Tag: Kpn

About Kpn

Subscribe Feeds

Een cent overmaken is wel een heel creatieve manier van spammen

Geplaatst op in Informatiemaatschappij, 19 reacties

Het betreft een door klaagster via haar privé bankrekening ontvangen uiting, onder meer omtrent de bijschrijving van € 0,01 op haar bankrekening. Wacht, wat. Ja inderdaad, dat is hoe een recente uitspraak van de Reclame Code Commissie over ongewenste elektronische reclame begon. KPN had een consument een cent gegeven, en in de omschrijving reclame opgenomen voor een nieuwe dienst naar aanleiding van het stoppen van de dienst ISDN (nee dat wist ik ook niet, dat ISDN stopt). KPN kon niet onderbouwen hoe ze aan de gegevens van de consument was gekomen, waarop deze naar de RCC stapte voor een uitspraak over of dit nu de Telecommunicatiewet overtreedt.

De gewraakte overboeking had als omschrijving:

ISDN stopt Wij helpen u verder. Bel gratis 0800-5025 op werkdagen 09.00 17.30u voor een persoonlijk advies. Voor info: kpn.com/ ISDNstopt IBAN: (bankrekeningnummer) Kenmerk: (een nummer) Datum maandag 12 november 2018 Bedrag € 0,01 Tegenrekening (in de bij de klacht overgelegde uiting weggelakt) Mutatiesoort Verzamelbetaling

Ik zou daar in mijn internetbankieren ook een tikje chagrijnig van worden. Dit riekt naar reclame, KPN’s eerste standpunt dat sprake was van een “servicebericht” ten spijt. De term ‘servicebericht‘ is in de e-mailmarketing ingeburgerd als vakterm voor mails die geen reclame zijn. Mijn vuistregel daarvoor is wel dat je het eigenlijk niet leuk vindt om te sturen – dit weekend gaat uw internetdienst offline, de levering is helaas vertraagd, dat werk. Bovenstaand bericht voldoet daar natuurlijk voor geen cent (haha) aan.

Reclame dus. Maar vrij zeldzaam, deze manier. Hoe kon dat gebeuren? KPN had een zakelijke klant gevonden die aan het bankrekeningnummer van deze mevrouw was gekoppeld, en die zou de reclame-uiting wel hebben willen ontvangen / de service hebben willen genieten. Dat gelooft de RCC inderdaad ook niet. Deze merkt de reclame dan ook aan als verboden spam onder de Telecommunicatiewet.

Je kunt als jurist natuurlijk nog wel enige vraagtekens stellen bij of dat laatste écht zo is. Immers, de wet definieert spam als:

Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees of gebruikers (…)

Je kunt je dan natuurlijk afvragen of wel sprake is van een automatisch communicatiesysteem. Ik vind het een tikje gezocht om te spreken van een “communicatiesysteem” waar het enkel gaat over een veld waar je een opmerking bij een overboeking achterlaat. Is dat ‘communiceren’ met de ontvanger van dat geld?

Arnoud

Gastpost: Mag KPN weer ‘Eindeloos Spotify’ aanbieden?

Geplaatst op in Ondernemingsvrijheid, 2 reacties

onbeperkt-spotifyDeze week ben ik met vakantie. Vandaar zoals elk jaar een serie gastposts. Vandaag Michel Arts over Eindeloos Spotify op een netneutraal internet.

Ongeveer een jaar geleden was in het nieuws dat KPN moest stoppen met het aanbieden van ‘Eindeloos Spotify’. Wat was er ook al weer aan de hand? KPN bood een Spotify-abonnement aan waarvan het datagebruik niet ten koste ging van de databundel. Aanvankelijk stelde de Autoriteit Consument & Markt (ACM) dat op een dergelijke losse dienst (je kon ‘Eindeloos Spotify’ ook gebruiken in combinatie met abonnementen zonder databundel) de netneutraliteitsregels in de telecommunicatiewet niet van toepassing waren. Nieuwe beleidsregels van de minister van Economische Zaken scherpte de interpretatie van deze regels aan. Voortaan zouden ze ook van toepassing zijn op combinaties van losse diensten en internettoegang. Losse diensten zijn alleen nog maar uitgezonderd als ze niet in combinatie met internettoegang worden aangeboden.

