“Komt u maar terug met een gerechtelijk bevel”

bevel-crimesite.pngHet klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter zich daar vooraf over heeft gebogen.

Het standpunt “geen persoonsgegevens zonder gerechtelijk bevel” is over komen waaien uit de VS. Daar speelt internetrecht als vakgebied al wat langer dan hier, en veel van onze vroege algemene voorwaarden en FAQs zijn dan ook simpelweg vertaalde Amerikaanse documenten. De “subpoena” en “court order” die men daar eist, zijn volgens het woordenboek bij ons “gerechtelijk bevel” dus dat zal dan ook wel bij ons de eis zijn, toch?

In Nederland werkt het echter anders. Je bent aansprakelijk als je zaken niet weghaalt terwijl het onmiskenbaar is dat deze tegen de wet zijn. En de Hoge Raad bepaalde in het Lycos/Pessers-arrest dat ook het weigeren NAW-gegevens te geven onrechtmatig is, als voldoende duidelijk is dat deze behoren wél te worden afgegeven. Hier komt geen voorafgaande gerechtelijke toets bij kijken: dat is immers nooit het geval bij onrechtmatig handelen. Wie onrechtmatig handelt, moet de schade vergoeden – en niet pas vanaf het moment dat de rechter bevestigt dat de handeling onrechtmatig was.

Natuurlijk, in twijfelgevallen kun je zeggen: we laten de rechter bepalen óf het onrechtmatig is. Maar formeel is dat een achterafvaststelling, en dat betekent dat de schade die in de tussentijd geleden is door het bericht te laten staan, gewoon vergoed moet worden.

Maar weinig mensen willen aan de uitspraak in Lycos/Pessers. Met name de grote internetproviders weigeren in mijn ervaring categorisch ieder verzoek om afgifte op basis van een klacht, en verwijzen naar de rechter. Mogelijk dat deze houding ingegeven wordt door bureaucratie of onwetendheid bij de klachtendesk (never attribute to malice what can be attributed to incompetence). Ook denkbaar is dat men erop gokt dat de klager tóch niet gaat procederen. Een gok die in 90% van de gevallen juist is, want wie de rechtspraak erop naslaat komt afgezien van de onvermijdelijke stichting Brein slechts een handjevol eisers tegen.

Dat een dergelijke houding daadwerkelijk gevolgen kan hebben voor de provider, blijkt uit de XSnetworks-zaak. In deze zaak had stichting Brein NAW-gegevens geëist van een hostingprovider, maar niet alles gekregen dat de provider tot haar beschikking had. De rechtbank vond dat XSnetworks daarmee onrechtmatig had gehandeld en veroordeelde haar tot betaling van de schade die Brein had geleden, op te maken bij staat. Pijnlijk dus voor providers die menen een gerechtelijk bevel te kunnen verlangen.

En nee, ook deze blog gaat geen bal veranderen aan die opvattingen. Maar je moet toch wát.

Arnoud

Snapchat versus de bewaarplicht

snapchatMenig lezer blijkt geïntrigeerd door Snapchat, getuige mijn inbox afgelopen week. Met deze dienst kun je foto’s versturen, met als unique selling point dat je kunt instellen dat ze na 10 seconden gewist moeten worden bij de ontvanger. Dat blijkt -natuurlijk- niet helemaal te werken, maar de vraag die ik kreeg was iets anders: mág dat wel, data wissen na 10 seconden? Er is toch zoiets als een bewaarplicht?

Eh ja, er is een Wet bewaarplicht maar die heeft helemaal niets te maken met internetdienstverleners. Het onding dat wet bewaarplicht heet, is bedoeld voor telecom- en internetproviders. Zij moeten gegevens die zij van hun klanten krijgen, een half jaar tot een jaar bewaren.

Nou ja, niet alles: het gaat kort gezegd over identificatie van de klant en de randapparatuur waarmee hij online komt (MAC-adres, telefoonnummer, dat soort zaken). En het IP-adres waarmee hij dan via jou het internet opgaat. Niet elke site die hij bezoekt trouwens.

Een belangrijk misverstand daarbij is dat je niet hoeft te verzamelen, maar alleen te bewaren wat je toevallig al hebt. Bied je prepaid anoniem internet aan, dan is dat niet in strijd met de Wet bewaarplicht. Maar factureer je klanten dan mag je niet hun NAW-gegevens wissen na drie maanden, die NAW gegevens moeten dan bewaard worden en wel samen met het IP-adres van hun internetsessies.

Snapchat is een “dienstverlener van de informatiemaatschappij”: zij levert diensten over internet maar geen toegang tot internet. Daarom valt zij niet onder de bewaarplicht. Dit geldt ook voor forums, chatsites en andere diensten waar mensen informatie kunnen plaatsen.

En over Snapchat’s zelfvernietigingsfunctie, het blijft een aantrekkelijk klinkend idee maar hoe je echt kunt geloven dat dit gewoon werkt, ik zou het niet weten.

Arnoud

Duitser verantwoordelijk voor versleuteld verkeer via zijn p2p-node

Een gebruiker van een anoniem versleuteld p2p-netwerk is door de Duitse rechter verantwoordelijk gehouden voor het feit dat auteursrechtelijk beschermde muziek zijn node passeerde. Dat meldde Tweakers zaterdag. Het gaat om een “einstweilige Verfügung”, zeg maar een kortgedingvonnis, maar intrigerend is het wel. De achterliggende redenering gaat namelijk érg ver.

Retroshare is een peer-to-peer, pardon een friend-to-friend netwerk waarbij je naast chatten en dergelijke ook bestanden kunt delen, maar alleen met mensen die je als vriend hebt toegevoegd. Al het verkeer verloopt volledig encrypted over het netwerk, zodat niemand weet wat een vriend van een vriend met een vriendin van een vriendin uitwisselt. De eiser in deze zaak had ontdekt dat via het IP-adres van de gedaagde zijn muziekwerk te downloaden viel, als ik het goed lees omdat Retroshare ook een anonimiseringsfaciliteit heeft waarbij (net als Tor) de transmissie via willekeurige derden in het netwerk verloopt. En zoals dat gaat in Duitsland, stuur je dan een claimbrief en pak je door als het antwoord je niet bevalt.

De rechtbank begint met vast te stellen dat de gedaagde niet zelf auteursrechten schendt of daar medeplichtig aan is. Klaar, zou je zeggen. Maar nee, hij is wél aansprakelijk onder de gewone regels van de onrechtmatige daad, want:

Indem es der Antragsgegner anderen Teilnehmern des RetroShare-Netzwerks ermöglichte, seinen Anschluss zur Weiterleitung des streitgegenständlichen Titels zu benutzen, hat er für die angegriffene Verletzung gleichwohl einen adäquat-kausalen Tatbeitrag geleistet.

Oftewel: als jij een situatie schept waarin mensen auteursrechten kunnen schenden, en dat gebeurt, dan draai jij op voor de consequenties. Een vorm van gevaarzetting, als het ware. Als deze node er niet was geweest, dan had de schending niet plaatsgevonden en dus mogen we jou aansprakelijk stellen. Daar zit ergens wel wat in, maar het houdt compleet geen rekening met de werkelijkheid dat dat uitwisselen tóch wel gebeurt, ook als deze node er niet was geweest. Dus of je dan nog kunt spreken van een causaal onmisbare schakel?

Tevens pakt de rechtbank een eerdere uitspraak van de hoogste Duitse rechter erbij: als aanbieder van een Wifi-netwerk ben je aansprakelijk voor misbruik daarvan, als je niet genoeg gedaan hebt om dat misbruik te voorkomen. Die lijn kun je doortrekken naar mensen die software als Retroshare inzetten:

Gemessen daran ist dem Antragsgegner eine Prüfpflichtverletzung vorzuwerfen, denn er hat bewusst eine Software eingesetzt, die es anderen Teilnehmern des RetroShare-Netzwerkes ermöglichte, rechtswidrig Dateien über seinen Anschluss öffentlich zugänglich zu machen, ohne dass er dies in irgendeiner kontrollieren konnte.

Oftewel: wie software aanzet waarmee rechten geschonden kunnen worden en daarbij geen enkele maatregel inbouwt of neemt om schendingen zelfs maar te verminderen, is aansprakelijk als er vervolgens inbreuken plaatsvinden. En ja, dat geldt dus ook als je niet kunt zien wat er wordt uitgewisseld omdat alles encrypted is. Daarom moet meneer op straffe van een dwangsom verhinderen dat het nog een keer gebeurt. En de enige reële manier om daaraan te voldoen is de stekker eruit.

Dit is dus precies waarom we eind jaren negentig een beperkte aansprakelijkheid voor internetdienstverleners hebben ingevoerd, want deze redenering kun je 1-op-1 loslaten op accessproviders. Die doen immers ook niets om inbreuken door hun gebruikers tegen te gaan. Maar om voor mij onverklaarbare redenen komt die aansprakelijkheidsbeperking totaal niet aan de orde in dit vonnis. In die uitspraak van het hoogste Duitse hof werd alleen geoordeeld dat een Wifi-aanbieder geen provider is, maar mijn Duits zal wel niet goed genoeg zijn want ik snap ‘m niet. En van deze Engelstalige Duitse blog begrijp ik dat die uitspraak nu al leidt tot een roep om duidelijke coverage van Wifi-aanbieders zoals hotels of congresorganisatoren.

Persoonlijk zie ik niet hoe je niet onder die definitie kunt vallen. De eis is dat je niet filtert en je niet actief bemoeit met de inhoud, daar voldoet deze meneer evident aan. Hooguit zou je discussie kunnen krijgen over de vraag of wel sprake is van een “dienst van de informatiemaatschappij”. Als je zegt “alleen bedrijven kunnen diensten leveren” dan verklaar je dus burgers die zelf iets leveren juridisch buiten die bescherming. Maar het wil er bij mij niet in dat dát de bedoeling zou zijn geweest.

Arnoud

Het bewijs wordt geleverd door het controlepaneel

Een lezer vroeg me:

Bij mijn webhoster heb ik een controlepaneel waarmee ik mijn domeinnamen en sites kan beheren. Laatst bleek er echter ineens een domeinnaam verdwenen uit de lijst. Deze was opgeheven volgens de provider, en dat had ik goedgekeurd via het controlepaneel, zo bleek uit hun logs. En die waren “dwingend bewijs”, zeggen ze. Maar ik heb niets gedaan! Hoe kan ik nu bewijzen dat hun controlepaneel het fout heeft?

Hoofdregel uit het bewijs is dat degene die een bepaald gevolg claimt, de oorzaak moet bewijzen. In dit geval zegt de provider dat ze de domeinnaam niet meer actief hoeven te houden, dus moeten zij bewijzen dat er een opdracht tot opheffen gekomen is.

De provider beroept zich op het controlepaneel, waarmee de klant de opdracht tot opheffen kan geven. Op zich is dat een prima manier: de logs van zo’n paneel leggen objectief vast wat er is gedaan, en daaruit kun je (rechts)gevolgen afleiden.

Veel providers versterken hun situatie nog meer door in de algemene voorwaarden te bepalen dat bepaalde logs of registraties dwingend bewijs zijn. Dat wil zeggen, wat daarin staat is de enige waarheid. Je kunt zelfs zo ver gaan om tegenbewijs uit te sluiten.

Mag dat? Niet snel. Bij consumenten staat dit op de zwarte lijst:

[een beding] dat de bevoegdheid van de wederpartij om bewijs te leveren uitsluit of beperkt, of …

Bij zakelijke contracten geldt de zwarte lijst niet, maar ook bij zakelijke contracten kan een algemene voorwaarde worden aangevochten als deze al te evident onredelijk is. En dat zal hier snel wel opgaan denk ik. Want de wet bepaalt al (art. 151 Rv) tegen dwingend bewijs tegenbewijs openstaat.

Het wordt alleen wel moeilijk want meestal ís er niets, afgezien van de logs van dat controlepaneel. Dus hoe ga je dan bewijzen wat er is gebeurd?

Gelukkig kwam men er hier snel uit: de bug bleek reproduceerbaar en met een schermfilmpje van hoe ineens de domeinnaam verdween was de provider snel overtuigd. Maar als zoiets er niet is, of als het een eenmalig freak incident was, dan wordt het toch moeilijk.

Arnoud

Kan een hoster een schadeclaim bij zijn klanten leggen voor overlast?

Een lezer vroeg me:

Naar aanleiding van je recente blog over omgaan met overlast door hostingklanten vroeg ik me af wat ik kan doen met de schade die mij als hoster het oplevert als ik klantoverlast moet gaan oplossen. Het kost me tijd immers om de rommel op te ruimen, bijvoorbeeld het legen van de mailqueue of het proberen afgemeld te worden bij de spamblacklists. En ik heb ook reputatieschade als het openbaar wordt dat een klant van mij dit deed. Kan ik deze verhalen?

Als een klant de regels van het contract schendt, dan kun je als hoster zeker je schade verhalen op die klant. Het probleem is alleen (zoals altijd): wat is je schade? Je kunt niet zomaar een getal uit je duim zuigen, je moet met bonnetjes onderbouwen wat het je gekost heeft. En dat zal niet meevallen bij hosting.

De tijd die je als hoster kwijt was om de rommel op te ruimen is wellicht een aanknopingspunt. Maar een gegeven dat dit altijd mag, is het niet. Het is namelijk ook gewoon je werk om te zorgen dat de systemen netjes werken, dus het zal niet meevallen de tijd specifiek voor deze rommel opruimen te scheiden van de tijd voor algemeen systeembeheer.

Een andere insteek is het “positief contractsbelang”, zeg maar het geld dat je had gekregen als men wél netjes de overeenkomst was nagekomen. Dat zijn dus de vaste maandelijkse kosten (maar natuurlijk niet de heffingen voor gigabytes boven de fair use limieten). Bij consumenten mag dit overigens niet zomaar, omdat het verboden is consumenten een onevenredig hoge schadevergoeding op te leggen bij ontbinding.

