Oostenrijkse providers blokkeren Cloudflare-IP’s na gerechtelijk bevel

aitoff / Pixabay

In Oostenrijk zijn IP-adressen van Cloudflare geblokkeerd bij meerdere providers omdat websites die illegale software en media aanbieden daar gebruik van maken. Dat meldde Tweakers vorige week. Een foutje, een auteursrechtwaakhond had die IP-adressen per ongeluk opgenomen in een blokkadelijst die gericht was tegen de downloadsite Newalbumreleases punt net. Pijnlijk, want Cloudflare hergebruikt IP-adressen zeer regelmatig en legitieme websites waren dus uit de lucht hierdoor. Het gaf veel ophef, want hoezo had die rechter niet even gecontroleerd dat die IP-adressen echt bij die downloadsite hoorden? Nou ja: omdat dat de taak is van de partijen, niet van de rechter. Als die beiden zeggen, dit zijn de IP-adressen en die gaan jullie/wij wel/niet blokkeren, waarom moet de rechter dan apart gaan nakijken of die adressen correct zijn?

Op een lijst van ISP Liwest staat Newalbumreleases met diverse extensies genoemd. Ook staan er IP-adressen op die lijst, en daarvan behoorden een aantal toe aan proxynetwerk (CDN) Cloudflare. Door die te blokkeren, werden dus diensten van Cloudflare gehinderd waardoor een deel van haar klanten onbereikbaar werden. Cloudflare werd dus niet zelf aangemerkt als mede-inbreukmaker, iemand heeft zitten slapen bij het maken van die lijst en de verkeerde IP-adressen erop gezet. Waarschijnlijk omdat Newalbumreleases ook via Cloudflare werkte, zodat wanneer je diens IP-adressen opzoekt je ook Cloudflare-adressen krijgt.

De eerste berichtgeving had het allemaal over “court orders” die de ISPs zouden verplichten dit te doen. Ik kan alleen nergens een Oostenrijks vonnis vinden waaruit dit blijkt. Volgens provider Kabelplus zijn er wel zaken geweest, maar dit klinkt alsof men op basis daarvan overgestapt is naar die vrijwillige regeling. Als ik dan verder zoek, dan lijkt het erop dat dit een semi-vrijwillige afspraak is op basis van een strenge Oostenrijkse wettelijke regeling: als een rechthebbende een evident juiste klacht heeft dat een site structureel auteursrechten schendt, dan moet de provider deze blokkeren.

Provider RTR legt uit:

In the area of ??copyright, there is a special provision in Section 81 (1a) UrhG , according to which providers of Internet access services can also be obliged to refrain from providing access to structurally infringing websites if they have previously been duly warned by a rights holder. A structurally infringing website exists if exclusion rights within the meaning of the Copyright Act (UrhG) are violated not only in individual cases, but systematically and regularly. … According to § 7b VBKG, such measures are to be ordered in accordance with Art. 9 Para. 4 Letter g VBKVO due to a violation of the Consumer Authority Cooperation Ordinance, which the providers of internet access services, hosting services according to § 16 of the E-Commerce Act, services caching), search engines or registration offices for domain names, appointed the Telekom Control Commission. For this purpose, the authority responsible for the implementation of the VBKG can submit an application to the Telekom-Control Commission as another authority in accordance with Article 10 Paragraph 1 lit. b VBKVO. 
Zoals ik het dus begrijp. Uit de Oostenrijkse Auteurswet volgt dus dat een provider zo’n structureel inbreukmakende website op verzoek van een rechthebbende moet blokkeren. Een hele rechtszaak is daarvoor niet nodig. Wel kan een controle door de Oostenrijkse Consumentenautoriteit (de Telekom-Control-Kommission) worden verlangd, die dan nagaat of de Netneutraliteitsverordening wordt geschonden. Een voorbeeld is deze zaak over Kinox.to. Het idee is dan dat blokkades onder de Nnvo alleen mogen als ze een strikt beperkte uitzondering geven die gerechtvaardigd wordt door de auteursrechtinbreuk. Op die manier is er dus geen rechtszaak nodig maar wel een toetsing van een externe autoriteit.

