image

Juridische vraag: verbiedt netneutraliteit virusfilter?

woensdag 16 mei 2012, 12:10 door Arnoud Engelfriet, 45 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Ik las dat netneutraliteit er door is. Welke impact heeft dat voor ons als bedrijf? Mogen wij überhaupt nog ergens op filteren? Uit de wettekst begreep ik dat zelfs virussen blokkeren nu problematisch is.

Antwoord: De Eerste Kamer heeft vorige week het wetsvoorstel netneutraliteit aangenomen. De wet treedt per 1 januari 2013 in werking. Vanaf dan mag een aanbieder van internettoegang geen diensten meer blokkeren of filteren, behalve in enkele specifieke in de wet genoemde gevallen.

Het tegenhouden van virussen en andere rommel staat genoemd, maar als dat bij eigen klanten gebeurt (vanaf hun besmette PC) dan moeten zij eerst gewaarschuwd worden. Wel geldt er een proportionaliteitstoets: de blokkade of het filter moet de meest geëigende manier zijn om de integriteit of veiligheid van het netwerk te waarborgen. Structureel Korea blokkeren omdat daar virussen vandaan komen is niet proportioneel.

Spam tegenhouden als provider mag ook, maar alleen met voorafgaande toestemming van de gebruiker. Oh, en als de rechter het zegt dan móet een dienst of site worden geblokkeerd. Dus nee, de Pirate Bay blokkade gaat er niet af vanwege netneutraliteit.

De netneutraliteitswet geldt óók voor private partijen. Een hotel of café dat internet biedt aan bezoekers, mag dus ook niet meer blokkeren of filteren behalve op die wettelijke gronden. En nee, ook niet als in de algemene voorwaarden staat van wel.

Filteren van bedrijfsnetwerken mag nog wel. Het leveren van internet aan werknemers is geen "aanbieden van internettoegang" maar "beschikbaarstellen van het bedrijfsmiddel internet", althans dat hebben creatieve juristen bij de overheid bedacht in reactie op Kamervragen over Bittorrent blokkeren op de universiteit Groningen. Uit die reactie bleek dat ook universiteiten géén filters mogen toepassen als netneutraliteit wet wordt, althans niet naar studenten die internet in hun kamer krijgen. Filteren in de bieb is een twijfelgeval.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (45)
16-05-2012, 12:38 door Anoniem
Kan ik vanaf januari 2013 Ziggo vragen poort 25 weer open te zetten?
16-05-2012, 12:41 door Security Scene Team
Door Arnoud Engelfriet:
Oh, en als de rechter het zegt dan móet een dienst of site worden geblokkeerd. Dus nee, de Pirate Bay blokkade gaat er niet af vanwege netneutraliteit.

dit is serieus triest te noemen, ze filteren maar een eind heen! wij zijn piraten 1 voor allen, allen voor 1. jo hoo johooo !
plagiaat plegen doeje zo!
16-05-2012, 12:47 door Anoniem
Dus als je geen internet aan bied maar een 'eigen' vorm zoals een amerikaanse club vroeger met dns-shortcuts omzeil je heel de internet wet?

Zie je straks abonnementen:

telco -x : 1GB internet: 35 euro/maand
telco -x: 5 GB filternet intranet 10 euro/maand.

Mhz
16-05-2012, 13:49 door Arnoud Engelfriet
@Anoniem 12:38: Ja. Maar als ze daarna spam of malware per mail zien langskomen, dan mogen ze je (na een waarschuwing) weer afsluiten.

@Anoniem 12:47: Nee, alleen als je héél specifiek IP-based toegang geeft tot een eigen dienst dan omzeil je de wet. Bv. als je betaaltelevisie levert en dat via IP delivert. Of VoIP en verder niets. Gaat over IP maar je hoeft een dedicated VOIP lijn niet open te stellen voor ander IP-verkeer. Grofweg, zodra we het "internettoegang" kunnen noemen in alle redelijkheid en billijkheid, geldt de wet netneutraliteit.
16-05-2012, 13:52 door Anoniem
Hi Arnoud,

Wat valt er precies onder "enkele specifieke in de wet genoemde gevallen"?
Ik kan dat wetsvoorstel niet 1-2-3 ontcijferen...

Thanks!
16-05-2012, 13:57 door Anoniem
Wij bieden een hosted anti spam oplossing aan voor veel klanten.
De IP blocks van China en Rusland zijn voor een aantal domains hard geblokkeerd. Die klanten hebben geen relaties in deze landen.
Kan dit ons problemen opleveren?
16-05-2012, 14:22 door Anoniem
Port 137-139 en port 25 open, gaat weer voor een hoop extra problemen zorgen.
16-05-2012, 14:27 door Anoniem
door
Arnoud Engelfriet
@Anoniem 12:38: Ja. Maar als ze daarna spam of malware per mail zien langskomen, dan mogen ze je (na een waarschuwing) weer afsluiten.
En hoe zien ze die malware/spam dan voorbijkomen? Dan zullen ze toch de pakketten dienen te inspecteren en dat mag meen ik ook niet. En dan nog moet dat spam/malware verkeer dusdanige impact op het netwerk hebben dat het proportioneel is om af te sluiten/filteren
16-05-2012, 14:29 door Anoniem
door
Anoniem
Wij bieden een hosted anti spam oplossing aan voor veel klanten.
De IP blocks van China en Rusland zijn voor een aantal domains hard geblokkeerd. Die klanten hebben geen relaties in deze landen.
Kan dit ons problemen opleveren?
lijkt me niet want je biedt toch geen internet aan? Je biedt een service aan om te filteren dus een klant verzoekt er zelf om
16-05-2012, 14:31 door Anoniem
Door Anoniem: Port 137-139 en port 25 open, gaat weer voor een hoop extra problemen zorgen.
Normale bedrijven hebben minstens een firewall die dat al blokkeerd en ook je DSL/kabel modem laten die standaard niet door. Zou wellicht dan overigens wel standaard uitgezet moeten worden?
16-05-2012, 14:41 door Anoniem
Door Anoniem: De IP blocks van China en Rusland zijn voor een aantal domains hard geblokkeerd. Die klanten hebben geen relaties in deze landen.
Dat weet je niet; misschien maakt jouw klant wel gebruik van een Cloud-dienst die DC's in Rusland heeft staan. Op landenblokken filteren is m.i. ernstig achterhaald.
Door Anoniem: Port 137-139 en port 25 open, gaat weer voor een hoop extra problemen zorgen.
Tja, da's de keerzijde van de medaille...
16-05-2012, 14:51 door Erik Loman
@Arnoud: waarom is er in het wetsvoorstel *expliciet* een regel opgenomen dat een rechter tegen het wetsvoorstel mag oordelen? Ik vind het vreemd om deze uitsluiting zo expliciet op te nemen want een rechter heeft vrijheden om anders dan de wet te oordelen. Ben verder ook benieuwd welke politieke partij deze regel heeft aangedragen :)
16-05-2012, 15:08 door User2048
Door Anoniem: Wij bieden een hosted anti spam oplossing aan voor veel klanten.
De IP blocks van China en Rusland zijn voor een aantal domains hard geblokkeerd. Die klanten hebben geen relaties in deze landen.
Kan dit ons problemen opleveren?

Als ik het goed begrijp is dat wel toegestaan als het op verzoek of met toestemming van de klant gebeurt.
16-05-2012, 15:58 door Anoniem
Door User2048:
Door Anoniem: Wij bieden een hosted anti spam oplossing aan voor veel klanten.
De IP blocks van China en Rusland zijn voor een aantal domains hard geblokkeerd. Die klanten hebben geen relaties in deze landen.
Kan dit ons problemen opleveren?

Als ik het goed begrijp is dat wel toegestaan als het op verzoek of met toestemming van de klant gebeurt.
Maar werkt het niet 2 kanten op straks als het in de EU is doorgevoerd? Dan kun je binnen de EU niks meer blokkeren of.. ?

