Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

manfredrichter / Pixabay

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?
Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:
1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.
Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken
Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

Onderzoeksbureau werkt in Nederland met vpn-app op telefoons voor marktonderzoek

Onderzoeksbureau Kantar (voorheen TNS/Nipo) vraagt voor zijn bereiksonderzoek om een vpn-app op Android-tablets en -smartphones te zetten. Dat meldde Tweakers begin deze week. Google en Facebook raakten eerder nog in opspraak vanwege het gebruik van vpn-apps voor onderzoek. De Kantar-app is bedoeld voor consumentenonderzoek naar het bereik van onder meer websites en videoplatforms online. Dat roept de vraag op, mag dat wel op deze manier, je internetverkeer omleiden om daarmee te tellen hoe populair bepaalde websites zijn?

Door internetverkeer vanaf de telefoon (of tablet) om te leiden met vpn-software, krijgt men inzicht in al het internetverkeer op detailniveau. In theorie kun je hiermee elke verzonden mail, elke opgevraagde webpagina en elk ingestuurd formulier mee lezen. Ook al is dat niet de bedoeling; zo werkt vpn als technologie nu eenmaal. Kantar zegt overigens dat het weliswaar alle gegevens verzamelt, maar alleen de voor het onderzoek relevante gegevens gebruikt en de rest weggooit.

De AVG biedt behoorlijk wat ruimte voor wetenschappelijk onderzoek. Artikel 89 AVG stelt vrij expliciet dat er veel mag, mits er passende waarborgen genomen worden waarbij met name het beginsel van minimale gegevensverwerking wordt gegarandeerd. Lidstaten mogen daarbij zelf regels stellen, en Nederland deed dat onder meer in artikel 24 Uitvoeringswet. Zo mag je bijzondere persoonsgegevens verwerken als dat nodig is voor het onderzoek. Ook hoef je (artikel 44) inzage en correctie niet toe te staan.

Wat wel gewoon blijft staan, is dat je een grondslag moet hebben voor je onderzoek. Toestemming dus, of een overeenkomst, of een eigen legitiem belang. Het is niet automatisch zo dat wetenschap of statistiek bedrijven je een grondslag geeft. Maar specifiek bij het soort onderzoek dat Kantar doet, zie ik dat belang wel. Natuurlijk zit je dan nog steeds met een privacy-afweging, waarbij je niet op voorhand weet of jouw belang zwaarder weegt dan de privacy van je onderzoekssubjecten.

Kantar doet het netjes door toestemming te vragen. Niet alleen bij de deelnemer zelf, maar ook bij zijn of haar huisgenoten, want iedereen moet meedoen, aldus de voorlichtingsfolder. Dat is op zich netter en overzichtelijker, maar het vereist wel dat je specifiek en duidelijk die toestemming geeft. En dat is dan dus niet alleen voor deelname aan het onderzoek, maar ook voor de nogal invasieve inzet van een VPN app.

Lastig is natuurlijk dat je dan ook nog eens in duidelijke en eenvoudige taal (artikel 12 AVG) moet aangeven wat je doet. En leg maar eens op dat niveau uit wat een VPN app is. Kantar doet haar best:

Door een link in de mail te activeren geeft u toestemming voor het plaatsen van een cookie of app en wordt het online gedrag bij de aangesloten omroepen en uitgevers vastgelegd. Daarnaast vragen wij u om op elk apparaat software te installeren waarmee wij uw online gedrag kunnen verzamelen. … Via de geinstalleerde software MediaTracker kan Kantar Media voor onderzoeksdoeleinden informatie over het internetgedrag van respondent verzamelen (welke websites zijn bezocht, welke zoekwoorden zijn gebruikt, welke applicaties zijn gebruikt en/of welke advertenties zijn gezien).

Dit komt een heel eind – en sowieso zou je natuurlijk al wel iets kunnen bedenken als je mee gaat doen aan een onderzoekspanel over je internetgedrag. Maar het blijft een ingewikkelde materie om uit te leggen. Helemaal omdat ik zelf ook niet doorhad tot ik er écht in dook dat het niet alleen Kantar is dat die gegevens verkrijgt:

Maar dat de informatie door Kantar wordt gedeeld met een ander bedrijf dat de inhoudelijke analyse doet, namelijk het bedrijf Wakoopa, wordt niet duidelijk.

Wakoopa is een bestaand bedrijf met als core business het tracken van mensen. Ik kan nergens vinden of ze dit voor Kantar doen in de rol van verwerker, maar het zou me ergens verbazen als die gegevens niet ook voor eigen doeleinden worden aangewend. En dát zou een gigantisch probleem zijn, nog los van hoe je de toestemmingsvraag goed krijgt.

Arnoud

De legaliteit van een VPN op je Netflix

vpn-private-network-tunnel-bewaarplicht.pngMet enige regelmaat krijg ik de vraag of het eigenlijk wel legaal is om met een VPN naar Netflix te kijken. Begrijpelijke vraag: in andere landen is het aanbod van Netflix uitgebreider, en andere diensten kun je soms niet eens gebruiken als je IP-adres herkend wordt als een Nederlands adres.

Er is geen wet die je verplicht je ‘eigen’ IP-adres te gebruiken. Een VPN inzetten om een website te benaderen is in het algemeen dus legaal. Net zoals het legaal is zo’n site te benaderen vanuit de bibliotheek of middels een IP-adres bij de koffiebar in de stad.

Netflix heeft VPN’en verboden in haar gebruiksvoorwaarden, net zoals wel meer diensten. Ze doen dit meestal omdat dit moet van rechthebbenden: die willen per land een andere prijs voor hun video’s kunnen vragen. Maar los daarvan, Netflix mag dit soort dingen verbieden als ze daar zin in heeft. De vraag is dan ook of Netflix dit zou handhaven als ze iemand betrappen.

De aanbieder van een VPN heeft daar niets mee te maken, want die heeft geen contract met Netflix. Maar wat nu als de VPN-dienst zich specifiek richt op mensen die Netflix in de VS willen kijken? Googelen op vpn netflix levert me aardig wat diensten op die specifiek adverteren met teksten als “Amerikaanse Netflix kijken?”.

Juridisch kom je dan bij het leerstuk van “aanzetten tot wanprestatie”. Kort gezegd is het legaal om te profiteren van iemands wanprestatie, zelfs als je wéét dat iemand wanprestatie gaat plegen. Dus als je ziet dat een klant vaak netflix.com opvraagt, dan hoef je als dienstverlener niets te doen. Pas bij wat juristen zo mooi “bijkomstige omstandigheden” noemen, komt dat anders te liggen.

Wat zijn dan die bijkomstige omstandigheden? Hier blijkt de rechtspraak nog steeds niet echt duidelijk. Het is een optelsom van factoren, waarbij vooral meewegen hoe zeer je het wist, hoe ernstig het nadeel is en hoe makkelijk dat te voorzien was. Maar ook zaken als het motief van de derde en de aard van de beïnvloeding wegen mee.

Een ICT-voorbeeld: in 2014 werd het AFAS verboden ondersteuning in haar financiële app te bieden voor de Mijn ING dienst, waarbij je als gebruiker moest inloggen op Mijn ING via die app. De omstandigheden hier waren dat in de voorwaarden van ING stond dat je je wachtwoord nergens anders mag invoeren dan op hún website, en dat de AFAS app afbreuk deed aan het onderliggende veiligheidsprincipe – je vergemakkelijkt indirect phishing want zo kan iederéén wel vage websites en apps gaan maken. Het moet dus wel iets echt bijzonders zijn, alleen maar “wij willen het niet hebben” is niet genoeg.

De argumentatie hier zou zijn dat auteursrechthebbenden minder inkomsten krijgen dan wanneer je via de Nederlandse Netflix had, eh, genetflixt. Dat voelt niet een heel sterk argument. Pas als je het hele businessmodel zou ondergraven, zou ik dat ernstig genoeg vinden. Zouden jullie argumenten weten?

Arnoud