Vergeet het!

In het Seventh Framework Programme for Research and Technological Development van de Europese Unie, lopen verschillende digitale archiveringsprojecten, zoals BlogForever en SCAPE.

Vorige week las ik over ForgetIt, dat ook onder dat programma valt.

While preservation of digital content is now well established in memory institutions such as national libraries and archives, it is still in its infancy in most other organizations, and even more so for personal content. ForgetIT combines three new concepts to ease the adoption of preservation in the personal and organizational context, each overcoming major obstacles:

• First, Managed Forgetting models resource selection as a function of attention and significance dynamics. It is inspired by the important role of forgetting in human memory and focuses on characteristic signals of reduction in salience. For this purpose it relies on multi-faceted information assessment and offers customizable preservation options such as full  preservation, removing of redundancy, resource condensation, and also complete digital forgetting.
• Secondly, Synergetic Preservation crosses the chasm that exists between active information use and preservation management by making intelligent preservation processes an integral part of the content lifecycle in information management and by developing solutions for smooth bi-directional transitions.
• Thirdly, Contextualized Remembering targets keeping preserved content meaningful and useful. It will be based on a process of dynamic evolution-aware contextualization, which combines context extraction and packaging with evolution detection and intelligent re-contextualization.

[...]
The main expected outcomes are the flexible Preserve-or-Forget Framework for intelligent preservation management and, on top of it, two application pilots: one for personal preservation focussing on multimedia coverage of personal events and one for organizational preservation targeted at smooth preservation in organizational content management.

Dat is een hele mond vol, maar interessant genoeg om in de gaten te houden. Maar de naam van het project vind ik toch een beetje twijfelachtig.

Gerelateerd
BlogForever
Bewaar als... Een praktische leporello
Delete. Onthouden of vergeten in de digitale wereld.
Opslag wordt steeds goedkoper, dus laten we alles maar bewaren

En ook nog:
Digitaal duurzaam voor de gewone man
Digitale archivering bij de mensen thuis

Het plaatje komt van de ForgetIt-site

Vergeet mij toch

Begin dit jaar publiceerde de Europese Commissie een nieuwe verordening ”betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.” Ik schreef er in februari al over.
Gisteren publiceerde ENISA (European Network and Information Security Agency) een rapport over de technische consequenties van het in de verordening geïntroduceerde recht om te worden vergeten.
En er zitten nog al wat haken en ogen aan.
Allereerst constateert ENISA dat de definitie van "personal data" nogal ruim is.

These definitions define personal data broadly as information that can be linked, either by itself or in combination with other available information, to uniquely identify a natural person. However, they leave to interpretation whether it includes information that can be used to identify a person with high probability but not with certainty, e.g. a picture of a person or an account of a person’s history, actions of performance. Neither is it clear whether it includes information that identifies a person not uniquely, but as a member of a more or less small set of individuals, such as a family. 

Een andere gerelateerde vraag is op welke manier geaggregeerde informatie (dus statistieken) beïnvloed worden door het verwijderen van de onderliggende ruwe data. Het risico van deze data niet uit de aggregaties verwijderen is dat de "verwijderde" informatie misschien wel weer gereconstrueerd kan worden door verschillende collecties te "kruisen".
Klinkt ver gezocht misschien, maar het doel van de verordening is juist om die data te verwijderen als mensen daarom vragen.

Dat is trouwens een ander probleem dat ENISA beschrijft: wie heeft het recht om data te laten verwijderen?
Stel twee mensen staan samen op de foto en een van die twee wil de foto laten verwijderen, terwijl de ander de foto per sé online wil laten staan. Wiens recht gaat dan voor?
Of wat gebeurt er met bijvoorbeeld een blogbericht van mij, waarin ik een tweet van een ander citeer en die ander wil die tweet laten verwijderen? Moet ik hem dan ook uit mijn bericht wissen? En tenslotte natuurlijk, wat te doen met politici?

