Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

| AE 12949 | Security | 9 reacties

manfredrichter / Pixabay

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?
Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:
1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.
Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken
Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

Bedrijven, hotels en instellingen mogen internet wél filteren

| AE 7874 | Ondernemingsvrijheid | 24 reacties

wifi-hotel.png Oh en dat is wel een verrassing: in die beleidsregel van gisteren is tevens bepaald dat netneutraliteit alleen geldt voor openbare aanbieders van internet, niet voor private aanbieders zoals bedrijven (gastennetwerken), hotels en instellingen die hun bezoekers op internet laten. (Ik loop een beetje achter geloof ik, laatst ook al de datalekmeldplicht en beveiligingsboetes gemist.)

In de wet (art. 7.4a Telecommunicatiewet) staat dat netneutraliteit geldt voor

Aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten

Bij die tweede categorie aanbieders mist het woordje ‘openbaar’. Maar het “ligt in de rede” dat je dat er wel in moet lezen, aldus de minister:

De internettoegangsdienst, bedoeld in artikel 7.4a van de Telecommunicatiewet is een openbare elektronische communicatiedienst als bedoeld in artikel 1.1. onder g van de Telecommunicatiewet. Van een internettoegangsdienst is geen sprake als deze niet voor het publiek beschikbaar is.

Opmerkelijk genoeg gaat dit in tegen het standpunt van de Minister toen destijds kamervragen werden gesteld over het blokkeren van Bittorrent door de Rijksuniversiteit Groningen. In antwoord daarop legde hij uit:

Het begrip ‘aanbieder van internettoegangsdiensten’ in artikel 7.4a lijkt zowel te zien op aanbieders van openbare internettoegang als op aanbieders van niet-openbare internettoegang. Dit betekent dat ook wanneer, zoals hier het geval is, een aanbieder slechts aan een gesloten groep internettoegang aanbiedt, hij in het kader van artikel 7.4a gezien moet worden als een aanbieder van internettoegangsdiensten.

Daarmee zou de RUG als provider voor studenten op de campus óók onderworpen zijn aan netneutraliteit, aldus de minister toen. Maar eh voortschrijdend inzicht leert anders: de wet geldt alleen voor openbare aanbieders van internet, want:

Een andere uitleg zou ertoe leiden dat bijvoorbeeld ook alle bedrijven en instellingen die via een Wi-Fi netwerk internet aan hun klanten en bezoekers aanbieden aan de netneutraliteitsregels zouden moeten voldoen.

Waarom deze andere uitleg echter in strijd zou zijn met de wet, wordt verder niet gemotiveerd. Ja, “netneutraliteitsregels zijn immers bedoeld om netneutraliteit in het openbare domein te waarborgen” maar wifi vanuit hotels, cafés en dergelijke is toch ook deel van het openbare domein?

Arnoud

Nee, netneutraliteit geldt niet voor websites (maar zou dat moeten?)

| AE 7459 | Ondernemingsvrijheid | 11 reacties

marketingfacts-netneutraal-dmsaIn het DMSA-model is de toegang tot de mobiele versie van de website exclusief voorbehouden aan de gebruikers van merken mobiele telefoons en tablets die daarvoor een overeenkomst hebben afgesloten met Marketingfacts, meldde Marketingfacts vorige week. Het bleek een stunt vanwege hun vernieuwde site, maar het riep bij veel mensen wel vragen op over netneutraliteit. Want eh, waarom mag UPC niet de toegang tot Netflix beperken maar zou Marketingfacts wél bezoeken mogen beperken?

Formeel is er weinig tegenin te brengen als een website bezoekers weigert op basis van gebruikte apparatuur. De regels over netneutraliteit gelden namelijk alleen voor partijen die “internettoegangsdiensten” leveren (art. 7.4a Telecomwet) en een website is per definitie geen “internettoegangsdienst”. En een regel als deze analoog inroepen kan eigenlijk niet: er staan boetes op het overtreden van deze regel, en dan wordt de wet strikt uitgelegd, oftewel alleen als je er letterlijk onder valt dan moet je doen wat er staat. Rechtszekerheid.

Meer algemeen bepaalde de Hoge Raad in het Ab.fab arrest alweer enige tijd geleden dat de eigenaar van een server bepaalt wie daar toegang toe krijgt en onder welke voorwaarden. Als XS4All een spammer mag weren, en Elsevier linkschmensen, waarom Marketingfacts dan niet een iPhonegebruiker?

Het achterliggende idee is dat er vrije concurrentie is: als M! zo dom is om alleen gebruikers van bepaalde apparaten toegang te verlenen, dan zitten de lezers zo bij de concurrent en dus lost het probleem zich vanzelf op. Maar ja, dat dachten we bij internettoegang ook en daar blijkt het niet echt te werken. Bovendien, ís er wel concurrentie? Kun je zeggen dat bijvoorbeeld Frankwatching een concurrent voor Marketingfacts is, en gaan Nu.nl-lezers zo naar de Volkskrant of Telegraaf als hun laptop buiten de gesponsorde deal valt?

De wet aanpassen is op zich eenvoudig: “Dit artikel geldt ook voor dienstverleners van de informatiemaatschappij” in art. 7.4a Telecomwet, en niemand mag meer bezoekers weigeren behalve als ze overlast veroorzaken of spammen, of als congestie of een gerechtelijk bevel dit vereisen. Dat zou de DMSA-deal onmogelijk maken. Maar eh, gaat dat niet érg ver, iedereen op je site moeten laten?

Arnoud

Hoogste EU Hof verbiedt p2p-filterplicht voor isp’s, maar hoe ver gaat dit?

| AE 2803 | Intellectuele rechten, Ondernemingsvrijheid, Privacy | 14 reacties

Het Europees Hof van Justitie bepaalde gisteren dat een copyrightfilterplicht voor providers in strijd is met de Europese e-commerce wetgeving en de grondrechten. Het arrest verklaart dat het generieke filter op al het peer-to-peer verkeer dat Scarlet moest toepassen van de Sabam (de Belgische Buma) niet legaal is. Maar wat betekent dit nu voor andere… Lees verder

Mijn werkgever verbiedt me te Twitteren, mag dat?

| AE 2757 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 42 reacties

Een lezer vroeg me: Op mijn werk blijkt de toegang tot Twitter te zijn geblokkeerd. Navraag leerde dat de directie bang was voor imagoschade als werknemers gingen twitteren. Daarom had men Twitteren categorisch verboden in het arbeidsreglement. Ik mag dus niet op het werk Twitteren maar óók niet thuis op mijn eigen computer! Kan dat… Lees verder

Verslag themamiddag netneutraliteit bij Economische Zaken

| AE 1843 | Ondernemingsvrijheid | 6 reacties

Afgelopen donderdag was ik dus bij die themamiddag netneutraliteit bij Economische Zaken in Den Haag. Zoals beloofd hierbij mijn verslag van de middag. Ik hoop dat jullie vragen hierin beantwoord worden 🙂 De wetenschappelijke achtergrond kwam van Rudi Bekkers (Dialogic en TU/e). Hij beschreef zijn onderzoek van begin 2009 onder 20 belanghebbenden (6 ISP’s, 6… Lees verder

Het duimenfilter versus het auteursrecht

| AE 1717 | Intellectuele rechten | 20 reacties

De discussie over censuur ken ik, maar deze variant nog niet: is het ‘wegminnen’ van berichten op een forum, site of blog een vorm van auteursrechteninbreuk? Toevallig kwam ik terecht op het stamboomforum, waar de beheerder een “duim omhoog/omlaag”-knop had ingevoerd. Berichten met veel duimpjes omlaag worden onzichtbaar gemaakt, maar ze zijn wel aan te… Lees verder

“Het is niet toegestaan banners, statistieken scripts of andere scripts te blokkeren”

| AE 1595 | Informatiemaatschappij | 32 reacties

Een lezer tipte me over een zeer opvallende algemene voorwaarde van spelsite Jijbent: Het is niet toegestaan banners, statistieken scripts of andere scripts te blokkeren. Lang geleden schreef ik al eens, waar zou je deze eis als site-eigenaar op kunnen baseren? Ik zou het echt niet weten. Inbreuk op auteursrecht of zo is het niet,… Lees verder