Kan ik mijn provider dwingen mijn mailadres gereserveerd te houden als ik overstap?

| AE 11829 | Ondernemingsvrijheid | 13 reacties

Een lezer vroeg me:

Ik heb een e-mailadres bij mijn internetprovider. Kan ik bij een overstap naar een nieuwe internetprovider mijn vorige provider dwingen om mijn oude e-mailadres niet vrij te geven? Dit om te voorkomen dat iemand anders mijn oude e-mailadres registreert en bijvoorbeeld zich als mij voordoet of wachtwoordresets op mijn online accounts kan uitvoeren?

Er is wettelijk geen recht op emailadresportabiliteit, zoals dat er wel is met nummerportabiliteit. Bij 06-nummers heb je immers het recht die mee te nemen als je van provider overstapt.

Met enige regelmaat zie ik deze discussie opspelen bij de politiek. Er zou een wetswijziging voor nodig zijn, en dan is standaard het argument dat dat te weinig op zou leveren tegenover het gedoe dat je nodig hebt. Immers wie dat wil kan een provideronafhankelijk mailadres nemen (al is het maar Hotmail of Gmail) en veel hoeft dat niet te kosten. Als ondernemer zou je dus wel gek zijn om dat niet te doen.

De AVG lijkt voor mensen een nieuwe grond hiervoor te bieden: als ik mijn mailadres dan niet mag meenemen, dan kan ik toch zeker wel voorkomen dat iemand anders met míjn naam gaat mailen? Dat is immers mijn persoonsgegeven.

En ja, dat is natuurlijk zo. Maar als jij Jan de Vries heet, en zes maanden na je opzegging wil een andere heer de Vries dat mailadres, kun je dan echt nog zeggen dat het nog jouw adres is? Ik zou daar toch wel de nodige moeite mee voelen.

Natuurlijk zit er een zeker securityrisico aan het ‘achterlaten’ van je mailadres. Wachtwoordresets zijn achteraf mogelijk als een aanvaller daar de moeite voor neemt. Ik kan daar alleen maar op zeggen dat je dus moet zorgen dat je mailadres afgekoppeld wordt van je accounts wanneer je overstapt van provider.

Arnoud

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Ondernemingsvrijheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en minderjarigen deze konden lezen. Deze regel uit radio- en televisieland bleek op internet in strijd met de vrijheid van meningsuiting. En toen kon internet los.

De CDA was in 1996 de eerste serieuze internetwet. Er werden allerlei regels gesteld, maar de stukken over aansprakelijkheid van providers en het fatsoenlijk niveau van de inhoud bleken het controversieelst. Dat stuk over fatsoen ging vrij ver:

knowingly (A) uses an interactive computer service to send to a specific person or persons under 18 years of age, or (B) uses any interactive computer service to display in a manner available to a person under 18 years of age, any comment, request, suggestion, proposal, image, or other communication that, in context, depicts or describes, in terms patently offensive as measured by contemporary community standards, sexual or excretory activities or organs.

Met name optie (b) was nogal wat. Websites zijn immers voor iedereen toegankelijk, dus ook voor minderjarigen. Dit zou dus betekenen dat iedere website moest filteren op minderjarigen, of (iets werkbaarder) moest zorgen dat er niets op de site zou staan die “offensive” geacht kon worden. Vandaar dat de burgerrechtenbeweging ACLU tegen de wet ten strijde trok.

In de VS staat de vrijheid van meningsuiting op een hoog voetstuk. Men is dan ook erg kritisch tegenover wetgeving die speech reguleert. Deze moet specifiek en gericht zijn, en mag de uitingsvrijheid van volwassen mensen niet nodeloos hinderen. Er is eigenlijk geen wet de afgelopen vijftig, zestig jaar die een dergelijke toets heeft overleefd. En met dat in het achterhoofd verbaast het dan ook niets dat de CDA net zo hard sneuvelde:

The record demonstrates that the growth of the Internet has been and continues to be phenomenal, … As a matter of constitutional tradition, in the absence of evidence to the contrary, we presume that government regulation of the content of speech is more likely to interfere with the free exchange of ideas than to encourage it.

Niet de hele wet ging vervolgens onderuit. Artikel 230 bleef staan – en dat artikel is cruciaal voor het internet zoals dat nu is. Het bepaalt dat platforms zoals internetproviders, forumbeheerders en hosters geen “publishers” zijn in de zin van de wet. Kort gezegd zijn zij dan niet aansprakelijk te houden voor andermans bijdragen, zoals bijvoorbeeld een krant dat wel is voor een ingezonden brief of een televisiezender voor een reclamespotje.

Deze totale niet-aansprakelijkheid (later uitsluitend genuanceerd door de Digital Millennium Copyright Act, DMCA) maakte dat het vrijwel risicoloos werd om een platform of dienst op te zetten waar mensen dingen konden publiceren. Van discussieforum tot informatieve website of dienst, alles mocht en je hoefde niet bang te zijn dat iemand je ging aanklagen. Dat is een mooie stimulans voor ondernemers gebleken om allerlei sites op te zetten.

De downside van die ontwikkeling is dan weer dat er totaal geen inspanning is geweest om de boel een beetje netjes te houden, of zelfs maar op te treden wanneer er klachten over inhoud kwamen (behalve dus auteursrecht, waar notice/takedown al snel algemeen aanvaard werd). Als je daarbij bedenkt dat je óók niet hoefde te registreren wie je gebruikers waren, dan snap je ook een ander deel van internet: totale anarchie in wat er wordt gezegd en niemand die zich daarvoor aansprakelijk houdt. Gebruikers ontraceerbaar en beheerders wettelijk beschermd is laten we zeggen niet zo handig.

Toch denk ik dat in de basis dit model de enige reële optie was voor internet om zo’n succes te worden als het is. Het doorschieten naar die baggerputten met anonieme drek is erg vervelend maar iets dat zichzelf corrigeert (voor een deel) of nu gericht kan worden bestreden met wetgeving die rekening houdt met de kennis van nu. Zo hoort het volgens mij te gaan, je geeft iets eerst de kans zich te ontwikkelen en daarna pas ga je de excessen wettelijk aan banden leggen.

Arnoud

Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Informatiemaatschappij | 32 reacties

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgEen Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk de eerdere aanval op securityjournalist Brian Krebs). Amerikaanse regels voor internetproviders maken het alleen mogelijk om apparatuur van internet te weren als deze schadelijk (harmful) is, en Warner maakt het argument dat een triviaal hackbaar IoT-apparaat daaronder valt. Hoe zit dat bij ons?

Ik blijf me erover verbazen dat het niet verboden is om brakke apparatuur met internettoegang uit te brengen. Ja, specifiek als het apparaat persoonsgegevens lekt dan zou je heel misschien iets kunnen doen met de Wbp maar formeel legt ook die wet de verantwoordelijkheid bij de eigenaar van het apparaat. De leverancier van een datalekveroorzakend apparaat doet niets verkeerd onder de Wbp (en ook niet onder de nieuwe Europese privacywet). Wat mij betreft komt er zo snel mogelijk een wet op productsecurity.

Specifiek bij internetapparatuur is er misschien nog een optie, analoog aan die Amerikaanse senator z’n plan. In de Telecommunicatiewet staat namelijk (art. 11.3 Telecomwet:

[Internet]aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.

Dit gaat met name over persoonsgegevens beveiligen, maar de norm is breed genoeg om ook bescherming tegen malware hieronder te laten vallen. Al in 2009 bepaalde de OPTA (nu ACM) beleidsregels die hierover gaan. Dat ging nog met name over informatieplichten (een folder “Hoe voorkom ik dat ik een zombie word”) maar volgens mij kunnen op dit artikel ook best hardere maatregelen worden gebaseerd.

Dat botst alleen een beetje met netneutraliteit (art. 7.4a Telecomwet), want in die wet staat weer dat een provider niet zomaar mag afsluiten bij uitgaande malware en dergelijke bij zijn klanten. Hij moet ze informeren en een kans geven het zelf te herstellen. Alleen wanneer dit wegens de vereiste spoed niet voorafgaand mogelijk is, mag hij direct ingrijpen. Dit is bedoeld als uitzondering, maar misschien wordt het tijd dit maar eens als hoofdregel te gaan zien. Malware en zombies tegenhouden vereist dan per definitie spoed en je merkt het vanzelf als je dan in quarantaine wordt gezet omdat je webcam of NAS iemand aan het ddossen is.

Wat mij betreft de hoogste tijd, het is te bizar voor woorden dat je anno 2016 nog steeds zó veel rotzooi brakende IoT-devices op de markt hebt.

Arnoud

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Intellectuele rechten, Ondernemingsvrijheid | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Security | 37 reacties

Een lezer vroeg me: Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel… Lees verder

Is dat een warrant canary in je jaarverslag of ben je blij de NSA te zien?

| AE 8550 | Ondernemingsvrijheid, Regulering | 28 reacties

Internetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een… Lees verder

Mijn provider blokkeert spam, mag dat eigenlijk wel?

| AE 7150 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me: Onlangs ontdekte ik dat mijn provider een eigen spamfilter hanteert, en wel op een vervelende manier: er waren belangrijke mails van een Aziatische klant geblokkeerd. Ik ben daar nooit over geïnformeerd en men zegt nu zelfs dat het filter er niet af kan “vanwege de integriteit van het netwerk”. Mag dat… Lees verder

Kun je een e-mailadres meenemen als de dienstverlener stopt?

| AE 6919 | Privacy | 36 reacties

Ik had het nieuws ook gemist maar internetprovider Knoware is overgenomen door Telfort en het domein gaat binnenkort uit de lucht. Dat gaf allerlei klachten zo lees ik van mensen die graag hun jarenlange mailadres @knoware.nl willen behouden. Dat “kan niet” volgens de helpdesk. Maar er is kunnen en willen, volgens mij. Technisch zie ik… Lees verder

Vodafone dringt proxy op aan gebruikers, mag dat?

| AE 6566 | Ondernemingsvrijheid | 24 reacties

Klanten van Vodafone klagen dat internetpagina’s traag laden, omdat Vodafone pagina’s laadt via een proxy. Dat meldde Tweakers gisteren. De proxy is opmerkelijk omdat deze webpagina’s aanpast, wat niet uit te zetten is. Plaatjes worden op een lelijke manier verkleind, en met een vaag scriptje is dat dan weer ongedaan te maken. Weinig mensen worden… Lees verder