image

Anonieme VPN aanbieden: de aansprakelijkheid (deel 3)

dinsdag 29 oktober 2013, 14:58 door Matthijs van Bergen, 3 reacties

In de vorige twee artikelen over anonieme VPN besprak Matthijs van Bergen, specialist in het informatierecht bij ICTRecht, of anonieme VPN überhaupt mag worden aangeboden (deel 1) en vervolgens de relatie tot de bewaarplicht voor telecomgegevens (deel 2).

Dit artikel gaat in op de aansprakelijkheid bij dergelijke dienstverlening. Het is het derde deel in een serie over de juridische kwesties die bij anonieme VPN komen kijken. Door de onthullingen over PRISM staan dit soort diensten extra in de belangstelling.

Richtlijn Elektronische handel

De Richtlijn Elektronische handel bepaalt dat "wanneer een dienst van de informatiemaatschappij bestaat in het doorgeven in een communicatienetwerk van door een afnemer van de dienst verstrekte informatie, of in het verschaffen van toegang tot een communicatienetwerk, de dienstverlener niet aansprakelijk is voor de doorgegeven informatie, op voorwaarde dat:

a) het initiatief tot de doorgifte niet bij de dienstverlener ligt;

b) de ontvanger van de doorgegeven informatie niet door de dienstverlener wordt geselecteerd, en

c) de doorgegeven informatie niet door de dienstverlener wordt geselecteerd of gewijzigd."

Dit wordt de vrijstelling voor "mere conduits", of "zuivere doorgeefluiken", genoemd. Internetproviders worden normaliter geacht aan deze voorwaarden te voldoen en onder de vrijstelling voor mere conduits te vallen, zodat zij niet aansprakelijk zijn voor de inhoud die zij doorgeven. Internetproviders geven normaliter immers vrij passief de informatie door die hun klanten willen verzenden en ontvangen en (a) nemen niet het initiatief tot doorgifte van de gegevens, (b) selecteren de ontvanger van de doorgegeven informatie niet en (c) selecteren en wijzigen de doorgegeven informatie niet. VPN-providers doen dat ook niet en kunnen om dezelfde redenen worden geacht onder de vrijstelling te vallen.

De wijze waarop de vrijstelling is geformuleerd, brengt wel enige risico's met zich mee. Als wij de criteria uit sub (b) en (c) erg letterlijk nemen, dan lijkt een internetprovider zijn vrijstelling al te verliezen als hij ook maar één IP-pakketje selecteert om weg te gooien uit zijn routers. Zelfs als de weggegooide pakketjes bijvoorbeeld een virus of een DDoS-aanval bevatten, zou immers kunnen worden gezegd dat hij alle wel doorgegeven informatie in feite dus selecteert, waardoor de vrijstelling niet meer zou gelden. Aangezien tegenwoordig vermoedelijk alle internetproviders wel enige actieve maatregelen nemen (op transportniveau) om spam en virussen op de netwerken te weren - gelukkig maar! - zou de vrijstelling nu voor geen enkele internetprovider nog gelden, wat moeilijk de bedoeling kan zijn. Internetproviders die daarnaast uit commerciële overwegingen bepaalde websites, toepassingen of inhoud blokkeren of veel aan actieve prioritering en management doen, lopen mijns inziens wel een reëel risico hun vrijstelling van aansprakelijkheid te verliezen.

Er is tevens een vrij gering te achten kans dat men het encrypteren van het verkeer opvat als "wijzigen". Internetproviders encrypteren zelf het verkeer dat zij doorgeven niet; zij geven normaliter hooguit het verkeer door dat door of via diensten van anderen, zoals de VPN-aanbieder, is geëncrypteerd. Daarnaast is de bedoeling van encryptie niet om de informatie als zodanig te wijzigen, maar om deze onleesbaar te maken voor onbevoegden. Het encrypteren van verkeer hoort daarom niet als "wijzigen" te worden opgevat zoals bedoeld in artikel 12 van de Richtlijn Elektronische Handel.

