Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

kpn-afgeslotenDe 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat (ten tijde van de inbraak). Maar ik werd geïntrigeerd door de opmerking dat zijn internetverbinding afgesloten was door KPN.

Ik las namelijk deze opmerking in het persbericht van het Openbaar Ministerie:

Vanwege ontoelaatbaar internetgedrag was de verdachte in 2010 al door KPN gewaarschuwd. Zijn internetaansluiting is toen enige tijd afgesloten. Dat heeft hem er niet van weerhouden om verder te gaan met het binnendringen in computersystemen tot letterlijk aan het moment van zijn aanhouding.

Dit is opmerkelijk, omdat dat (sinds netneutraliteit) helemaal niet meer mág, iemand afsluiten omdat hij “ontoelaatbaar internetgedrag” vertoont. Nu geldt die wet pas sinds 1 januari jongstleden, en de inbraak was vorig jaar dus echt relevant is dat niet. Maar ik weet dat het nog steeds gebeurt bij diverse providers.

De Telecommunicatiewet (art. 7.6a) is duidelijk: afsluiten van een consument mag alleen op grond van één van deze zes voorwaarden:

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

De eerste twee lijken me evident. Van ‘bedrog’ is sprake als de consument KPN misleid heeft, bv. door een valse naam op te geven omdat zijn echte op een zwarte lijst staat. Nummer vier is ook weer evident. Nummer zes gaat over situaties waarin de feiten zó zijn gewijzigd dat je onmogelijk nog kunt verlangen van KPN dat ze met je doorgaan.

Nummer vijf klinkt als een grond voor afsluiten wegens abuse, maar is dat niet: het gaat daar over afsluiten als in de wet staat dat dat mag, of als de rechter bepaalt dat het contract opgezegd moet worden. Dat iemand een strafbaar feit pleegt via de internetverbinding, is weliswaar een overtreding van een wetttelijk voorschrift (namelijk art. 138ab Strafrecht, computervredebreuk) maar KPN voert dat wetsartikel niet uit.

KPN mag wél tijdelijk de internetverbinding blokkeren wanneer sprake is van “een inbreuk op de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” (art. 7.4a Tw), maar de blokakde moet dan noodzakelijk zijn om die inbreuk te beëindigen. Je zou dan kunnen denken aan een computer afsluiten omdat deze een ddos-aanval uitvoert of een virus of worm verspreidt. Maar hoe een hack op een computer van een derde “de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” in gevaar brengt, ontgaat me. “Abuse on the Net is not the same as abuse of the Net”, was ooit een internetmotto, en volgens mij geldt dat in deze wet nog steeds.

Meer dan een verbinding verbreken omdat er via die verbinding iets illegaals gebeurt, kun je volgens mij niet doen op grond van netneutraliteit. Iemand afsluiten wegens abuse mag dus niet (meer).

Arnoud

24 reacties

  1. Dit verbaasd me toch wel een beetje. Wanneer iemand continue overlast veroorzaakt door zijn internetverbinding te misbruiken moet er toch wel een grond te vinden zijn waarop de ISP het contract met de abonnee kan laten beëindigen? Een abuse policy zou zo’n grond kunnen zijn lijkt mij.

    Het moet toch niet zo zijn dat de ISP in dit soort gevallen aangifte moet gaan doen en het tot een rechtszaak tegen de abonnee moet laten uitdraaien om het contract onder ‘voorwaarde 5: ter uitvoering van een wettelijk voorschrift of rechterlijk bevel’ te laten ontbinden?

    1. Overlast op de verbinding is wel een grond maar inbreken bij een willekeurige site is dat niet. De ADSL-verbinding heeft er geen last van dat ik een SQL-injectie doe op een of andere database. Doe ik een ddos aanval op de database-server dan heeft die verbninding (en de provider) daar óók last van en dan is afsluiten dus (na waarschuwing) gerechtvaardigd.

