwijs wel degelijk zonder verwerking van persoonsgegevens kan, en dat gerechtvaardigd belang opvoeren voor het profileren van mensen om gericht te kunnen adverteren op zijn zachtst gezegd twijfelachtig is.

Een voorbeeld van gerechtvaardigd belang waarbij die noodzaak er echt is zijn geldoverboekingen tussen bankrekeningen. Als jij en ik bij verschillende banken zitten en ik maak geld aan jou over, dan geef ik jouw naam en IBAN op, en dan verwerkt mijn bank die zonder dat ze jouw toestemming ervoor hebben en zonder dat het nodig is om een overeenkomst met jou te kunnen uitvoeren, want die hebben ze niet. Daar blijft alleen gerechtvaardigd belang over als grondslag: ze moeten wel persoonsgegevens over jou verwerken om de overboeking te kunnen uitvoeren.

Als die drempel van noodzaak genomen is is een bedrijf of organisatie er nog niet. Ze moeten ook nog hun belang afwegen tegen de grondrechten en fundamentele vrijheden van de betrokkene. Als die zwaarder wegen is het jammer van dat gerechtvaardigde belang, dat kan dan niet behartigd worden.

Het probleem is dat bedrijven die het exploiteren van persoonsgegevens als verdienmodel hebben doen alsof ze hier geen ene ruk van begrijpen en het aan hun laars lappen, dat de toezichthouders bij lange na niet genoeg geld en capaciteit hebben om die bedrijven aan te kunnen pakken, die vaak Amerikaans zijn en wereldwijd opereren, en dat de Ierse toezichthouder, waar veel van die bedrijven onder vallen, op zijn zachtst gezegd erg laks is.

Er gaat dus iets goed mis met de handhaving. Dat is wat anders dan dat eigenlijk bijna alles mag. Nee, het mag niet. Men doet het alleen toch en komt daar veel te makkelijk mee weg.

Ook het jarenlang opslaan van gegevens is met de meest simpele reden al legitiem.
In veel gevallen is het domweg verplicht, bijvoorbeeld omdat belastingwetgeving vereist dat bedrijven hun administratie 7 jaar bewaren, en dat wetgeving over medische dossiers een nog langere termijn vereist.

Maar inderdaad heb ik me ook wel eens verbaasd over hoe makkelijk het lang bewaren van logbestanden wordt geaccepteerd. Tegelijk snap ik dat het verdomd lastig is om te voorspellen hoe ver je terug moet blijken te kunnen kijken in de tijd om bijvoorbeeld een inbraak in je computernetwerk te kunnen vaststellen. Stel dat opeens blijkt dat je klantgegevens ergens opduiken, en dat je bij analyse van wat erin staat constateert dat die langer dan een jaar geleden moeten zijn gelekt. Moet je dat lek nog kunnen onderzoeken aan de hand van gelogde data of niet? Waar leg je de grens?

Ik heb daar zelf geen makkelijk antwoord op. Wel vind ik dat als om die reden logbestanden lang bewaard worden die versleuteld, offline en fysiek achter slot en grendel bewaard moeten worden. Ze moeten niet makkelijk toegankelijk zijn, ze moeten onder zeer uitzonderlijke omstandigheden nog toegankelijk te maken zijn.

De regels van de AVG zijn wel degelijk een probleem, die hadden juist de consument moeten beschermen.
Ik denk dat de regels van de AVG behoorlijk goed zijn, maar dat de handhaving ervan niet goed gaat. En onderschat niet hoe groot de impact van de AVG wel degelijk is, die is ondanks alles wat er niet goed gaat enorm.

