Achtergrond

Juridische vraag: Wie is aansprakelijk voor open WiFi?

woensdag 30 november 2011, 10:39 door Arnoud Engelfriet, 6 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Bij ons bedrijf willen we draadloze netwerktoegang aanbieden aan bezoekers. De technische oplossing is vrij simpel: bezoekers kunnen dan tijdelijk (maximum 3 uur) zonder wachtwoord het draadloze netwerk gebruiken. Daarna kunnen ze 24 uur niet verbinden, pas na 24 uur kunnen ze weer 3 uur verbinden. Er wordt wel gelogd welke machine verbindt, maar niet wat ze doen op het netwerk.

Zijn wij nu aansprakelijk voor wat deze bezoekers doen? En hoe kunnen we onze aansprakelijkheid inperken?

Antwoord: Er is een wettelijke regeling die partijen beschermt die internettoegang bieden aan anderen. Wie slechts passief toegang tot internet biedt, en niet gaat filteren of redactioneel selecteren wat mensen wel of niet mogen doen, is niet aansprakelijk voor dat geïnternet. (Het blokkeren van bepaalde sites of SMTP poort 25 telt niet als "redactioneel selecteren" overigens.)

Daarbij geldt niet dat je verplicht bent om te weten wie je gebruikers zijn of wat ze doen. Je hoeft dus niet te loggen of identificatie te vragen van mensen die je netwerk op willen. Het kan wel verstandig zijn, al was het maar omdat het afschrikt of je de mogelijkheid biedt om mensen gericht af te sluiten omdat ze de dienst misbruiken. Maar de wet eist dit niet.

Voor partijen die aan "het publiek" internet aanbieden, geldt de Telecommunicatiewet en daarmee ook de regels rond de bewaarplicht. Maar ook die regels eisen niet dat je weet wie je gebruikers zijn. Je moet bewaren wat je bij je bedrijfsvoering genereert, maar de Wet bewaarplicht eist niet dat je gegevens gaat maken om die vervolgens te bewaren. Een aanbieder van prepaid mobiel internet die stickjes verkoopt in winkels hoeft dus niet te weten wie die sticks afneemt. Houdt hij bij dat de heer Engelfriet 20 euro tegoed heeft gekocht voor SIM 0614230806 dan moet hij die informatie wel een jaar bewaren.

In de SURFnetzaak werd echter bepaald dat wanneer men internettoegang beperkt tot een “voldoende afgebakende groep” (zoals studenten van hoger onderwijs), je niet onder deze wet valt. Vorig jaar hadden we nog de nodige ophef over hotels als internetaanbieder, maar dat liep met een sisser af. Wie de toegang beperkt tot “klanten/bezoekers van onze faciliteit” zou dan ook niet tegen de Telecommunicatiewet moeten aanlopen.

Loggen van wat mensen doen lijkt me wel verstandig. Als je echter persoonsgericht gaat monitoren of filteren, dan kom je in de privacygevarenzone: de Wet bescherming persoonsgegevens verbiedt het arbitrair volgen of monitoren van personen, ook als ze jouw internetverbinding gebruiken. Op zijn minst moet er dan een reglement zijn dat zegt wat je allemaal doet en wanneer mensen gemonitord worden. Maar “ik mag alles en wel altijd” is daarbij géén acceptabele formulering. Persoonsgericht monitoren mag alleen bij een duidelijke concrete aanleiding. Afijn, dat roep ik zo ongeveer elke week de laatste tijd.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Security.nl interview met moederbedrijf DigiNotar

Column: Ik Zal Niet Handhaven

Reacties (6)

30-11-2011, 14:05 door Anoniem

Da's vaag - als je dus niets doet, en je wifi access point open zet voor iedereen, hoef je ook niets bij te houden en ben je niet aansprakelijk voor enige schade die door hacking via je AP ontstaat. Maar zodra je dat hacken een beetje probeert te beperken moet je gegevens op gaan slaan en voldoen aan de Wet bescherming persoonsgegevens.

Dan lijkt een downloadverbod waar nu over gesproken wordt in de praktijk een lastig te handhaven wet. Mocht er ooit iemand worden betrapt op aanbieden van muziek of films, dan was dat door een "toevallige voorbijganger die via mijn open wifi verbinding dat moet hebben gedaan"...

Wat is de reden voor deze beperkte eisen op gebied van logging?

30-11-2011, 14:37 door Anoniem

Er is natuurlijk wel een verschil tussen waar je wettelijk voor aansprakelijk bent en wat er eventueel aan maatregelen op "het internet" tegen je worden genomen. Zo kan bijvoorbeeld je bedrijfs IP space geblacklist worden ivm het sturen van spam, dan kan je als bedrijf ineens geen mail meer versturen naar partijen die gebruik maken van zo een blacklist. Let er dus op dat de impact van wangedrag groter kan zijn dan alleen de wettelijke aansprakelijkheid!

30-11-2011, 20:58 door Anoniem

"Er is een wettelijke regeling die partijen beschermt die internettoegang bieden aan anderen."

Arnoud (of iemand anders): Ik ben benieuwd naar de bron en de exacte formulering. Waar staat die regeling beschreven?

01-12-2011, 02:14 door Anoniem

Wat krijg je voor straf als je express een open accesspoint neerzet, en vervolgens de buren die daar stiekem gebruik van maken bespied?

01-12-2011, 17:36 door Arnoud Engelfriet

@Anoniem 14:05: Tsja, het monitoren wat mensen doet valt onder de privacywet. Als jij je huis open zet voor bezoekers mag je ze ook niet spontaan fouilleren omdat het jouw huis is en je bang bent voor meegesmokkelde cocaïne of illegale wapens.

@Anoniem 20:58 Dat is artikel 6:196c BW, geen idee waarom die niet in het artikel is komen te staan.

@Anoniem 02:14 Het is onrechtmatig om de privacy van je buren te schenden. Je moet dan hun schade vergoeden. Wel moeten ze natuurlijk bewijzen wat die schade is, en dat zal niet meevallen.

01-02-2012, 15:01 door RJ2811

Wij zijn op het moment bezig met een opdracht voor een bedrijf om het open wifi netwerk wat onlangs is opgestart te controleren, wij hebben d.m.v. een sniffer het netwerk bekeken en geprobeerd ARP spoofing te realiseren, maar kwamen niet verder dan alleen het monitoren van het netwerk(we konden alleen zien welke gebruikers erop zaten).
Blijkbaar is er een voorziening voor het blokkeren van deze actie.(eventueel Bluecoat?)
Heeft dit ook consequenties voor de aansprakelijkheid van het bedrijf?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer