Tag: Netneutraliteit

About Netneutraliteit

Subscribe Feeds

Mag een universiteit Bittorrent afsluiten in studentenflats?

Geplaatst op in Ondernemingsvrijheid, 60 reacties

rug-blokkeert-bittorrent.jpgDe Rijksuniversiteit Groningen gaat bittorrent-verkeer afsluiten in studentenflats, meldde Tweakers vrijdagmiddag. Het afhandelen van de klachten van internationale auteursrechthebbenden over uploadende studenten werd ze te gortig, als ik het goed lees. Dat gaf natuurlijk ophef, en -je kunt erop wachten- Kamervragen. Voor de verandering ga ik de zaak eens aan de hand van die kamervragen bespreken.

Update (20 maart) lees ook de antwoorden van de echte minister.

Heeft u kennis genomen van het bericht de RUG zonder rechterlijke tussenkomst gedeelten van het internet blokkeert?<br/>

Ja.

(Terzijde: het is me volstrekt onduidelijk waarom kamervragen altijd beginnen met zo’n vraag. De wet noch de mores in de Kamer verplichten hiertoe.)

(Meer terzijde: zegt de minister ooit “nee” op deze vraag?)

Deelt u de mening dat het CIT een aanbieder van internettoegangdiensten zoals gebruikt in de Telecomwet is aangezien zij studenten tegen betaling toegang geeft tot het internet en vergelijkbaar is met een internetprovider?

De Telecommunicatiewet kent het begrip “aanbieder van internettoegangdiensten” niet. Zij spreekt van aanbieder van telecommunicatiediensten, en onder telecommunicatie kan internet worden geregeld. Daarbij geldt voorts onderscheid tussen openbaar en niet openbaar aanbieden van deze diensten.

In de SURFnet-zaak heeft de rechter bepaald dat SURFnet niet onder het begrip “openbaar” valt, omdat zij zich uitsluitend richt op organisaties en studenten aan hoger onderwijs. Het lijkt mij dat ook een universiteit aan die definitie voldoet.

Het CIT valt dus niet onder het begrip “openbaar aanbieder van telecommunicatiediensten” en zij is daarmee juridisch niet vergelijkbaar met een internettoegangsaanbieder zoals XS4All of Ziggo.

Voor de volledigheid merk ik op dat het wetsvoorstel netneutraliteit de term “aanbieders van internettoegangsdiensten” wél gebruikt. Dit voorstel van uw hand ligt thans bij de Eerste Kamer. En zoals ik dit artikel begrijp, is het CIT volgens die definitie wél een internettoegangsprovider, waarover hieronder meer.

Deelt u de mening dat hiermee de suggestie dat het CIT ‘andere verantwoordelijkheden’ heeft omdat zij ‘geen internetprovider’ is niet terecht is?

Die mening deel ik niet. Zoals bij de beantwoording van de vorige vraag is aangegeven, is het CIT inderdaad ‘geen internetprovider’, althans geen openbaar aanbieder van telecommunicatiediensten. Daarmee is zij niet onderworpen aan de verantwoordelijkheden en plichten uit de vandaag geldende Telecommunicatiewet.

Ik kan het een universiteit moeilijk verwijten dat zij een wetsvoorstel niet naleeft waar de Eerste Kamer nog over moet stemmen.

Deelt u de mening dat het CIT als aanbieder van internettoegangdiensten aan studenten niet zou moeten overgaan tot het blokkeren van protocollen of websites?

Toegang tot informatie is deel van het grondrecht van vrijheid van meningsuiting. Blokkeren hiervan is een zeer zwaar middel dat alleen in uiterste gevallen toegepast zou moeten worden. Een categorisch ‘nee’ tegen blokkeren is niet gepast, al is het maar omdat soms de rechter hiertoe kan verplichten.

En nu we het daar toch over hebben: kunt u mij vertellen waarom u in vredesnaam in artikel 7.4a de weg heeft opengezet voor blokkades van websites en protocollen op grond van faciliteren van auteursrechtschending? Omdat u het vreselijk zwakke “rechterlijk bevel” gebruikte, kan ook een bevel op deze grond worden gegeven. Als u nou iets als “een vonnis inzake een ernstig misdrijf zoals in artikel 67 Strafvordering gedefinieerd” had gebruikt, dan was een blokkade op grond van auteursrechtinbreuk nooit mogelijk geweest, maar alleen bij ernstige zaken zoals terrorisme of kindermisbruik.

Vindt u het een wenselijke ontwikkeling dat nota bene een universiteit de keuze maakt welke website zij wel en niet kunnen bezoeken of van welke protocollen gebruik gemaakt wordt?

Het lijkt mij dat nota bene een universiteit intelligent kan nadenken over dergelijke technische keuzes. (Ok die is flauw maar wat bedóelt Verhoeven met deze vraag?).

Deelt u de mening dat blokkades van websites of protocollen enkel en alleen plaats zouden moeten hebben met tussenkomst van de rechter?

Het reeds aangehaalde wetsvoorstel netneutraliteit bevat de gronden waarmee een blokkade van een website of protocol doorgevoerd mag worden. Naast tussenkomst van de rechter zijn ook toegestaan blokkades om de gevolgen van congestie te beperken of om spam tegen te gaan.

Dit wetsvoorstel noemt “aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten” als partijen die onderworpen zijn aan netneutraliteit. Dit geldt inderdaad ook voor private aanbieders van internettoegang aan beperkte groepen, oftewel aanbieders op wie het begrip ‘openbaar’ uit de SURFnet-zaak niet van toepassing is.

Ik vermoed dat menig hotel of restaurant van haar stoel valt wanneer zij dit leest, maar inderdaad mogen ook deze geen blokkades op het internetgebruik meer instellen behalve op grond van artikel 7.4a Telecommunicatiewet. Als de Eerste Kamer dit wetsvoorstel goedkeurt natuurlijk.

Bent u bekend met incidenten waarbij studenten van de RUG afgesloten worden op verzoek van auteursrechthebbendenorganisaties na een melding dat er auteursrechtelijk beschermd materiaal is gedownload?

Nee. Ik acht het ook onwaarschijnlijk dat dit is gebeurd, gezien het feit dat in Nederland downloaden van auteursrechtelijk beschermd materiaal is geoorloofdgedownload.

Voor zover u op uploaden doelde: het artikel uit vraag 1 beschrijft nu juist dat men met deze praktijk is gestopt aangezien het te veel gedoe met zich meebracht.

Deelt u de mening dat het onwenselijk is dat een externe organisatie kan verzoeken om een gebruiker van het internet af te sluiten? Is een dergelijke one-strike-you’re-out-methodiek een wenselijke methode? <br/>

Op grond van de vrijheid van meningsuiting kan ik niemand het recht ontzeggen om een ander iets te verzoeken. Waarom de RUG ingaat op het verzoek, is mij onduidelijk uit het bericht dat u me overlegde. Als ik moet speculeren, dan speculeer ik dat de reden is dat de RUG denkt aansprakelijk te worden als zij de klachten naast zich neerlegt. Dit is onjuist, aangezien zij via artikel 6:196c lid 1 BW nimmer aansprakelijk is voor inhoud die zij doorgeeft, mits zij daarbij maar niet selecteert of filtert.

In de rechtszaak Brein/Ziggo is bepaald dat internetprovider Ziggo (en gevoegde partij XS4All) tot het filteren van een specifieke website moest overgaan. Daarbij woog mee dat het ging om één website waarvan het onrechtmatig karakter vaststond. Bittorrent is echter, zoals blijkt uit deze zaak, totaal niet afhankelijk van deze ene site.

Ik acht het uitgesloten dat als Brein (de externe organisatie over wie we het hebben) bij de rechter zou eisen dat deze Bittorrent blokkeert, de rechter daarin zou meegaan. Een dergelijke generieke filterplicht is in strijd met de rechtspraak van het Europese Hof.

Wij komen daarna wel bij de moeilijke discussie terecht wat Brein dan wél zou mogen kunnen doen tegen uploaders die auteursrechten van haar aangeslotenen schenden.

Mijn handen jeuken om de Auteurswet te herschrijven om dit probleem uit de wereld te krijgen, maar helaas is het mij onmogelijk om ook maar één jota in de Auteurswet naar eigen inzicht te wijzigen, zelfs als uw Kamer en de Eerste Kamer het willen. Immers auteursrecht is Europees geharmoniseerd en ik mag daar niet van afwijken.

Arnoud

Hoogste EU Hof verbiedt p2p-filterplicht voor isp’s, maar hoe ver gaat dit?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Privacy, 14 reacties

scarlet-laat-je-niet-filteren.pngHet Europees Hof van Justitie bepaalde gisteren dat een copyrightfilterplicht voor providers in strijd is met de Europese e-commerce wetgeving en de grondrechten. Het arrest verklaart dat het generieke filter op al het peer-to-peer verkeer dat Scarlet moest toepassen van de Sabam (de Belgische Buma) niet legaal is. Maar wat betekent dit nu voor andere zaken, zoals de BREIN/XS4All/Ziggo rechtszaak?

In de Belgische zaak had Sabam geëist dat Scarlet een auteursrechtenfilter zou implementeren dat moest voorkomen dat haar klanten nog beschermde werken illegaal kon uitwisselen. De rechter in eerste instantie wees de eis toe, maar Scarlet tekende hoger beroep aan met (naast het feit dat het filter niet werkend te krijgen was) de stelling dat het filter in strijd was met de grondrechten en Europese wetgeving. Daar geeft het Europese Hof ze nu gelijk in: generieke filters blokkeren ook legitieme inhoud, houden geen rekening met auteursrechtelijke uitzonderingen (zoals parodie of citeren) en vereisen structureel meelezen met alle communicatie, wat een inbreuk op de privacy oplevert.

Maar is daarmee iedere mogelijkheid voor een auteursrechtenfilter van de baan? Nee, want het Hof zegt niet dat filteren nooit en te nimmer mag. Het Hof zegt dat een generiek filter dat preventief alle klanten filtert, geen beperking in de tijd heeft én door de provider betaald moet worden niet mag. Dit omdat met zo’n lomp filter niet is voldaan aan

het vereiste dat een juist evenwicht wordt verzekerd tussen enerzijds het intellectuele-eigendomsrecht en anderzijds de vrijheid van ondernemerschap, het recht op bescherming van persoonsgegevens en de vrijheid om informatie te ontvangen of te verstrekken.

Daarmee blijft wel degelijk de deur open voor een meer fijnbesnaard filter dat wél dit juiste evenwicht weet te bereiken. Bij Webwereld meldt BREIN-advocaat Joris van Manen dan ook meteen dat

Brein niet [vraagt] om een algemene filtermaatregel van al het in en uitgaande P2P verkeer, maar om een blokkade van één specifieke, evident illegale website, die in Nederland al drie keer veroordeeld [waarvan twee keer bij verstek, tss, AE] is en aan die verboden geen gehoor geeft.

Eerder had dit hof in de L’Oréal/eBay-zaak al bepaald dat eBay verplicht moet filteren op advertenties waarvan gebleken is dat ze inbreukmakend zijn. Dus niet generiek “blokkeer alle L’Oréalproductadvertenties” maar “blokkeer specifiek deze advertentie, ook voor de toekomst”:

[de rechter kan] gelasten om maatregelen te treffen die niet alleen bijdragen tot het doen eindigen van de door de gebruikers van die marktplaats gepleegde inbreuken op die rechten, maar ook tot het voorkomen van nieuwe inbreuken van die aard. Deze bevelen moeten doeltreffend, evenredig en afschrikkend zijn en mogen geen belemmeringen voor het legitiem handelsverkeer scheppen.

Er lijkt me dus wel degelijk (enige) ruimte om een P2P filter te verzinnen dat niet tegen het verbod van het Hof aanloopt. Veel niet; de bezwaren waar het Hof de beslissing op baseert zijn fundamenteel. Hoge kosten, ieders verkeer monitoren en ongenuanceerd álle auteursrechteninbreuken najagen, dat kun je niet vragen. Maar lage kosten, gericht monitoren en alleen specifiek bij reeds vastgestelde inbreuken in actie komen: denkbaar.

Kortom, het is afwachten wat de rechtbank in BREIN/XS4All/Ziggo zegt, daarna wat het Gerechtshof in diezelfde zaak gaat zeggen (want hoe dan ook komt er hoger beroep in die zaak) en dáárna (hopelijk) wat het Europese Hof gaat zeggen over het door BREIN bepleite antipiratebayfilter.

Arnoud

Mag een bedrijf nog wel pakketten diep inspecteren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 17 reacties

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. De reden voor deze unieke wetgeving is vooral de heisa rond de bekentenis van KPN dat ze hun netwerkverkeer via DPI inspecteerden.

Regelmatig krijg ik mails van bedrijven die zich afvragen of dit betekent dat zij ook het internetverkeer van en naar hun bedrijven neutraal moeten behandelen. In principe niet. Netneutraliteit is geformuleerd als een eis aan aanbieders van “openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd”. Een bedrijf is, net als een vereniging, geen provider zolang ze niet het algemene publiek het internet laat opgaan.

Een bedrijf is dus niet gehouden om zich netneutraal op te stellen, en mag internettoegang filteren op elk criterium dat haar goeddunkt. Ook mag ze internetgebruik monitoren en filteren, hoewel ze dan rekening moet houden met de privacy van medewerkers.

Eén opmerkelijk punt is het “openbreken” van beveiligde verbindingen. Het is technisch mogelijk voor een bedrijf om een geavanceerde firewall te installeren die ook SSL-beveiligd verkeer kan onderscheppen. De firewall doet zich naar bedrijfscomputers voor als bijvoorbeeld Gmail of Facebook (inclusief certificaat dat de bedrijfscomputer als veilig accepteert), en naar Gmail toe als de computer van de eindgebruiker. Technisch gezien gaat het dan om vervalste certificaten (ik hoor diverse lezers nu “Diginotar” mompelen, inderdaad), maar binnen een bedrijf is dat minder een probleem.

Al het netwerkverkeer naar Gmail of Facebook komt nu op de firewall binnen en kan daar onversleuteld worden bekeken voordat het wordt doorgestuurd – of wordt weggegooid omdat het niet aan het bedrijfsbeleid voldoet. Ook kan er precies worden gelogd welke gebruiker hoe lang op welke dienst zit, welke bijlagen hij verzond via Gmail, of hij de bedrijfsnaam noemde in een statusupdate of Facebookchatbericht, en ga zo maar door.

Ik denk dat dit wel mag, mits je maar als bedrijf in je reglement (internetprotocol) duidelijk hebt aangegeven dat je dit doet en voor welke redenen. Plus, je mag natuurlijk niet verder gaan dan nodig is voor die redenen. Ben je bang dat er bedrijfsgeheimen lekken, dan is een dagelijks rapportje over wie hoe lang farmvillet natuurlijk nergens voor nodig. Mails waarin het omzetcijfer van het eerste kwartaal genoemd wordt, zouden daarentegen gerede vragen mogen oproepen bij het management.

Wel zou ik vooraf een duidelijke belangenafweging willen zien. Is het nu écht nodig om iedereen digitaal te fouilleren bij elk bezoekje aan een socialemediasite? Doe je dat aan de poort ook, als mensen naar huis gaan? Het lijkt me dat je alleen digitaal mag fouilleren onder dezelfde omstandigheden dat je dat ook aan de poort zou doen. De diamantslijper of de accountant die je jaarcijfers aan het opmaken is, mag verwachten dat zijn tas (en jaszak) extra goed gecontroleerd wordt, net als de researchmedewerker die aan een nieuw prototype werkt. Maar de receptioniste fouilleren lijkt me héél moeilijk uit te leggen. Digitaal én bij de poort.

Arnoud

Is onze vereniging een internetprovider?

Geplaatst op in Ondernemingsvrijheid, 29 reacties

internet-scouting.pngEen lezer vroeg me:

Sinds kort hebben wij internet in ons scoutinggebouw en wij waren benieuwd waar wij ons wettelijk aan moeten houden op het moment dat wij internet aan gaan bieden aan groepen en individuen, die ons scoutinggebouw huren.

Hij is niet de eerste die me de vraag stelde: ook cafés, bibliotheken, bedrijvengebouwen en allerlei andere clubs en instanties die internet willen bieden aan bezoekers, worstelen met de vraag waar ze zich aan moeten houden.

De belangrijkste vraag als je internet gaat aanbieden, is aan welke groep je dat gaat doen. Wanneer die groep neerkomt op “eigenlijk heel Nederland”, dan krijg je te maken met de Telecommunicatiewet. Deze bepaalt namelijk dat mensen die “in het openbaar” internet aanbieden, zich moeten registreren. Ook moeten ze dan aan allerlei eisen voldoen, zoals het aftapbaar maken van hun netwerk en zorgen dat ze aan de wet bewaarplicht voldoen. Het maakt hierbij niet uit of je geld vraagt voor de toegang tot internet of niet.

In de SURFnetzaak werd echter bepaald dat wanneer men internettoegang beperkt tot een “voldoende afgebakende groep” (zoals studenten van hoger onderwijs), je niet onder deze wet valt. Vorig jaar hadden we nog de nodige ophef over hotels als internetaanbieder, maar dat liep met een sisser af. Wie de toegang beperkt tot “leden van onze vereniging” of “klanten/bezoekers van onze faciliteit” zou dan ook niet tegen de Telecommunicatiewet moeten aanlopen.

Een ander punt van zorg is aansprakelijkheid. Die leden, klanten of bezoekers gaan wellicht gekke dingen uithalen, en dan komt de politie (of stichting Brein of andere procedeergrage figuren) natuurlijk in eerste instantie bij de organisatie uit. Gelukkig is daar een wettelijke regeling voor: wie slechts passief toegang tot internet biedt, en niet gaat filteren of redactioneel selecteren wat mensen wel of niet mogen doen, is niet aansprakelijk voor dat geïnternet.

Daarbij geldt overigens niet dat je verplicht bent om te weten wie je gebruikers zijn of wat ze doen. Je hoeft dus niet te loggen of identificatie te vragen van mensen die je netwerk op willen. Het kan wel verstandig zijn, al was het maar omdat het afschrikt of je de mogelijkheid biedt om mensen gericht af te sluiten omdat ze de dienst misbruiken.

Als je echter gaat loggen en met name als je persoonsgericht gaat monitoren of filteren, dan kom je in de privacygevarenzone: de Wet bescherming persoonsgegevens verbiedt het arbitrair volgen of monitoren van personen, ook als ze jouw internetverbinding gebruiken. Op zijn minst moet er dan een reglement zijn dat zegt wat je allemaal doet en wanneer mensen gemonitord worden. Maar “ik mag alles en wel altijd” is daarbij géén acceptabele formulering. Persoonsgericht monitoren mag alleen bij een duidelijke concrete aanleiding.

Blokkeren of filteren van bronnen van ongewenst verkeer is daarentegen wel legaal én verstandig. Je bent niet verplicht om ongefilterd internet aan te bieden. Ook de regeling over aansprakelijkheid schrijft niet voor dat je alles moet doorlaten. Een generieke blokkade (bijvoorbeeld de dienst MSN of het netwerk Tor) tast je positie niet aan.

Er zijn technisch allerlei slimme trucs om het aanbieden van internet te faciliteren en te beveiligen. Denk aan aparte netwerksegmenten of wachtwoorden die na een half uur vervallen, of het geautomatiseerd afknijpen van mensen die te veel downloaden. Daar hebben jullie meer verstand van dan ik 😉 maar dergelijke trucs toepassen is legaal. Dat is immers geen persoonsgericht monitoren.

Arnoud<br/> Afbeelding: Internet Scouting, dat me overigens niet de vraag stelde.

Wat moet een provider doen bij een DDoS-aanval op de server van een klant?

Geplaatst op in Ondernemingsvrijheid, Security, 20 reacties

Een lezer vroeg me:

Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen op mijn machine. Ook zeggen ze dat het voor hen ondoenlijk is om maatregelen te nemen. Maar ik neem bij hen toch een dienst af, kan ik ze dan niet verplichten in te grijpen als de dienst niet goed werkt?

De plichten die de provider heeft, volgen primair uit het contract. De vraag is dus wat daar instaat over abuse en filteren. En als er niets staat, moet je uit de aard van het contract afleiden wiens verantwoordelijkheid dit moet zijn. Bij een eigen colocated server ben je als klant zelf verantwoordelijk voor het beheer; de plichten van de provider houden op bij de netwerkstekker. De vraag wordt dan dus, is een DDoS-aanval iets dat de stekker raakt of pas het apparaat waar die stekker in zit?

De klant kan zelf blokkeren op een eigen firewall maar dan zit zijn inkomende netwerkverkeer nog steeds vol. Droppen aan de buitenkant (netwerk van de ISP) is efficiënter, zeker, maar hoe weet de ISP dan welke adressen ze moeten droppen?

Een DDOS aanval zou ik eerder als iets van buitenaf zien, net zoals een hagelstorm. Je kunt het niet voorkomen, je kunt alleen de impact beperken. En dan wordt de vraag dus, wat moet een ISP doen om die impact te beperken. Zij hebben een zorgplicht, net zoals een huisbaas moet zorgen voor een goed dak in een huurhuis. Maar dat houdt ergens op: een hagelstorm met tennisbalformaat hagelstenen die onder een hoek van 45 graden binnenkomt en je kelderruitje eruit gooit, is overmacht. Je kunt dan geen vergoeding van je huisbaas eisen.

Verder speelt altijd de vraag tussen kosten en baten een belangrijke rol. Een dure maatregel tegen een uitzonderlijk probleem is niet billijk en hoeft niet te worden ingevoerd. Een goedkope maatregel tegen een routineprobleem moet er altijd zijn. En daartussen is het grijze gebied waar advocaten zich in thuisvoelen.

Ook speelt mee welke opvattingen er in de markt heersen: als iedereen vindt dat de klant dit moet doen, dan kun jij niet zomaar van de ISP eisen dat hij het oplost. Als de heersende mening is dat de ISP dit moet doen, dan kun je eisen dat jouw provider dat ook gaat doen.

Het is ontzettend moeilijk om iets te doen aan DDoS-aanvallen. Een tijd geleden las ik een uitgebreide review bij Tweakers over de technieken en mogelijkheden om het tegen te gaan. Maar fundamenteel is het nauwelijks op te lossen: er komt een berg verkeer binnen en dat moet je filteren.

Arnoud

Wat mag een provider nog als netneutraliteit wet wordt?

Geplaatst op in Ondernemingsvrijheid, Privacy, 35 reacties

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de Eerste Kamer is nu gewoon beschikbaar. Welke regels gelden er nu voor internetproviders?

Het belangrijkste artikel over netneutraliteit is artikel 7.4a geworden. Dit stelt in klare taal (nou ja, voor juristen dan): aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet. Het gaat dus specifiek en alleen over internettoegang, voor andere diensten (bijvoorbeeld telefonie of televisie) geldt dus geen netneutraliteit. (Opmerkelijk genoeg bevat het wetsvoorstel geen definitie van ‘internet’, terwijl de Telecommunicatiewet zo ongeveer elk woord definieert dat erin voorkomt.)

Natuurlijk zijn er uitzonderingen op deze algemene regel. Deze zijn beperkt geformuleerd:

  1. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
  2. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
  3. om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend;
  4. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

(In de wetstekst staat nog een item e. Dat is het SGP-amendement over filters met ideologische motieven, maar dat is ondertussen via een lompe hack er weer uit gehaald.)

Item a roept natuurlijk de vraag op wat “gelijke soorten verkeer” dan wel zijn. Skype is niet gelijksoortig met e-mail, en Youtube niet met Nu.nl. Het afknijpen van bijvoorbeeld streaming video via internet is dan ook toegestaan bij congestieproblemen, mits maar alle streamingvideodiensten worden afgeknepen en niet alleen die van de concurrentie. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Item b gaat erg belangrijk worden voor providers die maatregelen willen nemen tegen malware en inkomende of uitgaande hackpogingen. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

Item c stelt kort gezegd dat een spamfilter alleen nog mag als de klant daar expliciet mee ingestemd heeft. Wat mij betreft had dat niet gehoeven; spam is categorisch verboden in artikel 11.7 Telecommunicatiewet, en het lijkt me geen probleem om toe te staan dat verboden ongevraagde communicatie sowieso geblokkeerd mag worden. Maar het is wel netjes en principieel juist natuurlijk. Al snap ik niet waarom spam wel en malware niet deze uitzonderingspositie krijgt.

Ook erg belangrijk is lid 3 van dit wetsartikel:

Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Effectief mag een aanbieder dus alleen nog op de hoeveelheid dataverkeer afrekenen. Een “onbeperkt / fair use”-constructie kan denk ik ook nog wel, hoewel ik erbij blijf dat deze snel een oneerlijke handelspraktijk oplevert. Andere afrekenmodellen voor internetproviders kan ik niet echt bedenken. Ja, hij mag de up- en/of downloadsnelheid in het algemeen differentiëren (een supersneldownloadpakket of een goedkoop pakket voor mailende moeders – hoi mam!). Maar iets anders kan ik niet bedenken; wie het weet mag het zeggen!

Aanverwant is het nieuwe artikel 7.6a, dat beperkingen oplegt aan de gronden voor opzeggen van een internetabonnement door de provider. Kort gezegd mag dat alleen nog

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Dit artikel is bedoeld om “lichtvaardig afsluiten” van klanten te kunnen blokkeren. Een internetprovider kan dus niet meer eigen regels verzinnen in de algemene voorwaarden en mensen op grond daarvan afsluiten. En ook is het hiermee onmogelijk geworden om mensen af te sluiten die auteursrechten schenden, tenzij een rechter oordeelt dat dit een gepaste sanctie is.

In het geval van bedrog (bijvoorbeeld een vals adres opgeven) heeft de provider de bewijslast: hij moet schriftelijk de klant informeren en hem een redelijke termijn gunnen om te reageren. Pas als daar niets uit komt, mag de provider tot afsluiting overgaan.

Bij het niet-betalen geldt overigens dat de provider nog steeds niet meteen mag afsluiten. De gewone regels van niet-nakoming gelden ook hier. De abonnee moet eerst in gebreke zijn gesteld en krijgt hij de gelegenheid het gebrek te herstellen en alsnog aan zijn betalingsverplichting te voldoen. (Waarom er dan niet gewoon gezegd is “de abonnee in verzuim is met zijn betalingsverplichting” in plaats van het generieke woord “tekortkoming”, weet ik niet. Voer voor iemands afstudeerscriptie.)