Een van de netneutraliteitsregels is het verbod op prijsdiscriminatie: een aanbieder van internettoegangsdiensten mag zijn tarieven niet afhankelijk stellen van diensten of toepassingen die via het internet gebruikt of aangeboden worden. Het buiten de databundel laten vallen van het gebruik van Spotify is een vorm van prijsdiscriminatie. Als je een andere (muziek)dienst gebruikt gaat dat immers wel ten koste van je databundel. Vlak nadat de nieuwe beleisregels gepubliceerd werden stelde de ACM in een brief aan KPN dat zij geen nieuwe abonnementen meer met ‘Eindeloos Spotify’ mocht aanbieden. Bestaande contracten mocht KPN wel voortzetten omdat deze op uiterlijk 1 mei 2017 aflopen.

Sinds 30 april van dit jaar geldt er een Europese netneutraliteitsverordening. Hierover is al veel discussie geweest. Vorig jaar schreef Arnoud op dit weblog al een artikel over de vraag of ‘Eindeloos Spotify’ volgens deze verordening wel is toegestaan. De definitieve tekst van de verordening was toen echter nog niet bekend. Hij kon in de conceptverordening geen bepaling vinden op grond waarvan prijsdiscriminatie zou zijn toegestaan.

Intussen is de netneutraliteitsverordening in werking getreden. We kunnen nu dus nagaan of KPN ‘Eindeloos Spotify’ weer mag aanbieden. Dit komt dus neer op de vraag of prijsdiscriminatie nu wel is toegestaan. De Nederlandse regering is van mening dat prijsdiscriminatie ook volgens de nieuwe regels verboden blijft. In tegenstelling tot een richtlijn hoeft een verordening niet ge??mplementeerd te worden in de nationale wetgeving omdat een verordening rechtsstreeks van toepassing is. Toch moeten nationale wetten vaak wel aangepast worden aan zo’n verordening. Een wetsvoorstel tot aanpassing van de telecommunicatiewet aan de netneutraliteitsverordening ligt op dit moment bij de Eerste Kamer. Dit wetsvoorstel schrapt de nationale netneutraliteitregels. Aanvankelijk zou ook het verbod op prijsdiscriminatie geschrapt worden. Later diende de minister een nota van wijzigingen (een wijziging van een wetsvoorstel dat bij de Tweede Kamer in behandeling is) in waarin het verbod op prijsdiscriminatie toch gehandhaafd wordt. De minster was tot de ontdekking gekomen dat prijsdiscriminatie ook volgens de nieuwe Europese regels verboden is.

Hoe zit dat nu? Het derde lid van artikel 3 van de verordening bepaalt:

Aanbieders van internettoegangsdiensten behandelen bij het aanbieden van internettoegangsdiensten alle verkeer op gelijke wijze, zonder discriminatie, beperking of interferentie, en ongeacht de verzender en de ontvanger, de inhoud waartoe toegang wordt verleend of die wordt verspreid, de gebruikte of aangeboden toepassingen of diensten, of de gebruikte eindapparatuur.
Alleen redelijke verkeersmaatregelen zijn toegestaan. De minister ziet hier een algemeen discriminatieverbod in. Dus prijsdiscriminatie is ook verboden.

Uiterlijk op 30 augustus moet de BEREC (de samenwerkende Europese toezichthouders op het gebied van telecommunicatie) met richtlijnen komen waarin staat hoe zij de netneutraliteitsverordening interpreteert. Er is een consultatie geweest waarbij belanghebbenden hun standpunt konden indienen. Het startpunt voor deze consultatie was een concept met richtlijnen van de BEREC. In dit concept kiest de BEREC voor een genuanceerde benadering: prijsdiscriminatie is niet altijd verboden. Alleen “A zero-rating offer where all applications are blocked (or slowed down) once the data cap is reached except for the zero-rated application(s)” is volgens de BEREC altijd verboden omdat dit in strijd is met het derde lid van artikel 3 van de verordening.

