KPN inspecteert dataverkeer diep, mag dat?

| AE 2542 | Ondernemingsvrijheid, Privacy | 107 reacties

deep-packet-inspection.pngOMGWTFBBQ DPI. KPN heeft in een sessie met investeerders toegegeven dat het al maandenlang de omstreden deep packet inspection-technologie heeft gebruikt op zijn mobiele netwerk, meldde Tweakers gisteren. Doel is voip-verkeer op het mobiele netwerk te herkennen en apart te factureren. In damage control modus meldt KPN geen DPI op de inhoud te doen, maar alleen het soort dataverkeer te analyseren. Is ze daarmee toch strafbaar?

Wat KPN met de DPI technologie doet, is volgens eigen zeggen het analyseren van het soort dataverkeer om vast te stellen welke diensten mensen gebruiken. Er worden geen gesprekken inhoudelijk geanalyseerd. In het kader van de discussie over netpartijdigheid is het duidelijk dat het doel hiervan is om abonnees apart te kunnen factureren voor diverse types gesprekken.

Nu heeft de strafwet diverse artikelen over het aftappen van dataverkeer. Het is inderdaad strafbaar om gesprekken af te luisteren (art. 139a lid 1 Strafrecht) als je daar geen deelnemer aan bent. Maar ook als je niet de inhoud van gesprekken beluistert, kun je strafbaar bezig zijn. Het meer algemene artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hier val je ook onder als je niet de gesprekken reconstrueert en leest maar alleen op netwerkniveau naar de pakketten kijkt. Dit artikel heeft als doel “een zo volledig mogelijke bescherming van de persoonlijke levenssfeer bij gegevensoverdracht” te realiseren. Het gaat dus nadrukkelijk niet om alleen het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf.

Onder technische middelen zijn alle hulpmiddelen begrepen die deze gegevenstromen zichtbaar kunnen maken en de inhoud ervan ter beschikking van de handelende persoon brengen, dus bij voorbeeld ook het waarnemen van de zogenaamde residustraling bij beeldschermen of de analyse van chips met behulp van infrarood-apparatuur.

Wel moet het natuurlijk gaan om het ‘wederrechtelijk’ aftappen. Een escape voor KPN kan bijvoorbeeld nog zijn lid 2 sub 3 van dit wetsartikel:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

Deze uitzondering is echter vooral bedoeld voor onderhoud en reparatie van het netwerk, en niet om de bedrijfsvoering van de telecommunicatie-aanbieder te kunnen verbeteren. Een andere uitzondering zou nog kunnen zijn de algemene voorwaarden van KPN, maar daar zie ik nergens een bepaling die maar in de buurt komt van “wij mogen uw pakketten analyseren om te kijken welke applicaties u gebruikt”.

Bits of Freedom heeft een handige gids over hoe je aangifte kunt doen. Nu ben ik zelf ook KPN abonnee, dus we gaan eens kijken wat oom agent in Eindhoven hiervan vindt.

Update (4 augustus) Nu.nl meldt dat iuit oriënterend onderzoek door het Openbaar Ministerie (OM) blijkt dat KPN haar klanten niet heeft afgeluisterd. De DPI was daarvoor niet diep genoeg. Eind juni oordeelde de Opta dat de bedrijven mogelijk de wet hebben overtreden bij het gebruik van DPI. Ook loopt er nog een onderzoek door het Cbp.

Arnoud

Deel dit artikel

  1. Het argument van KPN voor tariefdifferentiëring is merkwaardig. Het gaat in een netwerk om eentjes en nulletjes. Als je veel van die dingen verplaatst over het netwerk, gebruik je veel van de bandbreedte en mag je daar voor betalen. Zoiets als: tot .. is voorzien in uw maandelijkse abonnementskosten, daarboven betaalt u .. per .. . Of de eentjes en nulletjes nu uit programma A of Z komen is volstrekt irrelevant, het blijven eentjes en nulletjes. Het is dus niet nodig en volstrekt ongewenst om DPI te gebruiken. Het gebruiken van DPI ter differentiëring van de tarieven is zoiets als (Shell laten) zeggen: omdat het gemiddelde brandstofverbruik van uw voertuig .. bedraagt, betaalt u voor de brandstof .. . Of: omdat u in dit type voertuig van dit merk rijdt, betaalt u voor onze brandstof: .. .

    De absurditeit is evident.

  2. Afke Schaart twitterde een paar dagen geleden:

    @aaksterw VVD vindt dat blokkeren niet mag, maar waarom niet minder betalen als je geen gebruik maakt van skype? Minder keuze is duurder.
    Van mij mag Afke minder betalen voor haar internetverbinding als ze geen gebruik meer maakt van twitter.

    @Misthoorn VVD wil dat je gewoon betaalt voor wat je gebruikt en niet meebetaalt aan diensten die je nooit gebruikt.

    Als ik nooit van de dienst http://www.vvd.nl gebruikmaak, krijg ik dus korting op mijn abonnement?

    Afke denkt trouwens dat “duurdere prijzen” goed Nederlands is.

    Ik verbaas me in positieve zin over Verhagen:

    Volgens Verhagen is er geen reden om wetgeving voor netneutraliteit uit te stellen. “We zijn eerder dan andere landen geconfronteerd met plannen om concurrerende diensten te belasten”, verdedigde de bewindsman zijn beslissing om nu al actie te ondernemen. Als er nadere Europese regelgeving komt die ervoor zorgt dat de Nederlandse regels over netneutraliteit weer moeten worden aangepast, ‘spreken we elkaar weer’, zei hij.
    KPN en Vodafone hebben hun eigen graf gegraven.
    “Een vrij toegankelijk internet is van groot belang”, stelde Verhagen, die daarmee in grote lijnen herhaalde wat Kamerleden van GroenLinks, PvdA en SP al hadden betoogd. Door nu een garantie voor netneutraliteit in te voeren, wordt een signaal gegeven aan andere landen, denkt Verhagen.

    Volgens de bewindsman zou iedereen vrij toegang tot informatie moeten kunnen krijgen, zonder bemoeienis van de internetprovider. Verhagen wil niet dat providers toepassingen blokkeren als die concurreren met hun eigen diensten: “Dat is slecht voor innovatie”, zei hij. Wel moet het mogelijk blijven om kwaadwillenden zoals hackers van het netwerk te weren.

    Verhagen zal nu waarschijnlijk een wijzigingsvoorstel indienen, waarna het samen met de Telecomwet volgende week dinsdag kan worden aangenomen. (bron: tweakers.net)

    Persoonlijk blijf ik van mening dat netneutraliteit los staat van privacy. Het was wellicht politiek handig om de privacykaart te spelen, maar juridisch niet zuiver. De vrijheid van meningsuiting en het (economische) principe van de vrije markt zijn m.i. veel relevanter.

  3. Het was wellicht politiek handig om de privacykaart te spelen, maar juridisch niet zuiver. De vrijheid van meningsuiting en het (economische) principe van de vrije markt zijn m.i. veel relevanter.

    Vrijheid van meningsuiting en de vrije markt bieden geen overtuigende argumenten. Immers, de vrije markt laat KPN en Vodafone vrij om hun diensten aan te bieden zoals zij willen. Als een ander wél markt ziet in netneutraal internet, dan komt die speler erbij in de markt en wordt de markt beter bediend. (En via de must-carry regels uit de Telecomwet is het praktisch mogelijk om dit te doen.)

    Bij vrijheid van meningsuiting heb je het probleem dat deze eigenlijk niet geldt in horizontale verhoudingen. Ik kan niet eisen dat Vodafone of KPN mijn mening verspreidt, dan wel dat ze me toegang geven tot informatie hier of daar op internet. Als hun dienst zich beperkt tot gezellig oudhollands internet, dan heb ik pech.

    In het kader van sociale netwerksites heb ik wel eens betoogd dat het héél misschien mogelijk is te eisen dat je op Hyves of Facebook (of Google) je mening mag uiten omdat het effectief onmogelijk is buiten deze sites om te communiceren. Maar dat is een vrij gezocht argument in het algemene geval. En omdat we een vrije markt hebben op het gebied van internettoegang, is het denk ik geen haalbaar argument hier.

  4. De vrijheid van meningsuiting is misschien niet altijd eenvoudig rechtstreeks inroepbaar in horizontale verhoudingen, het vormt wel degelijk een heel belangrijke, zo niet de belangrijkste, grondslag voor netneutraliteit.

    Inmiddels heeft de Raad van Europa (dat orgaan waaronder het EVRM is gesloten) meerdere resolutions en declarations aangenomen waarin het netneutraliteit expliciet ondersteunt in verband met de vrijheid van meningsuiting. Volgens de Raad van Europa moeten traffic management maatregelen steeds gerechtvaardigd zijn in verband met een legitiem doel, precies zoals het amendement Verhoeven c.s. voorschrijft. De Raad van Europa noemt zelfs expliciet de notie van “positive obligations” onder het EVRM, zoals bijvoorbeeld gevestigd in Gündem v. Turkey en bevestigd in Khursid Mustafa and Tarzibachi v. Sweden (in het laatste geval ging het om de vrijheid een schotelantenne te plaatsen in het huis dat je huurt, dat met enige fantasie kan worden vergeleken met de vrijheid voor eindgebruikers om zelf te kiezen welke apparaten, toepassingen en diensten zij willen gebruiken).

