Waarom is een tetherverbod een probleem voor netneutraliteit?

| AE 9467 | Netneutraliteit | 7 reacties

De ACM gaat deze zomer de voorwaarden van alle telecombedrijven onderzoeken op zoek naar tetherverboden, las ik bij Tweakers. Een verbod om je mobiele-internetverbinding te delen met bijvoorbeeld je laptop is namelijk volgens de toezichthouder in strijd met de Europese netneutraliteitsregels. Het onderzoek riep wat vragen op in mijn inbox: het is toch logisch dat men tethering beperkt, want anders wordt het netwerk meteen overbelast. Hoe zit dat nu?

Internetprovider Tele2 biedt (net als diverse andere providers) een mobielinternetabonnement aan waarbij geen harde datalimiet geldt. Ze adverteren daarbij met “onbeperkt internet” (Unlimited) maar in de voorwaarden stond:

Gebruik van de Dienst dat niet als redelijk gebruik wordt aangemerkt is in ieder geval, maar niet uitsluitend: Gebruik in combinatie met aan ander apparaat dat niet door Tele2 als geschikt is bevonden. (…) Gebruik van een mobiele telefoon of “personal digital assistant”(pda) in combinatie met een laptop of computertablet, al dan niet via bluetooth (“tethering”).

Zoals mijn collega Matthijs van Bergen constateerde, dat is in strijd met de Europese netneutraliteitsverordening. Die bepaalt namelijk dat providers alle soorten internetverkeer gelijk moeten behandelen, en dat consumenten zelf mogen kiezen welk apparaat ze gebruiken. Internetverkeer vanaf een laptop mag dus niet anders worden behandeld dan internetverkeer vanaf een mobiele telefoon. internet is internet, of er nu een Raspberry Pi achter hangt die ping zegt of een zware streamingserver. Dus dan is het juridisch echt een probleem als je als provider wel zulk onderscheid wil maken.

Tele2 vond het maar een storm in een glas water, maar gaat de voorwaarden aanpassen: het tetheringverbod gaat eruit, maar misbruik zal blijven bestaan. De ACM gaat nu bij andere providers vergelijkbare aanpassingen verlangen.

Terecht toch dat ze die voorwaarden aanpassen. Want natuurlijk, zolang Tele2 opereert zoals ze hier zeggen dan is er weinig aan de hand. Maar dat kunnen ze natuurlijk gaan doen, en bovendien zullen er genoeg mensen zijn die de voorwaarden zien en denken, oh ik doe het maar niet want het mág niet. (Net zoals die bordjes “De directie stelt zich niet aansprakelijk” niet rechtsgeldig zijn maar wel mensen afschrikken om aansprakelijkheidsclaims te leggen.)

Uiteindelijk is het probleem vooral de keuze voor “onbeperkt” in de wetenschap dat dat niet kan tenzij je een beperking invoert die niet mag. Maar ik zie dat als een probleem voor de providers: zij willen mensen een dienst bieden die meer is dan technisch mogelijk, en dat is ergens gewoon niet eerlijk. Dan moet je duidelijker uitleggen wat onbeperkt bij jou dan inhoudt (een discussie die we vaker hebben gehad) of een andere term kiezen. Niet met dit soort indirecte trucs mensen binnenhalen en zeggen oh maar dát mag niet, wat je nu doet.

Tegelijk zie ik ook wel dat het handig is om in ieder geval met een mobieltje echt onbeperkt te kunnen internetten. Ik word ook gek van datalimieten op mijn telefoon.

Arnoud

T-Mobile mag (voorlopig) doorgaan met onbeperkt datavrije muziek, ondanks netneutraliteitswet

| AE 9390 | Netneutraliteit | 23 reacties

De actie van datavrij muziek van internetaanbieder T-Mobile is weliswaar in strijd met de Nederlandse netneutraliteitswet, maar die wet is ongeldig dus T-Mobile mag voorlopig doorgaan. Dat bepaalde de rechtbank Rotterdam gisteren. T-Mobile had een tik op de vingers gehad van toezichthouder ACM, omdat deze actie (“zero rating”) nogal botst met de wetgeving rond netneutraliteit. Maar de ACM moet nu terug naar de tekentafel en beargumenteren waarom ook onder de Europese netneutraliteitsregels dit niet is toegestaan.

