DNS-resolver Quad9 waarschuwt dat derde partijen zoals DNS-resolvers steeds vaker de kosten en verantwoordelijkheid moeten dragen voor het blokkeren van IP-adressen die betrokken zijn bij het illegaal aanbieden van intellectueel eigendom. Dat meldde Security.nl. Dat voelt raar inderdaad.
Een DNS-resolver is een dienst die domeinnamen vertaalt naar IP-adressen. Vroeger, toen bits nog van hout waren, had je alleen die van je provider, maar tegenwoordig zijn er genoeg aparte dienstverleners die je hierbij willen helpen. Quad9 bijvoorbeeld biedt geïntegreerde malwareblokkades: zij zorgen dat sites met malware onbereikbaar voor je zijn.
Sites blokkeren is ondertussen ook een ding in het auteursrecht. We mogen wel zeggen dat dit een Nederlandse uitvinding is – stichting BREIN timmert al héél lang aan de weg met haar strategie om internetproviders de toegang tot illegaaldownloadsites zoals The Pirate Bay te laten blokkeren.
Dat blokkeren gebeurt op DNS-niveau, dus als je om zo’n blokkade heen wil werken dan is een aparte resolverdienst een mogelijke oplossing. Vandaar dat rechthebbenden nu ook hun pijlen richten op resolvers. Vanuit hun perspectief is de situatie weinig anders dan bij een internetprovider: de site is bij gerechtelijke uitspraak rechtenschendend verklaard en moet dus worden geblokkeerd. Jij faciliteert de toegang, dus moet jij blokkeren.
Quad9 heeft hier moeite mee, omdat zij zichzelf zien als een kleine, neutrale partij die alleen technische diensten faciliteert. Ga achter de grote hostingsites aan, zo bloggen ze boos. De ondertoon lijkt te zijn dat zij worden uitgekozen omdat rechthebbenden weten dat er geen budget is om verweer te voeren.
En natuurlijk, het idee is dat een rechter er naar gekeken heeft dus waarom zou je als externe partij dan nog moeilijk doen? Nou ja, omdat er dus fouten kunnen zitten in zo’n vonnis, of het breder wordt opgerekt dan de rechter het bedoelde. Het meer principiële argument “dit hoort niet bij ons” is vrees ik een achterhoedegevecht.
Arnoud
Toch hebben ze wel een punt. Met name twee van de vragen die ze zich stellen vindt ik valide:
‘How far should courts reach across jurisdictions to impose national laws on global networks?’ (wij gaan ook geen uitspraak van een noordkoreaanse rechter implementeren)
en
‘At what point does legal compliance become de facto censorship?’
Het lijkt er een beetje op dat de houding van de auteursrechtafdwingers, is ‘Ze kunnen blokkeren, dus ze moeten blokkeren’
Dat mag je best betwijfelen.
Ik denk even aan het ‘Pierre-sur-Haute’ Wikipediaschandaal van een paar jaar terug, waarbij een systeembeheerder die toegang had, maar die verder niets met een (vermeend) illegale pagina te maken had, door de overheid werd bedreigd met arrestatie en gevangenneming als hij de betreffende pagina niet onmiddelijk zou verwijderen.
Ergens is er een limiet waarbij je kunt zeggen: vanaf hier is het niet meer redelijk dat iedereen die dat technisch kan, ook moet ingrijpen. Het zou interessant zijn om eens te exploreren waar die limiet ligt.
Want laten we niet vergeten, ook de auteursrechthouders zijn niet altijd redelijk: Ik woon in Belgie op nog geen 20 km van de grens . Ik wou vorige week de voetbalwedstrijd Salzburg-GA Eagles bekijken, en daar ook best voor betalen. Na twee uur zoeken had ik het nog niet voor elkaar. Ik ben niet naar een illegale streamer gegaan, maar zou dat zo onredelijk geweest zijn?
Vooral dat punt “How far should courts reach across jurisdictions to impose national laws on global networks?” vind ik een belangrijke. Recent nog hebben we kunnen zien hoe het Britse Ofcom probeert om met Britse wetgeving (de Online Safety Act) niet in het VK gevestigde bedrijven haar wil op te leggen. Sommige bedrijven luisteren braaf en vragen mensen met een IP uit het VK om hun leeftijd te bewijzen. Anderen, zoals 4chan, zeggen “uw wetten zijn niet van toepassing op Amerikaanse bedrijven die in Amerika opereren”, alleen dan minder diplomatiek verwoord.
Als de Thaise politie hier komt zeggen dat Nederlandse ISP’s niet langer verkeer mogen toestaan naar websites die de Thaise koning beledigen omdat dat volgens de Thaise wet niet mag, dan gaan we dat ook niet doen. Als de Chinese overheid hier de toegang tot websites wil verbieden die zeggen dat Taiwan een zelfstandig en onafhankelijk land is, dan gaan we dat ook niet doen (tenminste, dat hoop ik.. als het China is doen veel politici vaak braaf omliggen en poot geven).