A related question is how the right to be forgotten should be balanced against the public interest in  accountability, journalism, history, and scientific inquiry? Should a politician or government be able to request removal of some embarrassing reports? Should the author of a scientific study be able to request withdrawal of the publication? What principles should be used to decide, and who has the authority to make a decision? 

De derde vraag die ENISA stelt, kennen archivarissen ook uit hun dagelijkse praktijk: wanneer is weg weg genoeg?

A strict interpretation would require that all copies of the data be erased and removed from any derived or aggregated representations to the point where recovering the data is impossible by any known technical means. A slightly weaker (and possibly more practical) interpretation would allow encrypted copies of the data to survive, as long as they cannot be deciphered by unauthorized parties. An even weaker (and more practical) interpretation would allow clear text copies of the data to survive, as long as the data would no longer appear in public indices, database query results, or in the results of search engines.

Zeg het maar...

In het vierde hoofdstuk beschrijft ENISA de technische (on)mogelijkheden die het kopiëren en bewaren van persoonsgegevens moeten beperken. De samenvatting daarvan luidt: technisch is het bijkans onmogelijk om ongeautoriseerde verspreiding van gegevens tegen te gaan zodra die openbaar zijn (geweest).

To summarize, all existing technical approaches to ensure the right to be forgotten are vulnerable to unauthorized copying while the date is publicly accessible and a re-dissemination of such unauthorized copies once the data has expired.  Therefore, the right to be forgotten cannot be ensured using technical means alone. A possible partial solution may be a legal mandate aimed at making it difficult to find expired personal data, for instance, by requiring search engines to exclude expired personal data from their search results. 

En dan hebben we het nog niet gehad over persoonsgegevens die opgeslagen staan op afgeschreven en/of off line opslagmedia. Die moeten natuurlijk ook verwijderd worden als daar om gevraagd wordt.

Met andere woorden: eigenlijk is het "recht om vergeten te worden" een onuitvoerbare belofte.

Gerelateerd
Europees recht om vergeten te worden
DLMConference #dlm2011
Bewaren is makkelijk, vernietigen dat is moeilijk!
Recht om te worden vergeten

Plaatje: Forget, Historical Archive City of Cremona, Italy 2008 van Filippo Minelli

Weesjes mogen gescand worden

Ruim een jaar nadat ik er hier al over schreef is het zover: het Europees parlement heeft afgelopen donderdag de nieuwe richtlijn over verweesde werken aangenomen.
Verweesde werken zijn "kunstwerken" die onder de Auteurswet vallen en waarvan het Auteursrecht nog niet verstreken is, maar waarvan het ook niet of nauwelijks mogelijk is om de rechthebbenden te achterhalen. Dit maakt het voor "publieke instellingen," bijvoorbeeld bibliotheken, musea en archiefdiensten, lastig om zulke werken te digitaliseren en online beschikbaar te stellen, aangezien de Auteurswet expliciet stelt dat daar vantevoren toestemming van de rechthebbende voor nodig is. Dit verandert met deze richtlijn. Degene die een verweesd werk online wil zetten, moet aantonen dat hij zorgvuldig ("dilligent") naar de rechthebbenden heeft gezocht. Als hij ze niet vindt, mag hij ze online zetten als verweesd werk.

Works granted orphan status would be then be made public, for non-profit purposes only, through digitisation. A work deemed to be "orphan" in any one Member State would then qualify as "orphan" throughout the EU. This would apply to any audiovisual or printed material, including a photograph or an illustration embedded in a book, published or broadcast in any EU country.

Het Europees parlement vond wel dat als de rechthebbende zich later alsnog meldt, deze recht heeft op compensatie. Maar omdat de verweesde werken niet commercieel gebruikt mogen worden, zullen dit geen gigantische bedragen zijn. Enige uitzondering hierop is dat de instellingen wel wat geld mogen verdienen aan het "gebruik" van de verweesde werken, bijvoorbeeld wanneer ze een verweesde tekening op een tas drukken. Maar de opbrengsten mogen alleen gebruikt worden voor de digitalisering en de beschikbaarstelling van verweesde werken aan het publiek.
De volledige tekst die het EP heeft vastgesteld vind je hier vanaf pagina 268 (doc).
Het is nu aan de Europese Raad om de richtlijn te accorderen en daarna moeten de landsregeringen het nog omzetten in wetgeving.