De BEREC baseert haar beleid m.b.t. prijsdiscriminatie vooral op het tweede lid van artikel 3. Daarin staat

Overeenkomsten tussen aanbieders van internettoegangsdiensten en eindgebruikers over commerci??le en technische voorwaarden en de kenmerken van internettoegangsdiensten zoals prijs, datavolumes of snelheid, en alle commerci??le praktijken van aanbieders van internettoegangsdiensten, mogen de uitoefening van de in lid 1 bedoelde rechten van eindgebruikers niet beperken.
Hier wordt niet verwezen naar het derde lid van artikel 3 maar alleen naar het eerste lid. De BEREC concludeert
Article 3(2) clarifies that agreements between ISPs and end-users on commercial and technical conditions and the characteristics of IAS such as price, data volumes or speed, and any commercial practices conducted by ISPs are allowed, but shall not limit the exercise of the rights of end-users laid down in Article 3(1).
en hieruit trekt zij dan weer de conclusie dat prijsdiscriminatie niet in alle gevallen verboden is.

Is een Nederlands verbod op prijsdiscriminatie dan in strijd met de netneutraliteitsverordening? Naar mijn mening niet. Het tweede lid van artikel 3 stelt alleen maar dat overeenkomsten en commerci??le praktijken niet in strijd mogen zijn met het eerste lid van artikel 3. Voor het overige laat de verordening deze materie ongeregeld en dat schept ruimte voor nationaal beleid. De BEREC stelt juist dat overeenkomsten en commerci??le praktijken zijn toegestaan als dit niet in strijd is met het eerste lid van artikel 3. Dat is toch net iets anders als wat in de verordening staat. Mijn conclusie is daarom dat een nationaal verbod op prijsdiscriminatie is toegestaan omdat regulering van tarieven niet het onderwerp van deze verordening is. Nederland mag dus haar regels behouden en Eindeloos Spotify blijft gewoon verboden.

Michel Arts heeft elektrotechniek gestudeerd aan de Technische Universiteit Eindhoven. Naast techniek gaat zijn persoonlijke belangstelling uit naar (de geschiedenis van) auteursrecht, mediarecht en telecommunicatierecht.

‘Eindeloos Spotify’ van KPN is datadiscriminatie, ook straks in Europa?

Geplaatst op in Ondernemingsvrijheid, 16 reacties

ns-kpn-onlineindetrein-binnendringen.pngKPN moet het streamen van Spotify buiten de mobiele databundel uitfaseren, las ik bij Computerworld. Toezichthouder ACM heeft op basis van aangescherpte regels de telecomprovider op de vingers getikt. Een internetdienst uitzonderen van de databundel is in strijd met netneutraliteit. De dienst is al door KPN opgeheven, maar bestaande “Eindeloos”-abonnementen lopen nog door tot 1 mei 2017.

Nederland heeft een wet over netneutraliteit. Die bepaalt dat je geen diensten mag discrimineren, dus bijbetaling verlangen voor toegang tot zeg Youtube is niet toegestaan. Die wet geldt echter ook andersom: korting geven voor toegang tot bepaalde diensten mag óók niet. En “onbeperkt Spotify buiten je bundel” is een vorm van korting, die dus niet toegestaan is. Dat is immers verkapte discriminatie van andere muziekstreamingdiensten die wél uit je mobiele databundel gaan.

De vingertik volgde nadat het ministerie nieuwe beleidsregels had gepubliceerd, die duidelijk maken dat netneutraliteit (geregeld in art. 7.4a Telecommunicatiewet) geldt zodra je zeg maar ‘internet’ aanbiedt:

Uitsluitend het via de internetverbinding leveren van toegang tot één enkele losse inhoudsdienst of toepassing is van artikel 7.4a uitgesloten. Zodra aan een eindgebruiker via de internetverbinding meer dan één losse dienst wordt geleverd is sprake van het aanbieden van een internettoegangsdienst in de zin van artikel 7.4a.

