Welkom bij de eerste aflevering van de Privacy Perspectives. Dit is een nieuwe ruimte voor diepere duiken op Privacy Maandelijks materiaal, en voor ander materiaal dat niet helemaal past in de Privacy Maandelijks. Elk verhaal heeft een directe link naar de bron, wat commentaar voor de context en soms een persoonlijke mening.
- EDPB geeft AI geen ruimte
- Youtube laat de bal vallen over politieke advertenties
- Hoe beschermen apps gezondheidsgegevens van vrouwen?
- De Markup over het volgen van auto's en hypotheekmakelaars
- SDK's en de FTC
- Hoe GPS locatiegegevens veranderde
EDPB geeft AI geen ruimte
De AI-wet steelt de media-aandacht en daar is een goede reden voor: het is de eerste wet in zijn soort en zal waarschijnlijk de toon zetten voor AI-beleidsdiscussies wereldwijd, net zoals de GDPR dat deed voor privacywetgeving. Maar de privacymensen bespreken ook ander AI-gerelateerd nieuws dat onder de radar van de algemene media vloog: de European Data Protection Board (EDPB) publiceerde zijn rapport over het werk van de ChatGPT taskforce.
Hier is wat context: in 2023 verbood de Italiaanse privacywaakhond ChatGPT voor ongeveer een maand uit privacyoverwegingen. Dit zette de EDPB (dat is de commissie waarin alle privacytoezichthouders zetelen) ertoe aan een breder onderzoek te starten via de zogenaamde "ChatGPT taskforce". Het resultaat is een rapport waarin de gemeenschappelijke basis wordt uiteengezet die de Europese regelgevers hebben gevonden.
Het rapport is erg belangrijk omdat de problemen van ChatGPT grotendeels gemeenschappelijk zijn voor alle basismodellen: ze hallucineren bijvoorbeeld, ze kunnen niet worden gedwongen om gegevens te vergeten en ze worden meestal getraind op niet-consensueel geschraapte gegevens. Dit zijn allemaal serieuze problemen die regelgevers in de nabije toekomst zullen moeten aanpakken en hun aanpak zal een grote impact hebben op foundational models op de EU-markt.
Het rapport draait er niet omheen en stelt heel duidelijk dat toezichthouders volledige naleving verwachten van de leveranciers van AI en dat technische onmogelijkheid geen excuus is voor niet-naleving. Met andere woorden, de EDPB is niet bereid om OpenAI (en andere spelers) speelruimte te geven op grond van het feit dat naleving van de GDPR technisch onmogelijk is.
Het rapport benadrukt dat het implementeren van waarborgen kan helpen bij naleving. Maar we moeten realistisch zijn: veel waarborgen die gebruikelijk zijn in andere industrieën werken gewoon niet voor AI, althans niet binnen de huidige stand van de techniek. Als je trainingsgegevens het hele open web zijn, zijn zaken als anonimisering en opschoning van gevoelige gegevens gewoon niet mogelijk, evenmin als serieus werk om de kwaliteit van gegevens te verbeteren.
Individuele regelgevers kunnen heel goed afwijken van het standpunt van de EDPB omdat het rapport niet bindend is. En het is natuurlijk niet te zeggen waar het Hof van Justitie zal staan als het zich uiteindelijk over AI en de GDPR buigt.
Desalniettemin, als de lijn in het rapport doorzet, kunnen foundational modellen in de problemen komen op de EU-markt.
Youtube laat de bal vallen over politieke advertenties
Uit een onderzoek van Access Now en Global Witness blijkt dat YouTube weinig tot niets doet tegen verkiezingsmisleiding in India.
De twee groepen hebben 48 video-advertenties geüpload met extreem valse verkiezingsinformatie in drie talen, waaronder Engels - wat voor Google de makkelijkste taal zou moeten zijn om mee te werken. Ze zijn allemaal door YouTube's beoordeling gekomen. De enige reden dat ze niet zijn uitgezonden is dat Access Now ze van tevoren heeft teruggetrokken.
Misschien waren die massaontslagen bij Google's trust- en veiligheidsteam toch niet zo'n goed idee?
Hoe beschermen apps gezondheidsgegevens van vrouwen?
Matt Fisher schrijft voor The Pulse over een recent onderzoek naar privacy in vrouwelijke mhealth-apps op de Amerikaanse markt. Spoiler alert: de privacypraktijken zijn verschrikkelijk in de hele sector. Dit is voor een groot deel te wijten aan het feit dat veel mhealth-apps niet vallen onder HIPAA, een Amerikaanse wet voor de gezondheidszorg die gezondheidsinformatie beschermt.