Gerelateerd
Een Europese richtlijn voor auteurswettelijke weesjes

Recht om te worden vergeten

Eind vorige maand presenteerde de Europese Commissie het voorstel om te komen tot een nieuwe Europese verordening "betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens." Commissaris Reding brengt haar voorstel vooral onder de aandacht met de slogan: The right to be forgotten, of zoals het in artikel 17 van het voorstel staat: Recht om te worden vergeten en om gegevens te laten wissen.
Dat klinkt sympathiek, maar wat betekent dat eigenlijk? En zitten daar niet nog al wat haken en ogen aan?

Persoonsgegevens en verwerking

Voor de toepassing van deze verordening wordt verstaan onder:

1. “betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit. 
2. “persoonsgegevens”: iedere informatie betreffende een betrokkene; 
3. “verwerking”: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enigerlei andere wijze van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het wissen of vernietigen van gegevens.

Oftewel: als ik hier schrijf dat Johan Friso van Oranje bruine haren heeft en afgelopen vrijdag onder een lawine terecht is gekomen en daar geen schedelbasisfractuur aan over heeft gehouden, dan valt deze blogpost onder de verordening.

Het recht om te worden vergeten
En dat het onder de verordening valt, betekent dat de betrokkene (Johan Friso in dit geval) op grond van artikel 17 kan eisen dat deze gegevens gewist worden:

De betrokkene heeft er recht op dat de voor de verwerking verantwoordelijke ervoor zorgt dat hem betreffende gegevens worden gewist en de verdere verspreiding van dergelijke gegevens achterwege blijft, [...], wanneer een van de volgende gronden van toepassing is:
[...]
c) de betrokkene maakt bezwaar tegen de verwerking van de persoonsgegevens overeenkomstig artikel 19;

En dat betekent dat ik alle moeite zou moeten doen, om bovenstaande passage te verwijderen.


Uitzonderingen
Maar er zijn uitzonderingen, want op grond van het derde lid van artikel 17 hoef ik niet onverwijld tot wissen over te gaan als:

het nodig is de persoonsgegevens te bewaren:
(a) voor de uitoefening van het recht op vrijheid van meningsuiting overeenkomstig artikel 80; 

In artikel 80 staat dat iedere lidstaat zelf moet zorgen voor regels om de vrijheid van meningsuiting te verzoenen met de bescherming van persoonsgegevens. De formulering van artikel 80 is nog al ondoorzichtig, maar in de overwegingen staat het heel helder:

(121) Voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden of voor artistieke en literaire doeleinden dient te worden voorzien in uitzonderingen op een aantal bepalingen van deze verordening teneinde het recht op bescherming van persoonsgegevens te verzoenen met de  regels betreffende de vrijheid van meningsuiting, inzonderheid het recht om inlichtingen te ontvangen of te verstrekken, zoals dat met name bij artikel 11 van het Handvest van de grondrechten van de Europese Unie wordt gewaarborgd.
[...]
Gelet op het belang van het recht van vrijheid van meningsuiting in elke democratische samenleving, dienen begrippen die betrekking hebben op die vrijheid, zoals journalistiek, ruim te worden uitgelegd. Voor de in het kader van deze verordening vast te stellen uitzonderingen en afwijkingen dienen de lidstaten activiteiten derhalve als “journalistiek” aan te merken, indien deze activiteiten de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebben, ongeacht het voor de doorgifte gebruikte medium. Het hoeft niet noodzakelijkerwijs om activiteiten van mediaondernemingen te gaan en zij kunnen met of zonder winstoogmerk worden uitgevoerd. 

En hiermee ben ik in een keer journalist geworden, want het doel van dit weblog is "bekendmaking aan het publiek van informatie, meningen of ideeën." Dus het is maar de vraag of ik dan zou moeten wissen.

Hoe werkt dat nu?
Directe aanleiding voor dit stukje was een column van Juurd Eijsvogel over de nieuwe richtlijn, waarin hij verwees naar de moord op een Duitse acteur ruim twintig jaar geleden. In het Duitse lemma hierover op Wikipedia staan de namen van de veroordeelden niet vermeld, ondanks dat het wel zou mogen:

Mit zahlreichen Unterlassungsverfügungen gegen Onlinearchive haben die beiden Mörder versucht, die Löschung ihrer Namen zu erreichen. Eine solche Löschung wurde auch in der deutschsprachigen Wikipedia vorgenommen. Im November 2009 legte der Bundesgerichtshof die Klage eines der Mörder auf Nichtnennung seines Namens im Internet-Angebot eines österreichischen Medienunternehmens dem Europäischen Gerichtshof vor, um unter anderem die Zuständigkeit deutscher Gerichte zu klären.[9][10] Der Bundesgerichtshof entschied am 15. Dezember 2009, dass die Verurteilten keinen Anspruch auf Entfernung ihrer Namen aus Internetarchiven haben, dies würde eine unzulässige Einschränkung der Meinungs- und Medienfreiheit bedeuten.

In het Nederlandse lemma staan die namen trouwens wel.

En overheidsarchieven dan?
Dat is mij ook nog niet helemaal duidelijk. In het "recht-om-te-worden-vergeten-artikel" staat een uitzondering "voor historische, statistische of wetenschappelijke doeleinden overeenkomstig artikel 83."
En dat artikel luidt volledig:

1. Binnen de grenzen van deze verordening mogen persoonsgegevens alleen voor historische, statistische of wetenschappelijke doeleinden worden verwerkt, wanneer:
a) deze doeleinden niet op een andere manier kunnen worden bereikt, namelijk door verwerking van gegevens waarmee de betrokkene niet of niet langer kan worden geïdentificeerd;
b) gegevens waardoor informatie aan een geïdentificeerde of identificeerbare betrokkene kan worden toegekend, gescheiden worden bewaard van andere informatie, voor zover deze doeleinden op die manier kunnen worden bereikt.
2. Organen die historisch, statistisch of wetenschappelijk onderzoek verrichten, mogen persoonsgegevens alleen publiceren of op andere wijze bekendmaken, wanneer:
a) de betrokkene onder de in artikel 7 gestelde voorwaarden daarvoor toestemming heeft gegeven;
b) de publicatie van persoonsgegevens  nodig is om de onderzoeksresultaten te presenteren of het onderzoek te vergemakkelijken, mits de belangen of de grondrechten en grondvrijheden van de betrokkene geen voorrang hebben boven deze belangen; of
c) de betrokkene de gegevens heeft bekendgemaakt

Ik kan lastig inschatten wat dit betekent voor de openbaarmaking van overheidsarchieven.

Gerelateerd
Europees recht om vergeten te worden
DLMConference #dlm2011

Een Europese richtlijn voor auteurswettelijke weesjes

Eind mei heeft de Europese Commissie een voorstel naar het Europees Parlement gestuurd "inzake bepaalde toegestane gebruikswijzen van verweesde werken." Sinds vorige week staat het voorstel op Internetconsultatie.nl waar er tot 31 augustus 2011 commentaar op gegeven kan worden.

Om door het auteursrecht beschermde werken in een online digitale bibliotheek of archief ter beschikking te stellen van het publiek is voorafgaande goedkeuring vereist. Indien de betrokken auteursrechthebbende niet kan worden geïdentificeerd of gevonden, worden de werken in kwestie verweesde werken genoemd. De goedkeuring die vereist is om werken online beschikbaar te maken kan dan ook niet worden verkregen. Bibliotheken of andere instellingen die werken online ter beschikking stellen van het publiek zonder voorafgaande goedkeuring lopen het risico dat zij het auteursrecht schenden.

