Blog van Vrijschrift / ScriptumLibre

The EU co-legislators reached a compromise on the Cyber Resilience Act (CRA) proposal. ¹ Both OpenForum Europe and Bert Hubert are positive. They both make important remarks on how to proceed. At the start of the trilogues the situation looked grim; the open source community did an excellent job. The co-legislators understood the importance of open source software for the EU economy and the vulnerability of the open source software development process. May this understanding never dissipate. ²

So, why this blog?

I think the CRA is badly drafted, and this is not a one time issue. The Council of the EU prefers to amend European Commission proposals through recitals, not through articles. And while this may not matter in this case, in general it harms accessibility and legal certainty, and leads (in part) to a patchwork of considerations instead of a legal system.

I would suggest the Council of the EU reinvent itself as a co-legislator.

De VS zullen de steun voor enkele Wereldhandelsorganisatie (WTO) e-commercevoorstellen beëindigen. Ze willen beleidsruimte voor een heroverweging van de digitale handel, zo meldt Inside US Trade. De VS lieten de steun voor de meest extreme voorstellen varen en komen dichter bij het standpunt van de EU. (English version)

Dit is goed nieuws, aangezien grondrechten en de integriteit van onze instellingen op het spel staan. Laten we echter niet vergeten dat het standpunt van de EU op het gebied van beleidsruimte ook niet zo sterk is. En de technologie-industrie verzet zich tegen het besluit van de VS.

The U.S. will end support for some World Trade Organisation (WTO) e-commerce proposals. They want policy space for a digital trade rethink, Inside U.S. Trade reports. The U.S. dropped support for the most extreme proposals and moves closer to the EU’s position. This is good news, as fundamental rights and the integrity of our institutions are at stake. Still, let’s not forget the EU’s position on policy space isn’t that strong either. And the tech industry pushes back against the U.S.’s decision. (Nederlandse versie)

Letter from the Vrijschrift Foundation to the Dutch Parliament’s First and Second Chambers about the EU Cyber ​​Resilience Act proposal. (original Dutch version)

to: : Chairman of the Parliament Second Chamber Committee for Digital Affairs,
Chairman of the Parliament First Chamber committee for Justice and Security
from: Vrijschrift Foundation
concerns: EU Cyber ​​Resilience Act will harm competitiveness

Dear Mr Valstar,
Dear Mr. Dittrich,

The EU Cyber ​​Resilience Act (CRA) proposal aims to make products containing software and software itself more secure. [1] This objective is endorsed by Vrijschrift. The Minister of Economic Affairs and Climate has written to the Senate that concerns regarding open source software have been “extensively addressed” by means of a recital. However, recitals do not have independent legal force; the amendments of the Council of the EU are ineffective. The CRA, if adopted in this form, will seriously harm the open source ecosystem and the competitiveness of the European economy. We will explain this below.

Brief van Stichting Vrijschrift aan Eerste en Tweede Kamer over het EU Cyber Resilience Act voorstel.

aan: Voorzitter TK commissie voor Digitale Zaken,
Voorzitter EK commissie voor Justitie en Veiligheid
van: Stichting Vrijschrift
betreft: EU Cyber Resilience Act zal concurrentievermogen schaden

Zeer geachte heer Valstar,
Zeer geachte heer Dittrich,

Het EU Cyber Resilience Act (CRA) voorstel heeft tot doel producten met software en software zelf veiliger te maken. ¹ Deze doelstelling wordt door Vrijschrift onderschreven. De minister van Economische Zaken en Klimaat heeft aan de Eerste Kamer geschreven dat de zorgen met betrekking tot open source software door middel van een overweging “uitgebreid geadresseerd” zijn. Echter, overwegingen hebben geen zelfstandige rechtskracht; de amendementen van de Raad van de EU missen werking. De CRA zal, indien in deze vorm aangenomen, het open source ecosysteem en het concurrentievermogen van de Europese economie ernstig schaden. We zullen dit hieronder uiteenzetten.

The German Association of the Automotive Industry (VDA) published a brief position paper on the Cyber Resilience Act in relation to free and open source software. The Cyber Resilience Act (CRA) proposal aims at making products with software and software itself safer. The German car industry’s brief does a great job in explaining the importance of free and open source software (FOSS), and why the approach taken with the legislative proposal will harm the European economy. It’s a short paper, one and a half page, I encourage you to read it. I will discuss the paper and point to a possible solution.

The European Parliament Industry, Research and Energy Committee (ITRE) approved its report on the Cyber Resilience Act (CRA). It also voted for a fast track process. (updated ¹) The CRA is meant to strengthen software security.

Prior to the vote, many individuals and free and open source software organisations were very critical: EFF, FossForce, Bert Hubert 1, Bert Hubert 2, Team NLnet Labs, Apache Software Foundation, Opensource org, GitHub, CNLL, Vrijschrift, major industry associations, overview.

After the vote, organisations are just as critical. FossForce: Bad News for Open Source: EU Committee Approves the Cyber Resilience Act

“I’m discouraged that the proposed legislation has made it this far, and concerned that industry response so far is not robust enough to counter what is likely to be very damaging if it is enacted,” Joe Brockmeier, head of community at Percona said in a statement after the approval was announced.

The German automotive industry is worried about the impact of the legislative proposal. Joomla is. Inter-CMS Working Group:

However, in their current form, the proposed regulations run the risk of reducing software security, as well as undermining the EU’s core aims and values, as we explain below.

I haven’t been involved with the CRA earlier, and others are more knowledgeable regarding this proposal. In this blog I will limit myself to

(i) argue that the ITRE text violates the EU Joint practical guide by putting safeguards in the recitals where they may be completely ineffective and as a result creates legal uncertainty which may be very damaging for the software industry, especially the free and open source software community;

(ii) conclude that fixing the text is of strategic importance; and

(iii) suggest an approach – a shared set of high quality amendments with broad support could make the open source community’s case more compelling.

Algoritmische transparantie is een belangrijk aspect van wetgeving over artificiële “intelligentie” (AI). Helaas beperkt een broncodeclausule voor software in EU-handelsverdragen algoritmische transparantie. Na een korte inleiding over AI en wetgeving, zal ik bepleiten dat de EU deze clausule uit handelsverdragen moet verwijderen. (Engelse versie)

Het EU-handelsakkoord met Japan ondermijnt algoritmische transparantie, schreef Stichting Vrijschrift in 2018 in een brief aan het Nederlandse parlement. De broncodeclausule van de overeenkomst zou de mogelijkheden beperken om software en algoritmen te controleren. ¹

De EU ratificeerde de overeenkomst en ratificeerde meer overeenkomsten met de clausule. Normaal gesproken is met deze bekrachtigingen het lot bezegeld. Maar met het toenemende besef over de ontwrichtende mogelijkheden van AI is er een kans om het debat te heropenen.

We hebben beleidsruimte nodig om AI goed te reguleren.

Algorithmic transparency is a important aspect of artificial “intelligence” (AI) legislation. Unfortunately, a software code clause in EU trade agreements limits algorithmic transparency. After a short introduction to AI and lawmaking, I will argue the EU should reverse course on this clause.

The EU trade agreement with Japan undermines algorithmic transparency, the Vrijschrift foundation wrote in a letter to the Dutch Parliament, in 2018. The agreement’s software code clause would limit the possibilities to audit software and algorithms.

The EU ratified the agreement, and ratified more agreements with the clause. Normally speaking, with these ratifications, the fate is sealed. But with the perplexity about AI’s disruptive capabilities, there may be a window of opportunity to reopen the debate.

We need policy space to properly regulate AI.

De Wereldgezondheidsorganisatie (WHO) heeft een nulontwerp gepubliceerd voor een pandemieverdrag, om te helpen bij het voorkomen van, voorbereid zijn op, en bestrijden van een pandemie. Een nulontwerp is een niet-verplichtend beginpunt voor onderhandelingen.

Een van de hoofdstukken gaat over toegang tot kennis. Dit is een beladen onderwerp omdat bedrijven hun alleenrechten (bijvoorbeeld octrooien) zeker willen stellen en maatschappelijke organisaties wijzen op het belang van betaalbare toegang tot vaccins en medicijnen voor iedereen.

Ik beperk me tot openbaarheid en het toegang tot kennis aspect. Ik heb de citaten vertaald.

Het ontwerp handelsverdrag tussen de EU en Nieuw-Zeeland bevat een ingrijpende verplichting om grensoverschrijdende gegevensstromen toe te staan, die veel verder gaat dan eerdere verplichtingen in handelsverdragen. De verplichting wordt vergezeld door een waarborg – een uitzondering op de verplichting, een carve out – voor de bescherming van persoonsgegevens en privacy. Deze waarborg ziet er sterk uit, vanuit een bepaald perspectief, maar zwak vanuit een ander. Het hoofdstuk over digitale handel heeft ook een clausule over het recht om te reguleren – het recht om wetten te maken. Deze waarborg is zwak.

In 2012 besloot de Europese Commissie dat Nieuw-Zeeland persoonsgegevens adequaat beschermt. In het geval van Nieuw-Zeeland doet de kracht van de verplichting om gegevensstromen toe te staan en van de uitzondering op de verplichting er daarom misschien niet zoveel toe.

De EU-commissie heeft echter de intentie uitgesproken om de ingrijpende verplichting en de sterke/zwakke uitzondering ook te gebruiken in handelsverdragen met landen zonder adequate gegevensbescherming. Dit lijkt onverstandig.

Hieronder ga ik in op de clausule over het recht om te reguleren, de verplichting om gegevensstromen toe te staan en de uitzondering daar op, en signaleer ik spanningen tussen supranationalisering en democratie.

Dit blog is een vertaling / bewerking van een eerdere engelstalige versie.