Waarom zou Quad9, dat volgens mij gevestigd is in Zwitserland, moeten luisteren naar een uitspraak van een Nederlandse rechter?
Ik heb steeds meer moeite met dit principiële punt. Voor mij staat voorop dat als een dienst aangeboden wordt in een land, dat dat land daar dan regels aan mag stellen. Waarom zou bv. een tijdschrift verzonden vanuit België meer mogen doen dan een tijdschrift verzonden binnen Nederland? Uiteraard moet zo’n regel dan enkel gelden voor het betreffende land.
Discussie is natuurlijk meteen: wanneer richt je je op een specifiek land? Iedere harde regel (waar staat de server, welk land beheert de DNS, etc) wordt onmiddellijk misbruikt en heeft veel vals positieven. De Europese aanpak van “we bekijken alle factoren samen” vind ik een stuk eleganter, hoewel ik snap dat dit meer werk is en dat je als jurist dan niet altijd duidelijkheid kunt geven. Maar stel: de website van Bol.com wordt gehost in Duitsland, het is een .com beheerd door een US registry, klantenservice vanuit Zwitserland en het is een Oostenrijkse GmbH. Zouden we dan echt zeggen, die valt buiten Nederlands consumentenrecht? Die site ademt “hallo Nederlander” van boven tot onder. Waarom precies zou de ACM dan geen boetes mogen opleggen wegens schending van Nederlands recht?
Niemand eist dat hier iets onmogelijk moet zijn dat in een ander land verboden is. Dat is in mijn beleving vooral een goedkope truc om onder je plichten uit te komen. Bepaalde content mag niet naar Thailand. Dat kun je implementeren als “451 jij krijgt het niet” als het IP-adres uit Thailand komt, of als “404 dan krijgt niemand die content meer, wat is Thailand gemeen”.
Ligt het dan niet meer voor de hand dat Thailand zelf de betreffende site ontoegankelijk maakt? Nog los van het jurisdictie vraagstuk kan van een hoster/provider toch niet verwacht worden wetgeving van bijna 200 landen te gaan handhaven.
Hoe moet Thailand dat doen? Voor de hand ligt om de bedrijven aan te spreken die in Thailand zaken doen. In Europa werken we daarom met een inhoudelijk criterium: richt jij je met je bedrijfsvoering op Europa, ongeacht waar je zit? Zo ja, dan heb jij je aan onze regels te houden. Dit vind ik veel logischer dan het zuivere “waar staat je server” want die staan dan allemaal in Belize of Wit-Rusland. Dus als jij in Nederland zit maar een .th domein hebt met Thaise teksten, betaling kan via Paotang en je adverteert op Thaise nieuwssites, dan vind ik dat jij óók moet investeren in begrijpen hoe de Thaise wetgeving rondom (il)legale content werkt.
Ik sluit mij aan bij Niels en bij jou.
Als Thailand wil dat de content ontoegankelijk is, dan is het aan hun om dat ontoegankelijk te maken.
Of ze dat doen zoals jij voorstelt en een bedrijf met aanwezigheid in Thailand aldaar aanklagen of dat ze het doen zoals China en hun hele internet filteren is hun probleem.
Als er een uitleveringsverdrag is en hetgeen waar iemand van beschuldigd wordt is hier ook strafbaar kunnen ze een uitleveringsverzoek doen.
Maar als ik hier in Nederland op mijn eigen webserver in het Thais wat berichten plaat over misdragingen van de Thaise koning, iets waar ze je daar 50 jaar voor opsluiten, dan is dat toch echt hun probleem.
Net als toen men in Rusland ‘homo propaganda’ verbood partijen van buiten Rusland informatie in het Russisch gingen aanbieden en wij in het westen ook geen chinees-talige websites over Tiananmen plein weghalen.
Voer je rechtzaken in het buitenland, maar als het gaat om iets wat vanuit Nederland gebeurt moeten wij als het hier niet verboden is geen enkele hulp geven bij het uitvoeren van een vonnis en is het toch echt dat andere lands probleem als ze het weg willen hebben. (En aan de veroordeelde om zo slim te zijn niet naar dat land of een bevriend regime af te reizen)
Wij hoeven ons hier niet aan de thaise wet te houden en het is mogelijk dat wij juist van de vrijheid hier gebruik willen maken om misstanden die in thailand gesencureerd worden aan het licht te brengen. Dus niks geen 451 en al helemaal geen 404.
Ik heb het niet over “in het Thais wat berichten plaatsen”. Er is toch een wereld van verschil tussen dat en je actief als Thais bedrijf opstellen maar heel toevallig je servers in Nederland hebben staan en hier koffie drinken als directeur?
Ik vind dat “als jij in Nederland zit maar een .th domein hebt met Thaise teksten, betaling kan via Paotang en je adverteert op Thaise nieuwssites”, je je hebt onderworpen aan de Thaise wetgeving. Dat je niet in Thailand bent, is daarbij dus niet relevant. Als Thailand dan om tenuitvoerlegging van een vonnis vraagt (via de geëigende kanalen) dan vind ik dat Nederland moet meewerken.
En nee, als Thailand een wet maakt “zonder enig criterium valt iedereen waar ter wereld onder Thais recht” en dan bij ons klopt dan gebeurt dat niet. Dat is een oneerlijk criterium en dat zal Nederland niet erkennen. Dus ik wil graag vermijden dat we het over extremen hebben.
In jouw voorbeeld kan Thailand toch sowieso zelf maatregelen nemen. Ze kunnen het domein in beslag nemen en Paotang verbieden nog zaken te doen tot aan de Thaise wet voldaan wordt.
Ik heb namelijk problemen met dat je op Thailand richten het criterium is waarop wij mee moeten werken.
Een vrije nieuwssite hier in de EU kan zich prima op thailand richten om nieuws te brengen dat daar gecensureerd wordt en daar geld voor accepteren uit thailand of taise reclames bij tonen. Dan ben ik nog steeds van mening dat wij niet mee moeten werken. Zo’n site richt zich onmiskenbaar op Thailand en is dus niet ‘zonder enig criterium’ en toch is het onacceptabel als nederland meewerkt bij het censureren van de waarheid door Thailand.
Mijn standpunt blijft dat Nederland alleen mee moet werken aan het uitleveren en/of uitvoeren van vonnissen voor zaken die ook in Nederland strafbaar zijn. En alle andere vonissen zoekt het derde land mar een andere manier voor om ze ten uitvoer te brengen.
Als ander voorbeeld: er zijn artsen die nu via de post morning after pillen versturen naar Amerikaanse staten waar men de vrouwenrechten 100 jaar in de tijd heeft teruggezet. Dit gebeurd bewust vanuit het buitenland en niet vanuit andere staten waar men wat progressiever is, omdat het probleem in Whashington zit. Men richt zich op de VS, men ontvangt betalingen uit de VS, moeten wij meewerken met verroodelingen uit de VS.
Allemaal heel makkelijk af te vangen met een heel redelijk uitgangspunt: Wij werken alleen mee aan het uitvoeren van vonnissen voor zaken die ook bij ons strafbaar zijn. En andersom natuurlijk ook, de VS werkt ook niet mee met de uitvoering van onze vonissen als het daar onder de vrijheid van meningsuiting valt. En dat is hun goed recht.
Ter aanvulling er zijn verschillende Russische media in Nederland gevestigd, omdat men vanuit hier ongecensureerd en zonder gedwongen propaganda Russen van nieuws kunnen voorzien. Dit zijn bedrijven die zich absoluut op Rusland richten en in sommige gevallen zelfs – inmiddels verboden – kranten en TV zenders hadden in Rusland.
Het is geen extreeem voorbeeld, het is een veel voorkomend voorbeeld!
Dat van de morning-afterpil vind ik wel een interessante, omdat behulpzaam zijn bij abortus formeel strafbaar is (art. 296 Strafrecht) en de uitzonderingen alleen gelden voor artsen die in Nederland de behandeling doen binnen de Wet afbreking zwangerschap. Een abortuspil opsturen naar de VS is dus naar de letter strafbaar. Als ik jouw standpunt volg, dan moeten die pillenverstuurders dus worden uitgeleverd?
Meer algemeen, ik snap je bezwaar bij de casus vrije nieuwssite. Ook daar zal snel spelen dat er een theoretisch artikel te vinden is (aanzetten tot haat, opruiing, belediging koning is bij ons ook strafbaar). Het is meer dat wij dat terughoudender inzetten, maar dát lijkt me niet een werkbaar criterium?
Morning-after pil is geen abortuspil maar een anticonceptiemiddel.
Dit inderdaad, er zijn organisaties die deze op sturen in pakketjes naar mensen in staten waar deze niet te krijgen is. Dat is wel iets wat je van te voren in huis moet hebben, je hebt niets aan een morning after pil die na een week aankomt. Het is een manier om in oerconservatieve delen van de VS aan die pil te komen.
Er zijn ook organisaties die abortus pillen opsturen, maar deze doen dat niet vanuit Nederland, om de reden die Arnoud al aanhaalt.
En in reactie op Arnoud: Het is een gotspe dat we majesteitsschennis in dit land nog steeds niet hebben afgeschaft. Maar goed, wat mij betreft schaffen we dan meteen het hele koningshuis af en dan doet die wet er ook weinig meer toe.
Ik verwarde het met mifepriston en misoprostol. Dat is gewoonlijk wat wordt opgestuurd. Ook in de oerconservatieve staten is Plan B makkelijk en legaal verkrijgbaar.
Wettelijk ja, helaas in de praktijk niet altijd.
Ik was afgelopen winter in Canada en daar was een nieuws item op TV over hoe ze in de VS op platte land en in dorpen in die oerconservatieve staten zich inmiddels verzetten tegen de morning after pil.
Deze is normaal gesproken zonder recept te verkrijgen voor iedereen van 16 en ouder bij apotheken. Maar in conservatieve staten hebben ze wetten aangenomen die apothekers toestaan om de verkoop te weigeren. Helemaal weigeren onder het mom van godsdienstvrijheid, of alleen aan minderjarigen, zodat die 16 en 17 jarigen, die wettelijk in die staten seks mogen hebben, hun ouders moeten inlichten als ze de morning after pil willen kopen.
Daarom is daar een groepje canadezen begonnen om deze per post te verstrekken, verstopt in onschuldige items die normaal zijn om online te bestellen. De pillen die ze versturen zijn 3-5 dagen na het contact nog zeer effectief.
Ik kan me een ander discussiepunt voorstellen: Wie betaalt voor de blokkade? Waarom zou een ISP (DNS provider) als onafhankelijke, neutrale tussenpersoon blokkades uit naam van de uitgevers gratis moeten uitvoeren? De uitgevers zeggen er immers baat bij te hebben en zouden er dua ook voor kunnen betalen.
Hierbij weegt denk ik ook mee dat het gaat om strafrechtelijke inbreuken, geen civielrechtelijke kwestie. Bij die laatste ligt vergoeding van de belanghebbende van de kosten voor de hand, bij strafrechtelijke inbreuk kan ik me voorstellen dat we vinden dat betrokken partijen ook zonder vergoeding moeten meewerken om die te verhinderen.
Wie moet er betalen voor het rolscherm dat de winkel en het raam beschermt tegen inbraak? De overheid (politie), verzekering, verhuurder of winkelier? Het gaat toch ook over een strafrechtelijk probleem? (In dit voorbeeld steken verzekeraar, verhuurder en winkelier vaak de koppen bij elkaar hoe een en ander te regelen, zij worden er allemaal beter van.)
Waarom weigeren de uitgevers (auteursrechthebbenden) mee te betalen aan blokkades? De de uitgevers zijn degenen die er baat bij hebben, de ISPs worden gedwongen om een slechtere service te leveren.
Ik kan niet gelijk oordelen. Volgens mij zijn de blokkades behoorlijk nutteloos, want via diverse wegen kan ik er vrij makkelijk omheen werken. De meest triviale: even aan een kennis in de VS vragen: he, ik zoek zus-en-zo, dat staat op die-en-die site, kun je het even downloaden en mailen. Natuurlijk zijn er veel efficiëntere methodes. Blokkeer je te veel, dan gaan mensen om de blokkades heen werken, en worden die alternatieve routes gemeengoed.
Maar dat terzijde: als er heel specifiek een IP of DNS naam aangegeven wordt, dan is er nog iets voor te zeggen, want dat is relatief eenvoudig, maar dan graag nadat je eerst alternatieve routes hebt bewandeld.
Helaas zien we vaak van die uitspraken waarin een partij auteursrechtenclaimclubs gewoon hele waslijsten met IP adressen en namen die ze zelf verzinnen mogen doorgeven, en daarbij ook sites die volledig legaal zijn plat gaan (maar iets melden waar zij moeite mee hebben), terwijl er ook sites zijn die helemaal van niets weten, ook niet dat hun virtuele buurman iets fout doet. Dat is alsof je een hele stad platbombadeert omdat er iemand woont die iets naars heeft gedaan, of visserbootjes naar de kelder jaagt omdat er op dezelfde oceaan wel eens wat drugs gesmokkeld worden. Dat vinden wij (vonden wij, gezien de recente geschiedenis?) niet normaal.
Grappig dat Quad9 zich zo als een kleine jongen beschouwt. Ze hebben meer dan 200 servers (https://quad9.net/service/locations/).
Verder snap ik de argumenten absoluut.
Het beheren van 200 gelijksoortige (Linux/UNIX) servers kan prima geautomatiseerd worden, in principe zou een (slimme) systeembeheerder dat aankunnen. Maar omdat Quad9 wereldwijd bezig is en een essentiële dienst levert wil je redundantie, zodat er bij ziekte van de beheerder een vervanger is om zieke DNS servers te herstellen. (Een team van drie lijkt me ideaal, kun je een redelijke bereikbaarheid bieden.)