Je kunt nu dus alleen nog buiten de regels vallen wanneer je slechts één dienst aanbiedt, bv. een VoIP-dienst die toevallig het internetprotocol gebruikt. Wat KPN doet, is vanaf nu dus in strijd met netneutraliteit.

Of dit overeind blijft als we in 2017 Europese netneutraliteit krijgen, is een lastige. Op 8 juli werd Europese netneutraliteit goedgekeurd (samen met afschaffing van roamingkosten), maar in die regels staan wat dubieuze passages. Zo wordt het toegestaan om bepaald verkeer voorrang te geven als dat nodig is voor de benodigde kwaliteit, zoals bij VoIP of televisiestreaming. Ook mogen categorieën traffic worden versneld of vertraagd, maar alleen op technische gronden:

[Net neutrality rules] shall not prevent providers of internet access services from implementing reasonable traffic management measures. In order to be deemed reasonable, such measures shall be transparent, non-discriminatory, proportionate, and shall not be based on commercial considerations but on objectively different technical quality of service requirements of specific categories of traffic. Such measures shall not monitor the specific content and shall not be maintained longer than necessary.

Dit lijkt mij “Eindeloos Spotify” uit te sluiten. Bij Computerworld zeggen ze echter dat “zero rating” zoals dit heet, wél toegestaan zal zijn maar ik kan niet ontdekken waar.

Arnoud

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

Geplaatst op in Informatiemaatschappij, 20 reacties

kpn-online-backupCloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via).

De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage en blessurepreventie. Voor dat werk had zij de nodige documenten, foto’s en video’s ontwikkeld en om die netjes te bewaren had ze bij KPN de dienst Back-up Online afgenomen.

Toen kwam er een harddiskcrash bij haar bedrijf, maar gelukkig had ze de online backup nog. Helaas geen logingegevens meer. KPN heeft dan het beleid dat ze een nieuw account aanmaken en de bestanden overzetten.

Alleen bleken in dit geval de bestanden niet te zijn overgezet. Er “was iets niet goed gegaan”, aldus een KPN-medewerker tijdens de rechtszaak. De rechtbank vindt dat terecht een toerekenbare tekortkoming en volgens de wet moet KPN dan de schade van het benadeelde bedrijf vergoeden.

KPN had -natuurlijk- algemene voorwaarden, die haar aansprakelijkheid beperkten tot dood en letselschade, fysieke schade aan spullen en redelijke kosten ter beperking van verdere schade. (Nee, ik weet ook niet wanneer dat zich kan voordoen bij een online backupdienst.) Voor verlies van gegevens was men dus per definitie nooit aansprakelijk.

Het beperken van je aansprakelijkheid staat op de zogeheten grijze lijst van algemene voorwaarden – je moet als bedrijf kunnen aantonen dat het wél redelijk is je aansprakelijkheid uit te sloten. Dit geldt bij consumenten maar de rechtbank oordeelt dat deze eenmanszaak reflexwerking mag verwachten, omdat online backupdiensten niets te maken hebben met haar eigen kernactiviteiten (fysiotherapie en dergelijke) en het hier gaat om een kleine eenmanszaak tegenover een grote multinational.

Die uitsluiting gaat dus van tafel en KPN moet de schade vergoeden. Maar wat is de schade? De kosten van het opnieuw maken van de betreffende bestanden lijkt het meest logisch aanknopingspunt, waardoor de rechtbank kiest voor uurtarief maal aantal uren voor herstelwerk. Hiervoor krijgen de partijen een gelegenheid om nadere gegevens aan te dragen.

Had mevrouw de schade kunnen voorkomen? Ja, aldus KPN: had die inloggegevens ergens anders bewaard dan had je gewoon bij je backup gekund. Oftewel je had dit kunnen voorkomen. Nee, zegt de rechtbank: de fout van KPN is véél groter en het bedrijf kon gewoon bij de gegevens met die escalatieprocedure voor verloren logins. Dan is het “eigen schuld” noemen net iets te gortig.

Dit vonnis betekent niet dat élke cloudprovider nu automatisch onbeperkt aansprakelijk is voor alle schade. Er moet nog steeds wel een fout zijn gemaakt bij de dienstverlener. En niet elke fout zal zo ernstig zijn als wat KPN hier voor elkaar kreeg. Maar op zich vind ik de uitkomst zeer verteerbaar: bij een online backupdienst is de kern “bewaar de gegevens”. Dus dan mág het niet gebeuren dat gegevens kwijt raken – en in je voorwaarden “verlies van gegevens” uitsluiten van aansprakelijkheid is natuurlijk een tikje zot.

Arnoud

KPN inspecteert dataverkeer diep, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 108 reacties

deep-packet-inspection.pngOMGWTFBBQ DPI. KPN heeft in een sessie met investeerders toegegeven dat het al maandenlang de omstreden deep packet inspection-technologie heeft gebruikt op zijn mobiele netwerk, meldde Tweakers gisteren. Doel is voip-verkeer op het mobiele netwerk te herkennen en apart te factureren. In damage control modus meldt KPN geen DPI op de inhoud te doen, maar alleen het soort dataverkeer te analyseren. Is ze daarmee toch strafbaar?

Wat KPN met de DPI technologie doet, is volgens eigen zeggen het analyseren van het soort dataverkeer om vast te stellen welke diensten mensen gebruiken. Er worden geen gesprekken inhoudelijk geanalyseerd. In het kader van de discussie over netpartijdigheid is het duidelijk dat het doel hiervan is om abonnees apart te kunnen factureren voor diverse types gesprekken.

Nu heeft de strafwet diverse artikelen over het aftappen van dataverkeer. Het is inderdaad strafbaar om gesprekken af te luisteren (art. 139a lid 1 Strafrecht) als je daar geen deelnemer aan bent. Maar ook als je niet de inhoud van gesprekken beluistert, kun je strafbaar bezig zijn. Het meer algemene artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hier val je ook onder als je niet de gesprekken reconstrueert en leest maar alleen op netwerkniveau naar de pakketten kijkt. Dit artikel heeft als doel “een zo volledig mogelijke bescherming van de persoonlijke levenssfeer bij gegevensoverdracht” te realiseren. Het gaat dus nadrukkelijk niet om alleen het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf.

Onder technische middelen zijn alle hulpmiddelen begrepen die deze gegevenstromen zichtbaar kunnen maken en de inhoud ervan ter beschikking van de handelende persoon brengen, dus bij voorbeeld ook het waarnemen van de zogenaamde residustraling bij beeldschermen of de analyse van chips met behulp van infrarood-apparatuur.

Wel moet het natuurlijk gaan om het ‘wederrechtelijk’ aftappen. Een escape voor KPN kan bijvoorbeeld nog zijn lid 2 sub 3 van dit wetsartikel:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

Deze uitzondering is echter vooral bedoeld voor onderhoud en reparatie van het netwerk, en niet om de bedrijfsvoering van de telecommunicatie-aanbieder te kunnen verbeteren. Een andere uitzondering zou nog kunnen zijn de algemene voorwaarden van KPN, maar daar zie ik nergens een bepaling die maar in de buurt komt van “wij mogen uw pakketten analyseren om te kijken welke applicaties u gebruikt”.

Bits of Freedom heeft een handige gids over hoe je aangifte kunt doen. Nu ben ik zelf ook KPN abonnee, dus we gaan eens kijken wat oom agent in Eindhoven hiervan vindt.

Update (4 augustus) Nu.nl meldt dat iuit oriënterend onderzoek door het Openbaar Ministerie (OM) blijkt dat KPN haar klanten niet heeft afgeluisterd. De DPI was daarvoor niet diep genoeg. Eind juni oordeelde de Opta dat de bedrijven mogelijk de wet hebben overtreden bij het gebruik van DPI. Ook loopt er nog een onderzoek door het Cbp.

Arnoud

Mag KPN abonnees wel extra kosten voor mobiele datadiensten opleggen?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 27 reacties

Een lezer vroeg me:

Naar aanleiding van de plannen van KPN om bepaalde mobiele data diensten extra te belasten met een toeslag, vroeg ik me af of ze dat wel mogen doorvoeren. In mijn contract (met deze algemene voorwaarden) staat immers niets over dergelijke meerkosten. Kan ik ze bij de rechter verbieden deze toeslag op te leggen, of in ieder geval mijn contract dan laten ontbinden?

Afgelopen maandag hebben we het al gehad over dit voorstel van KPN en wat het betekent voor netneutraliteit. Maar deze lezer stelt een heel terechte praktische vraag: contract is immers contract, en mag KPN dat wel eenzijdig openbreken?

KPNs algemene voorwaarden voor internetbundels bevatten een expliciete bevoegdheid voor KPN om “maatregelen” te nemen tegen VoIP en SMSoIP diensten.

De voorwaarden van KPN die de lezer citeert, bevatten een beding dat botweg stelt “KPN is gerechtigd de Algemene Voorwaarden en tarieven te wijzigen.” Dat heb je als klant maar te slikken. Of nou ja, dat hoeft niet maar in dat geval moet je het contract opzeggen per de datum waarop de wijziging in werking treedt.

Die constructie is legaal. Je mag als bedrijf in algemene voorwaarden opnemen dat je het contract mag wijzigen. Specifiek voor telecommunicatiecontracten regelt de wet de spelregels: minstens vier weken van tevoren aankondigen en gelegenheid geven tot kosteloos opzeggen.

In november 2009 oordeelde de OPTA dat “een structurele beperking van de internetsnelheid bij het gebruik van bepaalde diensten” ook moet worden gezien als een contractswijziging. Er verandert misschien geen letter in het contractsdocument zelf, maar als je internetsnelheid ineens omlaag kukelt of een poort geblokkeerd wordt, is de inhoud van je contract wel anders. Dus ook bij technische aanpassingen aan de dienst geldt: aankondigen en kunnen opzeggen.

KPN kondigt de maatregel ruim op tijd aan en zal ongetwijfeld klanten gewoon laten gaan die hierom op willen zeggen. Binnen de huidige wet is ze dus legaal bezig.

Arnoud

Geen netneutraliteit voor de hele EU: een gemiste kans (gastpost)

Geplaatst op in Ondernemingsvrijheid, 54 reacties

netneutraliteit.pngVanwege de Paasvakantie ben ik vandaag offline (voor zover dat bij mij mogelijk is). Daarom vandaag een gastpost van mijn collega Matthijs van Bergen.

Amerika heeft vorig jaar na een ruim vijf jaar durend heftig publiek debat eindelijk een regeling voor netneutraliteit aangenomen en volgde daarmee Chili en Noorwegen. In Europa is recentelijk besloten om dat nog niet te doen, althans niet centraal via een richtlijn die de lidstaten daartoe zou verplichten (al lijkt de titel van het persbericht te suggereren dat men het wel wil; doe dat dan ook echt). Dat is een gemiste kans, aangezien netneutraliteit een cruciaal ontwerpprincipe is van het internet en er reeds voorbeelden zijn van schendingen, ook in Nederland, en ISP’s hun voornemens tot schending niet onder stoelen of banken steken.

De EU mikt vooralsnog alleen op transparantie en makkelijk switchen een laat een optie open voor lidstaten om minimumkwaliteitseisen te stellen. Een aardig begin, maar toch half werk. Een eenvoudige en noodzakelijke minimumkwaliteitseis in de vorm van netneutraliteit had reeds kunnen worden ingevuld om de Europese internetmarkt adequaat te harmoniseren, maar helaas is dat dus nog niet gebeurd.

Terwijl telco’s en hun economen er goed in zijn om netneutraliteit heel ingewikkeld te maken, zo goed dat men er kennelijk in is geslaagd om de Europese Commissie genoeg schrik aan te jagen dat zij zich er niet aan durft te branden, leek het mij aardig om juist eens te proberen zo Jip-en-Janneke mogelijk en zelfs voor mensen zonder enig benul van internet en hoe dat werkt, begrijpelijk uit te leggen wat netneutraliteit is en waarom uitzondering daarop alleen maar in heel beperkte gevallen toelaatbaar is.

