Tag: Netwerk

About Netwerk

Subscribe Feeds

Mogen wij een appartementsnetwerk zonder identificatie opzetten?

Geplaatst op in Ondernemingsvrijheid, 9 reacties

netwerk-verkennen-kijkenEen lezer vroeg me:

Wij (een groep netwerk engineers in een appartementencomplex) hebben een eigen netwerk gebouwd en gekoppeld aan internet via één provider. De kosten worden omgeslagen en via de VvE geïncasseerd. We loggen echter niets in verband met privacy. Nu krijgen wij wel eens abusemeldingen maar we weten dus niet om wie het gaat. Moeten we hier nu meer in doen?

Een internettoegangsprovider is in beginsel niet aansprakelijk voor wat er over zijn lijn gaat, ook niet na een abusemelding. De wet (art. 6:196c lid 1 BW) zegt dat je categorisch niet aansprakelijk bent wanneer je als passief doorgeefluik fungeert, dus niet zelf het initiatief neemt voor de informatielevering, niet kiest naar wie het moet en niet selecteert of wijzigt wat er doorgegeven wordt.

Een abusemelding is dus leuk en aardig maar wettelijk ben je als ISP niet verplicht daaraan gehoor te geven. Het is vaak wel handig omdat je anders op allerlei zwarte lijsten komt, maar dat is geen juridisch argument.

Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel, zo staat in lid 6 van dat wetsartikel. Een rechter (of toezichthouder) kan dus bepalen dat bepaalde abuse wél moet stoppen. Zo heeft de rechter ooit toegang tot The Pirate Bay verboden (hoewel dat werd teruggedraaid in hoger beroep) en zou de toezichthouder (de ACM) ook bepaalde blokkadebevelen kunnen geven.

Dat laatste geldt dan weer niet voor het soort netwerk als hierboven, want de ACM is alleen bevoegd op te treden bij aanbieders van openbaar internet, zoals Ziggo of Vodafone. Een netwerk waar alleen een beperkte categorie gebruikers bij kan, valt niet onder die definitie. Dat scheelt, want dan geldt ook niet de plicht het netwerk stevig te beveiligen (art. 11.3 Telecomwet) en de vertrouwelijkheid van de communicatie te borgen (art. 11.2 en 11.2a).

Recent bepaalde het Hof van Justitie echter dat ook niet-openbare aanbieders soms wel in beweging moeten komen. In die zaak ging het om een auteursrechtclaim vanwege een download door een bezoeker van een winkel via het winkelwifinetwerk. Het Hof bepaalde dat de winkel niet aansprakelijk was voor die download, omdat de winkel slechts een platform was.

Op grond van dat lid 6 mag een rechter dus een verbod of bevel uitspreken om aan een abuse-situatie een einde te maken. En concreet waar het ging om auteursrechtinbreuk, bepaalde het Hof dat het opnemen van een wachtwoord en het identificeren van ontvangers daarvan een legitiem bevel kan zijn. Op die manier kun je inbreukmakende klanten identificeren (en dat aan eisende rechthebbenden geven) zonder dat je gelijk je hele netwerk zou moeten opheffen of moeilijk moet doen met voorwaarden en zo.

Het is nog niet duidelijk hoe ver die identificatieplicht moet gaan. Maar in de situatie van zo’n appartementencomplex denk ik dat je toch al snel uitkomt bij een koppeling van de NAT-vertaling aan het appartementsnummer. Dat adres zou genoeg moeten zijn voor een rechthebbende om dan een dagvaarding uit te brengen.

Hoe het zit met andere abuse-situaties (bijvoorbeeld een privacyschending of participatie in een ddos-aanval) is nog niet bepaald. Ik denk dat je daar ook al snel bij identificatie van de gebruiker uitkomt, dat is immers het meest geëigende middel om aan die abuse-situatie een einde te maken. Maar wie een andere effectieve oplossing heeft, mag dat ook doen.

Arnoud

Mag ik mensen met openstaande netwerken of schijven helpen?

Geplaatst op in Regulering, Security, 26 reacties

netwerk-verkennen-kijkenEen lezer vroeg me:

Regelmatig kom ik netwerkschijven of draadloze netwerken tegen die niet goed beveiligd zijn. Je kunt met enkele simpele muisklikken gegevens zien van mensen die zelf denken dat ze goed voor de buitenwereld beveiligd zijn. Graag wil ik deze mensen helpen en ze vertellen dat ze een beveiligingsprobleem hebben. Aan de andere kant wil ik niet in de problemen komen en voorkomen dat een dag later de politie op de stoep staat. Wat zegt de wet hierover?

Antwoord: Het is helaas een feit dat veel mensen niet weten hoe zich te beveiligen, en voor mensen die dat wél weten ligt het dan nog wel eens voor de hand om die mensen dan maar even een handje te helpen. En die hulp varieert van een .txt bestandje achterlaten met “Dit is niet slim” of het SSID aanpassen tot proactief een wachtwoord op iemands netwerk zetten.

Formeel is het strafbaar om op iemand anders netwerk binnen te gaan, ook als je goede bedoelingen hebt. De wet noemt het “binnendringen” (art. 138ab Strafrecht) als je jezelf toegang verschaft tot een computer of netwerk terwijl je weet dat je daar niet mag zijn. Of de computer/het netwerk beveiligd zijn, is daarbij sinds 2008 niet meer van belang.

Heel misschien kan er hier toch een rechtvaardiging bestaan. De wet noemt namelijk in het algemeen het principe van ‘zaakwaarneming’ (art. 6:198 BW). Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming.

Als je dan zegt, het onbeveiligd zijn van het netwerk is net zo erg als het hongerig zijn van de kat, dan kun je daarmee rechtvaardigen dat je binnendringt in het onbeveiligde netwerk en dit gaat oplossen. Wel moet je dan zo min mogelijk schade toebrengen en de buurman informeren dat jij dit hebt gedaan. Ja, met je naam en 06 erbij dus want je bent geen crimineel maar een buurman met een beveiligingstip. Toch?

Arnoud

Mag ik ons netwerk opschonen van illegale zaken?

Geplaatst op in Privacy, Security, 66 reacties

delete.pngEen lezer vroeg me:

Ik ben systeembeheerder bij een school. Wij geven iedereen een netwerkaccount zodat ze bestanden kunnen opslaan en kunnen mailen. Nu weet ik dat leerlingen (maar ook docenten) regelmatig illegale zaken opslaan op hun account (plaatjes, filmpjes, muziek, keyloggers, hacktools, niet school gerelateerd materiaal, etcetera). Vorige week heb ik een grote schoonmaak gehouden en alle niet-schoolgerelateerde zaken verwijderd. Maar nu is een aantal gebruikers behoorlijk boos en zeggen ze dat dit niet mag! Ik kan toch als beheerder niet tolereren dat er illegale zaken op onze servers staan?

Ik zou dit niet op deze manier aanpakken. Inderdaad, als je weet hebt van illegale zaken dan mag (moet?) je ingrijpen. Maar dat is niet hetzelfde als “het zijn scholieren, die hebben dús bergen illegale meuk, ik ga alle mappen langs en alles weggooien dat ik zie”.

Dit gaat niet goed vallen bij systeembeheerders, maar zo’n netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen.

Er zijn een aantal voorwaarden waaraan voldaan moet zijn. Allereerst moet er een expliciet geaccordeerd IT-reglement zijn waarin aangegeven staat wat men mag met het account en vooral wat niet. En daarbij geldt dat “alleen schoolgerelateerde zaken” te kort door de bocht is: er moet enige ruimte voor privégebruik zijn. (Klachten dat dit onzin is, mag u bij het Europese Hof voor de Mensenrechten kwijt.)

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3’tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Bij personen die bestuurslid zijn van de vakbond of medezeggenschapsraad (of de bedrijfsarts) mag het beheer helemaal niet in hun privémappen kijken tenzij met hun toestemming of in zéér uitzonderlijke situaties.

Arnoud

Rechtbank: SURFnet geen openbaar elektronisch communicatienetwerk

Geplaatst op in Informatiemaatschappij, 8 reacties

surfnet.pngWeet u nog, die keiharde botsing tussen OPTA en SURFnet? Ik was het ook helemaal vergeten, maar gelukkig meldde ISPam het. SURFnet heeft bij de rechter gelijk gekregen: zij zijn geen openbare internetaanbieder en hoeven zich dus niet bij de OPTA aan te melden.

Wie internet-toegang aanbiedt aan “het publiek”, moet zich registreren bij de OPTA en heeft allerlei plichten zoals het aftapbaar maken van hun netwerken. Een besloten netwerkaanbieder hoeft dat niet. Denk aan een bedrijfsnetwerk. Maar hoe zit het met SURFnet, dat toch een vrij groot netwerk heeft en daarmee alle universiteiten en andere onderwijsinstellingen van internettoegang voorziet?

De OPTA vond de doelgroep zo groot dat deze neerkwam op “het publiek” zoals de Telecommunicatiewet dat bedoelde. De uitleg van de telecomtoezichthouder was dat het ging om de vraag of de groep vooral onderling wil communiceren, zoals bij een bedrijfsnetwerk, of dat de groep vooral naar buiten wil, het grote boze internet op. Maar dat criterium neemt de rechter niet over: dat het “ook om communicatie met een ieder die gebruiker is van internet” gaat, “acht de rechtbank geen omstandigheid om te kunnen spreken van een openbare dienst dan wel openbaar netwerk.”

In het vonnis wordt de doelgroep van SURFnet als “beperkt” aangemerkt:

De rechtbank [is] van oordeel dat de kring aan wie [SURFnet] haar diensten aanbiedt, wel degelijk beperkt is te achten. Die kring is immers onder één (doel)groep te scharen, namelijk instellingen die zich richten op wetenschappelijk onderzoek en hoger onderwijs. Naar het oordeel van de rechtbank is dit een voldoende afgebakende groep. Die groep is niet toegankelijk voor het algemene publiek.

Mooi voor SURFnet dus, maar ik zit me nu wel af te vragen of meer ISPs hier gebruik van kunnen maken. Als je dus kennelijk een mooie geformuleerde doelgroep kunt aanwijzen en je alleen daarop richt, dan ben je geen openbare internetaanbieder? Is “KPN Zakelijk Draadloos Internet” dan een private aanbieder omdat alleen bedrijven erop mogen? Hm.

Arnoud

Is Surfnet een openbare Internetaanbieder?

Geplaatst op in Informatiemaatschappij, 1 reacties

Planet meldt over een “keiharde botsing tussen Surfnet en de OPTA”. De OPTA is belast met het toezicht op de naleving van de Telecommunicatiewet. Openbare Internetproviders moeten zich aan allerlei regels uit die wet conformeren, waar besloten providers geen last van hebben. Surfnet biedt netwerkdienstverlening voor de aangesloten organisaties, en ziet zichzelf niet als een openbare Internetprovider:

Surfnet zegt zich met aanbod van toegang tot internet te beperken tot onderzoek, onderwijs en culturele instellingen, zo ongeveer het veld van het ministerie van OC&W, onderwijs, cultuur en wetenschap. Het departement financiert Surfnet indirect het meest via bijdragen die onderwijs- en onderzoeksinstellingen betalen voor de internetontsluiting.

De OPTA heeft nu Surfnet gesommeerd zich te conformeren aan de Telecommunicatiewet. In het besluit motiveert de OPTA waarom zij vindt dat Surfnet wel degelijk een openbaar elektronisch communicatienetwerk exploiteert en daarom gebonden is aan de wet.

Dat Surfnet een wat de wet noemt “elektronisch communicatienetwerk” onderhoudt, is duidelijk. De vraag is dus of het een “openbaar” netwerk is. Dat is het geval als sprake is van een

elektronisch communicatienetwerk dat geheel of hoofdzakelijk wordt gebruikt om openbare elektronische communicatiediensten aan te bieden, waaronder mede wordt begrepen een netwerk, bestemd voor het verspreiden van programma’s voor zover dit aan het publiek geschiedt.

En een “openbare elektronische communicatiedienst” is dan weer een “elektronische communicatiedienst die beschikbaar is voor het publiek”. Dat wordt uitgelegd als hoofdzakelijk beschikbaar voor het publiek. Wordt het Surfnet-netwerk dus hoofdzakelijk gebruikt voor elektronische communicatiediensten voor het publiek?

Surfnet zelf stelt dat hun netwerk niet beschikbaar is voor het publiek, maar uitsluitend voor de instellingen die passen binnen de doelomschrijving. Nu is dat misschien wat simpel gezegd, er zijn Internetproviders genoeg die zich op specifieke doelgroepen richten (bedrijven, nonprofit instellingen, particulieren) maar daarmee zijn ze nog wel openbaar. Bij de behandeling van de Telecommunicatiewet werd bijvoorbeeld een bedrijfsnetwerk (LAN) genoemd als voorbeeld van een besloten communicatiedienst. Maar waar trek je de grens?

De OPTA grijpt naar de definitie die gebruikt werd bij de vergunningsprocedure rond Public Access Mobile Radio, een openbaar elektronisch communicatienetwerk voor mobiele communicatiedienstverlening ten behoeve van besloten gebruikersgroepen. En die regeling definieert een besloten gebruikersgroep als volgt:

Een besloten gebruikersgroep bestaat uit gebruikers van elektronische communicatiediensten die onderling een duurzame professionele relatie hebben en daardoor binnen de groep een communicatiebehoefte hebben die voortvloeit uit het gemeenschappelijke belang dat aan deze duurzame relatie ten grondslag ligt. De duurzame professionele relatie omvat meer dan alleen het gezamenlijk afnemen van elektronische communicatiediensten en de besloten gebruikersgroep is niet uitsluitend opgezet om elektronische communicatiediensten af te nemen.

Het criterium wordt hiermee of de groep vooral onderling wil communiceren. Bij een bedrijfsnetwerk is dat duidelijk de bedoeling. Een Internetprovider voor particulieren wil het juist mogelijk maken dat de klant met de hele wereld kan communiceren. Klanten kunnen ook wel met elkaar communiceren natuurlijk, maar dat is in principe irrelevant.

Surfnet gaat bezwaar maken, en vermoedelijk daarna in beroep. Ondertussen heeft Surfnet zich toch maar geregistreerd.

Arnout Veenman ziet het als het zoveelste bewijs van de reguleringsdrang van de OPTA.

Arnoud