Mag mijn provider me anno 2022 een IPv4 only verbinding geven?

| AE 13105 | Ondernemingsvrijheid | 18 reacties

Een lezer vroeg me:

Mijn ISP levert mij de dienst ‘internet’, maar levert alleen een verbinding via IPv4, niet via IPv6. Nergens wordt gesproken over een IPv4 only dienst. Levert de provider mij nu een onvolledige dienst?
Het internetprotocol (IP) is de basis van het internet. Pakketjes met data worden dit protocol verzonden en ontvangen (of niet, er zijn geen garanties). Daarbij staat het IP-adres centraal. Dit is een 32-bits getal (meestal geschreven als 127.0.0.1) dat ieder apparaat op internet uniek identificeert. Het grote probleem inmiddels is dat alle 2^32 adressen toegewezen zijn, waardoor het internet eigenlijk niet meer kan groeien.

Om dit probleem op te lossen, is IPv6 ontwikkeld. Adressen zijn daarin 128 bits, zodat elke zandkorrel op aarde een eigen IP-adres kan krijgen. Het lastige is echter dat een internetprovider extra apparatuur en netwerkomgevingen moet inzetten om IPv6 compatibel te worden. Dat duurt nu al veel langer dan je zou denken, en het is bovendien nagenoeg tot stilstand gekomen zo las ik afgelopen september.

Desondanks is het best logisch dat je anno 2022 IPv6 verbindingen zou kunnen verwachten. En als er dan niets expliciet is afgesproken, dan wordt het juridisch een interessante.

De hoofdregel uit het contractenrecht is dat je niet alleen kijkt naar wat er letterlijk staat. Belangrijker is wat partijen over en weer van elkaar mochten verwachten, waarbij hun marktpositie en expertise op het gebied van het gecontracteerde zwaar meeweegt. Hetzelfde contract kan dus anders worden opgevat als het tussen twee grootzakelijke partijen wordt gesloten dan wanneer het een consument en een machtige leverancier betreft.

Eigenlijk is dus de eerste vraag welke positie de vraagsteller heeft. We gaan even uit van een consument, die bij een ‘gewone’ internetprovider de dienst “internettoegang” heeft afgenomen. Mocht die het contract dan begrijpen als dat er ook IPv6 mogelijk was?

Mijn inschatting is van niet, bij zo’n consumentensituatie. Een consument wil “gewoon internet”, en eigenlijk doet iedere site of dienst het gewoon via IPv4. Er is dan geen bijzondere reden waarom je IPv6 nodig zou hebben voor “gewoon internet”. En dan is het volgens mij feitelijk irrelevant of de geleverde dienst IPv6 ondersteunt.

Als het gaat om een zakelijke klant die belang heeft bij IPv6, dan kan dat anders liggen. Alleen zou ik daar verwachten dat de klant er naar vroeg, en dan dus weet dat de leverancier dit kan. En dan is het natuurlijk geen discussie als blijkt dat de leverancier toch een IPv4 only verbinding levert.

Arnoud

Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.

Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.
Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.
Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.

Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud

 

Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

| AE 12949 | Security | 9 reacties

manfredrichter / Pixabay

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?
Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:
1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.
Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken
Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

Moet mijn internetprovider mijn mobiele data kosten vergoeden wanneer ik geen toegang internet heb?

| AE 12580 | Informatiemaatschappij | 17 reacties

Via Reddit: Ik heb glasvezel er is sinds [afgelopen woensdag] ergens een breuk in de kabel, het bedrijf zegt dat het nog wel 5 werkdagen (t/m volgende week woensdag) kan duren. Momenteel zitten er bij mij thuis 3 mensen in thuisquarantaine die online lessen moeten volgen. Vandaag is dat geregeld door alle devices op een… Lees verder

Mag je persoonsgegevens van een BN’er in je online stamboom stoppen?

| AE 12472 | Privacy | 17 reacties

Een lezer vroeg me: Op de Nederlandse Publieke Omroep wordt het programma Verborgen Verleden uitgezonden. In dit programma wordt de stamboom van een bekende Nederlander (BN-er) uitgezocht. Nu ontdekte ik (amateur-genealoog) dat een bepaalde BN-er verre familie van mij is, op basis van dit programma. Ik zou hem graag aan mijn online gepubliceerde stamboom toevoegen, maar mag… Lees verder

Hoe onbeperkt is dat ‘onbeperkt’ van T-Mobile?

| AE 8669 | Ondernemingsvrijheid | 36 reacties

T-Mobile komt met een nieuwe databundel, die in combinatie met een smartphone of tablet onbeperkte data biedt, meldde Tweakers gisteren. Ja, haha quote quote onbeperkt: Tetheren is toegestaan, maar met een maximum van 20GB per maand. Zo lust ik er nog wel eentje, onbeperkt spareribs maar als je veel eet dan krijg je er maar… Lees verder

Kun je worden verplicht via een poel des verderfs aangifte te doen?

| AE 8642 | Iusmentis | 56 reacties

Het zijn van die pareltjes die vonnislezen de moeite waard maken. “Naar de overtuiging van eiseres is het gebruik van internet in strijd met Gods geboden, omdat het internet een verzamelplaats is van immoraliteit, ongerechtigheid en blasfemie.” Zoiets kom je zelden tegen, toch? En al helemaal in een belastingzaak: de eiseres wilde op papier aangifte… Lees verder

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Security | 15 reacties

Een lezer vroeg me: Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk? Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt,… Lees verder

Hoe een merkenclaim tijdelijk het internet stukmaakte

| AE 8525 | Intellectuele rechten, Ondernemingsvrijheid | 23 reacties

Whoa. Elf regels code weghalen leidde tot een stukgegaan internet, las ik bij BusinessInsider. Dit was het onverwachte gevolg van een merkenclaim van sociaal netwerk Kik tegen softwaremodule Kik. Op basis van die claim werd de module weggehaald, waar de developer zo boos over werd dat hij al zijn code weghaalde. Waaronder dus die ene… Lees verder