Problemen met de handhaving (met name het feit dat de Ierse toezichthouder, waar de Amerikaanse tech-reuzen onder vallen, zijn werk niet goed doet) zijn trouwens mede de reden dat we nu de Digital Services Act hebben, als ik het goed heb begrepen. Die overlapt voor tech-reuzen met wat de AVG dekt en maakt dat een centrale Europese toezichthouder in kan grijpen zonder dat daarvoor de structuur van landelijke toezichthouders voor de AVG moet worden ontmanteld.
27-04-2023, 09:00 door Anoniem
Door Anoniem: @anoniem 8.29:
>Onder het kopje "Hoe wij persoonsgegevens gebruiken"(...)

Het onaardige is dat de formulering zo is dat je er alle kanten mee op kan: "(...)Wij gebruiken gegevens in het bijzonder voor(...)". En "Wij gebruiken de gegevens ook voor onze bedrijfsvoering, waaronder". Zo volgen er nog wat meer zaken die je ook als voorbeeld uit kan leggen. Juridisch kun je hier weinig mee.
(anoniem 8:29 hier)
Ik denk dat dat meevalt. De AVG verplicht bedrijven namelijk om betrokkenen bij het verzamelen van gegevens al op de hoogte te stellen van de verwerkingsdoelen en de rechtsgronden voor de verwerking. Er is ongetwijfeld wat speelruimte, maar als wat ze niet noemen fundamenteel anders van aard is dan wat ze wel noemen verzaken ze hun plicht om betrokkenen te informeren en overtreden ze de AVG.

Relevant in dat kader is overweging 47 over gerechtvaardigd belang. Daarin staat onder meer dat bij de afweging van het gerechtvaardigd belang tegen de belangen van de betrokkenen de laatste met name zwaarder kunnen wegen als de betrokkene redelijkerwijs niet kan verwachten dat verdere verwerking met dat doel plaatsvindt. Dus wat Microsoft niet noemt moet goed passen bij ze wel noemen, anders verwacht je als betrokkene niet dat dat ook nog kan. Als het sterk afwijkt moet het wel een verdomd zwaarwegend gerechtvaardigd belang betreffen willen ze er nog aanspraak op kunnen maken.

Dat de handhaving tekortschiet en dat onder de streep gegevens toch vogelvrij lijken te zijn klopt. We zijn er nog lang niet. Die advertentie-industrie waar Johnny Ryan tegen tekeer gaat is grotendeels Amerikaans, zoals je link laat zien. De Digital Services Act is een volgende stap van de EU om dit soort dingen aan te pakken, nu duidelijk is dat we het met de AVG niet redden tegen dat soort wereldwijd opererende machten van buiten de EU.
28-04-2023, 13:13 door Anoniem
@anoniem 0:900

>Ik denk dat dat meevalt. De AVG verplicht bedrijven namelijk om betrokkenen bij het verzamelen van gegevens al op de hoogte te stellen van de verwerkingsdoelen en de rechtsgronden voor de verwerking.

Misschien zijn ze inderdaad duidelijk genoeg op dit punt. Ik vind dat overigens niet meevallen.

https://privacy.microsoft.com/nl-nl/privacystatement


(...)Onze geautomatiseerde methoden omvatten bijvoorbeeld kunstmatige intelligentie (AI), wat we beschouwen als een set technologieën waarmee computers kunnen nadenken, leren, beredeneren en helpen bij de beslissingen om problemen op te lossen op manieren die vergelijkbaar zijn met wat mensen doen. Om de nauwkeurigheid van onze geautomatiseerde verwerkingsmethoden (inclusief AI) op te bouwen, te trainen en te verbeteren(...)

Het lijkt mij redelijk dat je kan verwachten wat TS schrijft. Je bent hier zelf mee akkoord gegaan. Zeker van een grote organisatie mag je verwachten dat ze begrijpt dat je hier beter niet mee akkoord kan gaan als je niet wilt dat je gevoelige, geheime of zelfs staatsgeheime informatie op deze manier wordt gebruikt.
01-05-2023, 14:39 door Anoniem
telemetrie/diagnostische gegevens = niet een heel document analyseren en inhoud verwerken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.