  2. Tja, netneutraliteit… Volgens mij hebben de meeste providers daar een enorme hekel aan en zijn veel van hun klanten gewoon onwetend van hun rechten op dit gebied. Het zal nog lang duren voor netneutraliteit ook daadwerkelijk een feit is, vrees ik. Natuurlijk, hacker kan gaan klagen, eisen dat het goed komt met zijn verbinding, maar als KPN hem niet mag afsluiten dan plagen ze hem wel op andere manieren. “Technische problemen”, of gewoon de automatische incasso verkeerd laten gaan zodat hij “niet heeft betaald”. Providers verzinnen wel een methode als ze hackers echt willen weren…

  3. Mag KPN niet de toegang afsluiten opgrond van de Europese Richtlijn inzake elektronische handel (2000/31/EG ). De ISP is namelijk aansprakelijk volgens deze richtlijn als zij op de hoogte zijn van de illegale handelingen via hun verbinding mogelijk (mede)aansprakelijk.
    Er kan namelijk geen beroep meer worden gedaan op de ‘doorgeefluik’ constructie van deze richtlijn als je op de hoogte bent van het illegale handelen van die gebruiker van je informatiedienst.

    Deze Europese richtlijn valt volgen mij wel binnen de reikwijdte van punt 5.

    1. De provider moet wel het “proportionaliteitsbeginsel” in de gaten houden; dat wil zeggen dat de beperking aan de internettoegang niet onredelijk meer mag zijn dan hetgeen nodig is om de illegale handelingen te stoppen. Als ik niet naar “The Pirate Bay” mag surfen is dat geen reden om ook Iusmentis en nu.nl af te sluiten.

      1. De provider moet wel het “proportionaliteitsbeginsel” in de gaten houden; dat wil zeggen dat de beperking aan de internettoegang niet onredelijk meer mag zijn dan hetgeen nodig is om de illegale handelingen te stoppen. Als ik niet naar “The Pirate Bay” mag surfen is dat geen reden om ook Iusmentis en nu.nl af te sluiten

        Maar als iemand via KPN’s eigen servers hackt en ook andere computersystemen lijkt me afsluiten van de verbinding door KPN best proportioneel.

    2. Nee, want de regel die jij citeert geldt voor hostingproviders. Access providers zijn niet gehouden tot notice/takedown maar kunnen alleen door de rechter worden verplicht tot blokkade (zoals bij Pirate Bay). Een hostingprovider zoals Leaseweb moet wel notice/takedown doen bij illegale zaken die onmiskenbaar zijn.

      1. Nee, want de regel die jij citeert geldt voor hostingproviders

        Artikel 12 uit de richtlijn (doorgeefluik) geld ook voor access providers. Alleen artikel 14 uit de richtlijn is exclusief voor hosting providers

        1. En waar in artikel 12 zie jij staan dat een doorgeefluik aansprakelijk wordt als hij bij kennis van het onrechtmatige karakter niet ingrijpt? Hij moet niet het initiatief nemen, hij moet niet selecteren en hij mag niet wijzigen. De zin over “prompt handelen” uit 14e is de basis voor notice/takedown, en zo’n zin staat niet in artikel 12.

      2. Grappig dat je hier nou net Leaseweb noemt. wij zijn al enige tijd met hun in discussie om de NAW gegevens van een klant van hun te krijgen en die klant afgesloten te krijgen omdat die vanaf zijn server al enige dagen onze server probeert binnen te dringen dmv brute-force. Ondanks dat we ze hebben gewezen op het Lycos/Pessers arrest en de recente zaak tussen BREIN en XSNetworks weigert Leaseweb er wat aan te doen.

        Maar goed, ontopic: Mijn ervaring is dat heel veel ISP’s zich niet aan de wetgeving houden en een motto hebben van ‘als je het niet met ons eens bent, dan ga je maar naar de rechter’. Aangezien dit voor veel mensen te veel energie en vaak ook geld kost, komt het bijna nooit zo ver en is de ISP eigenlijk gewoon vogelvrij

        1. Je moet ze een email sturen waarbij je ze, gezien hun weigering om aan jouw billijke verzoek om informatie te voldoen, aansprakelijk stelt voor alle schade die voortvloeit uit de verdere aanvallen vanaf de server die op hun omgeving wordt gehost.

  4. Ietje offtopic. Maar lees ik nou onder puntje 4 dat Kpn (en soortgelijken) een probleem hebben met internet kraskaartjes van 24 uur?

    Volgens mij staat onder punt 6 zo ongeveer dat een klant afsluiten na het verlopen van een tijdelijke overeenkomst, enkel met toestemming mag.

    Of zou Kpn die toestemming in de AV verwerkt hebben?

  5. Ik kan me nog wel goed herrinneren dat ik ooit een brief heb ontvangen van @home dat we volgens hun een illegale virusscanner hadden. En als deze niet verwijderd werd binnen een termijn dat we dan afgesloten zouden worden.

    Nooit gebeurd want de claim was vals. Achteraf toen we @home hierover belde werd er leuk gezegt dat hun zo iets nooit echt zouden uitvoeren. De brief was echter wel afkomstig van hun. Vaag.

  6. Ik vind dat maar rare regels. Dus iemand wiens computer totaal gebot is en die als een razende spam en walware staat uit te spuwen, iemand die constant kinderporno zit te up- en downloaden, en noem nog maar een paar verwerpelijke dingen op, die mag niet van het net geschopt worden want “we hebben het principe van netneutraliteit”.

    Straks mag je ook niet de politie bellen bij waargenomen openlijke winkeldiefstal of geweldpleging want “tja, we hebben privacy”.

    Kwestie van prioriteiten stellen toch, van afwegen? De wereld is raar doorgeschoten op sommige punten.

  7. Is er ook zo iets als geldstroomneutraliteit? Dat PayPal verplicht is donaties richting een terroristische organisatie te gedogen, want, tja, betalingsneuttraliteit, waar het geld heen gaat mag geen rol spelen. Vergelijk Wikileaks, Paypal en creditcards. Daar lag het weer heel anders, andersom doorgeschoten vermoed ik.

    1. Ik vind dat zulke neutraliteit ook bij payment providers moet liggen. Het is van de zotte dat een bank zelf mag bepalen wie ik betaal of van wie ik geld mag krijgen. Oké, als een rechter zegt, deze organisatie is verboden, prima dat er dan een verbod komt (à la TPB blokkade voor providers). Maar proactief zelf “nee, de Bond tegen het Vloeken vinden wij in strijd met de vrijheid van meningsuiting dus hun rekening wordt opgeheven”, dat kán toch niet?

      Het komt denk ik neer op: wie beslist er of daadwerkelijk de organisatie/de handeling verkeerd is? Dat je niet mag cracken staat buiten kijf, maar beslist KPN dan a) dat je computervredebreuk hebt gepleegd en b) dat afsluiten van het abonnement dan gepast is?

      Mag een autoverhuurbedrijf mij weigeren als klant als ik eens fors te hard reed op de snelweg met hun huurauto?

  8. Een access of hosting provider kan toch algemene voorwaarden opstellen waarin staat dat allerlei illegale dingen er niet mee mogen? Maar bij overtreding daarvan mag de provider toch niks doen? Dat is toch raar?

    Nog een idee: openbaarvervoerneutraliteit. Persoon aangetroffen rokend en zonder kaartje. Mag niet volgens Algemene Voorwaarden van de vervoerder. Maar hem uit de tram zetten mag niet, want tja, openbaarvervoerneutraliteit, heilig principe, niks aan te doen.

    Als iemand dronken in je tuin pist: moet je ook gedogen, want excrementenneutraliteit. Voor hetzelfde geld pist-ie schoon water, packet inspection om dat na te gaan is niet toegestaan.

    1. Over het OV: Zonder kaartje is voorwaarde 2 Rokend: 7.4a Tw -> buitenzetten tot zijn sigaret gedoofd is.

      Als je de netneutraliteit op het OV zou invoeren zou je geen aparte abonnementen toestaan naar bijzondere bestemmingen. Of om het bij het onderwerp te houden: je wordt ook niet geweigerd voor de bus als je veroordeeld bent als inbreker.

      Dat tuinpissen is geheel niet relevant, omdat dat geen klant van jou is.

    2. Nee, dat mag dus niet meer vanwege de Wet netneutraliteit. Net zoals ze geen AV mogen maken die zegt “skypen is verboden en WhatsApp kost 50 cent per bericht”. Want dát was nou net het punt van netneutraliteit, van providers neutrale doorgeefluiken maken. Net zoals elektriciteitsmaatschappijen geen eisen mogen stellen aan wat je doet met je elektra (zolang je maar betaalt en de boel niet in de fik laat vliegen).

      De discussie over neutraliteit speelde een dik jaar terug bij de post: een scammer was bezig met “Kamer voor Klanten”-facturen te mailen die eruit zagen als Kamer van Koophandel-facturen. Een postbode wilde die niet bezorgen vanwege ’t evidente risico, maar de post is een neutrale vervoerder en moet dus alles bezorgen dat aan de objectieve regels (omvang, gewicht) en prijs voldoet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.