Vage en onderduidelijke materie is het.
16-05-2012, 16:01 door Arnoud Engelfriet
@Erik Loman: Eigenlijk geldt die regel altijd, maar voor de duidelijkheid is ie er expliciet bij gezet. Er is nu discussie over want volgens mij was niet voorzien dat hiermee ook civiele rechters sites als TPB konden afsluiten.

@User2048: Inderdaad, maar het moet een aanvullende dienst zij op verzoek van de klant.
16-05-2012, 16:34 door Anoniem
Dus, als ik een mail-dienst host, dan mag ik alleen "spam" blokkeren met voorafgaande toestemming van de gebruiker. Maar het gebeurt regelmatig, dat een spammer mijn servers bestookt met mailbommen (zó jaren '90) . Ook komen er regelmatig brute-force password attacks voorbij op mijn mailserver. Hosts die dat doen, worden direct automatisch voor een bepaalde tijd geblokkeerd, zonder medeweten of tussenkomst van mijn klanten. Is dat dan illegaal?
16-05-2012, 16:35 door choi
Door Anoniem:
door
Arnoud Engelfriet
@Anoniem 12:38: Ja. Maar als ze daarna spam of malware per mail zien langskomen, dan mogen ze je (na een waarschuwing) weer afsluiten.
En hoe zien ze die malware/spam dan voorbijkomen? Dan zullen ze toch de pakketten dienen te inspecteren en dat mag meen ik ook niet. En dan nog moet dat spam/malware verkeer dusdanige impact op het netwerk hebben dat het proportioneel is om af te sluiten/filteren

Als voldoende abonnees klagen over spam in de door de ISP geleverde e-mailaccount lijkt me dat ze geen DPI nodig hebben om e.e.a vast te stellen. En als daardoor abonnees weglopen bij de ISP dan lijkt me dat ook een steekhoudend-bedrijfseconomisch-argument om weer tot blokkade over te gaan
16-05-2012, 16:42 door Anoniem
Hoe zou een partij als NS hier mee om moeten gaan, gezien zo'n beetje alles wat bandbreedte kost in de trein geblokkeerd is.
16-05-2012, 16:49 door choi
Door Erik Loman: @Arnoud: waarom is er in het wetsvoorstel *expliciet* een regel opgenomen dat een rechter tegen het wetsvoorstel mag oordelen? Ik vind het vreemd om deze uitsluiting zo expliciet op te nemen want een rechter heeft vrijheden om anders dan de wet te oordelen. Ben verder ook benieuwd welke politieke partij deze regel heeft aangedragen :)

Vanwege hun liberale theologie is rechts sowieso gevoelig voor lobby's vanuit big-bussiness, dus doe maar een gok om welke partij het gaat. Het is daarom niet vreemd dat Big-Media via een achterdeur een vrijbrief krijgt om de Trias Politica op de schop te zetten (ACTA, PIPA, SOPA enz.)
16-05-2012, 16:49 door Anoniem
Een uitspraak van minister Verhagen (als reactie of christelijke ISP's porno mogen blokkeren) biedt een goed handvat: Je mag wel filteren, maar alleen als je ook ongefilterd aanbiedt en wel voor dezelfde prijs.

Daarmee ga je alle negatieve effecten van netneutraliteit tegen. Eigenlijk is die ene regel de hele netneutraliteit samengevat. Interessant.
16-05-2012, 17:01 door Anoniem
Er wordt aan de voordeur al heel wat spam geblokkeerd a.h.v. blacklists, of de eindgebruiker dat nu wil of niet. Als ik het goed begrijp mag dat straks dus niet meer?

Dus binnenkort hebben we onze mailboxen weer vol met spam.... met dank aan de politiek
16-05-2012, 17:41 door turniphead
dus als ik het goed begrijp mag een provider als kliksafe niet meer filteren, en moet dat na 1 januarie 2013 met een programmatje gebeuren?
16-05-2012, 17:41 door Arnoud Engelfriet
Nee, je moet de consument de keus bieden wat hij wil. Spam filteren mag dus wel maar op verzoek. Je kunt dat verzoek al meteen bij het inschrijfformulier aanbieden, maar je móet het vragen.
16-05-2012, 18:35 door Anoniem
Ik als hoster sta voor de veiligheid van mijn servers en de klanten die daarop hun dingetjes hosten. Dit betekent dat ik ook na 1-1-2013 spam blijf weren, virussen blijf blokkeren en de intrusion detection software blijft gewoon actief op onze firewalls. En iedereen die probeert een brute force uit te voeren wordt permanent geblocked.
Daarnaast blijven dubieuze programma's zoals o.a. ircbots ook in de toekomst tegen een gesloten deur praten.

Elke klant die overigens wél in een digitale achterbuurt wilt wonen, is uiteraard vrij om te vertrekken.

Maar er is geen haar op mijn kop die erover denkt om mijn netwerk open te gooien omdat ooit ergens iemand geklaagd heeft omdat zijn whatsapp afgeknepen wordt.
16-05-2012, 21:48 door Anoniem
the piratebay is nog wel te krijgen,al moet je er veel voordoen om je provider te slim af te zijn.
Het gaat wel veel moeite kosten.
Mij is het nog niet gelukt de filter te omzeilen maar met gecodeerd dnsverkeer moet dat kunnen,zo kan je eveneens mogelijk de bewaarplicht telecomgegevens omzeilen,dit omdat je een gecodeerd addres hebt en wat dan buiten de eu valt.
Dus mag men dat niet bewaren tot een half jaar.
Dat geneuzel in iemand zijn gegevens het moet afgelopen zijn.
Ik heb wel eens waar niks te verbergen,maar ik vind het toch naar die bewaarplicht.
16-05-2012, 22:49 door Anoniem
Arnoud, standaard spamfiltering mag toch ook in de algemene voorwaarden worden geregeld? Door deze te accepteren geeft de klant hiervoor toestemming. Volgens mij zijn er geen specifieke eisen gesteld aan de toestemming.

Groet, Michel
17-05-2012, 02:23 door Anoniem
Wat als je alle het verkeer hetzelfde behandeld maar de gevolgen van die behandeling voor het ene type verkeer nauwelijks impact heeft maar ander verkeer bijna onmogelijk maakt. BV door de latency kunstmatig op te hogen of door regelmatig een connectie te reseten.

Wat als de filtering buiten Nederland gebeurt? Als de ISP's hun aansluiting op het internet regelen bij een partij in Belgie of Duitsland die vervolgens torrent verkeer blokkeerd?
17-05-2012, 09:53 door Anoniem
Door Arnoud Engelfriet: Nee, je moet de consument de keus bieden wat hij wil. Spam filteren mag dus wel maar op verzoek. Je kunt dat verzoek al meteen bij het inschrijfformulier aanbieden, maar je móet het vragen.
Hmmm dan ga je zometeen krijgen dat een kliksafe je niet accepteerd als klant omdat je niet aangeeft dat er gefilterd dient te worden.
17-05-2012, 10:41 door Arnoud Engelfriet
@Michel: Klopt, specifiek voor spam mag dat in de AV.
17-05-2012, 11:06 door MK001
En hoe zit het dan met scholen / universiteiten? Zij filteren het internet ook vaak voor de studenten via OpenDNS.
Daarnaast hebben ze vaak alleen uitgaand poort 80 en 443 open. Moet deze blokkade er nu ook af?
17-05-2012, 11:09 door Arnoud Engelfriet
Het lijkt erop dat studenten en scholieren die internettoegang krijgen, daarbij ook aanspraak kunnen maken op netneutraliteit. Dat is althans wat de minister zei in antwoord op kamervragen over het blokkeren van Bittorrent door de RUG. Hij meldde dat alleen bedrijven nog kunnen filteren, want die bieden geen internettoegang maar het bedrijfsmiddel internet aan hun werknemers. En net zoals je regels mag stellen over het gebruik van de kantine mag je regels stellen over internet als bedrijf.
17-05-2012, 12:01 door Anoniem
Door Anoniem: Hoe zou een partij als NS hier mee om moeten gaan, gezien zo'n beetje alles wat bandbreedte kost in de trein geblokkeerd is.

Dit is een interessante vraag waar ik toevallig vandaag net ergens anders een posting over heb gedaan.

De vraag is wie internet toegang aanbiedt. Is dat NS of T-mobile? Hoe zit de ketenaansprakelijkheid hier?

Bijkomend probleem is dat NS geen contract heeft afgesloten met de Nederlandse T-mobile, maar het Duitse moederbedrijf. Je krijgt namelijk ook een Duits IP adres. Welke wet geldt hier. Als aanbieder in Nederland zouden ze niet mogen limiteren. In Duitsland geldt dat echter niet.

Peter
17-05-2012, 12:44 door Anoniem
Door Arnoud Engelfriet: @Anoniem 12:47: Nee, alleen als je héél specifiek IP-based toegang geeft tot een eigen dienst dan omzeil je de wet. Bv. als je betaaltelevisie levert en dat via IP delivert. Of VoIP en verder niets. Gaat over IP maar je hoeft een dedicated VOIP lijn niet open te stellen voor ander IP-verkeer. Grofweg, zodra we het "internettoegang" kunnen noemen in alle redelijkheid en billijkheid, geldt de wet netneutraliteit.

Hoe zit het met webdiensten? Kan een provider, die ruimte voor websites aanbiedt, alle niet-relevante protocollen afsluiten? Bijvoorbeeld ook uitgaand om extern overlast te voorkomen voor het geval een website is gekraakt.

Peter
17-05-2012, 12:49 door Anoniem
Door Anoniem: Daarnaast blijven dubieuze programma's zoals o.a. ircbots ook in de toekomst tegen een gesloten deur praten.

Dubieuze programmas? IRCbots zijn perfecte beheerstools.

Om bijvoorbeeld alle servers worden lokaal te monitoren. Vreemde logregels en andere te onderzoeken gedragingen worden door de bot direct op het IRC kanaal gegooid. Alle beheerders zitten ook op dat kanaal en hebben dus direct zicht op wat er aan de hand is.

Peter
17-05-2012, 21:20 door Anoniem
Hmm, veel informatie.

Ik heb nog een vraag. Stel wij gebruiken een rbl om op de mailserver te blokkeren als men vanaf een bepaald ipnummer willen filteren. In dit geval gaat het om zen.spamhaus.org. Is dit nog wel mogelijk of moeten we dan aan elke individuele klant toestemming vragen?

Vr. gr.,

Hans W
17-05-2012, 22:20 door Anoniem
Door Arnoud Engelfriet: @Michel: Klopt, specifiek voor spam mag dat in de AV.

Dat is vreemd, want dat maakt het geen keuze, en net neutraliteit wordt dan ook een wassen neus, als je de keuze kan wegzetten in algemene voorwaarden.

Echte neutraliteit vereist vrije keuze en expliciete toestemming, vergelijkbaar met opt in voor mailings.

Er is nog iets dat hier mee te maken heeft. Stel je provider heeft het in zijn hoofd gehaald SPF in te stellen. SPF is een DNS setting die bepaald vanuit waar je email mag sturen. Hierdoor kunnen klanten niet zomaar email versturen met hun eigen email adres als ze niet in de opgegeven IP range zitten. Een echte netneutrale provider zou dit niet moeten doen.
18-05-2012, 09:08 door Arnoud Engelfriet
Het automatisch blokkeren van poorten is niet toegestaan straks met netneutraliteit. Je mag alleen nog op verzoek van klanten poorten dichtzetten, óf je moet een concrete aanleiding hebben om nu tijdelijk(!) deze poort dicht te zetten voor deze klant, bv. omdat je ziet dat daar abuse vandaan komt. Wel moet je de klant eerst waarschuwen.
18-05-2012, 09:29 door Arnoud Engelfriet
@Anoniem 22:20. Je moet te allen tijde de mogelijkheid hebben de toestemming in te trekken, dat dan weer wel. Ik vind het ook maar een aparte uitzondering hoor, want waarom wél spam en niet malware of phishing?
18-05-2012, 09:48 door Anoniem
Zou een bedrijf phising emails bij providers laten blokken?