De voornaamste doelstelling van dit voorstel is het creëren van een rechtskader om de wettige en grensoverschrijdende online-toegang te verzekeren tot verweesde werken die opgenomen zijn in online digitale bibliotheken of in door diverse in het voorstel gespecificeerde instellingen beheerde archieven wanneer dergelijke verweesde werken uit hoofde van taken van openbaar belang van dergelijke instellingen worden gebruikt.

Heel simpel gezegd komt het er op neer dat een instelling die verweesde werken mag gebruiken (archieven, bibliotheken, musea, onderwijsinstellingen, zie artikel 1 van de richtlijn) zorgvuldig moet zoeken naar de rechthebbenden van een werk. In artikel 3 wordt omschreven hoe dit zorgvuldig zoeken er uit zou moeten zien:

Artikel 3

Zorgvuldig zoeken

1. Om uit te kunnen maken of een werk een verweesd werk is, zorgen de in artikel 1, lid 1, bedoelde organisaties ervoor dat voor elk werk zorgvuldig gezocht wordt door de gepaste bronnen voor de desbetreffende categorie van werken te raadplegen.
2. De bronnen die voor elke categorie van werken geschikt zijn, wordt door elke lidstaat in overleg met rechthebbenden en gebruikers bepaald, en omvatten de in de bijlage opgesomde bronnen.
3. Het zorgvuldig zoeken dient enkel plaats te vinden in de lidstaat van de eerste publicatie of uitzending.
4. De lidstaten zorgen ervoor dat de resultaten van het zorgvuldig zoeken op hun grondgebied in een voor het publiek toegankelijke databank worden opgeslagen.

De truc is daarna, en daarom is dit een Europese richtlijn, dat alle landen in de EU een werk als verweesd beschouwen, als dat in één land is vastgesteld.

Hier is de speciale website die de EU aan Orphan works gewijd heeft.

Zou dit voldoende tegemoet komen aan de klachten van onder andere de KB?

Gerelateerd
De KB-Google-deal
Verklaring op eer of tussen je vingers door spugen?

Europees recht op vergeten worden

Kijk nou eens aan...

Eurocommissaris Reding heeft afgelopen week in een toespraak aan het Europees parlement aangegeven dat de Europese privacy-richtlijn zal worden gemoderniseerd. Hierbij gaf ze aan dat hiervoor vier uitgangspunten gelden:

1. Het recht om te worden vergeten

a comprehensive set of existing and new rules to better cope with privacy risks online. When modernising the legislation, I want to explicitly clarify that people shall have the right – and not only the "possibility" – to withdraw their consent to data processing. The burden of proof should be on data controllers – those who process your personal data. They must prove that they need to keep the data rather than individuals having to prove that collecting their data is not necessary.

2. Transparantie

Individuals must be informed about which data is collected and for what purposes. They need to know how it might be used by third parties. They must know their rights and which authority to address if those rights are violated. They must be told about the risks related to the processing of their personal data so that they don't loose control over their data or that their data is not misused. This is particularly important for young people in the online world.

3. Privacy by default

Privacy settings often require considerable operational effort in order to be put in place. Such settings are not a reliable indication of consumers' consent. This needs to be changed.

4. Bescherming ongeacht de locatie van de data

It means that homogeneous privacy standards for European citizens should apply independently of the area of the world in which their data is being processed. They should apply whatever the geographical location of the service provider and whatever technical means used to provide the service. There should be no exceptions for third countries' service providers controlling our citizens' data. Any company operating in the EU market or any online product that is targeted at EU consumers must comply with EU rules.

Gerelateerd
Geef je privacy op, red de wereld
Digitale vergeet-me-nietjes
Delete. The virtue of forgetting in the Digital Age - Viktor Mayer -Schönberger

Plaatje: Facebook: The privacy saga continues van Opensourceway