Achtergrond

Juridische vraag: wie mag straks nog internet afknijpen?

woensdag 26 december 2012, 10:38 door Arnoud Engelfriet, 9 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Twee weken terug meldde je tussen neus en lippen door dat vanaf 1 januari óók private organisaties netneutraal moeten handelen bij het aanbieden van internet. Ik word daar toch wel zenuwachtig van; hoe zit dat precies? En geldt het ook voor scholen?

Antwoord: Per 1 januari treedt de Wet netneutraliteit in werking. Of nou ja, wet, het is één artikel in de Telecommunicatiewet:
Aanbieders van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd en aanbieders van internettoegangsdiensten belemmeren of vertragen geen diensten of toepassingen op het internet, tenzij
(...)

De tenzij's kom ik zo op. Maar het begint met twee categorieën aanbieders, namelijk de aanbieders van openbare netwerken én de aanbieders van internettoegang (zonder het woord openbaar). Die eerste categorie kennen we, dat zijn internet access providers
zoals Ziggo, UPC of XS4All.

Wat de tweede categorie inhoudt, was bij invoering van de wet niet helemaal duidelijk. Maar bij Kamervragen over het blokkeren van bittorrent door de Rijksuniversiteit Groningen bleek dat het óók geldt voor niet-openbare aanbieders zoals de RUG. De minister maakte alleen onderscheid tussen aanbieden aan studenten en aanbieden aan werknemers; werknemers lever je geen internettoegang maar het bedrijfsmiddel ofwel gereedschap internet.

Een universiteit moet dus netneutraal zijn naar zijn studenten. En als een universiteit dat moet zijn, dan moet een school dat ook. En een hotel, en een café en een bedrijf - als ze internet aanbieden aan bezoekers of klanten. Alleen als je de toegang tot internet kunt verkopen als iets anders dan "aanbieden" (zoals werknemers die je een bedrijfsmiddel beschikbaar stelt) zou je er wellicht nog onderuit komen.

De tenzij's bieden je wel enige mogelijkheid om te filteren of blokkeren. Maar het oude adagium "ik ben de BOFH en dit ga ik blokkeren want security" gaat echt niet meer op. Er zijn vier categorieën:

om de gevolgen van congestie te beperken, waarbij gelijke soorten verkeer gelijk worden behandeld;
ten behoeve van de integriteit en de veiligheid van het netwerk en de dienst van de betrokken aanbieder of het randapparaat van de eindgebruiker, waarbij problemen vanaf de randapparatuur pas mogen worden aangepakt nadat je hebt gewaarschuwd en de gebruiker dan nóg niets doet*;
om de doorgifte van spam aan je gebruikers te beperken, mits hij daar apart
voorafgaand toestemming voor heeft verleend;
ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

Bij 1 wordt bedoeld dat je bijvoorbeeld nog wel video categorisch mag afknijpen als dat congestieproblemen veroorzaakt. Maar je mag niet Skype wél en een andere VoIP-dienst níet afknijpen. Ook toegestaan is bijvoorbeeld de snelheid van internet in het algemeen te beperken op drukke momenten, of om de capaciteit op de lijn met prioriteit in te zetten voor de eigen video-on-demanddienst die buiten internet om
loopt. Tevens mag de provider premiumabonnementen invoeren waarvan het verkeer voorrang krijgt.

Bij 2 had ik een sterretje. Het categorisch blokkeren van bijvoorbeeld poort 139 (Samba) omdat daar vaak misbruik van wordt gemaakt, of een PC in quarantaine gooien zodra er spam of malware uit komt, is een probleem. De wet eist namelijk dat wanneer het gaat om verkeer afkomstig van een eindgebruiker, de provider deze eerst moet contacteren en gelegenheid moet geven de inbreuk te staken. Dat moet dus vóór het afsluiten gebeuren.

Pas als “wegens de vereiste spoed” dit niet haalbaar is, mag er eerst gehandeld en dan gemeld worden. Maar ik denk niet dat je mag zeggen “malware is vervelend dus er is vereiste spoed”. Spoedgevallen lijken me eerder zalen als ddos-aanvallen waar de klant aan meedoet, dat richt nú grote schade aan en moet dus nú gestaakt worden. Een grote spamrun is misschien ook wel spoedhandelwaardig.

De impact van 3 is dat spamfilters aparte opt-in eisen. Ook voor inkomende mail dus. (Wie nu denkt, wat achterhaald, XS4All is de enige die dat doet - wie denk je dat heeft zitten praten met de politiek toen dit wetsvoorstel in de maak was.)

En vanwege 4 mag de rechter nog steeds toegang tot The Pirate Bay blijven verbieden. Dit tot enige verbazing van de opstellers van het wetsartikel, maar dat terzijde. Het stáát er - de rechter mag toegang tot sites of diensten verbieden en een internetaanbieder moet dat implementeren.

Het is natuurlijk niet zo dat een school nu maar moet toestaan dat leerlingen middenin de klas porno gaan kijken of zo. Een bedrijf of instelling mag nog steeds regels stellen over de goede orde in de gebouwen en tijdens de les, of hoe leerlingen of gasten met elkaar moeten omgaan. Zulke gedragsregels mogen echter alleen niet meer worden afgedwongen via een blokkade op de internettoegang.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

'Laat bedrijven boeten voor datalekken' (interview)

Security Tip van de Week: vermom je paspoort als boterham

Reacties (9)

26-12-2012, 14:29 door Anoniem

Mijn oudere middelbare school gebruikte (meer dan 5 jaar geleden) software om mee te kunnen kijken op de pc waar mensen mee bezig waren. Als we dan iets aan het doen waren wat niet mochten werd de controle van de pc overgenomen, werd de betreffende pagina afgesloten en kregen we een waarschuwing. Wij moesten voordat we gebruik mochten van de pc voorzieningen een verklaring ondertekenen waarin we daar onder andere toestemming voor gaven.

Met die ervaring in mijn achterhoofd vind ik het toch wat netter als een school een blokkade afdwingt door een gedeelte van de internettoegang te blokkeren. Zolang ze daar tenminste maar open en duidelijk in zijn.

26-12-2012, 14:52 door Anoniem

Dit gaat net zo averechts uitpakken als het cookieverbod. ISP hebben misschien weinig keus, maar veel kleine aanbieders, voor wie internettoegang een extra service is zullen er gewoon mee stoppen.

En als er genoeg spam wordt verstuurd vanaf .nl adressen is het slechts een kwestie van tijd voordat die adressen op alle blocklists komen te staan.

26-12-2012, 15:19 door Anoniem

Ik denk dat een bedrijf, instelling, school of universiteit in het algemeen geen "aanbieder van openbare elektronische communicatienetwerken waarover internettoegangsdiensten worden geleverd of aanbieder van internettoegangsdiensten" is, en dat de regels daar dus niet voor gelden.

Het voorbeeld vanuit de kamervragen is iets totaal anders. Daar is de betreffende universiteit op de stoel van ISP gaan zitten door internettoegang aan te bieden in studentenkamers.

In het algemene geval (plaatsen waar internet toegang wordt geleverd op computers van bedrijf, instelling, school of universiteit of waar internet toegang aangeboden wordt als extra service (publieke WiFi, gasten internet) zal men dit wettelijk vast niet onder "aanbieder van internettoegangsdiensten" rekenen.

Maar goed, laten we het eerste proefproces hierover maar afwachten. Als blijkt dat het toch zo gaat dan is de aan-uitknop van de WiFi routers snel genoeg omgezet.

27-12-2012, 08:21 door musiman

Arnoud, dus als ik het goed begrijp mag een school faciliteiten als het FilterNet van de EO niet meer gebruiken? Hoe kan ik mijn kind nu veilig naar school sturen wanneer ik niet zeker weet of hij al dan niet per ongeluk op 18+ sites terechtkomt, terwijl ik dat thuis wel goed geregeld heb?
Verder lijkt het mij onmogelijk om het personeel van een school weg te houden van niet-werk-gerelateerde sites wanneer dat personeel bijvoorbeeld gewoon van dezelfde internetvoorziening als diens klanten (leerlingen/studenten) gebruik kan maken. Dit geldt natuurlijk ook voor bedrijven die behalve een internetvoorziening voor medewerkers ook een gastennetwerk aanbieden aan klanten. Moet zo'n bedrijf er dan maar voor kiezen om het gastennetwerk geheel te schrappen?

