Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Ondernemingsvrijheid, Security | 24 reacties

kpn-afgeslotenDe 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat (ten tijde van de inbraak). Maar ik werd geïntrigeerd door de opmerking dat zijn internetverbinding afgesloten was door KPN.

Ik las namelijk deze opmerking in het persbericht van het Openbaar Ministerie:

Vanwege ontoelaatbaar internetgedrag was de verdachte in 2010 al door KPN gewaarschuwd. Zijn internetaansluiting is toen enige tijd afgesloten. Dat heeft hem er niet van weerhouden om verder te gaan met het binnendringen in computersystemen tot letterlijk aan het moment van zijn aanhouding.

Dit is opmerkelijk, omdat dat (sinds netneutraliteit) helemaal niet meer mág, iemand afsluiten omdat hij “ontoelaatbaar internetgedrag” vertoont. Nu geldt die wet pas sinds 1 januari jongstleden, en de inbraak was vorig jaar dus echt relevant is dat niet. Maar ik weet dat het nog steeds gebeurt bij diverse providers.

De Telecommunicatiewet (art. 7.6a) is duidelijk: afsluiten van een consument mag alleen op grond van één van deze zes voorwaarden:

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

De eerste twee lijken me evident. Van ‘bedrog’ is sprake als de consument KPN misleid heeft, bv. door een valse naam op te geven omdat zijn echte op een zwarte lijst staat. Nummer vier is ook weer evident. Nummer zes gaat over situaties waarin de feiten zó zijn gewijzigd dat je onmogelijk nog kunt verlangen van KPN dat ze met je doorgaan.

Nummer vijf klinkt als een grond voor afsluiten wegens abuse, maar is dat niet: het gaat daar over afsluiten als in de wet staat dat dat mag, of als de rechter bepaalt dat het contract opgezegd moet worden. Dat iemand een strafbaar feit pleegt via de internetverbinding, is weliswaar een overtreding van een wetttelijk voorschrift (namelijk art. 138ab Strafrecht, computervredebreuk) maar KPN voert dat wetsartikel niet uit.

KPN mag wél tijdelijk de internetverbinding blokkeren wanneer sprake is van “een inbreuk op de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” (art. 7.4a Tw), maar de blokakde moet dan noodzakelijk zijn om die inbreuk te beëindigen. Je zou dan kunnen denken aan een computer afsluiten omdat deze een ddos-aanval uitvoert of een virus of worm verspreidt. Maar hoe een hack op een computer van een derde “de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” in gevaar brengt, ontgaat me. “Abuse on the Net is not the same as abuse of the Net”, was ooit een internetmotto, en volgens mij geldt dat in deze wet nog steeds.

Meer dan een verbinding verbreken omdat er via die verbinding iets illegaals gebeurt, kun je volgens mij niet doen op grond van netneutraliteit. Iemand afsluiten wegens abuse mag dus niet (meer).

Arnoud

Deel dit artikel

  1. Dit verbaasd me toch wel een beetje. Wanneer iemand continue overlast veroorzaakt door zijn internetverbinding te misbruiken moet er toch wel een grond te vinden zijn waarop de ISP het contract met de abonnee kan laten beëindigen? Een abuse policy zou zo’n grond kunnen zijn lijkt mij.

    Het moet toch niet zo zijn dat de ISP in dit soort gevallen aangifte moet gaan doen en het tot een rechtszaak tegen de abonnee moet laten uitdraaien om het contract onder ‘voorwaarde 5: ter uitvoering van een wettelijk voorschrift of rechterlijk bevel’ te laten ontbinden?

  2. Tja, netneutraliteit… Volgens mij hebben de meeste providers daar een enorme hekel aan en zijn veel van hun klanten gewoon onwetend van hun rechten op dit gebied. Het zal nog lang duren voor netneutraliteit ook daadwerkelijk een feit is, vrees ik. Natuurlijk, hacker kan gaan klagen, eisen dat het goed komt met zijn verbinding, maar als KPN hem niet mag afsluiten dan plagen ze hem wel op andere manieren. “Technische problemen”, of gewoon de automatische incasso verkeerd laten gaan zodat hij “niet heeft betaald”. Providers verzinnen wel een methode als ze hackers echt willen weren…

  3. Mag KPN niet de toegang afsluiten opgrond van de Europese Richtlijn inzake elektronische handel (2000/31/EG ). De ISP is namelijk aansprakelijk volgens deze richtlijn als zij op de hoogte zijn van de illegale handelingen via hun verbinding mogelijk (mede)aansprakelijk.
    Er kan namelijk geen beroep meer worden gedaan op de ‘doorgeefluik’ constructie van deze richtlijn als je op de hoogte bent van het illegale handelen van die gebruiker van je informatiedienst.

    Deze Europese richtlijn valt volgen mij wel binnen de reikwijdte van punt 5.

