Toezichthouder ziet niets in vergoeding voor internetverkeer door techbedrijven

| AE 13723 | Ondernemingsvrijheid | 8 reacties

geralt / Pixabay

De Europese telecomtoezichthouder BEREC ziet niets in de plannen van internetproviders om techbedrijven als Google en Netflix te laten betalen voor hun internetverkeer. Dat meldde Nu.nl onlangs. Als een techbedrijf weigert een vergoeding te betalen, zou dat kunnen betekenen dat internetproviders de dienst bijvoorbeeld vertragen of zelfs blokkeren. Logisch, maar frustrerend voor internetproviders die de rekening betalen voor de sterk toegenomen hoeveelheid dataverkeer.

Het probleem waar BEREC onderzoek naar deed, is dat techbedrijven zoals Netflix verantwoordelijk zijn voor een enorm deel van alle internetverkeer. Natuurlijk betaalt Netflix wel voor haar toegang tot internet (en dat zal geen malse rekening zijn), maar in Nederland moet bijvoorbeeld VodafoneZiggo maar zorgen dat ze genoeg capaciteit heeft zodat heel Nederland The Crown kan kijken wanneer Netflix seizoen vier dropt.

Normaal zou je zeggen dat als een leverancier je op enorme kosten jaagt, je dan die leverancier een rekening stuurt. Of maatwerkafspraken met ze maakt voor volgende keer. Maar dat ligt op internet lastig, vanwege het fundamentele punt dat alle internetverkeer gelijk moet worden behandeld – netneutraliteit. Als je Netflix meer geld zou vragen voor het doorgeven van haar videostreams, dan overtreed je de Europese regels over gelijke netwerkbehandeling.

Het rapport van BEREC wijst nog op een ander punt: inderdaad moet je als provider investeren in het upgraden van je netwerk, maar daar kun je dan ook gewoon duurdere abonnementsprijzen voor vragen. Op die manier verdien je de investering gewoon weer terug. En genoeg mensen willen zo’n duurder abonnement, want die willen immers Netflix kijken terwijl ze Spotify streamen en ondertussen Teamsen met collega’s.

Daar staat natuurlijk tegenover dat die contentproviders dan snel redeneren “oh leuk snel internet, dan kunnen wij nóg meer capaciteit en opties bieden”. Denk aan extra schermen of streamen in 4k. Zeg maar Wirth’s law maar dan voor dataverkeer. Volgens het verband van toezichthouders vallen die effecten min of meer tegen elkaar weg.

BEREC ziet verder in jaarverslagen geen winstwaarschuwingen voor sterk stijgende kosten van netwerkverkeer, iets dat je bij beursgenoteerde ISPs wel zou verwachten als de contentproviders veel harder zouden groeien dan de ISPs aankunnen. En daar komt bij dat steeds meer contentproviders investeren in eigen transitverbindingen en lokale opslag (content delivery networks), zodat de kosten voor ISPs binnen de perken blijven.

Al met al is er dan geen aanleiding om de regels te versoepelen en toe te staan dat ISPs geld vragen van contentproviders om zo de kosten te dekken. Dat zou juist het vervelende effect geven dat ISPs kunnen gaan bepalen wie er gestreamd mogen worden en tegen welke voorwaarden, en dat raakt aan de kern van internet.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

| AE 9355 | Privacy | 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

| AE 9016 | Privacy | 8 reacties

shirt-127-0-0-1-ip-adresHet Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is.

De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar: als hij zich op de website had geïdentificeerd (bijvoorbeeld door in te loggen) dan zou na de bezoeksessie er geen reden meer zijn om zijn IP-adres te bewaren. En wat niet nodig is, moet weg onder de privacywet. Nee, aldus de instantie: dat IP-adres is geen persoonsgegeven als u niet inlogt want wij weten niet dan wie u bent. Dus niks privacywet.

Dit lijkt een wat gezocht argument en dat is het natuurlijk ook, maar het raakt wel aan een heel fundamenteel punt. Namelijk, hoe ver ga je met iets persoonsgegeven verklaren? De literatuur is daarover verdeeld in de objectieven en de relatieven, zeg maar de preciezen en de rekkelijken. De objectieven/preciezen vinden dat een gegeven een persoonsgegeven is als de koppeling naar de betrokkene met redelijke moeite te maken is, ook als je daarvoor een derde (zoals de isp, in dit geval) nodig hebt en ook als die daar niet perse aan mee werkt. De relatieven/rekkelijken vinden dat iets alleen een persoonsgegeven is voor wie de koppeling kan maken, in dit geval dus alleen de isp.

Het Hof pakt de wet er nog eens bij en constateert dat de objectieven gelijk hebben: de wet spreekt ook van “indirect identificeerbaar” zijn, dus iets is niet alleen maar een persoonsgegeven voor wie zélf de koppeling kan leggen. Dus de vraag is alleen nog, hoe moeilijk is het om de identificatie ui te voeren, oftewel hoe moeilijk is het die isp’s mee te krijgen?

Redelijk moeilijk, want in Duitsland gaat het opvragen van NAW-gegevens bij een IP-adres altijd via Justitie. Maar dat is genoeg:

Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen. … De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.

Als dát al genoeg is, dan zijn we er. In Nederland ligt de lat lager dankzij het Lycos/Pessers-arrest, zodat ik er geen enkele twijfel over heb dat in Nederland aan het vereiste is voldaan dat het Hof hier oplegt.

Gelukkig voor de Duitse overheidssites mogen zij wel gewoon doorgaan met loggen. Dit is namelijk te rechtvaardigen onder een “eigen dringende noodzaak” (bij ons art. 8 sub f Wbp), zonder ip-adressen is het lastig aanvallen en dergelijke te herkennen. Maar dat is dus wel het kader waarbinnen élk gebruik van een IP-adres zal moeten worden bekeken vanaf nu. Hoe groot is de noodzaak dat gegeven te gebruiken, en hoe groot is het privacybelang van de websitebezoeker?

Arnoud

Mijn provider blokkeert spam, mag dat eigenlijk wel?

| AE 7150 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat… Lees verder