T-Mobile mag (voorlopig) doorgaan met onbeperkt datavrije muziek, ondanks netneutraliteitswet

| AE 9390 | Netneutraliteit | 23 reacties

De actie van datavrij muziek van internetaanbieder T-Mobile is weliswaar in strijd met de Nederlandse netneutraliteitswet, maar die wet is ongeldig dus T-Mobile mag voorlopig doorgaan. Dat bepaalde de rechtbank Rotterdam gisteren. T-Mobile had een tik op de vingers gehad van toezichthouder ACM, omdat deze actie (“zero rating”) nogal botst met de wetgeving rond netneutraliteit. Maar de ACM moet nu terug naar de tekentafel en beargumenteren waarom ook onder de Europese netneutraliteitsregels dit niet is toegestaan.

Zero rating is de vakterm voor de praktijk waarbij je weliswaar geld vraagt voor datatransmissie, maar bepaalde diensten niet mee laat tellen. Dat is commercieel aantrekkelijk, maar levert concurrentievervalsing op: als dienst A (bijvoorbeeld Spotify) geen bundel-capaciteit kost maar dienst B (bijvoorbeeld Napster) wel, dan komt Spotify veel aantrekkelijker uit de bus dan Napster. Dat is oneerlijk en netneutraliteit verbiedt dat. Soort van.

Het vonnis laat zien waar de pijn zit. We hebben sinds een tijdje een Europese verordening over netneutraliteit, met een regeling over zero rating maar ahem geen hele duidelijke. De Nederlandse wet die daarop volgde, bevatte een duidelijk verbod tegen zero rating. De regering vond dat dit mogelijk was onder de Europese wet, maar de rechter ziet dat anders:

Het in tweede lezing door het Europees Parlement aanvaarde compromis bevat geen verbod op prijsdiscriminatie en een amendement in artikel 3, tweede lid, dat voorzag in de mogelijkheid van de lidstaten om aanvullende wetgeving vast te stellen om “zero-rating” tegen te gaan, heeft de eindstreep niet gehaald. Vanuit de Europese Commissie is herhaaldelijk bevestigd dat “zero-rating” niet als zodanig in de ban is gedaan, maar dat een dergelijke praktijk zal moeten voldoen aan de eisen van de netneutraliteitsverordening.

De Europese regels vereisen dus een inhoudelijke toetsing: hoe eerlijk of oneerlijk is deze vorm van zero rating. En de Nederlandse regels zeggen gewoon “het mag niet, punt”. En dat is dus in strijd met de Europese regels.

Het besluit van de ACM wordt dus terzijde geschoven. Men moet nu terug naar de tekentafel en ditmaal inhoudelijk beargumenteren dat ook de Europese regels worden overtreden. Tot die tijd mag T-Mobile doorgaan met deze dienst.

Arnoud

Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Internetrecht | 32 reacties

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgEen Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk de eerdere aanval op securityjournalist Brian Krebs). Amerikaanse regels voor internetproviders maken het alleen mogelijk om apparatuur van internet te weren als deze schadelijk (harmful) is, en Warner maakt het argument dat een triviaal hackbaar IoT-apparaat daaronder valt. Hoe zit dat bij ons?

Ik blijf me erover verbazen dat het niet verboden is om brakke apparatuur met internettoegang uit te brengen. Ja, specifiek als het apparaat persoonsgegevens lekt dan zou je heel misschien iets kunnen doen met de Wbp maar formeel legt ook die wet de verantwoordelijkheid bij de eigenaar van het apparaat. De leverancier van een datalekveroorzakend apparaat doet niets verkeerd onder de Wbp (en ook niet onder de nieuwe Europese privacywet). Wat mij betreft komt er zo snel mogelijk een wet op productsecurity.

Specifiek bij internetapparatuur is er misschien nog een optie, analoog aan die Amerikaanse senator z’n plan. In de Telecommunicatiewet staat namelijk (art. 11.3 Telecomwet:

[Internet]aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

Dit gaat met name over persoonsgegevens beveiligen, maar de norm is breed genoeg om ook bescherming tegen malware hieronder te laten vallen. Al in 2009 bepaalde de OPTA (nu ACM) beleidsregels die hierover gaan. Dat ging nog met name over informatieplichten (een folder “Hoe voorkom ik dat ik een zombie word”) maar volgens mij kunnen op dit artikel ook best hardere maatregelen worden gebaseerd.

Dat botst alleen een beetje met netneutraliteit (art. 7.4a Telecomwet), want in die wet staat weer dat een provider niet zomaar mag afsluiten bij uitgaande malware en dergelijke bij zijn klanten. Hij moet ze informeren en een kans geven het zelf te herstellen. Alleen wanneer dit wegens de vereiste spoed niet voorafgaand mogelijk is, mag hij direct ingrijpen. Dit is bedoeld als uitzondering, maar misschien wordt het tijd dit maar eens als hoofdregel te gaan zien. Malware en zombies tegenhouden vereist dan per definitie spoed en je merkt het vanzelf als je dan in quarantaine wordt gezet omdat je webcam of NAS iemand aan het ddossen is.

Wat mij betreft de hoogste tijd, het is te bizar voor woorden dat je anno 2016 nog steeds zó veel rotzooi brakende IoT-devices op de markt hebt.

Arnoud

Eerste Kamer akkoord met strengere netneutraliteit en zeroratingverbod

| AE 8995 | Netneutraliteit | 19 reacties

netneutraliteit.pngDe Eerste Kamer heeft dinsdag ingestemd met kabinetsplannen voor een netneutraliteitswet die strenger uitpakt dan de Europese variant die eerder dit jaar werd ingevoerd, las ik bij Nu.nl. Dit raakt het plan van T-Mobile om muziekstreaming buiten de bundel aan te gaan bieden, waarvan zij meenden dat dit van de Europese regels mocht.

Het aangenomen wetsvoorstel wijzigt onze Netneutraliteitswet (dat klinkt spannender dan artikel 7.4a Telecommunicatiewet) naar aanleiding van een Europese Verordening over dit onderwerp. Over die “Europese wet netneutraliteit” is veel gebakkeleid; providers zien al te strenge netneutraliteit als een bedreiging voor innovatie, terwijl burgerrechtenorganisaties er juist op wijzen dat gaten in netneutraliteit het hele concept ondergraven.

Nederland introduceert nu strengere regels, zo lijkt het. Mag dat wel? Je zou zeggen van niet, want een Verordening is gewoon direct een Europese wet en daar hebben lidstaten weinig meer aan te veranderen. Maar deze Verordening biedt de mogelijkheid aan lidstaten om eigen voorschriften te stellen ter nakoming van de Europese netneutraliteitsregels. En dat is in feite wat deze wet doet.

Het belangrijkste voorschrift – en waar ze bij T-Mobile dus over zitten te knarsetanden vandaag – is dat zero rating, oftewel diensten buiten de bundel, niet is toegestaan. Het gaat dan om het nieuwe lid 3 van artikel 7.4a:

3. Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Dit verbod werkt twee kanten op: je mag geen toeslag vragen voor bepaalde diensten (“Ook Netflix kijken? €5 per maand!”) en je mag geen korting geven bij bepaalde diensten. En diensten buiten je bundel laten is een vorm van korting.

Maar is dat niet in strijd met de Europese regels? Er zijn immers richtsnoeren van de BEREC, het samenwerkingsverband van Europese telecomtoezichthouders. En die lijken (paragrafen 37-40) te suggereren dat zero rating mag, onder strenge voorwaarden en met name een waarborg dat eindgebruikerskeuze niet significant wordt ondermijnd. Mijn lezing van die paragrafen is dat ze daar eerder zeggen, dit kan in theorie maar het lijkt ons te ingewikkeld, maar dat terzijde. Belangrijker is immers wat de minister vindt bij invoering van onze wet:

Naar het oordeel van de Nederlandse regering gaat de BEREC daarbij echter ten onrechte voorbij aan het onder lid 3, eerste alinea, van artikel 3 van de netneutraliteitsverordening expliciet opgenomen verbod op discriminatie bij het aanbieden van internettoegangsdiensten. Uiteraard is het de BEREC niet toegestaan in de (niet-bindende) richtsnoeren van de verordening af te wijken.

Want dat artikel 3 lid 3 zegt expliciet er géén discriminatie (van welke aard dan ook) mag plaatsvinden op internetverkeer. Vertragen, blokkeren et cetera van zulk verkeer mag alleen onder de voorwaarden van de Verordening, en die komen kort gezegd neer op integriteit en veiligheid waarborgen, netwerkcongestie wegnemen en voldoen aan specifieke wetten of gerechtelijke bevelen.

Zero rating is natuurlijk ook een héél eng verhaal als je kijkt naar het doel van netneutraliteit. Dat gaat er immers om dat iedere partij gelijke toegang tot internet heeft. Niet alleen iedere consument, maar ook ieder bedrijf dat die consument wil bereiken. Als bedrijf A wel en bedrijf B niet van de zero rating profiteert, dan staat B op achterstand in Nederland. En ja, ik weet dat T-Mobile heeft gezegd dat iedere (legale) streamingdienst onder de zeroratingparaplu komt, maar wat nu als B nog nooit van T-Mobile heeft gehoord – zeg, een Chinese streamingdienst.

Nog even afgezien van hoe T-Mobile controleert of een streamingdienst legaal genoeg is. Ons eigen Nederland.FM staat bijvoorbeeld onder de paraplu maar de SENA vindt dat het bedrijf de Wet op de naburige rechten schendt. En hoe zit het met zeg een Australische internetzender die geen licentie voor Nederland heeft, is die legaal of niet?

Met deze Nederlandse wet is het dus wachten tot de ACM T-Mobile gelast die dienst te staken en gestaakt te houden, op straffe van een dwangsom. Natuurlijk kan het bedrijf daartegen in bezwaar en beroep, maar het is zeer de vraag of de bestuursrechter dan kan en wil zeggen, die Nederlandse wet kan écht niet, dit is in strijd met Europees recht. Het is mogelijk maar de lat ligt hoog: had de regering in redelijkheid mogen denken dat deze wet wél mocht onder de Europese regels? Marginale toetsing, noemen juristen dat. En dan moet je naar het Europees Hof van Justitie om te horen dat de wet écht niet mag. Dan zijn we wel een paar jaar verder.

Arnoud

Gastpost: Mag KPN weer ‘Eindeloos Spotify’ aanbieden?

| AE 8819 | Netneutraliteit | 2 reacties

Deze week ben ik met vakantie. Vandaar zoals elk jaar een serie gastposts. Vandaag Michel Arts over Eindeloos Spotify op een netneutraal internet. Ongeveer een jaar geleden was in het nieuws dat KPN moest stoppen met het aanbieden van ‘Eindeloos Spotify’. Wat was er ook al weer aan de hand? KPN bood een Spotify-abonnement aan… Lees verder

Bedrijven, hotels en instellingen mogen internet wél filteren

| AE 7874 | Netneutraliteit | 24 reacties

Oh en dat is wel een verrassing: in die beleidsregel van gisteren is tevens bepaald dat netneutraliteit alleen geldt voor openbare aanbieders van internet, niet voor private aanbieders zoals bedrijven (gastennetwerken), hotels en instellingen die hun bezoekers op internet laten. (Ik loop een beetje achter geloof ik, laatst ook al de datalekmeldplicht en beveiligingsboetes gemist.)… Lees verder

‘Eindeloos Spotify’ van KPN is datadiscriminatie, ook straks in Europa?

| AE 7872 | Netneutraliteit | 16 reacties

KPN moet het streamen van Spotify buiten de mobiele databundel uitfaseren, las ik bij Computerworld. Toezichthouder ACM heeft op basis van aangescherpte regels de telecomprovider op de vingers getikt. Een internetdienst uitzonderen van de databundel is in strijd met netneutraliteit. De dienst is al door KPN opgeheven, maar bestaande “Eindeloos”-abonnementen lopen nog door tot 1… Lees verder

Minister Kamp: met Europees voorstel verdwijnt Nederlandse netneutraliteit

| AE 7511 | Netneutraliteit | 21 reacties

Als het huidige voorstel van de Europese Raad een Europese richtlijn wordt, verdwijnt de Nederlandse netneutraliteit, las ik bij Tweakers. Minister Kamp verklaarde dit naar aanleiding van de Europese discussie over het onderwerp. Want tsja, als Europa ergens regels over maakt, dan moeten de lidstaten hun regels daarover afschaffen. Of toch niet? De Europese netneutraliteitsregels… Lees verder

Nee, netneutraliteit geldt niet voor websites (maar zou dat moeten?)

| AE 7459 | Netneutraliteit | 11 reacties

In het DMSA-model is de toegang tot de mobiele versie van de website exclusief voorbehouden aan de gebruikers van merken mobiele telefoons en tablets die daarvoor een overeenkomst hebben afgesloten met Marketingfacts, meldde Marketingfacts vorige week. Het bleek een stunt vanwege hun vernieuwde site, maar het riep bij veel mensen wel vragen op over netneutraliteit…. Lees verder

Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Beveiliging, Netneutraliteit | 24 reacties

De 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat… Lees verder

Netneutraliteit en cookiewet zijn een feit

| AE 3009 | Innovatie, Netneutraliteit | 49 reacties

Nederland is netneutraal, juichte Bits of Freedom gisteren. De Eerste Kamer besliste gisteren dat het in Nederland wettelijk verboden gaat worden om internettoegang te filteren of beperken. Ook is de bij marketeers omstreden cookiewet aangenomen (die was deel van hetzelfde wetsvoorstel namelijk). Voor cookies is nu ondubbelzinnige browsergebaseerde impliciete uitdrukkelijke (argh) toestemming nodig en tenzij… Lees verder