    Zie http://www.coe.int/t/dghl/standardsetting/media/mc-s-ci/a%20conceptual%20approach%20for%20setting%20a%20standard%20of%20care.asp?toPrint=yes&

    en zie http://www.theregister.co.uk/2011/05/17/councilofeuropehopingtomaintainnet_neutrality/

    In dergelijke documenten wordt ook steeds bevestigd dat het open internet van groot belang is voor innovatie, wat toch een belangrijke motor vormt van de economie. Ook Van Schewick heeft daar vorig jaar een heel overtuigend (en vrij dik) boek over uitgebracht, genaamd Internet architecture and innovation.

  5. Oh en must carry regels (heet eigenlijk ontbundelde toegang) gelden niet voor mobiele diensten en ook niet voor breedband via de kabel of andere infrastructuur dan die (oude meuk) van KPN. In Australië wordt een volledig glasvezelnet door de staat aangelegd, waarover vervolgens vrij ISP’s worden losgelaten. Dan heb je echte concurrentie. Ook hybridemodellen zijn mogelijk waarbij zowel overheden als private partijen (waar nodig gestimuleerd door bijv belastingvoordelen, in ruil voor FRAND toegangsverplichting) investeren in nieuwe infrastructuur, zoals succesvol is toegepast in Korea, Japan en Zweden.

    Een 200 pagina’s tellend onderzoek van het Berkman Center (Harvard ja) heeft aangetoond dat LLU (die ontbundelde toegang dus weer) bepaald geen windeieren legt. Zelfde geldt voor netneutraliteit; handhaving van de juiste gelaagdheid van de internetinfrastructuur is belangrijk en leidt tot effectievere concurrentie op iedere laag.

  6. Brief van het OM aan KPN:

    De detectie van het gebruik van de genoemde applicaties vond volgens uw opgave plaats door een analyse van gegevens uit de transportlaag en de internetlaag van de onderzochte datapakketten. De inhoud van de communicatie, die zich in de applicatielaag bevindt, is niet bij de analyse betrokken, zo gaf u mij aan. Uit de stukken die door u zijn overlegd blijkt overigens dat de gebruikte software theoretisch wel toegang kan krijgen tot de applicatielaag van datapakketten, maar deze toegang lijkt er primair op te zijn gericht om daaruit metadata (zoals URL’s) te destilleren.

    De analyse heeft geresulteerd in een bestand waarin IMSI-nummers van HI-klanten worden getoond die in de periode februari t/m april 2011 de genoemde applicaties gebruikten. De analysegegevens blijven drie maanden beschikbaar in de software, daarna worden de gegevens geautomatiseerd vernietigd. Hmmm, het opslaan van die gegevens per klant vind ik wel wat twijfelachtig. Dit lijkt me toch dicht in de buurt te komen van wat art. 139c Sr verbiedt. Het is vergelijkbaar met het loggen van de websites die iemand bezoekt.

    Ah, de brief gaat verder:

    Na de analyse zijn de onderzoeksresultaten geanonimiseerd door de laatste vier cijfers van de IMSI-nummers in het bestand te verwijderen, al is onduidelijk of dit is gebeurd na de analyse ten behoeve van netwerkplanning en -beheer of na de analyse voor marketingdoeleinden.
    Opslaan en analyse ten behoeve van netwerkplanning en -beheer zou onder de uitzondering van art. 139c lid 2 sub c Sr kunnen vallen, al zie ik niet goed in waarom die analyse op basis van niet-geanonimiseerde gegevens zou moeten plaatsvinden.

    Uit de rest van de brief blijkt dat het voor het OM ophoudt zodra er niet wordt gekeken naar de “payload” van de communicatie. Het lijkt mij echter dat het bereik van art. 139c Sr niet noodzakelijk hiertoe is beperkt. Louter verkeersgegevens kunnen m.i. ook worden “afgetapt”. Uiteraard mag een telecomprovider wel de gegevens opslaan die nodig zijn voor de facturering, maar dat valt dan onder de uitzondering van art. 139c lid 2 Sr.

    (Zou KPN onmiddellijk de verzamelde gegevens hebben geanonimiseerd, dan was er ook naar mijn mening niets aan de hand geweest.)

    Ik zie dat ik het eens ben met BoF:

    BoF en het OM verschillen van mening over de interpretatie van dat wetsartikel. “Volgens ons gaat dat artikel over het verbod op aftappen van verkeer, en niet specifiek over afluisteren van de inhoud van de gegevens”, zegt Daphne van der Kroft van BoF. “En in dit geval gaat het toch echt om aftappen.”
    bron: webwereld

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS