Europese Hof verklaart bewaarplicht telecomproviders illegaal

| AE 6548 | Privacy | 20 reacties

vpn-private-network-tunnel-bewaarplicht.pngHet Europese Hof van Justitie oordeelt in een dinsdag gepubliceerd arrest (C-293/12 en C-594/12) dat de Richtlijn die de bewaarplicht regelt ongeldig is, meldde Tweakers gisteren. De Richtlijn is in strijd met het grondrecht op privacy van de burger, omdat er te weinig waarborgen ingebouwd zijn en er geen garantie is dat de bewaarde gegevens alleen voor strikt noodzakelijke doelen worden gebruikt.

De Richtlijn “betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken” of iets korter de Richtlijn Bewaarplicht bepaalde dat telecomproviders verkeersgegevens en andere metadata van hun klanten moesten bewaren. Dit ter bestrijding en vervolging van ernstige misdrijven en terrorisme. Over deze wet is al veel gezegd, hoewel weinig positiefs. Het gedrocht van een wet verplichtte internetproviders tot het bewaren van zo ongeveer alle gelogde metadata, van IP-adressen en tijdstippen online komen tot het e-mailverkeer (headers, geen inhoud) van de mail die je via je provider verstuurt. Wat je hebt aan die berg data en vooral hoe makkelijk je als crimineel deze wet omzeilt, was vanaf dag 1 een grote discussie. En dat ondertussen die berg data een gigantische privacyschending opleverde, leek daarbij voor de wetgever nooit echt relevant.

Het Hof van Justitie verwijst nu deze wet naar de prullenbak. De redenering laat mooi zien aan welke eisen een inbreuk op de privacy moet voldoen om juridisch toegestaan te zijn. Privacy is een grondrecht (art. 8 EVRM), en grondrechten mogen niet worden geschonden. Echter, soms moeten grondrechten wijken voor andere rechten. De grondwetgeving kent daarvoor een stappenplan, dat kort gezegd vereist dat er een wettelijke basis is, dat de wet voor een legitiem doel wordt ingezet en dat dit wijken van het grondrecht echt noodzakelijk is gezien dat doel.

De wet bewaarplicht is een wet, dus er is een wettelijke basis. Deze eis klinkt triviaal, maar het gebeurde vroeger nog wel eens dat een grondrecht werd ingeperkt enkel op basis van een bevel van een opsporingsambtenaar of andere regeling waar geen wetgevend orgaan naar gekeken had.

De wet moet een legitiem doel dienen, en wel een doel dat bij het grondrecht is genoemd als legitiem. Eén van de genoemde doelen bij privacy is de bescherming van de nationale veiligheid, en dat biedt voor de wet bewaarplicht dus een doel. Ook de volksgezondheid of bescherming van rechten van anderen worden genoemd; het moeten afgeven van NAW-gegevens van je klant is bijvoorbeeld te legitimeren onder dat laatste (om mensen tegen anonieme smaad te beschermen).

De wet moet noodzakelijk zijn voor het doel, oftewel mag niet verder gaan dan nodig is om dat doel te dienen. Juristen gebruiken hierbij vaak de termen proportionaliteit en subsidiariteit: de inbreuk op de persoonlijke levenssfeer mag niet onevenredig zijn, en het doel van deze wet kan in redelijkheid niet op een andere voor betrokkene minder nadelige wijze worden bereikt. En dit is waar deze wet over struikelt. Het probleem met deze wet is, aldus het Hof, dat

de omvangrijke en bijzonder ernstige inmenging in de betrokken grondrechten niet voldoende ingeperkt om te garanderen dat deze inmenging daadwerkelijk tot het strikt noodzakelijke beperkt blijft.

Immers, alle gegevens van alle burgers worden bewaard, en dat riekt naar onevenredig inbreuk maken op de privacy. Kan het niet een onsje minder, hoezo is er geen selectie mogelijk op welke gegevens of wanneer? Ook zijn er te weinig waarborgen om te voorkomen dat opsporingsdiensten of anderen gaan grasduinen in bewaarde gegevens, voor andere doelen dan die bestrijding van ernstige criminaliteit. Zo mochten in 2012 private partijen gebruik maken van verplicht bewaarde NAW-gegevens om auteursrechtschendingen aan te pakken.

Wat betekent dit nu voor de Nederlandse Wet bewaarplicht? Da’s een goeie. Die wet is gebaseerd op de Richtlijn, sterker nog is ingevoerd omdat de Richtlijn zei dat dat moest. Maar formeel staat een wet los van een Richtlijn. Hij is dus niet automatisch ongeldig verklaard.

Wel staat handhaving van de wet nu op losse schroeven, omdat het Hof van Justitie immers heeft bepaald dat dit bewaren in strijd is met de grondrechten. En je hoeft als burger (of bedrijf) niet naar een wet te luisteren als die je dwingt grondrechten te schenden. Een provider kan nu dus weigeren te bewaren, en de boete aanvechten onder verwijzing naar dit arrest. De rechter zou dan de wet in strijd met hoger recht (Europese grondrechten) moeten verklaren. In de praktijk is deze wet door dit arrest een dode letter geworden. Hiep hoi!

Arnoud

De belseconde moet terug!

| AE 4740 | Innovatie | 24 reacties

OPTA wijst telefonieproviders erop dat ze per 1 januari ten minste één abonnement moeten aanbieden met bellen per seconde in plaats van per minuut, en zonder starttarief, las ik bij Webwereld. Naast de netneutraliteitswet (en de omgekeerde bewijslast bij de cookiewet) treedt dan ook de belsecondewet in werking. Of nou ja, ik noem het maar belsecondewet maar net als netneutraliteit en cookies gaat het in feite om één artikel uit de Telecommunicatiewet. Maar “artikel 7.2a lid 4 Telecommunicatiewet” bekt zo slecht.

Toen ik nog een klein nerdje was, moest ik online met een tikkenteller (zie foto) die per zo veel seconde een tik registreerde, waarna ik het bijbehorende tarief bij m’n ouders afrekende. Dat werd op zeker moment bellen per seconde, en in 2010 gingen alle providers ineens volstrekt toevallig tegelijkertijd naar het afrekenen per minuut. Ook was er het starttarief (maar dat was dacht ik er ook al in mijn tikkentellertijd?) waardoor met name korte gesprekken ineens relatief duur werden.

Per 1 januari wordt het dus verplicht om ten minste één mogelijkheid te bieden om per seconde te bellen en zónder starttarief. En omdat telecomjongens héél handig zijn in creatieve interpretatie van zulke regels (“nu slechts 75 euro per seconde!”), moet die mogelijkheid “vergelijkbaar” zijn met de andere door de aanbieder aangeboden abonnementen.

Maar wat is “vergelijkbaar”? Daar zou zelfs Wim ten Brink even over moeten nadenken, maar de OPTA heeft onlangs een toelichting op artikel 7.2 lid 4 gepubliceerd waarin zij een poging doet. Als algemeen criterium hanteert OPTA dat de perseconde-dienst “een volwaardig en serieus alternatief [moet] zijn” voor de andere diensten.

Voor de bijdehante telecomjongens nog een keertje uitleg van wat “per seconde” inhoudt:

[Bellen per seconde] geldt dus meteen vanaf de eerste seconde en derhalve is het bij de voorgeschreven overeenkomst niet toegestaan de eerste minuut af te ronden. De gespreksduur in seconden in rekening brengen betekent naar het oordeel van het college dat de consument moet betalen voor wat hij feitelijk belt

Dus per seconde en niet “na de eerste minuut betaalt u per seconde” of “u betaalt per seconde, berekenend in blokken van 60” of dergelijke bijdehante kleine letters.

Of het aanbod vergelijkbaar is, kan afhangen van alle factoren die consumenten meenemen in hun abonnementskeuze. De duur, de maandkosten, houdbaarheid van belminuten, wel of niet een gratis dan wel leasetoestel, en ga zo maar door. U kunt uitgaan van het gemiddelde belprofiel van afnemers van uw meest afgesloten overeenkomst, suggereert de OPTA heel behulpzaam. Maar de OPTA doet géén uitspraken vooraf of een bepaald abonnement (of juist een prepaidopzet) voldoet aan de regels. Op basis van klachten bij Consuwijzer kan men beboetend optreden.

De uitdaging van vandaag: verzin een abonnement of prepaidaanbieding waarbij per seconde wordt afgerekend die lijkt te voldoen aan het “vergelijkbaar”-criterium en tóch een volslagen flop gaat worden.

Arnoud

Wat mag een provider nog als netneutraliteit wet wordt?

| AE 2611 | Ondernemingsvrijheid, Privacy | 35 reacties

dpi-deep-packet-inspectionRecent is netneutraliteit expliciet wettelijk vastgelegd. De Eerste Kamer moet er nog over stemmen, maar dat lijkt slechts een hamerstuk te gaan worden. Vorige week blogde ik over het gepuzzel met de cookiewet, die in hetzelfde wetsvoorstel is overgenomen. Puzzelen over de regels rond netneutraliteit hoeft niet meer, want het wetsvoorstel zoals aangeboden aan de Eerste Kamer is nu gewoon beschikbaar. Welke regels gelden er nu voor internetproviders?

Het belangrijkste artikel over netneutraliteit is artikel 7.4a geworden. Dit stelt in klare taal (nou ja, voor juristen dan): aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet. Het gaat dus specifiek en alleen over internettoegang, voor andere diensten (bijvoorbeeld telefonie of televisie) geldt dus geen netneutraliteit. (Opmerkelijk genoeg bevat het wetsvoorstel geen definitie van ‘internet’, terwijl de Telecommunicatiewet zo ongeveer elk woord definieert dat erin voorkomt.)

Natuurlijk zijn er uitzonderingen op deze algemene regel. Deze zijn beperkt geformuleerd:

  1. om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
  2. ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker;
  3. om de doorgifte van ongevraagde communicatie als bedoeld in artikel 11.7, eerste lid, aan een eindgebruiker te beperken, mits de eindgebruiker daarvoor voorafgaand toestemming heeft verleend;
  4. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

(In de wetstekst staat nog een item e. Dat is het SGP-amendement over filters met ideologische motieven, maar dat is ondertussen via een lompe hack er weer uit gehaald.)

Item a roept natuurlijk de vraag op wat “gelijke soorten verkeer” dan wel zijn. Skype is niet gelijksoortig met e-mail, en Youtube niet met Nu.nl. Het afknijpen van bijvoorbeeld streaming video via internet is dan ook toegestaan bij congestieproblemen, mits maar alle streamingvideodiensten worden afgeknepen en niet alleen die van de concurrentie. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Item b gaat erg belangrijk worden voor providers die maatregelen willen nemen tegen malware en inkomende of uitgaande hackpogingen. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

Item c stelt kort gezegd dat een spamfilter alleen nog mag als de klant daar expliciet mee ingestemd heeft. Wat mij betreft had dat niet gehoeven; spam is categorisch verboden in artikel 11.7 Telecommunicatiewet, en het lijkt me geen probleem om toe te staan dat verboden ongevraagde communicatie sowieso geblokkeerd mag worden. Maar het is wel netjes en principieel juist natuurlijk. Al snap ik niet waarom spam wel en malware niet deze uitzonderingspositie krijgt.

Ook erg belangrijk is lid 3 van dit wetsartikel:

Aanbieders van internettoegangsdiensten stellen de hoogte van tarieven voor internettoegangsdiensten niet afhankelijk van de diensten en toepassingen die via deze diensten worden aangeboden of gebruikt.

Effectief mag een aanbieder dus alleen nog op de hoeveelheid dataverkeer afrekenen. Een “onbeperkt / fair use”-constructie kan denk ik ook nog wel, hoewel ik erbij blijf dat deze snel een oneerlijke handelspraktijk oplevert. Andere afrekenmodellen voor internetproviders kan ik niet echt bedenken. Ja, hij mag de up- en/of downloadsnelheid in het algemeen differentiëren (een supersneldownloadpakket of een goedkoop pakket voor mailende moeders – hoi mam!). Maar iets anders kan ik niet bedenken; wie het weet mag het zeggen!

Aanverwant is het nieuwe artikel 7.6a, dat beperkingen oplegt aan de gronden voor opzeggen van een internetabonnement door de provider. Kort gezegd mag dat alleen nog

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

Dit artikel is bedoeld om “lichtvaardig afsluiten” van klanten te kunnen blokkeren. Een internetprovider kan dus niet meer eigen regels verzinnen in de algemene voorwaarden en mensen op grond daarvan afsluiten. En ook is het hiermee onmogelijk geworden om mensen af te sluiten die auteursrechten schenden, tenzij een rechter oordeelt dat dit een gepaste sanctie is.

In het geval van bedrog (bijvoorbeeld een vals adres opgeven) heeft de provider de bewijslast: hij moet schriftelijk de klant informeren en hem een redelijke termijn gunnen om te reageren. Pas als daar niets uit komt, mag de provider tot afsluiting overgaan.