Zero rating is de vakterm voor de praktijk waarbij je weliswaar geld vraagt voor datatransmissie, maar bepaalde diensten niet mee laat tellen. Dat is commercieel aantrekkelijk, maar levert concurrentievervalsing op: als dienst A (bijvoorbeeld Spotify) geen bundel-capaciteit kost maar dienst B (bijvoorbeeld Napster) wel, dan komt Spotify veel aantrekkelijker uit de bus dan Napster. Dat is oneerlijk en netneutraliteit verbiedt dat. Soort van.

Het vonnis laat zien waar de pijn zit. We hebben sinds een tijdje een Europese verordening over netneutraliteit, met een regeling over zero rating maar ahem geen hele duidelijke. De Nederlandse wet die daarop volgde, bevatte een duidelijk verbod tegen zero rating. De regering vond dat dit mogelijk was onder de Europese wet, maar de rechter ziet dat anders:

Het in tweede lezing door het Europees Parlement aanvaarde compromis bevat geen verbod op prijsdiscriminatie en een amendement in artikel 3, tweede lid, dat voorzag in de mogelijkheid van de lidstaten om aanvullende wetgeving vast te stellen om “zero-rating” tegen te gaan, heeft de eindstreep niet gehaald. Vanuit de Europese Commissie is herhaaldelijk bevestigd dat “zero-rating” niet als zodanig in de ban is gedaan, maar dat een dergelijke praktijk zal moeten voldoen aan de eisen van de netneutraliteitsverordening.

De Europese regels vereisen dus een inhoudelijke toetsing: hoe eerlijk of oneerlijk is deze vorm van zero rating. En de Nederlandse regels zeggen gewoon “het mag niet, punt”. En dat is dus in strijd met de Europese regels.

Het besluit van de ACM wordt dus terzijde geschoven. Men moet nu terug naar de tekentafel en ditmaal inhoudelijk beargumenteren dat ook de Europese regels worden overtreden. Tot die tijd mag T-Mobile doorgaan met deze dienst.

Arnoud

Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Internetrecht | 32 reacties

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgEen Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk de eerdere aanval op securityjournalist Brian Krebs). Amerikaanse regels voor internetproviders maken het alleen mogelijk om apparatuur van internet te weren als deze schadelijk (harmful) is, en Warner maakt het argument dat een triviaal hackbaar IoT-apparaat daaronder valt. Hoe zit dat bij ons?

Ik blijf me erover verbazen dat het niet verboden is om brakke apparatuur met internettoegang uit te brengen. Ja, specifiek als het apparaat persoonsgegevens lekt dan zou je heel misschien iets kunnen doen met de Wbp maar formeel legt ook die wet de verantwoordelijkheid bij de eigenaar van het apparaat. De leverancier van een datalekveroorzakend apparaat doet niets verkeerd onder de Wbp (en ook niet onder de nieuwe Europese privacywet). Wat mij betreft komt er zo snel mogelijk een wet op productsecurity.

Specifiek bij internetapparatuur is er misschien nog een optie, analoog aan die Amerikaanse senator z’n plan. In de Telecommunicatiewet staat namelijk (art. 11.3 Telecomwet:

[Internet]aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

Dit gaat met name over persoonsgegevens beveiligen, maar de norm is breed genoeg om ook bescherming tegen malware hieronder te laten vallen. Al in 2009 bepaalde de OPTA (nu ACM) beleidsregels die hierover gaan. Dat ging nog met name over informatieplichten (een folder “Hoe voorkom ik dat ik een zombie word”) maar volgens mij kunnen op dit artikel ook best hardere maatregelen worden gebaseerd.

Dat botst alleen een beetje met netneutraliteit (art. 7.4a Telecomwet), want in die wet staat weer dat een provider niet zomaar mag afsluiten bij uitgaande malware en dergelijke bij zijn klanten. Hij moet ze informeren en een kans geven het zelf te herstellen. Alleen wanneer dit wegens de vereiste spoed niet voorafgaand mogelijk is, mag hij direct ingrijpen. Dit is bedoeld als uitzondering, maar misschien wordt het tijd dit maar eens als hoofdregel te gaan zien. Malware en zombies tegenhouden vereist dan per definitie spoed en je merkt het vanzelf als je dan in quarantaine wordt gezet omdat je webcam of NAS iemand aan het ddossen is.

Wat mij betreft de hoogste tijd, het is te bizar voor woorden dat je anno 2016 nog steeds zó veel rotzooi brakende IoT-devices op de markt hebt.

Arnoud

Eerste Kamer akkoord met strengere netneutraliteit en zeroratingverbod

| AE 8995 | Netneutraliteit | 19 reacties

De Eerste Kamer heeft dinsdag ingestemd met kabinetsplannen voor een netneutraliteitswet die strenger uitpakt dan de Europese variant die eerder dit jaar werd ingevoerd, las ik bij Nu.nl. Dit raakt het plan van T-Mobile om muziekstreaming buiten de bundel aan te gaan bieden, waarvan zij meenden dat dit van de Europese regels mocht. Het aangenomen… Lees verder

Gastpost: Mag KPN weer ‘Eindeloos Spotify’ aanbieden?

| AE 8819 | Netneutraliteit | 2 reacties

Deze week ben ik met vakantie. Vandaar zoals elk jaar een serie gastposts. Vandaag Michel Arts over Eindeloos Spotify op een netneutraal internet. Ongeveer een jaar geleden was in het nieuws dat KPN moest stoppen met het aanbieden van ‘Eindeloos Spotify’. Wat was er ook al weer aan de hand? KPN bood een Spotify-abonnement aan… Lees verder

Bedrijven, hotels en instellingen mogen internet wél filteren

| AE 7874 | Netneutraliteit | 24 reacties

Oh en dat is wel een verrassing: in die beleidsregel van gisteren is tevens bepaald dat netneutraliteit alleen geldt voor openbare aanbieders van internet, niet voor private aanbieders zoals bedrijven (gastennetwerken), hotels en instellingen die hun bezoekers op internet laten. (Ik loop een beetje achter geloof ik, laatst ook al de datalekmeldplicht en beveiligingsboetes gemist.)… Lees verder

‘Eindeloos Spotify’ van KPN is datadiscriminatie, ook straks in Europa?

| AE 7872 | Netneutraliteit | 16 reacties

KPN moet het streamen van Spotify buiten de mobiele databundel uitfaseren, las ik bij Computerworld. Toezichthouder ACM heeft op basis van aangescherpte regels de telecomprovider op de vingers getikt. Een internetdienst uitzonderen van de databundel is in strijd met netneutraliteit. De dienst is al door KPN opgeheven, maar bestaande “Eindeloos”-abonnementen lopen nog door tot 1… Lees verder

Minister Kamp: met Europees voorstel verdwijnt Nederlandse netneutraliteit

| AE 7511 | Netneutraliteit | 21 reacties

Als het huidige voorstel van de Europese Raad een Europese richtlijn wordt, verdwijnt de Nederlandse netneutraliteit, las ik bij Tweakers. Minister Kamp verklaarde dit naar aanleiding van de Europese discussie over het onderwerp. Want tsja, als Europa ergens regels over maakt, dan moeten de lidstaten hun regels daarover afschaffen. Of toch niet? De Europese netneutraliteitsregels… Lees verder

Nee, netneutraliteit geldt niet voor websites (maar zou dat moeten?)

| AE 7459 | Netneutraliteit | 11 reacties

In het DMSA-model is de toegang tot de mobiele versie van de website exclusief voorbehouden aan de gebruikers van merken mobiele telefoons en tablets die daarvoor een overeenkomst hebben afgesloten met Marketingfacts, meldde Marketingfacts vorige week. Het bleek een stunt vanwege hun vernieuwde site, maar het riep bij veel mensen wel vragen op over netneutraliteit…. Lees verder

Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Beveiliging, Netneutraliteit | 24 reacties

De 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat… Lees verder