Praktisch gezien kun je als hoster veel discussie voorkomen door een boeteclausule op te nemen in je algemene voorwaarden. Hierin zet je dan specifieke bedragen op bepaalde overtredingen, en die bedragen dienen dan ter compensatie van je eigen overlast. Je mag dan niet meer én de boete én de schade vorderen. En als je zegt dat iemand iets moet doen op straffe van een boete, dan kun je niet de boete eisen en oók eisen dat hij alsnog dat iets gaat doen.

Het valt me op dat boetebedingen erg zeldzaam zijn in hostingvoorwaarden. Hier en daar zie ik wel “administratiekosten” bij zaken als afsluiten wegens overlast, maar echt expliciete clausules met “Indien klant X doet is hij een direct opeisbare boete van E verschuldigd” zie ik eigenlijk nooit. Je vraagt je af waarom. Omdat ze de constructie niet kennen? Omdat ze denken dat de klant dat te onvriendelijk vindt? Omdat in de VS zulke boetes zelden legaal zijn en iedereen bij de Amerikaanse collega’s inspiratie haalt? Omdat de KVK-modelvoorwaarden die clausule niet hebben?

Arnoud

Is onze vereniging een internetprovider?

internet-scouting.pngEen lezer vroeg me:

Sinds kort hebben wij internet in ons scoutinggebouw en wij waren benieuwd waar wij ons wettelijk aan moeten houden op het moment dat wij internet aan gaan bieden aan groepen en individuen, die ons scoutinggebouw huren.

Hij is niet de eerste die me de vraag stelde: ook cafés, bibliotheken, bedrijvengebouwen en allerlei andere clubs en instanties die internet willen bieden aan bezoekers, worstelen met de vraag waar ze zich aan moeten houden.

De belangrijkste vraag als je internet gaat aanbieden, is aan welke groep je dat gaat doen. Wanneer die groep neerkomt op “eigenlijk heel Nederland”, dan krijg je te maken met de Telecommunicatiewet. Deze bepaalt namelijk dat mensen die “in het openbaar” internet aanbieden, zich moeten registreren. Ook moeten ze dan aan allerlei eisen voldoen, zoals het aftapbaar maken van hun netwerk en zorgen dat ze aan de wet bewaarplicht voldoen. Het maakt hierbij niet uit of je geld vraagt voor de toegang tot internet of niet.

In de SURFnetzaak werd echter bepaald dat wanneer men internettoegang beperkt tot een “voldoende afgebakende groep” (zoals studenten van hoger onderwijs), je niet onder deze wet valt. Vorig jaar hadden we nog de nodige ophef over hotels als internetaanbieder, maar dat liep met een sisser af. Wie de toegang beperkt tot “leden van onze vereniging” of “klanten/bezoekers van onze faciliteit” zou dan ook niet tegen de Telecommunicatiewet moeten aanlopen.

Een ander punt van zorg is aansprakelijkheid. Die leden, klanten of bezoekers gaan wellicht gekke dingen uithalen, en dan komt de politie (of stichting Brein of andere procedeergrage figuren) natuurlijk in eerste instantie bij de organisatie uit. Gelukkig is daar een wettelijke regeling voor: wie slechts passief toegang tot internet biedt, en niet gaat filteren of redactioneel selecteren wat mensen wel of niet mogen doen, is niet aansprakelijk voor dat geïnternet.

Daarbij geldt overigens niet dat je verplicht bent om te weten wie je gebruikers zijn of wat ze doen. Je hoeft dus niet te loggen of identificatie te vragen van mensen die je netwerk op willen. Het kan wel verstandig zijn, al was het maar omdat het afschrikt of je de mogelijkheid biedt om mensen gericht af te sluiten omdat ze de dienst misbruiken.

Als je echter gaat loggen en met name als je persoonsgericht gaat monitoren of filteren, dan kom je in de privacygevarenzone: de Wet bescherming persoonsgegevens verbiedt het arbitrair volgen of monitoren van personen, ook als ze jouw internetverbinding gebruiken. Op zijn minst moet er dan een reglement zijn dat zegt wat je allemaal doet en wanneer mensen gemonitord worden. Maar “ik mag alles en wel altijd” is daarbij géén acceptabele formulering. Persoonsgericht monitoren mag alleen bij een duidelijke concrete aanleiding.

Blokkeren of filteren van bronnen van ongewenst verkeer is daarentegen wel legaal én verstandig. Je bent niet verplicht om ongefilterd internet aan te bieden. Ook de regeling over aansprakelijkheid schrijft niet voor dat je alles moet doorlaten. Een generieke blokkade (bijvoorbeeld de dienst MSN of het netwerk Tor) tast je positie niet aan.