Bij het niet-betalen geldt overigens dat de provider nog steeds niet meteen mag afsluiten. De gewone regels van niet-nakoming gelden ook hier. De abonnee moet eerst in gebreke zijn gesteld en krijgt hij de gelegenheid het gebrek te herstellen en alsnog aan zijn betalingsverplichting te voldoen. (Waarom er dan niet gewoon gezegd is “de abonnee in verzuim is met zijn betalingsverplichting” in plaats van het generieke woord “tekortkoming”, weet ik niet. Voer voor iemands afstudeerscriptie.)

De regels over netneutraliteit treden niet meteen in werking. Ze gaan pas gelden voor abonnementen die een jaar na inwerkingtreding van de wet actief zijn. Ik ben benieuwd of KPN en collega’s dan ook tot die tijd gaan wachten met de aangekondigde prijsverhogingen. Vodafone in ieder geval niet.

Heel veel stof tot lezen dit, en de exacte implicaties zullen nog heel wat discussie geven. Misschien moest ik er maar eens een studiemiddag of workshop over organiseren. Zouden jullie daarbij willen zijn? En welke concrete vragen moeten we dan behandelen?

Arnoud

Mag KPN abonnees wel extra kosten voor mobiele datadiensten opleggen?

| AE 2513 | Informatiemaatschappij, Ondernemingsvrijheid | 26 reacties

Een lezer vroeg me: Naar aanleiding van de plannen van KPN om bepaalde mobiele data diensten extra te belasten met een toeslag, vroeg ik me af of ze dat wel mogen doorvoeren. In mijn contract (met deze algemene voorwaarden) staat immers niets over dergelijke meerkosten. Kan ik ze bij de rechter verbieden deze toeslag op… Lees verder

De afsluitkosten ongedaan maken, het kan!

| AE 1951 | Informatiemaatschappij | 28 reacties

Weet u nog, dat verbod op afsluitkosten bij een internetcontract? Dat is sinds enige tijd verboden op grond van de Telecommunicatiewet. Toch blijken er nog genoeg telecombedrijven te zijn die dit doen. Een lezer berichtte me echter over een succes bij InterNLnet, waar hij met enig aandringen erin geslaagd was om zijn in rekening gebrachte… Lees verder

Hoe onbeperkt is “onbeperkt mobiel bellen en sms’en”?

| AE 1947 | Informatiemaatschappij | 62 reacties

Een lezer wees me op een aanbieding van Tringg voor “onbeperkt bellen en sms’en”, en zelfs de optie om onbeperkt mobiel te internetten. En inderdaad, de advertentie (zie screenshot hiernaast) zegt keihard “onbeperkt”. Maar kijk je iets verder op de site, dan zie je ineens een voetnootnummer, die verwijst naar een tekst met “Op de… Lees verder

Mag je van de Telecomwet bij een prijsverlaging je abonnement opzeggen

| AE 1632 | Informatiemaatschappij | 13 reacties

Via een lezer kreeg ik de interessante tip over een discussie bij iPhoneclub of je je telecomabonnement kunt opzeggen als de provider een prijsverlaging doorvoert. Dat lijkt een gekke reden, maar het kan natuurlijk zijn dat je al een tijdje van je abonnement afwilt en dan is zo’n prijswijziging immers een mooi excuus. iPhoneclub zocht… Lees verder

Rechtbank: SURFnet geen openbaar elektronisch communicatienetwerk

| AE 1550 | Informatiemaatschappij | 7 reacties

Weet u nog, die keiharde botsing tussen OPTA en SURFnet? Ik was het ook helemaal vergeten, maar gelukkig meldde ISPam het. SURFnet heeft bij de rechter gelijk gekregen: zij zijn geen openbare internetaanbieder en hoeven zich dus niet bij de OPTA aan te melden. Wie internet-toegang aanbiedt aan “het publiek”, moet zich registreren bij de… Lees verder

Is Surfnet een openbare Internetaanbieder?

| AE 339 | Informatiemaatschappij | Er zijn nog geen reacties

Planet meldt over een “keiharde botsing tussen Surfnet en de OPTA”. De OPTA is belast met het toezicht op de naleving van de Telecommunicatiewet. Openbare Internetproviders moeten zich aan allerlei regels uit die wet conformeren, waar besloten providers geen last van hebben. Surfnet biedt netwerkdienstverlening voor de aangesloten organisaties, en ziet zichzelf niet als een… Lees verder