De regels over netneutraliteit treden niet meteen in werking. Ze gaan pas gelden voor abonnementen die een jaar na inwerkingtreding van de wet actief zijn. Ik ben benieuwd of KPN en collega’s dan ook tot die tijd gaan wachten met de aangekondigde prijsverhogingen. Vodafone in ieder geval niet.

Heel veel stof tot lezen dit, en de exacte implicaties zullen nog heel wat discussie geven. Misschien moest ik er maar eens een studiemiddag of workshop over organiseren. Zouden jullie daarbij willen zijn? En welke concrete vragen moeten we dan behandelen?

Arnoud

KPN inspecteert dataverkeer diep, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 108 reacties

deep-packet-inspection.pngOMGWTFBBQ DPI. KPN heeft in een sessie met investeerders toegegeven dat het al maandenlang de omstreden deep packet inspection-technologie heeft gebruikt op zijn mobiele netwerk, meldde Tweakers gisteren. Doel is voip-verkeer op het mobiele netwerk te herkennen en apart te factureren. In damage control modus meldt KPN geen DPI op de inhoud te doen, maar alleen het soort dataverkeer te analyseren. Is ze daarmee toch strafbaar?

Wat KPN met de DPI technologie doet, is volgens eigen zeggen het analyseren van het soort dataverkeer om vast te stellen welke diensten mensen gebruiken. Er worden geen gesprekken inhoudelijk geanalyseerd. In het kader van de discussie over netpartijdigheid is het duidelijk dat het doel hiervan is om abonnees apart te kunnen factureren voor diverse types gesprekken.

Nu heeft de strafwet diverse artikelen over het aftappen van dataverkeer. Het is inderdaad strafbaar om gesprekken af te luisteren (art. 139a lid 1 Strafrecht) als je daar geen deelnemer aan bent. Maar ook als je niet de inhoud van gesprekken beluistert, kun je strafbaar bezig zijn. Het meer algemene artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hier val je ook onder als je niet de gesprekken reconstrueert en leest maar alleen op netwerkniveau naar de pakketten kijkt. Dit artikel heeft als doel “een zo volledig mogelijke bescherming van de persoonlijke levenssfeer bij gegevensoverdracht” te realiseren. Het gaat dus nadrukkelijk niet om alleen het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf.

Onder technische middelen zijn alle hulpmiddelen begrepen die deze gegevenstromen zichtbaar kunnen maken en de inhoud ervan ter beschikking van de handelende persoon brengen, dus bij voorbeeld ook het waarnemen van de zogenaamde residustraling bij beeldschermen of de analyse van chips met behulp van infrarood-apparatuur.

Wel moet het natuurlijk gaan om het ‘wederrechtelijk’ aftappen. Een escape voor KPN kan bijvoorbeeld nog zijn lid 2 sub 3 van dit wetsartikel:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

Deze uitzondering is echter vooral bedoeld voor onderhoud en reparatie van het netwerk, en niet om de bedrijfsvoering van de telecommunicatie-aanbieder te kunnen verbeteren. Een andere uitzondering zou nog kunnen zijn de algemene voorwaarden van KPN, maar daar zie ik nergens een bepaling die maar in de buurt komt van “wij mogen uw pakketten analyseren om te kijken welke applicaties u gebruikt”.

Bits of Freedom heeft een handige gids over hoe je aangifte kunt doen. Nu ben ik zelf ook KPN abonnee, dus we gaan eens kijken wat oom agent in Eindhoven hiervan vindt.

Update (4 augustus) Nu.nl meldt dat iuit oriënterend onderzoek door het Openbaar Ministerie (OM) blijkt dat KPN haar klanten niet heeft afgeluisterd. De DPI was daarvoor niet diep genoeg. Eind juni oordeelde de Opta dat de bedrijven mogelijk de wet hebben overtreden bij het gebruik van DPI. Ook loopt er nog een onderzoek door het Cbp.

Arnoud

Mag KPN abonnees wel extra kosten voor mobiele datadiensten opleggen?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, 27 reacties

Een lezer vroeg me:

Naar aanleiding van de plannen van KPN om bepaalde mobiele data diensten extra te belasten met een toeslag, vroeg ik me af of ze dat wel mogen doorvoeren. In mijn contract (met deze algemene voorwaarden) staat immers niets over dergelijke meerkosten. Kan ik ze bij de rechter verbieden deze toeslag op te leggen, of in ieder geval mijn contract dan laten ontbinden?

Afgelopen maandag hebben we het al gehad over dit voorstel van KPN en wat het betekent voor netneutraliteit. Maar deze lezer stelt een heel terechte praktische vraag: contract is immers contract, en mag KPN dat wel eenzijdig openbreken?

KPNs algemene voorwaarden voor internetbundels bevatten een expliciete bevoegdheid voor KPN om “maatregelen” te nemen tegen VoIP en SMSoIP diensten.

De voorwaarden van KPN die de lezer citeert, bevatten een beding dat botweg stelt “KPN is gerechtigd de Algemene Voorwaarden en tarieven te wijzigen.” Dat heb je als klant maar te slikken. Of nou ja, dat hoeft niet maar in dat geval moet je het contract opzeggen per de datum waarop de wijziging in werking treedt.

