Internetrecht door Arnoud Engelfriet

Weet u nog, die keiharde botsing tussen OPTA en SURFnet? Ik was het ook helemaal vergeten, maar gelukkig meldde ISPam het. SURFnet heeft bij de rechter gelijk gekregen: zij zijn geen openbare internetaanbieder en hoeven zich dus niet bij de OPTA aan te melden.

Wie internet-toegang aanbiedt aan “het publiek”, moet zich registreren bij de OPTA en heeft allerlei plichten zoals het aftapbaar maken van hun netwerken. Een besloten netwerkaanbieder hoeft dat niet. Denk aan een bedrijfsnetwerk. Maar hoe zit het met SURFnet, dat toch een vrij groot netwerk heeft en daarmee alle universiteiten en andere onderwijsinstellingen van internettoegang voorziet?

De OPTA vond de doelgroep zo groot dat deze neerkwam op “het publiek” zoals de Telecommunicatiewet dat bedoelde. De uitleg van de telecomtoezichthouder was dat het ging om de vraag of de groep vooral onderling wil communiceren, zoals bij een bedrijfsnetwerk, of dat de groep vooral naar buiten wil, het grote boze internet op. Maar dat criterium neemt de rechter niet over: dat het “ook om communicatie met een ieder die gebruiker is van internet” gaat, “acht de rechtbank geen omstandigheid om te kunnen spreken van een openbare dienst dan wel openbaar netwerk.”

In het vonnis wordt de doelgroep van SURFnet als “beperkt” aangemerkt:

De rechtbank [is] van oordeel dat de kring aan wie [SURFnet] haar diensten aanbiedt, wel degelijk beperkt is te achten. Die kring is immers onder één (doel)groep te scharen, namelijk instellingen die zich richten op wetenschappelijk onderzoek en hoger onderwijs. Naar het oordeel van de rechtbank is dit een voldoende afgebakende groep. Die groep is niet toegankelijk voor het algemene publiek.

Mooi voor SURFnet dus, maar ik zit me nu wel af te vragen of meer ISPs hier gebruik van kunnen maken. Als je dus kennelijk een mooie geformuleerde doelgroep kunt aanwijzen en je alleen daarop richt, dan ben je geen openbare internetaanbieder? Is “KPN Zakelijk Draadloos Internet” dan een private aanbieder omdat alleen bedrijven erop mogen? Hm.

Arnoud

Spam is verboden, maar over één spammail moet u niet zeuren. Of nou ja, dat mag wel, maar telecomtoezichthouder en antispamhandhaver OPTA hoeft geen maatregelen te nemen tegen bedrijven of instellingen op basis van één klacht over een spamrun. Dat blijkt uit een helaas nog ongepubliceerd vonnis (via Solv).

Het ging in deze zaak om ideële reclame voor een politieke partij (iemand enig idee welke?). De ontvanger, een privépersoon, diende een klacht in maar de OPTA weigerde hierop actie te ondernemen. OPTA heeft maar beperkte capaciteit en laat daarom het aantal klachten meewegen bij de beslissing om tegen spams in actie te komen.

Formeel is zo’n weigering een besluit in de zin van de Algemene Wet Bestuursrecht, en daartegen kun je in bezwaar en vervolgens in beroep bij de rechtbank. Dat deed deze persoon dan ook, maar de rechter gaf de OPTA gelijk. Handhaving van het spamverbod is een bevoegdheid, een recht dus, maar geen plicht. De OPTA mag dus kiezen bepaalde spams te laten gaan, mits ze daarvoor redelijke gronden heeft. En het feit dat er slechts één klacht binnenkwam, is een redelijke grond. De politieke aard van de mail maakte daarbij niet uit.

Op zich een prima vonnis, hoewel het natuurlijk jammer is dat de OPTA zo weinig capaciteit heeft dat ze dit soort keuzes moet maken. En ik denk dat het wel een mooi signaal was geweest als een Nederlandse politieke partij op haar kop had gekregen voor het versturen van ideële spam, ook al was er maar één klacht over gekomen.

Afijn, dit betekent dus dat we met zijn allen vaker moeten klagen over Nederlandstalige spam bij de OPTA. Hoewel je dan wel elke keer dat formulier moet invullen. Kan iemand daar niet eens een Firefox-plugin voor maken die dat automatisch doet? Of eigenlijk een Thunderbird-plugin die de mail omvormt tot een ingevuld spamklachtformulier?

Arnoud

Internetproviders en met name aanbieders van mobiel internet dienen volgens telecomwaakhond OPTA hun klanten beter te informeren over de gevaren op het web, meldde Nu.nl eergisteren. De OPTA, die ook toezicht uitoefent over internetaanbieders, heeft beleidsregels uitgegeven over de informatieplichten van internetaanbieders. Op grond van art. 11.3 Telecommunicatiewet is de OPTA bevoegd deze regels op te leggen en met boetes naleving af te dwingen.

De OPTA noemt in de beleidsregels (die als niet-kopieerbare PDF aangeboden worden, argh!) informatie over deze onderwerpen als minimum:

• Het binnenkrijgen van spam, phishing-mails, spyware en andere malware.
• Het ongewenst door anderen laten gebruiken van een (draadloze) internetverbinding of van de eigen computer.
• Het bereikbaar zijn(!) van ongewenste websites.
• Het laten kapen van de eigen computer zodat daarmee spam, phishingmails of malware verstuurd kan worden (door deelname aan een botnet).

De informatie moet duidelijk, ondubbelzinnig, actueel en relevant zijn. Een tekst als “Om veilig te internetten zou u een virusscanner moeten installeren” is bijvoorbeeld onvoldoende volgens de OPTA, omdat je daarmee mensen niet informeert over de risico’s als je die niet installeert. “Onveilig” is niet duidelijk genoeg.

Providers moeten een aparte pagina op hun website maken waarin ze deze informatie opnemen. Deze moet met één klik vanaf de homepage of landing page te bereiken zijn waar men het abonnement kan afsluiten.

De OPTA is al sinds 2007 bezig met het formuleren van passende regels. Dat gaf nog aardig wat ophef onder de ISP-community. Het zou bemoeizucht van de OPTA zijn of zelfs “gezochte werkgelegenheid“. Dit omdat “de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn”, aldus Simon Hania van (destijds) XS4All.

Wat vinden jullie van deze regels? Heeft het nut om ISP’s te verplichten hierover informatie te verschaffen? Of wat zou men beter kunnen doen?

Je kunt je bijvoorbeeld afvragen of het nu juist de ISP’s moeten zijn die deze informatie gaan verspreiden. Zelf zou ik verder meer zien in verplichte maatregelen om deze beveiligingsrisico’s tegen te gaan. Internetrechtexpert Gerrit-Jan Zwenne (Leiden, Bird & Bird) zegt bijvoorbeeld terecht:

Ook als ik wordt geinformeerd over de risico’s van spam en botnets, blijf ik daarvan last hebben. Om echt iets te doen aan internetveiligheid moet meer gebeuren. Ik maak mij sterk dat OPTA heel wel in staat is om aanbieders te verplichten botnets op te sporen en te verwijderen. En als het moet zou OPTA dat ook zelf kunnen doen.

Denk aan scanners die bergen uitgaande spam of phishingmails detecteren en dan de betreffende poort sluiten of het internetverkeer van die computer beperken. Volgens mij werkt dat beter dan een folder met “pas op met het openen van bijlagen bij e-mail”.

Arnoud

De OPTA heeft drie Nederlandse bedrijven en hun twee directeuren een boete van in totaal een miljoen euro opgelegd, meldde Planet dinsdag. De boete (van 1 miljoen) was voor het verspreiden van de DollarRevenue reclamesoftware. Deze software installeerde ongevraagd andere software, toonde reclame in floepvensters (popups) en was niet of nauwelijks te verwijderen. Goed dus dat daar hard ingegrepen is, maar sinds wanneer doet de telecomwaakhond dat?

Nou, sinds augustus dit jaar ongeveer. Ongevraagd installeren van software is verboden op grond van het (Koninklijk) Besluit Universele Dienstverlening, en de OPTA gaat over de uitvoering van dat besluit.

Zoals ik destijds schreef:

Artikel 4.1 van dat Besluit regelt dat opslaan van gegevens op iemands computer alleen mag als men eerst de gebruiker duidelijk en nauwkeurig informeert over het hoe en waarom, en ook nog eens op een “voldoende kenbare wijze” gelegenheid biedt om dat opslaan te weigeren

Mooie zaak dus dat de OPTA zo voortvarend bezig is gegaan met deze regeling. Want malware kan niet hard genoeg bestreden worden.

