De legaliteit van een VPN op je Netflix

vpn-private-network-tunnel-bewaarplicht.pngMet enige regelmaat krijg ik de vraag of het eigenlijk wel legaal is om met een VPN naar Netflix te kijken. Begrijpelijke vraag: in andere landen is het aanbod van Netflix uitgebreider, en andere diensten kun je soms niet eens gebruiken als je IP-adres herkend wordt als een Nederlands adres.

Er is geen wet die je verplicht je ‘eigen’ IP-adres te gebruiken. Een VPN inzetten om een website te benaderen is in het algemeen dus legaal. Net zoals het legaal is zo’n site te benaderen vanuit de bibliotheek of middels een IP-adres bij de koffiebar in de stad.

Netflix heeft VPN’en verboden in haar gebruiksvoorwaarden, net zoals wel meer diensten. Ze doen dit meestal omdat dit moet van rechthebbenden: die willen per land een andere prijs voor hun video’s kunnen vragen. Maar los daarvan, Netflix mag dit soort dingen verbieden als ze daar zin in heeft. De vraag is dan ook of Netflix dit zou handhaven als ze iemand betrappen.

De aanbieder van een VPN heeft daar niets mee te maken, want die heeft geen contract met Netflix. Maar wat nu als de VPN-dienst zich specifiek richt op mensen die Netflix in de VS willen kijken? Googelen op vpn netflix levert me aardig wat diensten op die specifiek adverteren met teksten als “Amerikaanse Netflix kijken?”.

Juridisch kom je dan bij het leerstuk van “aanzetten tot wanprestatie”. Kort gezegd is het legaal om te profiteren van iemands wanprestatie, zelfs als je wéét dat iemand wanprestatie gaat plegen. Dus als je ziet dat een klant vaak netflix.com opvraagt, dan hoef je als dienstverlener niets te doen. Pas bij wat juristen zo mooi “bijkomstige omstandigheden” noemen, komt dat anders te liggen.

Wat zijn dan die bijkomstige omstandigheden? Hier blijkt de rechtspraak nog steeds niet echt duidelijk. Het is een optelsom van factoren, waarbij vooral meewegen hoe zeer je het wist, hoe ernstig het nadeel is en hoe makkelijk dat te voorzien was. Maar ook zaken als het motief van de derde en de aard van de beïnvloeding wegen mee.

Een ICT-voorbeeld: in 2014 werd het AFAS verboden ondersteuning in haar financiële app te bieden voor de Mijn ING dienst, waarbij je als gebruiker moest inloggen op Mijn ING via die app. De omstandigheden hier waren dat in de voorwaarden van ING stond dat je je wachtwoord nergens anders mag invoeren dan op hún website, en dat de AFAS app afbreuk deed aan het onderliggende veiligheidsprincipe – je vergemakkelijkt indirect phishing want zo kan iederéén wel vage websites en apps gaan maken. Het moet dus wel iets echt bijzonders zijn, alleen maar “wij willen het niet hebben” is niet genoeg.

De argumentatie hier zou zijn dat auteursrechthebbenden minder inkomsten krijgen dan wanneer je via de Nederlandse Netflix had, eh, genetflixt. Dat voelt niet een heel sterk argument. Pas als je het hele businessmodel zou ondergraven, zou ik dat ernstig genoeg vinden. Zouden jullie argumenten weten?

Arnoud

28 reacties

  1. Als ze het écht niet willen hebben, hadden ze wel een MTU van 1500 vereist. IP Pakketten die je over VPN verstuurt moeten iets kleiner zijn dan normale pakketten om plaats te maken voor de overhead van VPN. Aangezien Netflix een dergelijke controle niet geïmplementeerd heeft ga ik er vanuit dat ze er geen moeite mee hebben.

    1. Ze hebben geen moeite met VPN. Je kan natuurlijk ook VPN vanuit een hotspot op een Amerikaans vliegveld opzetten, Netflix zou wel stom zijn om VPN per definitie te verbieden. Ze willen alleen voorkomen dat mensen hun regio restrictions omzeilen.

    2. Als het VPN op pakket-basis (IP-level) werkt dan heb je waarschijnlijk gelijk. Je hebt echter ook technieken waarbij al het verkeer over een TCP-lijntje wordt verstuurd met een PPP-achtig protocol; daarbij kunnen de pakketten zo groot zijn als je wilt. Het geeft natuurlijk wel overhead; bijv. TCP-over-TCP is niet bepaald efficiënt.

      Waarschijnlijk zijn er wel betere technieken te bedenken die ook de MTU-size intact laten, bijv. NAT-achtige port forwarding. Je moet dan wel extra informatie aan de VPN-host sturen om aan te geven wat de remote host van een verbinding is (dit kan niet in de IP-header zoals in normale LAN-NAT), maar dit hoeft maar 1x per sessie: de overhead is dus minimaal.

      (Zo, dat was wel weer genoeg techno-jargon op de vroege morgen.)

    3. Het klopt dat een TCP-proxy (TCP-over-TCP) de MTU niet verlaagt, maar IP-over-TCP doet dat wel. Zojuist nog even voor de zekerheid met SSTP getest (PPP-achtig). Het klopt natuurlijk dat VPN gebruikers ook legitiem kunnen zijn, maar ze kunnen bij Netflix prima loggen vanaf welke subnetten men met lagere MTU binnen komt, op die manier kun je makkelijk uitvinden op welke subnetten VPN gebruikers zitten en die vervolgens blokkeren. De paar Amerikanen die via hun bedrijfsnetwerk binnen komen zullen daarin niet opvallen (en niet geblokkeerd worden) terwijl de services die Europeanen massaal gebruiken eenvoudig ontmaskerd worden.

    4. Men wil het duidelijk niet: Buitenlandse IPs worden immers geblokkeerd. Dit is mijn inziens een afdoende maatregel. VPNs verbieden als maatregel treft ook binnenlandse IPs, en raakt daarmee aan de winst van het bedrijf. Heel flauw doorgetrokken: Als ze echt geen buitenlandse bezoekers willen hebben, dan trekken ze de hele site er maar uit en eisen ze een kopie van je paspoort voordat ze een DVD opsturen.

      Volgens de auteurswet 29e is het bewust omzeilen van “doeltreffende technische voorzieningen” onrechtmatig, oftewel dit kan leiden tot schadeclaims van de rechthebbende (het is echter niet strafbaar). Het argument dat je de Amerikaanse VPN gebruikt voor je privacy, terwijl je ‘em eigenlijk gewoon gebruikt om films te kunnen zien, die je minder technische buurman niet kan zien, voelt ook niet als een sterk argument: Je doet je valselijk voor als een Amerikaan om een maatregel te omzeilen, eigenlijk niet netjes.

      Het lijkt mij een grijs gebied, waar Netflix (misschien uit PR-overwegingen) dit gedrag vooralsnog gedoogt. Maar ik kan mij goed voorstellen dat ze (onder druk van leveranciers) in de toekomst van gedachten veranderen. En dat de inbreuk-faciliterende partijen dan in troebel vaarwater terecht komen. In principe terecht mijn inziens.

    1. Dat is ook een volledig logische methode om het “netflixen” tijdens een vakantie in het buitenland mogelijk te maken. Waarom zou ik, als ik op vakantie ben in het buitenland, niet de series mogen volgen die ik thuis ook legaal volg? Een flink hiaat in de dienstverlening als dat wordt dichtgetimmerd dus, en een goede reden waarom Netflix dat niet doet.

  2. Het is uiteindelijk wederom het oude liedje, de entertainment industrie die kost wat kost weigert te geven waar hun klanten om vragen, en een klant die een manier gevonden heeft deze achterlijke beperking te omzeilen. Wanneer wordt men eindelijk wakker?

    1. Nu lijkt het net alsof Netflix een copyright/DRM boeman is, terwijl Netflix juist een enorme voortgang heeft geboekt op dat gebied. Als je geen achterlijke beperkingen wil, dan ga je maar aan de torrents, hoef je ook niet meer te wachten tot de trailers zijn afgespeeld voordat je aan de hoofdfilm kan beginnen.