Er zijn technisch allerlei slimme trucs om het aanbieden van internet te faciliteren en te beveiligen. Denk aan aparte netwerksegmenten of wachtwoorden die na een half uur vervallen, of het geautomatiseerd afknijpen van mensen die te veel downloaden. Daar hebben jullie meer verstand van dan ik 😉 maar dergelijke trucs toepassen is legaal. Dat is immers geen persoonsgericht monitoren.

Arnoud<br/> Afbeelding: Internet Scouting, dat me overigens niet de vraag stelde.

Mijndomein wint ook in hoger beroep van konijn

nijntje-nijn-eleven.pngDe “Nijn-Eleven”-tekening is een rechtmatige parodie, aldus het Gerechtshof Amsterdam eerder deze week. De uitgeverij van de kinderboeken met het schattige konijn had internetprovider Mijndomein aangeklaagd toen deze een aantal grappig bedoelde spotprenten over het dier niet wilde verwijderen. In eerste instantie won Mijndomein over vijf van de zeven afbeeldingen, maar verbood de rechter juist de grappigste. Het Hof vindt nu echter ook deze door de beugel kunnen.

Eind 2009 had Mercis, de uitgever van de Nijntje-kinderboeken, hostingprovider Mijndomein voor de rechter gesleept omdat deze geen gehoor hadden gegeven aan een sommatie tot weghalen van zeven tekeningen waarin Nijntje op de hak werd genomen. Deze zouden het auteursrecht van Dick Bruna schenden. Mijndomein (overigens een klant van mijn bedrijf; ze werden hier bijgestaan door Kennedy van der Laan) vond deze klacht niet terecht: deze tekeningen vielen onder de parodie-uitzondering en daarmee zijn ze geen inbreuk op het auteursrecht. En als er geen inbreuk is, hoeft er ook niets weggehaald te worden.

De rechter was het daar in december 2009 grotendeels mee eens, maar verbood wél twee van de zeven tekeningen omdat die de grenzen van de parodie-uitzondering te buiten gingen. Deze tekeningen waren namelijk niet zelfgemaakte imitaties maar copypastewerk uit een originele Nijntje-tekening. De bekende Nijn-Eleven cartoon is bijvoorbeeld gewoon een kopie van Nijntje vliegt met twee flatgebouwen in de Bruna-stijl. Omdat je voor een parodie niet meer mag overnemen dan nodig is om je punt te maken, vond de rechter dit te ver gaan. Oftewel: je mag wel parodiëren maar dan moet je zelf tekenen, niet copypasten.

Het Hof vernietigt deze redenering. Het gaat er niet om of je copypaste dan wel zelf tekent, het gaat erom of je aan het bespotten dan wel grappenmaken bent. Dat kan prima door een gecopypasted origineel te bewerken, zoals in de Nijn-Eleven cartoon is gebeurd. En daarmee zijn alle zeven cartoons toelaatbaar:

Dat gebruik is, objectief bezien, in overeenstemming met hetgeen naar de regels van het huidige maatschappelijk verkeer redelijkerwijs geoorloofd is, ook indien daarbij in aanmerking wordt genomen dat Bruna zich als geestelijk vader van Nijntje erdoor beledigd voelt, in verband waarmee hij zijn hierna nog te bespreken persoonlijkheidsrechten in het geding brengt. Aan Mercis c.s. kan worden toegegeven dat niet iedere als “humor” gepresenteerde associatie van Nijntje met drugs, seks, terrorisme, racisme, of andere onderwerpen die niet als “braaf” worden beschouwd, een toelaatbare parodie oplevert.

Ook had Mercis zich beroepen op de merkenrechten op het hoofd van Nijntje. Een gedeponeerd merk mag je niet zomaar gebruiken, ook niet voor nietcommerciële doelen, zo staat in de merkenwet. Maar bij een parodie is er óók onder de merkenwet ruimte. Deze parodieën hadden een humoristische bedoeling, concurrentiemotieven ontbraken en geen mens zal denken dat deze tekeningen van Bruna zelf zijn. Daarmee is er geen kans op verwarring (en profiteren daarvan) en dus is er geen sprake van merkinbreuk.

Mercis moet niet alleen de cartoons tolereren maar ook de advocaatkosten van Mijndomein betalen – een dikke 35 duizend euro.

Meer hele sterke Nijntjeparodieën bij Retecool.

Arnoud

Wat moet een provider doen bij een DDoS-aanval op de server van een klant?

Een lezer vroeg me:

Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen op mijn machine. Ook zeggen ze dat het voor hen ondoenlijk is om maatregelen te nemen. Maar ik neem bij hen toch een dienst af, kan ik ze dan niet verplichten in te grijpen als de dienst niet goed werkt?

De plichten die de provider heeft, volgen primair uit het contract. De vraag is dus wat daar instaat over abuse en filteren. En als er niets staat, moet je uit de aard van het contract afleiden wiens verantwoordelijkheid dit moet zijn. Bij een eigen colocated server ben je als klant zelf verantwoordelijk voor het beheer; de plichten van de provider houden op bij de netwerkstekker. De vraag wordt dan dus, is een DDoS-aanval iets dat de stekker raakt of pas het apparaat waar die stekker in zit?

De klant kan zelf blokkeren op een eigen firewall maar dan zit zijn inkomende netwerkverkeer nog steeds vol. Droppen aan de buitenkant (netwerk van de ISP) is efficiënter, zeker, maar hoe weet de ISP dan welke adressen ze moeten droppen?

Een DDOS aanval zou ik eerder als iets van buitenaf zien, net zoals een hagelstorm. Je kunt het niet voorkomen, je kunt alleen de impact beperken. En dan wordt de vraag dus, wat moet een ISP doen om die impact te beperken. Zij hebben een zorgplicht, net zoals een huisbaas moet zorgen voor een goed dak in een huurhuis. Maar dat houdt ergens op: een hagelstorm met tennisbalformaat hagelstenen die onder een hoek van 45 graden binnenkomt en je kelderruitje eruit gooit, is overmacht. Je kunt dan geen vergoeding van je huisbaas eisen.

Verder speelt altijd de vraag tussen kosten en baten een belangrijke rol. Een dure maatregel tegen een uitzonderlijk probleem is niet billijk en hoeft niet te worden ingevoerd. Een goedkope maatregel tegen een routineprobleem moet er altijd zijn. En daartussen is het grijze gebied waar advocaten zich in thuisvoelen.

Ook speelt mee welke opvattingen er in de markt heersen: als iedereen vindt dat de klant dit moet doen, dan kun jij niet zomaar van de ISP eisen dat hij het oplost. Als de heersende mening is dat de ISP dit moet doen, dan kun je eisen dat jouw provider dat ook gaat doen.

Het is ontzettend moeilijk om iets te doen aan DDoS-aanvallen. Een tijd geleden las ik een uitgebreide review bij Tweakers over de technieken en mogelijkheden om het tegen te gaan. Maar fundamenteel is het nauwelijks op te lossen: er komt een berg verkeer binnen en dat moet je filteren.

Arnoud

Wat mag een provider nog als netneutraliteit wet wordt?

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de Eerste Kamer is nu gewoon beschikbaar. Welke regels gelden er nu voor internetproviders?

Het belangrijkste artikel over netneutraliteit is artikel 7.4a geworden. Dit stelt in klare taal (nou ja, voor juristen dan): aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet. Het gaat dus specifiek en alleen over internettoegang, voor andere diensten (bijvoorbeeld telefonie of televisie) geldt dus geen netneutraliteit. (Opmerkelijk genoeg bevat het wetsvoorstel geen definitie van ‘internet’, terwijl de Telecommunicatiewet zo ongeveer elk woord definieert dat erin voorkomt.)

Natuurlijk zijn er uitzonderingen op deze algemene regel. Deze zijn beperkt geformuleerd:

  1. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
  2. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
  3. om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend;
  4. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

(In de wetstekst staat nog een item e. Dat is het SGP-amendement over filters met ideologische motieven, maar dat is ondertussen via een lompe hack er weer uit gehaald.)

Item a roept natuurlijk de vraag op wat “gelijke soorten verkeer” dan wel zijn. Skype is niet gelijksoortig met e-mail, en Youtube niet met Nu.nl. Het afknijpen van bijvoorbeeld streaming video via internet is dan ook toegestaan bij congestieproblemen, mits maar alle streamingvideodiensten worden afgeknepen en niet alleen die van de concurrentie. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Item b gaat erg belangrijk worden voor providers die maatregelen willen nemen tegen malware en inkomende of uitgaande hackpogingen. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

Item c stelt kort gezegd dat een spamfilter alleen nog mag als de klant daar expliciet mee ingestemd heeft. Wat mij betreft had dat niet gehoeven; spam is categorisch verboden in artikel 11.7 Telecommunicatiewet, en het lijkt me geen probleem om toe te staan dat verboden ongevraagde communicatie sowieso geblokkeerd mag worden. Maar het is wel netjes en principieel juist natuurlijk. Al snap ik niet waarom spam wel en malware niet deze uitzonderingspositie krijgt.

Ook erg belangrijk is lid 3 van dit wetsartikel:

Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Effectief mag een aanbieder dus alleen nog op de hoeveelheid dataverkeer afrekenen. Een “onbeperkt / fair use”-constructie kan denk ik ook nog wel, hoewel ik erbij blijf dat deze snel een oneerlijke handelspraktijk oplevert. Andere afrekenmodellen voor internetproviders kan ik niet echt bedenken. Ja, hij mag de up- en/of downloadsnelheid in het algemeen differentiëren (een supersneldownloadpakket of een goedkoop pakket voor mailende moeders – hoi mam!). Maar iets anders kan ik niet bedenken; wie het weet mag het zeggen!

Aanverwant is het nieuwe artikel 7.6a, dat beperkingen oplegt aan de gronden voor opzeggen van een internetabonnement door de provider. Kort gezegd mag dat alleen nog

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Dit artikel is bedoeld om “lichtvaardig afsluiten” van klanten te kunnen blokkeren. Een internetprovider kan dus niet meer eigen regels verzinnen in de algemene voorwaarden en mensen op grond daarvan afsluiten. En ook is het hiermee onmogelijk geworden om mensen af te sluiten die auteursrechten schenden, tenzij een rechter oordeelt dat dit een gepaste sanctie is.

In het geval van bedrog (bijvoorbeeld een vals adres opgeven) heeft de provider de bewijslast: hij moet schriftelijk de klant informeren en hem een redelijke termijn gunnen om te reageren. Pas als daar niets uit komt, mag de provider tot afsluiting overgaan.

Bij het niet-betalen geldt overigens dat de provider nog steeds niet meteen mag afsluiten. De gewone regels van niet-nakoming gelden ook hier. De abonnee moet eerst in gebreke zijn gesteld en krijgt hij de gelegenheid het gebrek te herstellen en alsnog aan zijn betalingsverplichting te voldoen. (Waarom er dan niet gewoon gezegd is “de abonnee in verzuim is met zijn betalingsverplichting” in plaats van het generieke woord “tekortkoming”, weet ik niet. Voer voor iemands afstudeerscriptie.)

De regels over netneutraliteit treden niet meteen in werking. Ze gaan pas gelden voor abonnementen die een jaar na inwerkingtreding van de wet actief zijn. Ik ben benieuwd of KPN en collega’s dan ook tot die tijd gaan wachten met de aangekondigde prijsverhogingen. Vodafone in ieder geval niet.

Heel veel stof tot lezen dit, en de exacte implicaties zullen nog heel wat discussie geven. Misschien moest ik er maar eens een studiemiddag of workshop over organiseren. Zouden jullie daarbij willen zijn? En welke concrete vragen moeten we dan behandelen?

Arnoud

Geen netneutraliteit voor de hele EU: een gemiste kans (gastpost)

netneutraliteit.pngVanwege de Paasvakantie ben ik vandaag offline (voor zover dat bij mij mogelijk is). Daarom vandaag een gastpost van mijn collega Matthijs van Bergen.

Amerika heeft vorig jaar na een ruim vijf jaar durend heftig publiek debat eindelijk een regeling voor netneutraliteit aangenomen en volgde daarmee Chili en Noorwegen. In Europa is recentelijk besloten om dat nog niet te doen, althans niet centraal via een richtlijn die de lidstaten daartoe zou verplichten (al lijkt de titel van het persbericht te suggereren dat men het wel wil; doe dat dan ook echt). Dat is een gemiste kans, aangezien netneutraliteit een cruciaal ontwerpprincipe is van het internet en er reeds voorbeelden zijn van schendingen, ook in Nederland, en ISP’s hun voornemens tot schending niet onder stoelen of banken steken.

De EU mikt vooralsnog alleen op transparantie en makkelijk switchen een laat een optie open voor lidstaten om minimumkwaliteitseisen te stellen. Een aardig begin, maar toch half werk. Een eenvoudige en noodzakelijke minimumkwaliteitseis in de vorm van netneutraliteit had reeds kunnen worden ingevuld om de Europese internetmarkt adequaat te harmoniseren, maar helaas is dat dus nog niet gebeurd.

Terwijl telco’s en hun economen er goed in zijn om netneutraliteit heel ingewikkeld te maken, zo goed dat men er kennelijk in is geslaagd om de Europese Commissie genoeg schrik aan te jagen dat zij zich er niet aan durft te branden, leek het mij aardig om juist eens te proberen zo Jip-en-Janneke mogelijk en zelfs voor mensen zonder enig benul van internet en hoe dat werkt, begrijpelijk uit te leggen wat netneutraliteit is en waarom uitzondering daarop alleen maar in heel beperkte gevallen toelaatbaar is.

Netneutraliteit ‘4 dummies’

De rol van een internetprovider in de informatiemaatschappij kan worden gezien als een digitale vrachtvervoerder. Op het internet bestaat alle informatie namelijk uit pakketjes met data die van A naar B moeten worden versleept.