Rare Wetsaanpassing is dit. :/

27-12-2012, 15:42 door Anoniem

@musiman; Hoewel ik je punt begrijp, vind ik je toch wat naief. Welke zekerheden zijn er nu helemaal? Ik kan er maar twee bedenken, en geen daarvan heeft met filters op het internet te maken. Onder deze voorwaarden kan ik me niet voorstellen dat gasten netwerken blijven bestaan, ik zou niet willen dat onze klanten virussen oplopen binnen ons bedrijf. De lijn tussen wat wel en niet mag is gewoon niet duidelijk genoeg. De gevolgen van overtreding m.i. ook niet, stomweg omdat niet eenduidig vast ligt wat wel en niet een overtreding is. Ik verwacht dat de gasten netwerken dus uit de lucht gaan, en diegenen die wel blijven zullen afstand moeten doen van de rechten die ze via dit artikel toegekend krijgen, anders krijg je geen internet dienst., en de rest zal niet veranderen.

27-12-2012, 20:42 door Anoniem

Hoe zit het met de doorgifte van malware in email? Is daar ook opt-in voor nodig of mag dat niet meer?

27-12-2012, 22:50 door TD-er

Door musiman: Arnoud, dus als ik het goed begrijp mag een school faciliteiten als het FilterNet van de EO niet meer gebruiken? Hoe kan ik mijn kind nu veilig naar school sturen wanneer ik niet zeker weet of hij al dan niet per ongeluk op 18+ sites terechtkomt, terwijl ik dat thuis wel goed geregeld heb?
Verder lijkt het mij onmogelijk om het personeel van een school weg te houden van niet-werk-gerelateerde sites wanneer dat personeel bijvoorbeeld gewoon van dezelfde internetvoorziening als diens klanten (leerlingen/studenten) gebruik kan maken. Dit geldt natuurlijk ook voor bedrijven die behalve een internetvoorziening voor medewerkers ook een gastennetwerk aanbieden aan klanten. Moet zo'n bedrijf er dan maar voor kiezen om het gastennetwerk geheel te schrappen?

Rare Wetsaanpassing is dit. :/

Volgens mij is dat niet iets wat door deze wet beperkt wordt.
Het idee achter deze wet is dat de school al het verkeer gelijk behandelt, tenzij er vanwege operationele redenen een andere behandeling noodzakelijk is.
Dus http-verkeer over poortje 80 zal gelijk behandeld moeten worden, ongeacht of het nu naar wikipedia.org is of youtube.com.
Echter voor bepaald verkeer, zoals voip-gesprekken kan het handig zijn om de kwaliteit te kunnen garanderen, dat er een bepaalde hoeveelheid bandbreedte voor gereserveerd wordt.

Gelijk behandelen, wil niet zeggen dat je niet mag blokkeren en dat noemt Arnoud ook redelijk expliciet in de uitzonderingen. Porno en dergelijke is over het algemeen niet echt nodig voor de lesstof op scholen, dus dat kun je nog steeds prima blokkeren met deze wet. Misschien dat je juridisch nog wat extra's moet doen, zoals het noemen in de algemene voorwaarden, of dat je het knopje hierdoor per scholier kunt laten aan of uitzetten door de ouders. Echter dat laatste is nogal veel werk (dus duur) en mogelijk niet helemaal waterdicht. Al was het alleen al dat er pubers zat zijn die dat op de een of andere manier weer om weten te laten zetten en als er 1 bij kan, kan effectief de hele klas erbij.

Het lijkt mij dan echter wel noodzakelijk met deze wet om alle blokkades gelijk te behandelen.

28-12-2012, 15:14 door dutchfish

Als ik het goed heb begrepen, hoort poort 25 dus weer open te worden gezet?

29-12-2012, 05:51 door Anoniem

"De impact van 3 is dat spamfilters aparte opt-in eisen."

Aparte opt-in voor filters is voor de consument goed omdat veel van de toegepaste filters false positives veroorzaken. Het idee is daarmee ook niet achterhaald want dat probleem is er en er is geen reden om aan te nemen dat het zal verdwijnen. Verder is het implementeren van opt-in technisch niet zo'n probleem. Tenzij de ISP black boxes gebruikt kun je per ontvanger een spam classificatie naar keuze blokkeren of bezorgen (met markering). Dat vergt wat werk, maar niet zo veel.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer