De legaliteit van een VPN op je Netflix

| AE 7663 | Ondernemingsvrijheid | 27 reacties

vpn-private-network-tunnel-bewaarplicht.pngMet enige regelmaat krijg ik de vraag of het eigenlijk wel legaal is om met een VPN naar Netflix te kijken. Begrijpelijke vraag: in andere landen is het aanbod van Netflix uitgebreider, en andere diensten kun je soms niet eens gebruiken als je IP-adres herkend wordt als een Nederlands adres.

Er is geen wet die je verplicht je ‘eigen’ IP-adres te gebruiken. Een VPN inzetten om een website te benaderen is in het algemeen dus legaal. Net zoals het legaal is zo’n site te benaderen vanuit de bibliotheek of middels een IP-adres bij de koffiebar in de stad.

Netflix heeft VPN’en verboden in haar gebruiksvoorwaarden, net zoals wel meer diensten. Ze doen dit meestal omdat dit moet van rechthebbenden: die willen per land een andere prijs voor hun video’s kunnen vragen. Maar los daarvan, Netflix mag dit soort dingen verbieden als ze daar zin in heeft. De vraag is dan ook of Netflix dit zou handhaven als ze iemand betrappen.

De aanbieder van een VPN heeft daar niets mee te maken, want die heeft geen contract met Netflix. Maar wat nu als de VPN-dienst zich specifiek richt op mensen die Netflix in de VS willen kijken? Googelen op vpn netflix levert me aardig wat diensten op die specifiek adverteren met teksten als “Amerikaanse Netflix kijken?”.

Juridisch kom je dan bij het leerstuk van “aanzetten tot wanprestatie”. Kort gezegd is het legaal om te profiteren van iemands wanprestatie, zelfs als je wéét dat iemand wanprestatie gaat plegen. Dus als je ziet dat een klant vaak netflix.com opvraagt, dan hoef je als dienstverlener niets te doen. Pas bij wat juristen zo mooi “bijkomstige omstandigheden” noemen, komt dat anders te liggen.

Wat zijn dan die bijkomstige omstandigheden? Hier blijkt de rechtspraak nog steeds niet echt duidelijk. Het is een optelsom van factoren, waarbij vooral meewegen hoe zeer je het wist, hoe ernstig het nadeel is en hoe makkelijk dat te voorzien was. Maar ook zaken als het motief van de derde en de aard van de beïnvloeding wegen mee.

Een ICT-voorbeeld: in 2014 werd het AFAS verboden ondersteuning in haar financiële app te bieden voor de Mijn ING dienst, waarbij je als gebruiker moest inloggen op Mijn ING via die app. De omstandigheden hier waren dat in de voorwaarden van ING stond dat je je wachtwoord nergens anders mag invoeren dan op hún website, en dat de AFAS app afbreuk deed aan het onderliggende veiligheidsprincipe – je vergemakkelijkt indirect phishing want zo kan iederéén wel vage websites en apps gaan maken. Het moet dus wel iets echt bijzonders zijn, alleen maar “wij willen het niet hebben” is niet genoeg.

De argumentatie hier zou zijn dat auteursrechthebbenden minder inkomsten krijgen dan wanneer je via de Nederlandse Netflix had, eh, genetflixt. Dat voelt niet een heel sterk argument. Pas als je het hele businessmodel zou ondergraven, zou ik dat ernstig genoeg vinden. Zouden jullie argumenten weten?

Arnoud

De strafbaarheid van het omzeilen van een IP-ban

| AE 5871 | Security | 10 reacties

bannedEen ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds authorized access” en dat is strafbaar als computervredebreuk naar Amerikaans recht. En hoe zit dat in Nederland?

Het bedrijf 3taps haalde periodiek met een scraper data op van de bekende advertentiesite Craigslist. Craigslist reageerde met een ip-ban en een schriftelijk toegangsverbod (cease and desist letter), waarop 3taps andere ip-adressen inzette en proxies gebruikte om zo toch bij de advertentiedata van Craigslist te kunnen. Daarop stapte Craigslist naar de rechter, en die bevestigt nu dat 3taps computervredebreuk had gepleegd. Hoewel Craigslist voor het publiek toegankelijk is, betekent dat niet dat Craigslist niemand mag weren van zijn site. Toestemming kan worden ingetrokken en dan moet je wegblijven. Kom je dan toch terug, dan is dat strafbaar.

In Nederland lijkt me dit niet veel anders te liggen. Ook hier geldt: je mag niet willens en wetens een geautomatiseerd werk gebruiken waarvan je weet dat je daar niet mag zijn – dat is de definitie van computervredebreuk. En toegegeven, dat is discutabel bij publieke URL’s en dergelijke situaties waarin er geen beveiliging omzeild gaat worden. Maar als iemand je specifiek per brief zegt “blijf wég van mijn site” en je IP-adressen blokkeert, dan lijkt het me toch niet zo gek dat we dan spreken van computervredebreuk. In de analogie met huis- en erfvredebreuk is een dergelijke brief óók genoeg. “Tegen de verklaarde wil van de eigenaar zich bevinden op”, heet dat dan.

Het lijkt me alleen vrij onwaarschijnlijk dat Justitie zal gaan vervolgen in zo’n situatie. Het voelt als iets dat je zelf ook prima kunt oplossen met een burgerlijke rechtszaak. Het begaan van een strafbaar feit is ook een onrechtmatige daad, dus je kunt dan een verbod met dwangsom bij de rechter gaan halen. En proxy’t meneer dan toch nog een keer terug, dan kun je de dwangsom incasseren. (Mits je kunt bewijzen dat hij het was, wat bij een proxy wat lastig is.)

Specifiek bij scrapers is schending van het databankrecht ook nog een route. Je kunt dan als site een dwangsom laten zetten op verder scrapen, en je krijgt natuurlijk je vollédige advocaatkosten vergoed. Dit werkt niet altijd: je moet wel een en natuurlijk beschermde databank hebben en schade lijden door de inbreuk.

Weet je niet wie het is, dan is dagvaarden lastiger. En hoewel je dan op een verstekzaak zou kunnen aansturen (die je automatisch wint, niet komen == verliezen immers) heb je dan nog geen mogelijkheid om dat af te dwingen. Dus wat moet je dan?

Arnoud