Stel dat de offline wereld geen enkel elektronisch communicatiemiddel kende, dan zou iedere lange-afstandscommunicatie per (pakket)post moeten gebeuren. Stel dat er een netwerk van vrachtvervoerders zou zijn, ieder met een beperkt geografisch gebied waar zij kunnen komen. De vrachtvervoerders hebben onderlinge overeenkomsten om post die naar een eindbestemming buiten het eigen gebied moet, binnen hun eigen gebied zo ver mogelijk richting eindbestemming te brengen en dan over te geven aan de volgende aangesloten vrachtvervoerder, net zo lang totdat de eindbestemming is bereikt. Iedere bewoner van deze wereld, kan uit ongeveer twee tot zes vrachtvervoerders één kiezen om (voor een jaar lang) tegen betaling al zijn pakketjes te bezorgen, die volgens het hierboven omschreven systeem tussen zijn huis en eindbestemmingen over de hele wereld kunnen worden bezorgd.

‘Post’neutraliteit (ja, netneutraliteit dus) is het behandelen van alle pakketjes op basis van wie het eerst komt, wie het eerst maalt. Een uitzondering op ‘post’neutraliteit bestaat dan ook als de vrachtvervoerders de pakketjes niet meer op ‘fifo’-basis behandelen, maar de pakketjes prioriteren of zelfs weggooien op basis van hun eigen oordelen en voorkeuren wat betreft de verzender, de eindbestemming of het soort pakketje. Alle pakketjes zijn even zwaar en even groot, en dus even duur om te vervoeren, maar uit de vorm van het pakketje en het afzenders- en bestemmingsadres kan enigszins worden afgeleid of het bijvoorbeeld een liefdesbrief betreft of een reclamefolder.

Het zou kunnen zijn dat deze vrachtvervoerders nu eenmaal beperkte capaciteit hebben en het liefst zoveel mogelijk klanten zo goed mogelijk tevreden stellen door pakketjes te prioriteren op basis van hun inschatting van hoeveel haast deze zullen hebben en door klanten te helpen in het weren van ongewenste reclamefolders en door ze te beschermen tegen grapjassen die pakketten met rotjes (virussen) versturen. Mits zij die inschatting goed maken, kan dat inderdaad erg nuttig zijn.

Maar zou het acceptabel zijn dat de vrachtvervoerders pakketjes met liefdesbrieven weg zouden gooien uit morele overwegingen? Of sommige pakketjes vertraagd zouden gaan bezorgen, ook bij voldoende capaciteit? Of pakketjes weg zouden gooien die misschien ongewenste reclame bevatten, maar waarvan dat niet met enige zekerheid kan worden gezegd? Of voor sommige pakketjes extra betaling te vragen, die voor een klant inhoudelijk erg belangrijk zijn maar voor de vervoerder geen cent extra kosten om te bezorgen? Of als een vrachtvervoerder post afkomstig van een bepaalde afzender alleen naar de eindbestemmingen die alleen hij kan bereiken wil sturen, als de afzender hem daarvoor betaalt, terwijl de eindbestemmingen die vrachtvervoerder al hebben betaald om alle aan hen geadresseerde pakketjes bezorgd te krijgen?

Prioriteren en weggooien van bepaalde pakketjes kan dus soms gerechtvaardigd kan zijn, maar is dat meestal niet.

En waar de Europese Commissie niet eenvoudig heeft gesteld dat het prioriteren of weggooien van pakketjes steeds een legitiem doel moet hebben en proportioneel moet zijn aan dat doel, omdat men kennelijk vertrouwt dat marktwerking er wel voor zorgt dat de vrachtvervoerders voldoende in het belang van de klanten handelen, denk ik: ‘oh is dat dezelfde marktwerking die ervoor zou zorgen dat telco’s fatsoenlijke helpdesks zouden hebben? En geen buitensporige roamingtarieven zouden hanteren? Hoewel meer marktwerking via transparantie en makkelijker overstappen een aardig begin is, is het dus toch zeer zeker half werk.

Ruimte voor verbetering

Gelukkig laat de Europese aanpak wel ruimte aan lidstaten om het halve werk toch af te maken en een robuuste regel te maken die het blokkeren en vertragen van legaal verkeer gewoon verbiedt tenzij er een heel goede reden voor het vertragen of blokkeren is aan te geven, zoals het bestrijden van virussen of als bij hoge congestie een mailtje vertraagd moet worden om voorrang te geven aan bijvoorbeeld VoIP-verkeer. Ik zie het als een kans voor Nederland om behalve met het op één na grootste internetknooppunt ter wereld (AMS-IX) ook met netneutraliteit voorop te lopen.