Netneutraliteit ‘4 dummies’

De rol van een internetprovider in de informatiemaatschappij kan worden gezien als een digitale vrachtvervoerder. Op het internet bestaat alle informatie namelijk uit pakketjes met data die van A naar B moeten worden versleept.

Stel dat de offline wereld geen enkel elektronisch communicatiemiddel kende, dan zou iedere lange-afstandscommunicatie per (pakket)post moeten gebeuren. Stel dat er een netwerk van vrachtvervoerders zou zijn, ieder met een beperkt geografisch gebied waar zij kunnen komen. De vrachtvervoerders hebben onderlinge overeenkomsten om post die naar een eindbestemming buiten het eigen gebied moet, binnen hun eigen gebied zo ver mogelijk richting eindbestemming te brengen en dan over te geven aan de volgende aangesloten vrachtvervoerder, net zo lang totdat de eindbestemming is bereikt. Iedere bewoner van deze wereld, kan uit ongeveer twee tot zes vrachtvervoerders één kiezen om (voor een jaar lang) tegen betaling al zijn pakketjes te bezorgen, die volgens het hierboven omschreven systeem tussen zijn huis en eindbestemmingen over de hele wereld kunnen worden bezorgd.

‘Post’neutraliteit (ja, netneutraliteit dus) is het behandelen van alle pakketjes op basis van wie het eerst komt, wie het eerst maalt. Een uitzondering op ‘post’neutraliteit bestaat dan ook als de vrachtvervoerders de pakketjes niet meer op ‘fifo’-basis behandelen, maar de pakketjes prioriteren of zelfs weggooien op basis van hun eigen oordelen en voorkeuren wat betreft de verzender, de eindbestemming of het soort pakketje. Alle pakketjes zijn even zwaar en even groot, en dus even duur om te vervoeren, maar uit de vorm van het pakketje en het afzenders- en bestemmingsadres kan enigszins worden afgeleid of het bijvoorbeeld een liefdesbrief betreft of een reclamefolder.

Het zou kunnen zijn dat deze vrachtvervoerders nu eenmaal beperkte capaciteit hebben en het liefst zoveel mogelijk klanten zo goed mogelijk tevreden stellen door pakketjes te prioriteren op basis van hun inschatting van hoeveel haast deze zullen hebben en door klanten te helpen in het weren van ongewenste reclamefolders en door ze te beschermen tegen grapjassen die pakketten met rotjes (virussen) versturen. Mits zij die inschatting goed maken, kan dat inderdaad erg nuttig zijn.

Maar zou het acceptabel zijn dat de vrachtvervoerders pakketjes met liefdesbrieven weg zouden gooien uit morele overwegingen? Of sommige pakketjes vertraagd zouden gaan bezorgen, ook bij voldoende capaciteit? Of pakketjes weg zouden gooien die misschien ongewenste reclame bevatten, maar waarvan dat niet met enige zekerheid kan worden gezegd? Of voor sommige pakketjes extra betaling te vragen, die voor een klant inhoudelijk erg belangrijk zijn maar voor de vervoerder geen cent extra kosten om te bezorgen? Of als een vrachtvervoerder post afkomstig van een bepaalde afzender alleen naar de eindbestemmingen die alleen hij kan bereiken wil sturen, als de afzender hem daarvoor betaalt, terwijl de eindbestemmingen die vrachtvervoerder al hebben betaald om alle aan hen geadresseerde pakketjes bezorgd te krijgen?

Prioriteren en weggooien van bepaalde pakketjes kan dus soms gerechtvaardigd kan zijn, maar is dat meestal niet.

En waar de Europese Commissie niet eenvoudig heeft gesteld dat het prioriteren of weggooien van pakketjes steeds een legitiem doel moet hebben en proportioneel moet zijn aan dat doel, omdat men kennelijk vertrouwt dat marktwerking er wel voor zorgt dat de vrachtvervoerders voldoende in het belang van de klanten handelen, denk ik: ‘oh is dat dezelfde marktwerking die ervoor zou zorgen dat telco’s fatsoenlijke helpdesks zouden hebben? En geen buitensporige roamingtarieven zouden hanteren? Hoewel meer marktwerking via transparantie en makkelijker overstappen een aardig begin is, is het dus toch zeer zeker half werk.

Ruimte voor verbetering

Gelukkig laat de Europese aanpak wel ruimte aan lidstaten om het halve werk toch af te maken en een robuuste regel te maken die het blokkeren en vertragen van legaal verkeer gewoon verbiedt tenzij er een heel goede reden voor het vertragen of blokkeren is aan te geven, zoals het bestrijden van virussen of als bij hoge congestie een mailtje vertraagd moet worden om voorrang te geven aan bijvoorbeeld VoIP-verkeer. Ik zie het als een kans voor Nederland om behalve met het op één na grootste internetknooppunt ter wereld (AMS-IX) ook met netneutraliteit voorop te lopen.

Gratis internet in de trein hacken, mag dat?

Geplaatst op in Security, 9 reacties

ns-kpn-onlineindetrein-binnendringen.pngDe draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn, las ik bij Tweakers. De verbindingen zijn standaard niet versleuteld, waardoor iedereen mee kan lezen met het netwerkverkeer. Ook blijkt de router gewoon de fabriekswachtwoorden te gebruiken. Dit ontdekte NOS Headlines dat “met de internettrein” reisde.

Dankzij dit aftappen wist de NOS ook het wachtwoord van een e-mailaccount te achterhalen, waarna men op het account inlogde en de eigenaar benaderde. Bij Security.nl werd al gemeld dat dit computervredebreuk zou zijn. Bij het aftappen van de verbindingen wordt het juridisch interessanter. Hoewel het “opzettelijk en wederrechtelijk opnemen of aftappen van gegevens die niet voor hem bestemd zijn” strafbaar is (art. 139c Strafrecht), is er een uitzondering voor “door middel van een radio-ontvangapparaat ontvangen gegevens”. Op grond van de informatievrijheid (art. 10 EVRM) is het namelijk toegestaan om radiosignalen op te vangen en te gebruiken, zolang je daarbij geen ‘bijzondere inspanning’ hoeft te verrichten.

De NOS heeft dus computervredebreuk gepleegd toen men op dat e-mailaccount inlogde. Haar rechtvaardiging zal zijn dat sprake was van nieuwsgaring: men wilde aantonen dat draadloos internet in de trein veel onveiliger was dan mensen dachten. Het plegen van misdrijven in het kader van vrije nieuwsgaring is een dubieuze kwestie. Zoals ik al bij de hack van staatssecretaris Jack de Vries schreef, ook journalisten mogen de wet niet breken, zelfs niet om aan te tonen dat sprake is van een misstand. (Hier was het strikt gesproken een derde die voor de camera liet zien hoe hij het systeem hackte.)

Er moet wel een bijzonder zwaar nieuwsbelang zitten aan zo’n wetsovertreding wil je ermee weg kunnen komen. Bij de hack van Jack kon ik die niet bedenken, en ook hier heb ik er moeite mee. Draadloos internet is onveilig want mensen kunnen meelezen. Is dat nieuws? Voor mij niet echt, maar voor veel gebruikers waarschijnlijk wel – zoals blijkt uit de ophef over dit stukje. Het stond trouwens wel keurig in de voorwaarden maar ja, wie leest die nou?

Trouwens, het nut van aparte internetvoorzieningen in de trein snap ik nog steeds niet. Er is toch HSDPA dat landelijke dekking zou moeten leveren? Zorg er dan liever voor dat die dekking ook echt landelijk is, want onder ‘landelijk’ versta ik ook “buiten de ring A10” en dus ook “op het spoor tussen Best en Geldermalsen”. Oh ja, en hang stopcontacten in alle treinen. Wat jullie?

Arnoud