Zeg ABN spreekt met xs4all af dat email die zogenaamd van abn komt geblocked wordt.
18-05-2012, 20:34 door Anoniem
@ Arnoud -

"De netneutraliteitswet geldt óók voor private partijen. Een hotel of café dat internet biedt aan bezoekers, mag dus ook niet meer blokkeren of filteren behalve op die wettelijke gronden."

Een hotel of cafe mag dus geen porno websites blokkeren ? Of bedreigt porno de integriteit of veiligheid van een netwerk ?
20-05-2012, 10:09 door Arnoud Engelfriet
@Anoniem 20:34 Nee, een hotel of café mag de toegang tot porno niet blokkeren. Porno is natuurlijk geen bedreiging voor de integriteit of veiligheid van het netwerk. Hooguit een malwaresite die met porno mensen lokt.

Als hotel of café kun je wel een huisregel stellen over het KIJKEN van porno waar andere mensen er last van hebben. Maar iemand die rustig in een hokje (of op zijn kamer) porno wil kijken, kun je daarmee niet tegenhouden. En ja, dat ondermijnt het model van hotels die geld vragen voor porno-tv en gratis concurrent internet buitensluiten.
20-05-2012, 20:59 door Anoniem
@Arnout

Mag een provider een eind gebruiker verplichten alleen te email via de mail servers van de provider. (Rechtstreekse verbindingen naar poort 25 worden geblokkeerd)
Dit in plaats van een gebruiker die zijn eigen mailserver heeft en het zelf wil afleveren bij de ontvangende partij?
21-05-2012, 10:09 door Arnoud Engelfriet
@Anoniem 20:59 Nee, dat mag niet. Ook poort 25 mag onder netneutraliteit niet worden geblokkeerd. Wel mag men maatregelen neen om uitgaande spam te beperken, bv. afknijpen als je meer dan x mails per uur verstuurt. Maar dat moet dan voor iedereen gelden én je moet gewaarschuwd worden voordat het afknijpen begint.
21-05-2012, 10:21 door Anoniem
Ben wel benieuwd hoe dit gaat uitpakken op scholen. Onze school is overgestapt op lesgeven via de computer, dus alle leerlingen zitten de hele dag op de computer om de lessen te volgen. Op dit moment wordt vrijwel alles geblokkeerd, zowel via OpenDNS als via poorten. Alleen poort 80/443 wordt toegestaan naar buiten.

Ik verwacht eigenlijk dat heel veel leerlingen via nieuwsgroepen en torrents van alles gaan downloaden en dat de scholen hier nu dus vrij weinig aan kunnen gaan doen.

Waar moet het eigenlijk gemeld worden als iemand zich niet aan deze wet houdt? Politie? Bits of Freedom?
21-05-2012, 13:07 door Anoniem
Door Anoniem: Ben wel benieuwd hoe dit gaat uitpakken op scholen. Onze school is overgestapt op lesgeven via de computer, dus alle leerlingen zitten de hele dag op de computer om de lessen te volgen. Op dit moment wordt vrijwel alles geblokkeerd, zowel via OpenDNS als via poorten. Alleen poort 80/443 wordt toegestaan naar buiten.

Dit kun je niet vergelijken met de studenten in Groningen waar hier over is geschreven. In Groningen betrof het namelijk de woningen van studenten. Voor hen goldt de RuG als provider. Als je als school "leermiddelen" aanbiedt, kun je natuurlijk goed bepalen hoe er wel of niet gebruik van wordt gemaakt.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.