Nederlandse internetaanbieders gaan Kickasstorrents, EZTV en Rarbg blokkeren

De meeste Nederlandse internetaanbieders gaan zes extra torrentsites blokkeren nadat Stichting Brein een rechtszaak hierover won tegen provider Delta Fiber Nederland. Dat meldde Tweakers vorige week. Het gaat om 1337x, LimeTorrents, YTS, Rarbg, Kickasstorrents en EZTV. De Nederlandbrede blokkade is een gevolg van de afspraken uit november, waarin de providers met Brein afspraken dat ze beurtelings rechtszaken zouden voeren en zich allemaal zouden schikken naar de uitspraak tegen degene die aan de beurt was.

Het vonnis zelf is nog niet gepubliceerd, maar Brein publiceerde alvast het dictum (zeg maar het gerechtelijk bevel). Heel verrassend is het allemaal niet. Wie de rechtszaken tegen providers en tussenpersonen een beetje volgt, die weet dat de teneur ondertussen is dat als een site zich primair profileert als “lekker illegaal downloaden, klik hier” dienst, de rechter vrij makkelijk is geworden met het uitspreken van een verbod. “Evident inbreukmakend karakter”, noemt de rechter het hier.

Opvallend is vooral hoe breed het verbod ondertussen wordt toegewezen: niet alleen een hele trits aan domeinnamen, ook een lijst met alternatieve namen, IP-adressen en een bevoegdheid voor Brein om een lijstje met extra te blokkeren synoniemen/mirrors/proxies te mogen opgeven. Wel met de beperking dat het

proxy’s en mirrors van hetzelfde platform zijn die eenzelfde of vrijwel identieke inhoud en een evident inbreukmakend karakter hebben
Dus zomaar een geheel andere torrentsite toevoegen gaat niet, ik zeg het maar even voor de duidelijkheid.

Natuurlijk staan de reacties meteen vol met “dan gebruik je toch een vpn” of “ik weet een betere torrentsite”, wat ik prima begrijp gezien de doelgroep. Maar realiseer je dat dit soort maatregelen bedoeld zijn om de ‘gemiddelde’ gebruiker tegen te houden, die pas vrij recent erachter kwam dat er zoiets is als torrents, toen op eztv.io gewezen werd en nu dus zal merken dat dat geblokkeerd is. De kans is groot dat die persoon niet terugkomt. Anders gezegd: juridische maatregelen hoeven niet 100% of zelfs maar 95% effect te hebben. Goed genoeg is goed genoeg.

Arnoud

Minister: providers die illegaal materiaal hosten zijn moeilijk te vervolgen edit

Het is voor de Nederlandse politie moeilijk om hostingproviders strafrechtelijk te vervolgen als ze illegaal materiaal hosten. Dat meldde Tweakers vorige week. In antwoord op Kamervragen meldt Ye?ilgöz van Justitie dan ook dat de politie voornamelijk inzet op samenwerking met de sector. Meer zou lastig zijn: hostingproviders kunnen onder de Europese wet niet aansprakelijk worden gesteld voor het gedrag van hun klanten. Eh, ja, maar iets ingewikkelder.

Deze discussie heeft niets te maken met de Europese regels over aansprakelijkheid van providers. Aansprakelijkheid is civiel (burgerlijk) recht, hier gaat het om strafrecht. Als je strafbaar bent, krijg je een boete of celstraf. Als je aansprakelijk bent, moet je iemands schade vergoeden.

Het klopt in zoverre dat toen de civiele regels over aansprakelijkheid van providers werden gemaakt, Nederland gekozen heeft voor ook een regel van strafrecht, artikel 54a Wetboek van Strafrecht. Die zegt, een provider is niet strafrechtelijk aan te pakken als hij na een bevel van de rechter-commissaris meteen het contentitem weghaalt waar het om gaat.

Dat leek destijds een goed idee, nadeel blijkt ondertussen dat dit gelezen wordt als “je moet per URL een bevel geven en dan halen we specifiek die URL offline”. Waardoor criminele klanten bij wijze van spreken één letter veranderen in de abs_path en het weer online zetten. En er is geen juridische basis om providers te bevelen een klant te weren of een hele site offline te halen.

Er wordt nu gewerkt aan nieuwe Europese regels die meer strafrechtelijke armslag moeten geven, zodat een provider ook strafrechtelijk te vervolgen zou worden wanneer hij weigert een klant geheel af te sluiten die grootschalig de strafwet overtreedt.

Arnoud

Blokkade van piraterijwebsite geldt voortaan meteen voor alle providers

OpenClipart-Vectors / Pixabay

Als een rechter bepaalt dat een internetprovider een bepaalde website moet blokkeren omdat die inbreuk op auteursrechten maakt, dan moeten vanaf nu vrijwel alle andere Nederlandse internetproviders dat ook doen. Dat meldde Nu.nl vorige week. Het Convenant bestrijding online piraterij is de uitkomst van een werkgroep, opgericht door de ministeries van Rechtsbescherming en EZ, waaraan de grote providers zich nu conformeren.

De Nederlandse internetaanbieders zijn met dit convenant bereid om websites die illegaal downloaden mogelijk maken gezamenlijk te blokkeren, zo legt de ACM uit. Vereiste is wel dat stichting BREIN bij de rechter een uitspraak krijgt die bevestigt dat die site inderdaad geblokkeerd moet worden, zoals vele malen bij The Pirate Bay gebeurd is. En het is precies die “vele malen” die de aanleiding is: waarom zou je bij zes providers dezelfde procedure moeten voeren?

Het convenant komt erop neer dat als BREIN bij één provider wint (in een procedure op tegenspraak, dus geen ex parte), de andere providers beloven dezelfde blokkade toe te voegen bij hen. Er is een opt-out mogelijkheid, waarbij de provider de blokkade kan weigeren op te nemen. Uiteraard mag BREIN dan die provider een eigen rechtszaak aandoen, maar dat mochten ze zonder convenant ook al.

Lastig punt bij zulke zaken is altijd de proceskostenveroordeling. Een provider die verliest, moet de volledige advocaatkosten van BREIN betalen, en niet slechts het gebruikelijke forfaitaire tarief. Dat is de algemene regel bij IE-zaken namelijk. Maar er is een uitzondering:

Brein laat na een volledige proceskostenveroordeling te vorderen, wanneer een Internet Access Provider besluit geen uitvoering te geven aan het convenant omdat de ACM naar aanleiding van een klacht van een derde wegens vermeende strijdigheid met de netneutraliteitsverordening daarnaar onderzoek verricht.
Een vrijwillige blokkade van websites behoort namelijk in principe niet tot de mogelijkheden bij providers. Blokkeren doe je op gerechtelijk vonnis (niet “bevel”, dat is een Anglicisme), en als je zo’n convenant volgt dan heb jij geen vonnis. Maar de logica is voor juristen hier evident, daarom zegt de ACM toe hier welwillend tegenover te staan. Maar komt er iemand met een goed argument, dan mag de ACM het alsnog onderzoeken en van tafel vegen.

In de kleine lettertjes (bijlage 2) valt nog te lezen dat ook proxies en mirrors onder de reikwijdte van de blokkaderegeling kunnen vallen. Dat is opmerkelijk, want ik ken geen vonnis op tegenspraak waarin proxies verboden werden. Maar de tekst suggereert dat deze proxies dan in het dictum van een vonnis genoemd moeten zijn, zodat de rechter dus gevraagd moet zijn. Het is dus geen vrijbrief om IP-adressen door te geven van onwelgevallige sites.

Arnoud

Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

manfredrichter / Pixabay

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?
Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:
1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.
Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken
Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

‘Belgische providers moeten fup verhogen als 1 op 10 klanten deze overschrijdt’

De Belgische toezichthouder BIPT heeft een nieuw richtsnoer geïntroduceerd over hoe mobiele en vaste providers om moeten gaan met onbeperkt internet. Dat meldde Tweakers onlangs. Een van de maatregelen is dat providers gebruikers niet mogen blokkeren als zij over de fair use policy oftewel FUP gaan. De BIPT noemt dit een “beleid van redelijk gebruik” en doet een goede poging deze misstand aan banden te leggen.

De FUP is een bekende truc om “onbeperkt” te kunnen zeggen zonder onbeperkt aan te bieden. Al heel lang maak ik me druk over deze benadering, die vaak immers neerkomt op een harde datalimiet. Alleen dan niet uitgedrukt in een keihard getal (2GB/maand) maar als een relatief getal: u verbruikt meer dan 10x het gemiddelde deze maand, bijvoorbeeld. Dat klinkt redelijk, maar is natuurlijk ontzettend onduidelijk, én variabel bovendien. En hoezo 10?