      1. Het is toch van de zotte dat ik moet kiezen tussen “achterlijke beperkingen” of “torrents”. Ik wil gewoon een goed aanbod, via een goed platform voor een goede prijs. Het is niet zo heel moeilijk dat aan te bieden, gewoon netflix met de Amerikaanse content. Maar de entertainment industrie werkt dit allemaal tegen, en dan maar klagen dat mensen een VPN gebruiken of naar torrents gaan. De klant is koning kennen ze nog niet.

      2. Mijn commentaar was gericht op de industrie, meer specifiek de contentindustrie… Netflix geeft zonder twijfel het goed voorbeeld door de (overigens geweldige) series die ze zelf produceren meteen wereldwijd online te zetten.

  3. Ik snap die rechthebbenden niet. Hoe denken ze nou te kunnen concurreren met echte illegale content? De enige manieren om op Internet geld te verdienen met content zijn via advertenties of via goodwill. Goodwill krijg je alleen als je een prettige gebruikerservaring aanbiedt, dus geen geo-blocking, geen DRM en een volledig aanbod.

  4. De omstandigheden hier waren dat in de voorwaarden van ING stond dat je je wachtwoord nergens anders mag invoeren dan op hún website, en dat de AFAS app afbreuk deed aan het onderliggende veiligheidsprincipe – je vergemakkelijkt indirect phishing want zo kan iederéén wel vage websites en apps gaan maken.

    Dat vind ik niet zo’n goed argument, gezien de iDEAL betaaldienst, waar men erop vertrouwt dat de winkelier de klant doorstuurt naar de inlogpagina van de bank, en niet een zelfgebakken loginpagina die er net zo uitziet als de inlogpagina van de bank. Dát is pas phishing vergemakkelijken. Als ik een script kiddie zou zijn, had ik het wel geweten.

    En als ING het zelf doet, mag AFAS het ook, me dunkt…

  5. Zou het niet zo kunnen zijn dat Netflix vooral wil laten schijnen dat ze iets doen aan mensen die regierestricties omzeilen, terwijl ze het zelf prima vinden. De benadeelde is namelijk niet Netflix zelf (die heeft zijn abbonementsgeld binnen), maar de auteursrechthouders (die hopen nog een extra keer te cashen na de content voor Amerika te licenseren dat ook nog eens voor andere landen te doen). Dan moeten ze voor de vorm wel IPs uit andere landen blokkeren en officieel VPNs verbieden, maar verder weinig doen, zodat ze tegen de grote studios kunnen zeggen “We proberen het toch te gaan”.

    Of ben ik gewoon te cynisch aan het denken?

    1. Neen ,denk het niet. Netflix vindt dit inderdaad geen groot probleem omdat enkel een minderheid vande technisch onderlegde abonnees dit doen.

      Ze kunnen zich verweren zeggende dat ze wel degelijk doorsturen naar de Netflix van je land.

      Het lijkt me dat je enkel de ToS van Netflix zelf schendt. Dit is iets tussen Netfix en zijn klanten en als Netfix dit niet de moeite vindt, tja… Ik denk dat de contentprovider niet bij de gebruiker moeten gaan klagen, maar eerder harder op tafel slaan bij de onderhandelingen met Netflix zelf. Deze zal hun waarschijnlijk kunnen aantonen dat dit een marginaal verschijnsel is. De mensen die dit doen gaan als NEtflix hard optreedt, niet wachten tot de legale content in hun land op de markt komt. Ze gaan die waarschijnlijk gewoon halen via Torrents (Popcorn Time) en dan verliezen zowel Netflix als de content providers.