Arnoud

Planet meldt over een “keiharde botsing tussen Surfnet en de OPTA”. De OPTA is belast met het toezicht op de naleving van de Telecommunicatiewet. Openbare Internetproviders moeten zich aan allerlei regels uit die wet conformeren, waar besloten providers geen last van hebben. Surfnet biedt netwerkdienstverlening voor de aangesloten organisaties, en ziet zichzelf niet als een openbare Internetprovider:

Surfnet zegt zich met aanbod van toegang tot internet te beperken tot onderzoek, onderwijs en culturele instellingen, zo ongeveer het veld van het ministerie van OC&W, onderwijs, cultuur en wetenschap. Het departement financiert Surfnet indirect het meest via bijdragen die onderwijs- en onderzoeksinstellingen betalen voor de internetontsluiting.

De OPTA heeft nu Surfnet gesommeerd zich te conformeren aan de Telecommunicatiewet. In het besluit motiveert de OPTA waarom zij vindt dat Surfnet wel degelijk een openbaar elektronisch communicatienetwerk exploiteert en daarom gebonden is aan de wet.

Dat Surfnet een wat de wet noemt “elektronisch communicatienetwerk” onderhoudt, is duidelijk. De vraag is dus of het een “openbaar” netwerk is. Dat is het geval als sprake is van een

elektronisch communicatienetwerk dat geheel of hoofdzakelijk wordt gebruikt om openbare elektronische communicatiediensten aan te bieden, waaronder mede wordt begrepen een netwerk, bestemd voor het verspreiden van programma’s voor zover dit aan het publiek geschiedt.

En een “openbare elektronische communicatiedienst” is dan weer een “elektronische communicatiedienst die beschikbaar is voor het publiek”. Dat wordt uitgelegd als hoofdzakelijk beschikbaar voor het publiek. Wordt het Surfnet-netwerk dus hoofdzakelijk gebruikt voor elektronische communicatiediensten voor het publiek?

Surfnet zelf stelt dat hun netwerk niet beschikbaar is voor het publiek, maar uitsluitend voor de instellingen die passen binnen de doelomschrijving. Nu is dat misschien wat simpel gezegd, er zijn Internetproviders genoeg die zich op specifieke doelgroepen richten (bedrijven, nonprofit instellingen, particulieren) maar daarmee zijn ze nog wel openbaar. Bij de behandeling van de Telecommunicatiewet werd bijvoorbeeld een bedrijfsnetwerk (LAN) genoemd als voorbeeld van een besloten communicatiedienst. Maar waar trek je de grens?

De OPTA grijpt naar de definitie die gebruikt werd bij de vergunningsprocedure rond Public Access Mobile Radio, een openbaar elektronisch communicatienetwerk voor mobiele communicatiedienstverlening ten behoeve van besloten gebruikersgroepen. En die regeling definieert een besloten gebruikersgroep als volgt:

Een besloten gebruikersgroep bestaat uit gebruikers van elektronische communicatiediensten die onderling een duurzame professionele relatie hebben en daardoor binnen de groep een communicatiebehoefte hebben die voortvloeit uit het gemeenschappelijke belang dat aan deze duurzame relatie ten grondslag ligt. De duurzame professionele relatie omvat meer dan alleen het gezamenlijk afnemen van elektronische communicatiediensten en de besloten gebruikersgroep is niet uitsluitend opgezet om elektronische communicatiediensten af te nemen.

Het criterium wordt hiermee of de groep vooral onderling wil communiceren. Bij een bedrijfsnetwerk is dat duidelijk de bedoeling. Een Internetprovider voor particulieren wil het juist mogelijk maken dat de klant met de hele wereld kan communiceren. Klanten kunnen ook wel met elkaar communiceren natuurlijk, maar dat is in principe irrelevant.

Surfnet gaat bezwaar maken, en vermoedelijk daarna in beroep. Ondertussen heeft Surfnet zich toch maar geregistreerd.

Arnout Veenman ziet het als het zoveelste bewijs van de reguleringsdrang van de OPTA.

Arnoud