Er zijn ook varianten die andere criteria gebruiken, zoals T-Mobile dat in 2016 het tetheren oftewel via je mobiel internetten met je laptop als ‘onredelijk’ aanmerkte. Maar in België heeft de BIPT het onderzocht en komen eigenlijk alleen problemen voor met FUPs die getalsmatige limieten hebben, en vaak ook bij overschrijding leiden tot afsluiting.

Dat laatste is natuurlijk gewoon niet wat ‘onbeperkt’ betekent, geen internet als je 500GB verbruikt hebt is met geen mogelijkheid “onbeperkt internet” maar gewoon een databundel van 500GB.

Wat ik het mooiste vind, is de basislijn die men trekt:

Het beleid van “redelijk gebruik” moet een aanzienlijke proportie van de eindgebruikers de mogelijkheid geven om zonder beperkingen toegang te hebben tot het Internet.
Er zijn dus in België kennelijk situaties waarin de meerderheid van de abonnees allemaal over de FUP heengegaan is en dan afgesloten werd. Nou is de redelijkheid heel redelijk maar, eh, hoe zeg je dat juridisch: kóm nou toch.

De remedie die men dus aangeeft in dit richtsnoer, is dan ook dat de FUP limieten moeten worden opgehoogd wanneer 10% van de klanten de FUP aantikt. Dat kan inderdaad een congestieprobleem zijn (want die limieten zijn er natuurlijk niet voor niets) maar dat is dan jouw probleem omdat je onbeperkt internet aanbiedt.

Verder is het essentieel dat je als provider duidelijk communiceert over wat je limieten zijn. Ik denk dat je daarmee niet ontkomt aan getalsmatige limieten, want je moet ze vóóraf aangeven en ook nog eens uitdrukken in bijvoorbeeld “dat komt overeen met 24 uur per week video streamen vanaf Netflix”.

Het BIPT “verwacht dat aanbieders van internettoegangsdiensten op de Belgische markt de eerste aanpassingen die voortvloeien uit deze Richtsnoeren uiterlijk 6 maanden na de publicatie ervan doorvoeren”, aldus de laatste zin van de richtsnoeren. Ik ben benieuwd wat de Nederlandse concullega’s gaan doen. Vooral omdat dit allemaal geen verrassing zou moeten zijn: we praten er nog net geen twintig jaar over volgens mij.

Arnoud

Keulse rechtbank dwingt Tutanota hele postvakken inzichtelijk te maken

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden omdat alle versleuteling bij de client plaatsvindt. Echter, toen een Keulse autoleverancier via Tutanota een afpersingsmail ontving en de politie een onderzoek startte, vonniste de Keulse rechtbank dat Tutanota dit mogelijk moet maken, omdat de webmaildienst ‘meewerkt aan het leveren van telecommunicatiediensten’. Houd de paracetamol bij de hand, want dit vergt héél veel juridische definities.

De kern van de zaak is dat telecommunicatiediensten in Europa verplicht aftapbaar moeten zijn bij ernstige misdrijven als deze. In Nederland is er dus geen twijfel dat KPN of Ziggo een telefoongesprek via haar netwerk moet laten tappen, en dat gaat dan zowel om IP-netwerkverkeer als gewone telefonie.

Tutanota is geen internetprovider maar wat juristen noemen een “dienst van de informatiemaatschappij”, en dat is wezenlijk wat anders. In ISO/OSI termen: die zitten in laag 7, en telecom zit grofweg in lagen 1 tot 5. Een ander niveau van technische werking, dat in de kern wettelijk omschreven wordt als een

gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd.
Tutanota verspreidt informatie, geen signalen. Dat voelt vrij logisch, toch duurde het tot 2019 voor het Hof van Justitie hier een definitieve uitspraak over deed:
a web-based email service which does not itself provide internet access, such as the Gmail service provided by Google LLC, does not consist wholly or mainly in the conveyance of signals on electronic communications networks [] does not constitute an ‘electronic communications service’ within the meaning of that provision.
Het maakt daarbij niet uit dat Google zelf backbone-kabels heeft liggen of andere verrichtingen doet die wél het overbrengen van signalen opleveren. Dat staat immers in principe los van de webmaildienst waar het hier om gaat.

Helaas heeft in de Tutanova-zaak de rechter niet gemotiveerd waarom zhij hier anders tegenaan kijkt. Ik zie zelf geen verschil in de werking van Tutanova en Gmail, internet-technisch bekeken. Ik hoop dus ook dat men in hoger beroep gaat, hoewel dat voor deze specifieke vordering niet uitmaakt: de Duitse justitie heeft in de tussentijd toegang tot de informatie van deze afperser.

Arnoud

Hoe verwijder je sneller maar wel eerlijk ongewenste content van internet?

Voor mensen die geconfronteerd worden met onrechtmatige content op het internet is het moeilijk om deze snel verwijderd te krijgen, zo opent het WODC in een nieuwsbericht over deze lastige problematiek (via). 15 procent van de Nederlanders heeft direct of indirect ervaring met schadelijke, en mogelijk onrechtmatige, content die hen persoonlijk raakt, zoals bedreigingen, privacy-inbreuken en wraakporno. Daarvan overweegt slechts 1,4 procent juridische stappen te zetten. Het WODC deed onderzoek naar oplossingen voor dit probleem die óók recht doen aan de positie van de plaatser en de tussenpersoon.

Het onderzoek is uitgevoerd door het Instituut voor Informatierecht als onderdeel van het speerpunt van de Minister voor Rechtsbescherming om de positie van slachtoffers van onrechtmatige uitingen op het internet te verbeteren. De kern van het probleem is natuurlijk dat er nooit één partij is die je gewoon met één rechtsgang aanspreekt, zoals je zou doen wanneer iemand op een zeepkist gaat staan en wat over jou gaat roepen. Er zijn vele routes met voor- en nadelen, zoals dit schema uit het onderzoek laat zien:

(klik voor schema)

Er zijn enerzijds procedurele routes die snel, laagdrempelig en schaalbaar zijn, en anderzijds procedures die optimale rechtstatelijke waarborgen bieden. Een combinatie van al deze kwaliteiten in één procedure lijkt uitgesloten, aldus het rapport. Dat vind ik ook niet gek gezien de verschillende partijen en hun belangen in dit proces.

Wat voor mij met name wringt, is de lage waarborgen bij de notice&takedown procedure, die voor mij toch de eerst aangewezen stap zou moeten zijn. Snel en effectief, en volgens de wet inclusief een beoordeling door de tussenpersoon die de notice krijgt of de eis wel terecht is. Maar daar gaat het dus vaak mis:

Dit alles bijeengenomen maakt dat mogelijk veel rechtmatige en toegestane uitingen verwijderd worden. Vervolgens wordt degene die de vermeend onrechtmatige content geplaatst heeft, niet altijd de mogelijkheid geboden zich te verdedigen of zich na verwijdering te verzetten. Ook bleek uit de bovenstaande uiteenzetting over de transparency reports dat het nog zeer moeilijk is zicht te krijgen op het daadwerkelijk functioneren van de Notice and Takedown-procedures van de verschillende grote internetdiensten.
Een belangrijke factor is daarbij dat veel takedowns automatisch plaatsvinden. Dat komt denk ik met name omdat dat het goedkoopste en snelste is, en vanuit de Amerikaanse achtergrond het meest logisch: onder de DMCA Notice & Takedown procedure is het weghalen na klacht de verplichte stap, en pas daarna ga je de discussie voeren. Die discussie verzandt vaak in standaardantwoorden, maar het materiaal is dan al weg. Eigenlijk moet de discussie inhoudelijk worden gevoerd (“nee, dit was legitieme kritiek” bijvoorbeeld) vóórdat de tussenpersoon besluit het materiaal weg te halen. Maar als je systeem gebouwd is volgens de Amerikaanse norm, dan gebeurt dat dus niet.

Hoe moet het dan wel? Het rapport doet een aantal voorstellen. Allereerst het verder normeren en codificeren van Notice and Takedown-procedures en het daarvoor geldende afwegingskader, bijvoorbeeld dus door expliciet op te schrijven dat een takedown niet automatisch op klacht mag gebeuren. Een simpele verbeterstap daarbij is providers verplichten op duidelijke en eenvoudige manier te publiceren hoe een takedown verzoek gedaan kan worden en wat er dan gebeurt, iets dat nu al geldt als best practice bij hostingproviders. Een experimentele opzet bij de kantonrechter (een soort supersnelrecht) vond ik ook een hele leuke, dan heb je wel gerechtelijke toetsing maar heel laagdrempelig. Hierbij speelt natuurlijk wel dat je vervolgens dan ook snel het vonnis bij de tussenpersoon uitgevoerd moet kunnen krijgen.