  4. Ietje offtopic. Maar lees ik nou onder puntje 4 dat Kpn (en soortgelijken) een probleem hebben met internet kraskaartjes van 24 uur?

    Volgens mij staat onder punt 6 zo ongeveer dat een klant afsluiten na het verlopen van een tijdelijke overeenkomst, enkel met toestemming mag.

    Of zou Kpn die toestemming in de AV verwerkt hebben?

  5. Ik kan me nog wel goed herrinneren dat ik ooit een brief heb ontvangen van @home dat we volgens hun een illegale virusscanner hadden. En als deze niet verwijderd werd binnen een termijn dat we dan afgesloten zouden worden.

    Nooit gebeurd want de claim was vals. Achteraf toen we @home hierover belde werd er leuk gezegt dat hun zo iets nooit echt zouden uitvoeren. De brief was echter wel afkomstig van hun. Vaag.

  6. Ik vind dat maar rare regels. Dus iemand wiens computer totaal gebot is en die als een razende spam en walware staat uit te spuwen, iemand die constant kinderporno zit te up- en downloaden, en noem nog maar een paar verwerpelijke dingen op, die mag niet van het net geschopt worden want “we hebben het principe van netneutraliteit”.

    Straks mag je ook niet de politie bellen bij waargenomen openlijke winkeldiefstal of geweldpleging want “tja, we hebben privacy”.

    Kwestie van prioriteiten stellen toch, van afwegen? De wereld is raar doorgeschoten op sommige punten.

  7. Is er ook zo iets als geldstroomneutraliteit? Dat PayPal verplicht is donaties richting een terroristische organisatie te gedogen, want, tja, betalingsneuttraliteit, waar het geld heen gaat mag geen rol spelen. Vergelijk Wikileaks, Paypal en creditcards. Daar lag het weer heel anders, andersom doorgeschoten vermoed ik.

    • Ik vind dat zulke neutraliteit ook bij payment providers moet liggen. Het is van de zotte dat een bank zelf mag bepalen wie ik betaal of van wie ik geld mag krijgen. Oké, als een rechter zegt, deze organisatie is verboden, prima dat er dan een verbod komt (à la TPB blokkade voor providers). Maar proactief zelf “nee, de Bond tegen het Vloeken vinden wij in strijd met de vrijheid van meningsuiting dus hun rekening wordt opgeheven”, dat kán toch niet?

      Het komt denk ik neer op: wie beslist er of daadwerkelijk de organisatie/de handeling verkeerd is? Dat je niet mag cracken staat buiten kijf, maar beslist KPN dan a) dat je computervredebreuk hebt gepleegd en b) dat afsluiten van het abonnement dan gepast is?

      Mag een autoverhuurbedrijf mij weigeren als klant als ik eens fors te hard reed op de snelweg met hun huurauto?

  8. Een access of hosting provider kan toch algemene voorwaarden opstellen waarin staat dat allerlei illegale dingen er niet mee mogen? Maar bij overtreding daarvan mag de provider toch niks doen? Dat is toch raar?

    Nog een idee: openbaarvervoerneutraliteit. Persoon aangetroffen rokend en zonder kaartje. Mag niet volgens Algemene Voorwaarden van de vervoerder. Maar hem uit de tram zetten mag niet, want tja, openbaarvervoerneutraliteit, heilig principe, niks aan te doen.

    Als iemand dronken in je tuin pist: moet je ook gedogen, want excrementenneutraliteit. Voor hetzelfde geld pist-ie schoon water, packet inspection om dat na te gaan is niet toegestaan.

    • Over het OV: Zonder kaartje is voorwaarde 2 Rokend: 7.4a Tw -> buitenzetten tot zijn sigaret gedoofd is.

      Als je de netneutraliteit op het OV zou invoeren zou je geen aparte abonnementen toestaan naar bijzondere bestemmingen. Of om het bij het onderwerp te houden: je wordt ook niet geweigerd voor de bus als je veroordeeld bent als inbreker.

      Dat tuinpissen is geheel niet relevant, omdat dat geen klant van jou is.

    • Nee, dat mag dus niet meer vanwege de Wet netneutraliteit. Net zoals ze geen AV mogen maken die zegt “skypen is verboden en WhatsApp kost 50 cent per bericht”. Want dát was nou net het punt van netneutraliteit, van providers neutrale doorgeefluiken maken. Net zoals elektriciteitsmaatschappijen geen eisen mogen stellen aan wat je doet met je elektra (zolang je maar betaalt en de boel niet in de fik laat vliegen).

      De discussie over neutraliteit speelde een dik jaar terug bij de post: een scammer was bezig met “Kamer voor Klanten”-facturen te mailen die eruit zagen als Kamer van Koophandel-facturen. Een postbode wilde die niet bezorgen vanwege ’t evidente risico, maar de post is een neutrale vervoerder en moet dus alles bezorgen dat aan de objectieve regels (omvang, gewicht) en prijs voldoet.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS