Tag: isp

About isp

Subscribe Feeds

Toezichthouder ziet niets in vergoeding voor internetverkeer door techbedrijven

Geplaatst op in Ondernemingsvrijheid, 8 reacties
geralt / Pixabay

De Europese telecomtoezichthouder BEREC ziet niets in de plannen van internetproviders om techbedrijven als Google en Netflix te laten betalen voor hun internetverkeer. Dat meldde Nu.nl onlangs. Als een techbedrijf weigert een vergoeding te betalen, zou dat kunnen betekenen dat internetproviders de dienst bijvoorbeeld vertragen of zelfs blokkeren. Logisch, maar frustrerend voor internetproviders die de rekening betalen voor de sterk toegenomen hoeveelheid dataverkeer.

Het probleem waar BEREC onderzoek naar deed, is dat techbedrijven zoals Netflix verantwoordelijk zijn voor een enorm deel van alle internetverkeer. Natuurlijk betaalt Netflix wel voor haar toegang tot internet (en dat zal geen malse rekening zijn), maar in Nederland moet bijvoorbeeld VodafoneZiggo maar zorgen dat ze genoeg capaciteit heeft zodat heel Nederland The Crown kan kijken wanneer Netflix seizoen vier dropt.

Normaal zou je zeggen dat als een leverancier je op enorme kosten jaagt, je dan die leverancier een rekening stuurt. Of maatwerkafspraken met ze maakt voor volgende keer. Maar dat ligt op internet lastig, vanwege het fundamentele punt dat alle internetverkeer gelijk moet worden behandeld – netneutraliteit. Als je Netflix meer geld zou vragen voor het doorgeven van haar videostreams, dan overtreed je de Europese regels over gelijke netwerkbehandeling.

Het rapport van BEREC wijst nog op een ander punt: inderdaad moet je als provider investeren in het upgraden van je netwerk, maar daar kun je dan ook gewoon duurdere abonnementsprijzen voor vragen. Op die manier verdien je de investering gewoon weer terug. En genoeg mensen willen zo’n duurder abonnement, want die willen immers Netflix kijken terwijl ze Spotify streamen en ondertussen Teamsen met collega’s.

Daar staat natuurlijk tegenover dat die contentproviders dan snel redeneren “oh leuk snel internet, dan kunnen wij nóg meer capaciteit en opties bieden”. Denk aan extra schermen of streamen in 4k. Zeg maar Wirth’s law maar dan voor dataverkeer. Volgens het verband van toezichthouders vallen die effecten min of meer tegen elkaar weg.

BEREC ziet verder in jaarverslagen geen winstwaarschuwingen voor sterk stijgende kosten van netwerkverkeer, iets dat je bij beursgenoteerde ISPs wel zou verwachten als de contentproviders veel harder zouden groeien dan de ISPs aankunnen. En daar komt bij dat steeds meer contentproviders investeren in eigen transitverbindingen en lokale opslag (content delivery networks), zodat de kosten voor ISPs binnen de perken blijven.

Al met al is er dan geen aanleiding om de regels te versoepelen en toe te staan dat ISPs geld vragen van contentproviders om zo de kosten te dekken. Dat zou juist het vervelende effect geven dat ISPs kunnen gaan bepalen wie er gestreamd mogen worden en tegen welke voorwaarden, en dat raakt aan de kern van internet.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

Geplaatst op in Privacy, 16 reacties

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

Geplaatst op in Privacy, 8 reacties

shirt-127-0-0-1-ip-adresHet Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is.

De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar: als hij zich op de website had geïdentificeerd (bijvoorbeeld door in te loggen) dan zou na de bezoeksessie er geen reden meer zijn om zijn IP-adres te bewaren. En wat niet nodig is, moet weg onder de privacywet. Nee, aldus de instantie: dat IP-adres is geen persoonsgegeven als u niet inlogt want wij weten niet dan wie u bent. Dus niks privacywet.

Dit lijkt een wat gezocht argument en dat is het natuurlijk ook, maar het raakt wel aan een heel fundamenteel punt. Namelijk, hoe ver ga je met iets persoonsgegeven verklaren? De literatuur is daarover verdeeld in de objectieven en de relatieven, zeg maar de preciezen en de rekkelijken. De objectieven/preciezen vinden dat een gegeven een persoonsgegeven is als de koppeling naar de betrokkene met redelijke moeite te maken is, ook als je daarvoor een derde (zoals de isp, in dit geval) nodig hebt en ook als die daar niet perse aan mee werkt. De relatieven/rekkelijken vinden dat iets alleen een persoonsgegeven is voor wie de koppeling kan maken, in dit geval dus alleen de isp.

Het Hof pakt de wet er nog eens bij en constateert dat de objectieven gelijk hebben: de wet spreekt ook van “indirect identificeerbaar” zijn, dus iets is niet alleen maar een persoonsgegeven voor wie zélf de koppeling kan leggen. Dus de vraag is alleen nog, hoe moeilijk is het om de identificatie ui te voeren, oftewel hoe moeilijk is het die isp’s mee te krijgen?

Redelijk moeilijk, want in Duitsland gaat het opvragen van NAW-gegevens bij een IP-adres altijd via Justitie. Maar dat is genoeg:

Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen. … De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.

Als dát al genoeg is, dan zijn we er. In Nederland ligt de lat lager dankzij het Lycos/Pessers-arrest, zodat ik er geen enkele twijfel over heb dat in Nederland aan het vereiste is voldaan dat het Hof hier oplegt.

Gelukkig voor de Duitse overheidssites mogen zij wel gewoon doorgaan met loggen. Dit is namelijk te rechtvaardigen onder een “eigen dringende noodzaak” (bij ons art. 8 sub f Wbp), zonder ip-adressen is het lastig aanvallen en dergelijke te herkennen. Maar dat is dus wel het kader waarbinnen élk gebruik van een IP-adres zal moeten worden bekeken vanaf nu. Hoe groot is de noodzaak dat gegeven te gebruiken, en hoe groot is het privacybelang van de websitebezoeker?

Arnoud

Mijn provider blokkeert spam, mag dat eigenlijk wel?

Geplaatst op in Ondernemingsvrijheid, 17 reacties

spam-verboden.pngEen lezer vroeg me:

Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat zomaar, dat providers gaan bepalen welke mail ik wel of niet wil hebben? Virussen en dergelijke zijn toch mijn risico?

Vrijwel iedere provider hanteert spamfilters, en met reden: zeker tweederde van alle e-mail is spam. Vaak is die ook nog eens voorzien van virussen en andere ongein. Je zou dus kunnen zeggen dat het binnen de lijn der verwachting ligt dat een willekeurige provider spam filtert, en dat maakt dat je toch (zeker als professionele partij) even navraag moet doen als dat belangrijk voor je is.

Lang niet altijd staat in het contract of men spam mag filteren. Maar dat zegt niet alles: ook dingen die niet in het contract staan, kunnen deel van de overeenkomst zijn. Art. 6:248 BW bepaalt dat ook deel van het contract is datgene wat voortvloeit uit de wet, de gewoonte of de eisen van redelijkheid en billijkheid. En als iedereen spam filtert, dan zou ik het een ‘gewoonte’ noemen waarmee providers dus mógen filteren op spam.

In Nederland hebben we echter een specifieke regel omtrent netneutraliteit: art. 7.4a Telecommunicatiewet. Een internettoegangsverlener mag geen maatregelen nemen die internetverkeer blokkeert of filtert, behalve in een paar specifieke gevallen. Spam blokkeren is er eentje van:

om de doorgifte van [ongevraagde reclamemails] aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend

Spam filteren mag een IAP dus niet zonder toestemming. Een gewone mailprovider mag het wel, want netneutraliteit geldt alleen voor partijen die toegang tot het internet aanbieden. Een e-mailprovider (of hoster met e-mail) voldoet niet aan die definitie en mag dus filteren wat ze wil, mits het natuurlijk binnen de normale gewoonte op internet valt.

Ik kan me uit principe voorstellen dat je geen spamfilter wilt, maar is er iemand die werkelijk gelukkig zou zijn voor vollédig ongefilterde aflevering van mail?

Arnoud

Is mijn provider aansprakelijk voor bugs in zijn router?

Geplaatst op in Security, 15 reacties

Een lezer vroeg me:

Is mijn Internet Service Provider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen PC qua veiligheid op orde is.

Wie een product levert, moet zorgen dat die aan de redelijkerwijs gewekte verwachtingen voldoet. Of het nu gaat om een appel, een wasmachine of een tablet. Blijkt dat niet zo te zijn, dan heeft de consument recht op gratis herstel of vervanging van het product.

Deze ‘conformiteitseis‘ staat geheel los van eventuele garanties of toezeggingen van de fabrikant of leverancier. Een fabrikant kan garanderen dat de tablet een jaar lang perfect werkt, maar als na anderhalf jaar de batterij de geest geeft dan kun je toch écht bij de winkel gratis herstel daarvan verlangen. Ja, bij de winkel. Want volgens de wet is niet de fabrikant maar de winkel verantwoordelijk.

Probleem is altijd wel: wat is een redelijke verwachting bij dit soort dingen? Dit is namelijk niet hetzelfde als “is foutloos”. Dat een appel na een week bruin en oneetbaar wordt, is niet onredelijk. Die appel voldoet dus aan de conformiteitseis, en je kunt geen herstel of vervanging van de appel eisen. Een wasmachine die na een week defect is, is evident niet conform de verwachtingen.

Bij ICT-producten is dit een groot grijs gebied, met name als het gaat om security. We blijken met z’n allen nog steeds niet in staat om veilige en foutloze producten af te leveren. Dus enige fouten of problemen moet je helaas verwachten. Er is nog geen norm zoals we die wel kennen voor veiligheid: een router mag niet fysiek ontploffen of 240 volt op de netwerkaansluitingen zetten. Dat is per definitie buiten de conformiteitseis, ongeacht de reden voor een dergelijke fout.

Je moet dus op zoek naar de aard van de fout: hoe kon deze schade ontstaan, hoe moeilijk was het geweest dit te fixen en vooral had je redelijkerwijs mogen verwachten dát de fout er niet zou zijn? En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.

Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware – dus met bekende fouten – je al heel snel mag spreken van een conformiteitsgebrek. Dat hoort gewoon niet te gebeuren. Maar dat er fouten worden ontdekt in wat er is uitgeleverd, dat is nu eenmaal de praktijk. Meer dan een upgrade installeren, kun je niet doen denk ik. Natuurlijk moet die dan wel gratis beschikbaar gesteld worden.

Arnoud