Het rapport gaat niet in op wat volgens mij een hele belangrijke factor is: de anonimiteit en daarmee onbereikbaarheid van de plaatser van de content. Logisch gezien de scope, maar wel meteen een sterk complicerende factor. Tegelijk besef ik ook dat een plaatser vaak internationaal kan zijn, zodat de naam en woonplaats weinig toevoegen.

Arnoud

Kan ik mijn provider dwingen mijn mailadres gereserveerd te houden als ik overstap?

Een lezer vroeg me:

Ik heb een e-mailadres bij mijn internetprovider. Kan ik bij een overstap naar een nieuwe internetprovider mijn vorige provider dwingen om mijn oude e-mailadres niet vrij te geven? Dit om te voorkomen dat iemand anders mijn oude e-mailadres registreert en bijvoorbeeld zich als mij voordoet of wachtwoordresets op mijn online accounts kan uitvoeren?

Er is wettelijk geen recht op emailadresportabiliteit, zoals dat er wel is met nummerportabiliteit. Bij 06-nummers heb je immers het recht die mee te nemen als je van provider overstapt.

Met enige regelmaat zie ik deze discussie opspelen bij de politiek. Er zou een wetswijziging voor nodig zijn, en dan is standaard het argument dat dat te weinig op zou leveren tegenover het gedoe dat je nodig hebt. Immers wie dat wil kan een provideronafhankelijk mailadres nemen (al is het maar Hotmail of Gmail) en veel hoeft dat niet te kosten. Als ondernemer zou je dus wel gek zijn om dat niet te doen.

De AVG lijkt voor mensen een nieuwe grond hiervoor te bieden: als ik mijn mailadres dan niet mag meenemen, dan kan ik toch zeker wel voorkomen dat iemand anders met míjn naam gaat mailen? Dat is immers mijn persoonsgegeven.

En ja, dat is natuurlijk zo. Maar als jij Jan de Vries heet, en zes maanden na je opzegging wil een andere heer de Vries dat mailadres, kun je dan echt nog zeggen dat het nog jouw adres is? Ik zou daar toch wel de nodige moeite mee voelen.

Natuurlijk zit er een zeker securityrisico aan het ‘achterlaten’ van je mailadres. Wachtwoordresets zijn achteraf mogelijk als een aanvaller daar de moeite voor neemt. Ik kan daar alleen maar op zeggen dat je dus moet zorgen dat je mailadres afgekoppeld wordt van je accounts wanneer je overstapt van provider.

Arnoud

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en minderjarigen deze konden lezen. Deze regel uit radio- en televisieland bleek op internet in strijd met de vrijheid van meningsuiting. En toen kon internet los.

De CDA was in 1996 de eerste serieuze internetwet. Er werden allerlei regels gesteld, maar de stukken over aansprakelijkheid van providers en het fatsoenlijk niveau van de inhoud bleken het controversieelst. Dat stuk over fatsoen ging vrij ver:

knowingly (A) uses an interactive computer service to send to a specific person or persons under 18 years of age, or (B) uses any interactive computer service to display in a manner available to a person under 18 years of age, any comment, request, suggestion, proposal, image, or other communication that, in context, depicts or describes, in terms patently offensive as measured by contemporary community standards, sexual or excretory activities or organs.

Met name optie (b) was nogal wat. Websites zijn immers voor iedereen toegankelijk, dus ook voor minderjarigen. Dit zou dus betekenen dat iedere website moest filteren op minderjarigen, of (iets werkbaarder) moest zorgen dat er niets op de site zou staan die “offensive” geacht kon worden. Vandaar dat de burgerrechtenbeweging ACLU tegen de wet ten strijde trok.

In de VS staat de vrijheid van meningsuiting op een hoog voetstuk. Men is dan ook erg kritisch tegenover wetgeving die speech reguleert. Deze moet specifiek en gericht zijn, en mag de uitingsvrijheid van volwassen mensen niet nodeloos hinderen. Er is eigenlijk geen wet de afgelopen vijftig, zestig jaar die een dergelijke toets heeft overleefd. En met dat in het achterhoofd verbaast het dan ook niets dat de CDA net zo hard sneuvelde:

The record demonstrates that the growth of the Internet has been and continues to be phenomenal, … As a matter of constitutional tradition, in the absence of evidence to the contrary, we presume that government regulation of the content of speech is more likely to interfere with the free exchange of ideas than to encourage it.

Niet de hele wet ging vervolgens onderuit. Artikel 230 bleef staan – en dat artikel is cruciaal voor het internet zoals dat nu is. Het bepaalt dat platforms zoals internetproviders, forumbeheerders en hosters geen “publishers” zijn in de zin van de wet. Kort gezegd zijn zij dan niet aansprakelijk te houden voor andermans bijdragen, zoals bijvoorbeeld een krant dat wel is voor een ingezonden brief of een televisiezender voor een reclamespotje.

Deze totale niet-aansprakelijkheid (later uitsluitend genuanceerd door de Digital Millennium Copyright Act, DMCA) maakte dat het vrijwel risicoloos werd om een platform of dienst op te zetten waar mensen dingen konden publiceren. Van discussieforum tot informatieve website of dienst, alles mocht en je hoefde niet bang te zijn dat iemand je ging aanklagen. Dat is een mooie stimulans voor ondernemers gebleken om allerlei sites op te zetten.

De downside van die ontwikkeling is dan weer dat er totaal geen inspanning is geweest om de boel een beetje netjes te houden, of zelfs maar op te treden wanneer er klachten over inhoud kwamen (behalve dus auteursrecht, waar notice/takedown al snel algemeen aanvaard werd). Als je daarbij bedenkt dat je óók niet hoefde te registreren wie je gebruikers waren, dan snap je ook een ander deel van internet: totale anarchie in wat er wordt gezegd en niemand die zich daarvoor aansprakelijk houdt. Gebruikers ontraceerbaar en beheerders wettelijk beschermd is laten we zeggen niet zo handig.

Toch denk ik dat in de basis dit model de enige reële optie was voor internet om zo’n succes te worden als het is. Het doorschieten naar die baggerputten met anonieme drek is erg vervelend maar iets dat zichzelf corrigeert (voor een deel) of nu gericht kan worden bestreden met wetgeving die rekening houdt met de kennis van nu. Zo hoort het volgens mij te gaan, je geeft iets eerst de kans zich te ontwikkelen en daarna pas ga je de excessen wettelijk aan banden leggen.

Arnoud

Mag een internet provider onveilige IoT-apparaten blokkeren?

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgEen Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk de eerdere aanval op securityjournalist Brian Krebs). Amerikaanse regels voor internetproviders maken het alleen mogelijk om apparatuur van internet te weren als deze schadelijk (harmful) is, en Warner maakt het argument dat een triviaal hackbaar IoT-apparaat daaronder valt. Hoe zit dat bij ons?

Ik blijf me erover verbazen dat het niet verboden is om brakke apparatuur met internettoegang uit te brengen. Ja, specifiek als het apparaat persoonsgegevens lekt dan zou je heel misschien iets kunnen doen met de Wbp maar formeel legt ook die wet de verantwoordelijkheid bij de eigenaar van het apparaat. De leverancier van een datalekveroorzakend apparaat doet niets verkeerd onder de Wbp (en ook niet onder de nieuwe Europese privacywet). Wat mij betreft komt er zo snel mogelijk een wet op productsecurity.

Specifiek bij internetapparatuur is er misschien nog een optie, analoog aan die Amerikaanse senator z’n plan. In de Telecommunicatiewet staat namelijk (art. 11.3 Telecomwet:

[Internet]aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

Dit gaat met name over persoonsgegevens beveiligen, maar de norm is breed genoeg om ook bescherming tegen malware hieronder te laten vallen. Al in 2009 bepaalde de OPTA (nu ACM) beleidsregels die hierover gaan. Dat ging nog met name over informatieplichten (een folder “Hoe voorkom ik dat ik een zombie word”) maar volgens mij kunnen op dit artikel ook best hardere maatregelen worden gebaseerd.

Dat botst alleen een beetje met netneutraliteit (art. 7.4a Telecomwet), want in die wet staat weer dat een provider niet zomaar mag afsluiten bij uitgaande malware en dergelijke bij zijn klanten. Hij moet ze informeren en een kans geven het zelf te herstellen. Alleen wanneer dit wegens de vereiste spoed niet voorafgaand mogelijk is, mag hij direct ingrijpen. Dit is bedoeld als uitzondering, maar misschien wordt het tijd dit maar eens als hoofdregel te gaan zien. Malware en zombies tegenhouden vereist dan per definitie spoed en je merkt het vanzelf als je dan in quarantaine wordt gezet omdat je webcam of NAS iemand aan het ddossen is.

Wat mij betreft de hoogste tijd, het is te bizar voor woorden dat je anno 2016 nog steeds zó veel rotzooi brakende IoT-devices op de markt hebt.

Arnoud