Wie is aansprakelijk voor misbruik van je VoIP-centrale?

| AE 2662 | Security | 7 reacties

voip-telefonie.pngAls iemand inbreekt op je VoIP-centrale en je duizend euro aan belkosten oplevert, is dat dan jouw probleem of dat van je telefonieprovider? Een lastige vraag, die maar al te vaak tot grote conflicten kan leiden. In een recent vonnis uit Maastricht legt de rechter de bal -terecht- bij de klant, maar wel mede (vooral?) vanwege het feit dat het ging om een eigen server.

De klant had een contract voor het leveren van VoIP-telefonie. Hij gebruikte daarbij een “eigen” server, maar het is me niet duidelijk of dat betekent “zelf gekocht” of “in eigen beheer”. Ik vermoed het laatste.

Voor deze dienst betaalde de klant gemiddeld ” 33,50 per maand, en de factuur van april 2010 voor ” 1.028,06 was dan ook enigszins een verrassing. Deze bleek te verklaren door een inbraak op de server in maart. Daarbij hadden derden vanuit Roemenië via hun centrale 150 keer naar Zimbabwe en Somalië gebeld.

De klant betwistte dat zij deze duizend euro moest betalen. De leverancier zou haar zorgplicht hebben geschonden, omdat zij geen beveiligingsmaatregelen of software had ingebouwd ter bescherming van de klant. Ook had de leverancier nooit gewaarschuwd voor malafide organisaties die op andermans kosten kunnen telefoneren. Plus, er kon zomaar onbeperkt gebeld worden, en dat is ongebruikelijk: andere bedrijven stellen een bellimiet in of geven een waarschuwing wanneer een afwijkend belpatroon optreedt.

De rechter gaat daar niet in mee. De klant had zich kunnen beveiligen tegen inbraken in de server, maar heeft daarvoor geen stappen genomen. Nergens is uit gebleken dat de leverancier nalatig was met waarschuwen of iets dergelijks.

En wat andere bedrijven doen (bellimieten of waarschuwingen) is niet relevant: de wet verplicht niet tot het overnemen van maatregelen van je concurrent. Dat zou pas kunnen als de maatregel zó evident is dat je van grove nalatigheid zou spreken als deze niet genomen wordt. En dan denk ik eerder aan het uitschakelen van alle wachtwoordbeveiliging dan aan een bellimiet.

Een professionele partij die een eigen VoIP-server heeft, wordt dus geacht zelf de beveiliging daarvan ter hand te nemen. De leverancier kan daarbij diensten verlenen, maar dat is niet standaard en hij mag er dus gewoon geld voor vragen.

Arnoud

Blokkeren van VoIP door je ISP

| AE 1767 | Ondernemingsvrijheid | 38 reacties

poort-gate-port-blokkade-blokkeren-voip.pngEen lezer wilde graag via Voice-over-IP (VoIP) bellen, maar hij kreeg het maar niet aan de praat. Na een hoop gedoe en geprobeer bleek er niets mis te zijn met zijn PC: zijn provider had simpelweg de benodigde poorten geblokkeerd, zodat het VoIP-verkeer het internet nooit bereikte. U voelt hem al aankomen: mag dat zomaar?

Er zijn geen specifieke wetten of regels over het mogen blokkeren van poorten voor internetverkeer, of over het mogen blokkeren van bepaalde internetapplicaties. Dan moet je dus terugvallen op de algemene wettelijke regels. In dit geval wordt dat het contractenrecht, aangezien dit blokkeren in feite neerkomt op een beperking van het gebruik van je contractueel afgenomen toegang tot internet.

De juridische vraag is dus: kan de leverancier eenzijdig besluiten dat een bepaalde poort of bepaalde dienst niet geleverd hoeft te worden?

Als het in het aanbod gemeld is, dan mag het natuurlijk. Als je kunt weten dat je niet kunt VoIP-bellen bij een bepaaldeprovider, en je meldt je toch aan, dan zit je aan die beperking vast. Maar ik ken maar weinig providers die expliciet vooraf melden dat bepaalde zaken gefilterd zullen worden (eigenlijk alleen de christelijke provider Solcon, waar het ook nog eens optioneel is). In Europees verband wordt gewerkt aan een pakket regels over telecommunicatie, waar mogelijk ook regels over dit onderwerp in komen. Het zal nog wel even duren voordat dit erdoor is echter.

Als er niets over gemeld is, dan is er een lacune in het contract. Was dit nu afgesproken of niet? In zo’n situatie hebben we sinds 1981 de zogeheten Haviltex-norm. In het Haviltex-arrest bepaalde de Hoge Raad dat het bij een lacune in het contract aankomt

op de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan deze bepalingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten.

Oftewel: is het redelijk dat je mocht verwachten dat je kon VoIP-bellen? Zo ja, dan mag de provider het niet zomaar blokkeren want dat is dan wanprestatie. Maar als de provider geen rekening hoefde te houden met VoIP-ende klanten, dan is er niets mis mee als hij het blokkeert.

Eerlijk gezegd heb ik geen idee hoe je die verwachting in het algemeen zou kunnen bepalen. Het enige wat in me opkomt, is dat als een provider zelf al “bellen via internet” als betaalde dienst aanbiedt, het niet redelijk is om te verwachten dat je via de gewone internetverbinding ook nog eens kunt VoIP-bellen. Maar dat komt in feite neer op: een provider hoeft concurrerende diensten niet toe te laten op zijn netwerk. En dat staat weer op nogal gespannen voet met netwerkneutraliteit. Of, als het om grote providers gaat, met de regels over vrije mededinging, want concurrentje pesten is dan niet toegestaan.

Arnoud