Mij is alleen niet duidelijk of hier ook een uitspraak van die toezichthouder is geweest, want die lijkt nog nergens te vinden. Het is dus goed mogelijk dat de providers gewoon direct op het verzoek acteerden. Dat zou wel opmerkelijk zijn omdat er eerder nooit IP-adressen op zulke lijsten zijn gezet. Maar het zou verklaren waarom de ISPs niet hebben gecontroleerd van wie die IP-adressen zijn.

Arnoud

 

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had een klassieke buffer overflow-fout, waardoor willekeurige data van andere websites of databases meegestuurd kon worden bij een opvraging van een webpagina. En via Twitter de vraag (dank, Sven): “Is CF responsible for ‘breaches’ at each of those exposed companies?”

Volgens Tweakers zou er geen misbruik zijn gemaakt van de bug, die ontdekt werd door Google’s anti-zerodayproject Project Zero. Maar het lijkt mij nogal ernstig: de bug zorgde voor een abusievelijke opname van data in webpagina’s, maar onzichtbaar voor gewone gebruikers. De data kon echter van alles bevatten, van wachtwoorden tot persoonsgegevens. En dat wordt dan ook nog gecrawled door Google en collega’s, dus in caches overal zit nog dergelijke data. Auw. Wie gaat dat vergoeden?

In het algemeen is er geen wettelijke regeling wie aansprakelijk is voor het lekken van vertrouwelijke informatie. Dit wordt dan ook eigenlijk altijd contractueel geregeld: klant en leverancier spreken af welke data vertrouwelijk moet worden behandeld, welke schade of boete mag worden geclaimd en wanneer sprake is van een overtreding (dan wel overmacht of andere situatie zonder aansprakelijkheid). Dat kan gaan van “leverancier vergoedt elke cent van elke gelekte byte” tot “leverancier is nooit aansprakelijk, hooguit bij opzettelijk lekken”. Of klanten Cloudflare kunnen aanspreken, is dus een kwestie van in de contracten duiken.

Specifiek voor persoonsgegevens ligt dat iets anders in Europa. Daar zegt de wet (de Wbp, en straks de Privacyverordening) dat de aansprakelijkheid voor schade door datalekken ligt bij de (verwerkings-)verantwoordelijke, oftewel de partij die bepaalt waarom die gegevens zijn verzameld en wat daarmee gebeurt (juridisch: die doel en middelen vaststelt van de verwerking). Dat is dus in principe de partij die zaken doet met de personen, bijvoorbeeld een webwinkel of forum die klant- of gebruikersgegevens krijgt.

Alle partijen die die gegevens vervolgens opslaan of gebruiken in opdracht van die verantwoordelijke, heten bewerkers en zijn naar de betrokkenen toe op dit mnoment niet direct aan te spreken. Het is de verantwoordelijke die de claims krijgt – maar hij kan ze wel verhalen natuurlijk op die bewerkers. Daarvoor wordt het juridisch instrument van de bewerkersovereenkomst gehanteerd, een aanvulling op het ICT-contract die specifieke afspraken over persoonsgegevens bevat. Als klant moet je je dus melden bij je webwinkel, forum et cetera met je schadeclaim, en zij kunnen het dan bij hun hoster verhalen die het weer bij Cloudflare gaat halen.

Onder de Privacyverordening wordt dat strenger, dan kun je ook bij verwerkers (zoals ze dan gaan heten) direct een schadeclaim indienen als benadeelde partij. Dan mag je dus als klant of gebruiker van een internetdienst die bij Cloudflare zit, direct bij Cloudflare je schade gaan halen. En ja, Cloudflare valt onder de Privacyverordening ook al zitten ze nog zo hard in de VS.

Het blijft bij privacyclaims echter altijd een hele lastige wat die schade dan precies is, in geld uitgedrukt. Daar zijn ook onder de Verordening geen concrete handvatten over. Ik blijf het herhalen: het wordt tijd voor een staffel met forfaitaire schadebedragen, van zeg 50 euro voor lekken NAW gegevens tot 2.500 voor lekken medisch dossier.

Arnoud