Die constructie is legaal. Je mag als bedrijf in algemene voorwaarden opnemen dat je het contract mag wijzigen. Specifiek voor telecommunicatiecontracten regelt de wet de spelregels: minstens vier weken van tevoren aankondigen en gelegenheid geven tot kosteloos opzeggen.

In november 2009 oordeelde de OPTA dat “een structurele beperking van de internetsnelheid bij het gebruik van bepaalde diensten” ook moet worden gezien als een contractswijziging. Er verandert misschien geen letter in het contractsdocument zelf, maar als je internetsnelheid ineens omlaag kukelt of een poort geblokkeerd wordt, is de inhoud van je contract wel anders. Dus ook bij technische aanpassingen aan de dienst geldt: aankondigen en kunnen opzeggen.

KPN kondigt de maatregel ruim op tijd aan en zal ongetwijfeld klanten gewoon laten gaan die hierom op willen zeggen. Binnen de huidige wet is ze dus legaal bezig.

Arnoud

Geen netneutraliteit voor de hele EU: een gemiste kans (gastpost)

Geplaatst op in Ondernemingsvrijheid, 54 reacties

netneutraliteit.pngVanwege de Paasvakantie ben ik vandaag offline (voor zover dat bij mij mogelijk is). Daarom vandaag een gastpost van mijn collega Matthijs van Bergen.

Amerika heeft vorig jaar na een ruim vijf jaar durend heftig publiek debat eindelijk een regeling voor netneutraliteit aangenomen en volgde daarmee Chili en Noorwegen. In Europa is recentelijk besloten om dat nog niet te doen, althans niet centraal via een richtlijn die de lidstaten daartoe zou verplichten (al lijkt de titel van het persbericht te suggereren dat men het wel wil; doe dat dan ook echt). Dat is een gemiste kans, aangezien netneutraliteit een cruciaal ontwerpprincipe is van het internet en er reeds voorbeelden zijn van schendingen, ook in Nederland, en ISP’s hun voornemens tot schending niet onder stoelen of banken steken.

De EU mikt vooralsnog alleen op transparantie en makkelijk switchen een laat een optie open voor lidstaten om minimumkwaliteitseisen te stellen. Een aardig begin, maar toch half werk. Een eenvoudige en noodzakelijke minimumkwaliteitseis in de vorm van netneutraliteit had reeds kunnen worden ingevuld om de Europese internetmarkt adequaat te harmoniseren, maar helaas is dat dus nog niet gebeurd.

Terwijl telco’s en hun economen er goed in zijn om netneutraliteit heel ingewikkeld te maken, zo goed dat men er kennelijk in is geslaagd om de Europese Commissie genoeg schrik aan te jagen dat zij zich er niet aan durft te branden, leek het mij aardig om juist eens te proberen zo Jip-en-Janneke mogelijk en zelfs voor mensen zonder enig benul van internet en hoe dat werkt, begrijpelijk uit te leggen wat netneutraliteit is en waarom uitzondering daarop alleen maar in heel beperkte gevallen toelaatbaar is.

Netneutraliteit ‘4 dummies’

De rol van een internetprovider in de informatiemaatschappij kan worden gezien als een digitale vrachtvervoerder. Op het internet bestaat alle informatie namelijk uit pakketjes met data die van A naar B moeten worden versleept.

Stel dat de offline wereld geen enkel elektronisch communicatiemiddel kende, dan zou iedere lange-afstandscommunicatie per (pakket)post moeten gebeuren. Stel dat er een netwerk van vrachtvervoerders zou zijn, ieder met een beperkt geografisch gebied waar zij kunnen komen. De vrachtvervoerders hebben onderlinge overeenkomsten om post die naar een eindbestemming buiten het eigen gebied moet, binnen hun eigen gebied zo ver mogelijk richting eindbestemming te brengen en dan over te geven aan de volgende aangesloten vrachtvervoerder, net zo lang totdat de eindbestemming is bereikt. Iedere bewoner van deze wereld, kan uit ongeveer twee tot zes vrachtvervoerders één kiezen om (voor een jaar lang) tegen betaling al zijn pakketjes te bezorgen, die volgens het hierboven omschreven systeem tussen zijn huis en eindbestemmingen over de hele wereld kunnen worden bezorgd.

‘Post’neutraliteit (ja, netneutraliteit dus) is het behandelen van alle pakketjes op basis van wie het eerst komt, wie het eerst maalt. Een uitzondering op ‘post’neutraliteit bestaat dan ook als de vrachtvervoerders de pakketjes niet meer op ‘fifo’-basis behandelen, maar de pakketjes prioriteren of zelfs weggooien op basis van hun eigen oordelen en voorkeuren wat betreft de verzender, de eindbestemming of het soort pakketje. Alle pakketjes zijn even zwaar en even groot, en dus even duur om te vervoeren, maar uit de vorm van het pakketje en het afzenders- en bestemmingsadres kan enigszins worden afgeleid of het bijvoorbeeld een liefdesbrief betreft of een reclamefolder.

Het zou kunnen zijn dat deze vrachtvervoerders nu eenmaal beperkte capaciteit hebben en het liefst zoveel mogelijk klanten zo goed mogelijk tevreden stellen door pakketjes te prioriteren op basis van hun inschatting van hoeveel haast deze zullen hebben en door klanten te helpen in het weren van ongewenste reclamefolders en door ze te beschermen tegen grapjassen die pakketten met rotjes (virussen) versturen. Mits zij die inschatting goed maken, kan dat inderdaad erg nuttig zijn.

Maar zou het acceptabel zijn dat de vrachtvervoerders pakketjes met liefdesbrieven weg zouden gooien uit morele overwegingen? Of sommige pakketjes vertraagd zouden gaan bezorgen, ook bij voldoende capaciteit? Of pakketjes weg zouden gooien die misschien ongewenste reclame bevatten, maar waarvan dat niet met enige zekerheid kan worden gezegd? Of voor sommige pakketjes extra betaling te vragen, die voor een klant inhoudelijk erg belangrijk zijn maar voor de vervoerder geen cent extra kosten om te bezorgen? Of als een vrachtvervoerder post afkomstig van een bepaalde afzender alleen naar de eindbestemmingen die alleen hij kan bereiken wil sturen, als de afzender hem daarvoor betaalt, terwijl de eindbestemmingen die vrachtvervoerder al hebben betaald om alle aan hen geadresseerde pakketjes bezorgd te krijgen?

Prioriteren en weggooien van bepaalde pakketjes kan dus soms gerechtvaardigd kan zijn, maar is dat meestal niet.

En waar de Europese Commissie niet eenvoudig heeft gesteld dat het prioriteren of weggooien van pakketjes steeds een legitiem doel moet hebben en proportioneel moet zijn aan dat doel, omdat men kennelijk vertrouwt dat marktwerking er wel voor zorgt dat de vrachtvervoerders voldoende in het belang van de klanten handelen, denk ik: ‘oh is dat dezelfde marktwerking die ervoor zou zorgen dat telco’s fatsoenlijke helpdesks zouden hebben? En geen buitensporige roamingtarieven zouden hanteren? Hoewel meer marktwerking via transparantie en makkelijker overstappen een aardig begin is, is het dus toch zeer zeker half werk.

Ruimte voor verbetering

Gelukkig laat de Europese aanpak wel ruimte aan lidstaten om het halve werk toch af te maken en een robuuste regel te maken die het blokkeren en vertragen van legaal verkeer gewoon verbiedt tenzij er een heel goede reden voor het vertragen of blokkeren is aan te geven, zoals het bestrijden van virussen of als bij hoge congestie een mailtje vertraagd moet worden om voorrang te geven aan bijvoorbeeld VoIP-verkeer. Ik zie het als een kans voor Nederland om behalve met het op één na grootste internetknooppunt ter wereld (AMS-IX) ook met netneutraliteit voorop te lopen.

Provider voegt eigen advertenties toe aan internet

Geplaatst op in Ondernemingsvrijheid, 34 reacties

advertentie-in-google.pngEen lezer wees me op een blogbericht dat signaleerde dat de Amerikaanse provider Mediacom is begonnen met het invoegen van advertenties op webpagina’s die je bekijkt als je via die provider online gaat. Dit doet men door aan de HTML-code van een webpagina een <SCRIPT-regel toe te voegen die een Javascript aanroept waarmee de advertenties ingeladen worden. Daarvoor moet dus echt op packetniveau in het dataverkeer worden ingegrepen.

Op DSLReport wordt opgemerkt dat deze technologie ook in 2007 al eens uitgeprobeerd werd. Toen was het een experiment (ongetwijfeld door een overactieve stagiair) maar nu lijkt het echt een serieuze activiteit te zijn. En u voelt hem al aankomen: mag dat ook in Nederland?

In januari maakte telecomtoezichthouder OPTA de regels bekend over netneutraliteit: ga je gang maar meld wel duidelijk wat je doet. OPTA meldde bij Webwereld daarover:

“De regels omtrent netneutraliteit zijn afkomstig uit Brussel”, zegt zij. “Concurrentie tussen ISPs is de beste garantie voor een open internet, maar we willen vooralsnog geen specifieke verplichtingen ten aanzien.van openheid internet.

Provider UPC kreeg in 2009 nog een boze blikbrief van de toezichthouder omdat zij verkeer afkneep van klanten zonder dit duidelijk te melden. Daarbij gooide de OPTA het over de boeg van de contractswijziging: door ineens te gaan afknijpen werd het contract met de klant aangepast, want UPC deed niet meer wat oorspronkelijk was afgesproken. Op grond van artikel 7.2 Telecommunicatiewet mag dat alleen als het van tevoren is gemeld en de klant de gelegenheid is geboden op te zeggen.

Het lijkt me dat ook het invoegen van eigen advertenties binnen dat kader legaal is, hoewel natuurlijk buitengewoon hinderlijk (tot je een advertentieblokker hebt geïnstalleerd). Het moet dus vooraf worden gemeld en je moet je contract kunnen opzeggen voordat de maatregel in werking treedt.

Of je als website iets kunt doen aan deze aangepaste presentatie van je informatie, vraag ik me af. Je zou het dan moeten gooien op ‘verminking’ van je werk, wat verboden is op grond van de Auteurswet (artikel 25). Maar dat gaat me wel wat ver; als de eigen advertentie bij de presentatie duidelijk gescheiden is van de webpagina dan zie ik werkelijk niet wat daar de verminking zou kunnen zijn. Ook al ziet de Google-homepage uit het screenshot rechtsboven er wel heel tacky uit zo.

Een leuke op het gebied van vergelijkende reclame wordt nog als bij de bedrijfswebsite een advertentie voor de concurrent getoond wordt. Je mag aannemen dat de provider de reclames afstemt op de bezochte sites, en dan kan er zomaar een Blackberry aangeprezen worden bij de homepage van Apple.

Arnoud