Indien bijvoorbeeld een auteursrechtenorganisatie zich tot een internetprovider of de anonieme VPN-aanbieder zou wenden met een claim dat gebruikers inbreuk maken op auteursrechten van derden, kunnen de internetprovider en VPN-aanbieder zich dus beroepen op de vrijstelling van aansprakelijkheid. Dit neemt uiteraard niet weg dat de rechter bijvoorbeeld wel kan beslissen dat de internet- of VPN-aanbieder een of meerdere specifieke en proportionele maatregelen moet nemen om bepaalde websites die vooral auteursrechtinbreuk faciliteren, te blokkeren.

Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.

Reacties (3)
30-10-2013, 13:58 door Anoniem
Het Nederlandse woord is "versleutelen".

Persoonlijk denk ik dat de rechter die een ISP dwingt te filteren onheus bezig is, ook omdat dit de bron niet aanpakt, maar slechts voor de klanten van de ISP de algemene dienstverlening nodeloos vermoeilijkt. Een rechter die in naam van een klaagpartij* ISPklanten onrecht aandoet door de door hun betaalde diensten te beknotten is wat mij betreft niet iemand die veel verstand heeft van "rechtspraak", ongeacht wat de wet nou werkelijk zegt.

Gek genoeg maakt het voor mij dan weer niet uit dat een ISP filterdiensten aan de klant, ten behoeve van de klant levert. Zoals xs4all met hun door de klant fijnmazig instelbare spamfilter of solcon met hun "porno-vrije internet" voor mensen die dat graag willen. Persoonlijk zou ik dat laatste nooit afnemen, maar dat hoeft ook niet. Ik ben vrij mijn ISP te kiezen. Dat is het fundamentele verschil met de rechter die ISPs verplicht ten behoeve van een derde partij hun klanten keuze af te nemen.

Wellicht dat dit fundamentele punt in de wet opgenomen had moeten worden, ook om onheuse geintjes met DPI, herverpakken (van bv plaatjes en filmpjes, gebeurt bij "mobiel internet", wat feitelijk nauwlijks internet te noemen is), transparante proxycaches, en wat dies meer zij af te vangen.

Ik zie eigenlijk niet hoe je deze uitholling van het doorgeefluikprincipe recht kan praten, maar deze bumabevrinde magistraat mag het nog wel een keertje proberen. Wieweet dat zijn uitleg deze keer minder spectaculair op de bek gaat. Je weet het niet.


* Laten we de hele discussie over verspeelde rechten omdat het de industrie zelf was die "als laatste op de markt" wilde zijn -- woordelijk vertaald van wat de grootklagers in de VS zelf zeiden -- en herhaaldelijk weigerde dan maar wel het door hun beheerde cultuurgoed op door de klant gewenste manier te leveren maar even terzijde, wat ze niet minder pertinent maakt. En dat is niet het enige wat onheus op de burger afgewenteld wordt door deze industrie van harkstichtingen.
01-11-2013, 16:33 door Anoniem
Sinds het blokkeren van de pirate bay is dus geen enkele ISP meer een doorgeefluik. Ze filteren allemaal selectief pakketjes.
28-11-2013, 22:06 door artart
Mag ik een gesloten brief versturen via de post? Met een gecodeerde tekst? Mag ik mijn eigen huis op slot doen als ik wegga? Mag ik mijn gordijnen sluiten? De overheid zal ons in de toekomst vertellen dat via de internet dit niet meer mag. Zij willen overal in kunnen kijken. Zij willen onze gordijnen openhouden, onze enveloppen openen en alles moet leesbaar zijn. Ik wil mijn prive-leven verborgen houden. Ik wil dat we nog zoiets als prive-leven kunnen overdragen op de toekomstige generaties. In oost-duitsland werd ieder telefoongesprek afgeluisterd via geheime kamertjes in de gebouwen. Een samenleving waarin iedereen elkaar in de gaten hield. Van kwaad tot erger. Pas op, voor je het weet zijn wij er ook. Ik wil een email versturen zonder dat een ieder daar inkijkt, tenzij er redenen zijn die door de rechtbank gedoogd kunnen worden. Dit zou van geval tot geval bekenen moeten worden. Zo zit onze samenleving toch inelkaar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.