  6. Netflix heeft voor sommige werken alleen het recht op openbaarmaking voor een aantal landen. Dus wanneer je vanuit een ander land een film bekijkt doe je dat zonder toestemming van de auteursrechthouder. Als je om dat te kunnen doen technische trucs gebruik (zoals VPN), weet je neem ik aan dat je aan het downloaden bent uit een niet-legale bron…

    1. Mag een Amerikaan dan tijdens zijn vakantie in Amsterdam de serie volgen die hij thuis op grond van zijn abonnement legaal volgt? Ik zou het schandalig vinden als dat niet mag. De entertainment industrie moet eindelijk eens af van de regio’s. Dat is echt niet meer van deze tijd. Is dat geen discriminatie eigenlijk? Ik mag in mijn winkel toch ook niet weigeren iets te verkopen aan een Amerikaan, terwijl ik de Nederlander na hem wel hetzelfde product verkoop?

      1. De rechten van films en TV programma’s leveren meer op als ze per land of groep landen worden verkocht dan als de je de wereldwijde rechten in 1 keer verkoopt. Dat vereist wel dat je de rechten exclusief aanbiedt in die landen waarvoor je de rechten koopt en niet 1 van de afnemers stiekum het aanbod alsnog wereldwijd aanbiedt.

        Ik mag in mijn winkel toch

        ook niet weigeren iets te verkopen aan een Amerikaan, terwijl ik de Nederlander na hem wel hetzelfde product verkoop?Ik mag best in 1 land een auto verkopen met airco en in een ander land dezelfde auto zonder airco.
        1. Ik mag best in 1 land een auto verkopen met airco en in een ander land dezelfde auto zonder airco.

          Er is alleen geen wet die je zal verbieden om die auto (met airco) vanuit land A de grens over te rijden.

          Tenzij de douane er een importverbod op heeft en je bij de grens tegenhoudt — vooralsnog is dat bij auto’s (of bij bijvoorbeeld DVD’s uit een andere regio) niet zo. Dus met IP-pakketjes zal het voorlopig niet zo’n vaart lopen.

      2. Volgens mij mag dat wel. Immers, de afnemer van de licenties is Netflix zelf en volgens haar licentieovereenkomsten met de auteursrechthebbenden mogen haar abonnees de video’s bekijken. Netflix beschouwt abonnees uit andere landen ook als abonnees in elk ander land waar Netflix de dienst aanbiedt en past de catalogus aan de lokale licenties aan. Ik kan mij voorstellen dat Netflix in Nederland aan Amerikanen stilzwijgend een abonnement aanbiedt op grond van de rechtsverhouding in het thuisland of dat Netflix de overeenkomst gewoon voortzet als het in beide landen om dezelfde rechtspersoon gaat (vooral binnen de EU van toepassing). Hoe Netflix de abonnementen samenstelt is een zaak tussen Netflix en de auteusrechthebbenenden, daar hebben de abonnees niets mee te maken.

    2. Dat dacht ik dus ook. De gebruiker ontleent zijn licentie aan Netflix. Het aanbod is per land anders, omdat de licenties tussen Netflix en de auteursrechthebbenden ontbreken. Het lijkt mij ook dat de gebruiker bewust een inbreuk pleegt als deze een video bekijkt waar Netflix zelf in dat land geen licentie voor heeft.

      Praktisch gezien heeft het gebruik van een VPN een mooie bijkomstigheid: het verkeer tussen gebruiker en VPN alsmede de verbinding met Netflix.com zijn (of worden binnenkort) versleuteld. Het lijkt mij voor Nederlandse rechthebbenden lastig om aan te tonen dat de gebruiker überhaupt met Netflix was verbonden, laat staan een film heeft gekeken die niet in de Nederlandse catalogus staat. Netflix heeft op haar beurt ook weer een belang om deze informatie achter te houden, wil zij niet betrokken raken in eventuele disputen of rechtszaken met rechthebbenden. Toevallig las ik laatst nog dat Netflix bewust op SSL wilde overschakelen om te voorkomen dat telecomproviders, die vaak ook zelf tv-programma’s aan hun abonnees willen verkopen, en andere concurrenten kunnen snuffelen in het traffic, om zo te achterhalen wat Netflix-gebruikers interessant vinden. Voor de gebruiker en Netflix is daarom weinig te vrezen, zolang Netflix niet zelf gebruikers afkapt (op aandringen van rechthebbenden) en gegevens doorspeelt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.