Zoals Matt terecht opmerkt, kan HIPAA verwarrend zijn voor niet-juristen. Of gegevens onder de HIPAA vallen, hangt niet alleen af van hun aard, maar ook van de context waarin ze zijn verzameld. Om het grof te vereenvoudigen: gezondheidsgegevens die buiten het gezondheidszorgsysteem zijn verzameld, vallen niet onder HIPAA, hoe gevoelig ze ook mogen zijn.
Dus, "Alice haar menstruatiecyclus is gestopt" is beschermde gezondheidsinformatie als Alice het aan haar arts vertelt, maar niet als ze het intypt in haar mhealh app. Dit is contra-intuïtief en daarom verwarrend voor Alice. Ze kan ten onrechte denken dat de informatie altijd onder HIPAA valt en geloven dat haar gegevens veiliger zijn dan ze in werkelijkheid zijn.
Het is de moeite waard om op te merken dat privacy van gezondheidsgegevens ongelooflijk belangrijk is sinds Dobbs v. Jackson. Na de uitspraak riskeren inwoners van bepaalde staten vervolging en gevangenisstraf voor het zoeken van gezondheidszorg en mhealth-apps zijn een schat aan mogelijk belastend bewijs. De FTC doet haar best om de schade te beperken, maar er komt geen echte oplossing totdat de VS gezondheidsgegevens beschermt met een federale privacywet.
De Markup over het volgen van auto's en hypotheekmakelaars
Wanneer er wordt gesproken over de schade van surveillance, denken mensen meestal aan toekomstige dystopieën en scenario's van spionageverhalen. De werkelijkheid is vaak alledaagser - denk minder aan "1984" en meer aan "gevaarlijke ex die je stalkt".
Een uitstekend artikel, gepubliceerd door The Markup en CalMatters, legt uit hoe het volgen van auto's huiselijk geweld mogelijk maakt doordat de misbruiker de bestuurder kan lokaliseren. Zoals de auteur terecht opmerkt, zijn auto's vaak een reddingslijn voor slachtoffers van mishandeling, waardoor stalking door middel van auto's des te problematischer is. Soms is zelfs een straatverbod niet genoeg om het volgen te stoppen.
The Markup onderzocht ook het gebruik van Meta's pixel door Amerikaanse hypotheekmakelaars en ontdekte dat veel van hen - waaronder enkele zwaargewichten - financiële gegevens van gebruikers delen met Facebook zonder hun toestemming of zelfs zonder dat ze het weten.
Meta verbiedt bedrijven om gevoelige informatie via de pixel te versturen en beweert dat het geautomatiseerde tools gebruikt om het versturen van gevoelige informatie te blokkeren. Dat gezegd hebbende, suggereren de resultaten van het onderzoek van The Markup dat Meta zijn beleid waarschijnlijk niet al te strikt handhaaft.
SDK's en de FTC
Andrew Folks gaat dieper in op een aantal juridische kwesties rond software development kits (SDK's) en biedt een overzicht van recente handhavingsmaatregelen van de FTC tegen illegale SDK-tracking.
SDK's (Software Developer Kids) zijn een bundel hulpmiddelen voor het bouwen van software. Meestal nemen de eigenaars van een SDK trackingtechnologie op in de code en stellen deze ter beschikking aan externe ontwikkelaars. Het resultaat is dat ontwikkelaars de SDK gratis kunnen gebruiken en dat de eigenaars van de SDK gegevens van de eindgebruiker kunnen verzamelen.
SDK's zijn de privacyramp waar bijna niemand over praat. Bijna iedereen heeft deze spyware op zijn telefoon. Dit gebeurt zelfs op de EU-markt en ondanks de strikte opt-in toestemming die de ePrivacy-richtlijn vereist voor dergelijke tracking. In feite omzeilen veel bedrijven de wet door te eisen dat de app toestemming geeft voor het volgen van de telefoon om überhaupt te kunnen werken.
Hoe GPS locatiegegevens veranderde
Cobun Zweifel-Keegan, die schrijft over de recente boetes van de FCC tegen mobiele providers, geeft een interessant overzicht van hoe GPS de economische waarde van locatiegegevens heeft veranderd. In een notendop creëerde GPS nieuwe en winstgevende inkomstenstromen voor communicatiebedrijven, maar zorgde het ook voor nieuwe verwachtingen van privacy bij klanten.