Juridische vraag: Moet ik de gebruikers van mijn gezamenlijke netwerk kunnen identificeren?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wij (een groep netwerk engineers in een appartementencomplex) hebben een eigen netwerk gebouwd en gekoppeld aan internet via één provider. De kosten worden omgeslagen en via de VvE geïncasseerd. We loggen echter niets in verband met privacy. Nu krijgen wij wel eens abusemeldingen maar we weten dus niet om wie het gaat. Moeten we hier nu meer in doen?
Antwoord: Een internettoegangsprovider is in beginsel niet aansprakelijk voor wat er over zijn lijn gaat, ook niet na een abusemelding. De wet (art. 6:196c lid 1 BW) zegt dat je categorisch niet aansprakelijk bent wanneer je als passief doorgeefluik fungeert, dus niet zelf het initiatief neemt voor de informatielevering, niet kiest naar wie het moet en niet selecteert of wijzigt wat er doorgegeven wordt.
Een abusemelding is dus leuk en aardig maar wettelijk ben je als ISP niet verplicht daaraan gehoor te geven. Het is vaak wel handig omdat je anders op allerlei zwarte lijsten komt, maar dat is geen juridisch argument.
Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel, zo staat in lid 6 van dat wetsartikel. Een rechter (of toezichthouder) kan dus bepalen dat bepaalde abuse wél moet stoppen. Zo heeft de rechter ooit toegang tot The Pirate Bay verboden (hoewel dat werd teruggedraaid in hoger beroep) en zou de toezichthouder (de ACM) ook bepaalde blokkadebevelen kunnen geven.
Dat laatste geldt dan weer niet voor het soort netwerk als hierboven, want de ACM is alleen bevoegd op te treden bij aanbieders van openbaar internet, zoals Ziggo of Vodafone. Een netwerk waar alleen een beperkte categorie gebruikers bij kan, valt niet onder die definitie. Dat scheelt, want dan geldt ook niet de plicht het netwerk stevig te beveiligen (art. 11.3 Telecomwet) en de vertrouwelijkheid van de communicatie te borgen (art. 11.2 en 11.2a).
Recent bepaalde het Hof van Justitie echter dat ook niet-openbare aanbieders soms wel in beweging moeten komen. In die zaak ging het om een auteursrechtclaim vanwege een download door een bezoeker van een winkel via het winkelwifinetwerk. Het Hof bepaalde dat de winkel niet aansprakelijk was voor die download, omdat de winkel slechts een platform was.
Op grond van dat lid 6 mag een rechter dus een verbod of bevel uitspreken om aan een abuse-situatie een einde te maken. En concreet waar het ging om auteursrechtinbreuk, bepaalde het Hof dat het opnemen van een wachtwoord en het identificeren van ontvangers daarvan een legitiem bevel kan zijn. Op die manier kun je inbreukmakende klanten identificeren (en dat aan eisende rechthebbenden geven) zonder dat je gelijk je hele netwerk zou moeten opheffen of moeilijk moet doen met voorwaarden en zo.
Het is nog niet duidelijk hoe ver die identificatieplicht moet gaan. Maar in de situatie van zo'n appartementencomplex denk ik dat je toch al snel uitkomt bij een koppeling van de NAT-vertaling aan het appartementsnummer. Dat adres zou genoeg moeten zijn voor een rechthebbende om dan een dagvaarding uit te brengen.
Hoe het zit met andere abuse-situaties (bijvoorbeeld een privacyschending of participatie in een ddos-aanval) is nog niet bepaald. Ik denk dat je daar ook al snel bij identificatie van de gebruiker uitkomt, dat is immers het meest geëigende middel om aan die abuse-situatie een einde te maken. Maar wie een andere effectieve oplossing heeft, mag dat ook doen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Als er een abuse melding komt, wat let jullie om een mailing list op te zetten waar naar deze meldingen gestuurd worden?
Er moet ook iemand zijn die kijkt naar het mailadres van de abuse meldingen.
Laat die dan mooi aan alle betrokkenen mailen "jongens, we hebben een melding gekregen dat onze ip space viagrapillen mailt, wil iedereen effe zijn eigen meuk nakijken? dank u"...
daarvoor HOEF je dus niet te weten wie op welk tijdstip met welk ip adres op welke laptop in welke virtual machine met welke applicatie op welk operating system met welke drank in zijn hand en welke chips op de bank het gedaan heeft..
praktisch zijn heet zoiets. over niet over-engineeren.
Dat hoeft helemaal niet. Bij een beetje router kun je de NAT rules op zijn minst voor TCP en UDP zo maken dat iedere
interne klant gebruik maakt van een bepaalde range poortnummers. Als er een klacht binnenkomt vereis je niet alleen
IP adres maar ook poortnummer (dat is tegenwoordig standaard) en als er dan staat dat er TCP verbindingen van poort
12300 gekomen zijn dan weet je dat dit de bewoner van nummer 123 is (bijvoorbeeld, als je die de range 12300-12399
gegeven hebt).
Het is dan niet nodig om alle NAT acties te loggen en te bewaren.
Gewoon doorgaan; je hebt het juridisch prima voor elkaar; en worst case als je op een blacklist komt; ga je pas acties ondernemen.
Mooie oplossing om juridisch gezeur (lees; Brein) tegen te gaan; ik heb een open wifi-accesspoint in mijn netwerk; om dezelfde reden. Juridisch kan niemand me iets maken; tot er iets fout gaat; en ik een aanwijzing krijg om het te 'verbeteren'
(niet dat ik illegaal dingen doe; maar met de roverheid/politie die je mag hacken en 'bewijs' op je pc kan zetten voelde ik me genoodzaakt om me te beschermen tegen onze fijne overheid)
Gewoon doorgaan; je hebt het juridisch prima voor elkaar; en worst case als je op een blacklist komt; ga je pas acties ondernemen.
Dit gaat ernstig van je ISP afhangen. Er zijn ISP's die, als je een potje maakt van je netwerk en er viraal verkeer is oid (Spam, DDoS botjes enz.) de stekker eruit trekken. De ISP kijkt tegen de router aan en voor hen doet het er niet toe wat er achter is. Dat je dat dan vervolgens via een VvE hebt aangesloten en geen idee hebt is jouw probleem.
Dit kan natuurlijk tot hele complexe situaties leiden wanneer er bewezen moet worden wie er (in het ergse geval) strafbaar bezig is. In een bedrijf heb je al gauw de toepassing van AAA services om dit te voorkomen (proest...de grootste ict leveranciers in Nederland loggen zwaar beroerd).
Maar ik heb eerlijk nooit stilgestaan bij een situatie zoals de topic starter beschrijft. Maarja wat is het verschil met een thuissituatie in het geval van bv een groot gezin? Maar daar kun je als ouder nog enigzins optreden...en je maatregelen nemen. Wie is er in jullie geval de optredende "ouder"
In jullie geval, lijkt het mij dat als er bv echt strafbare zaken gebeuren via die router (in het ergste geval) dat er een inval komt en alles in beslag wordt genomen en alles onderzocht gaat worden, M.a.w. iedereen loopt risico (geen beschikking meer hebben over je apparatuur en wellicht potentieel verdacht).
Daarnaast heb je ook nog een perfomance issue, stel dat 1 persoon ontzettende hoeveelheden data download of hebben jullie daar in voorzien? iedereen een maximale bandbreedte en zoveel max per dag? Ik zou het zelf nooit zo "loslaten" de eigenaar van die verbinding kan toch in problemen komen gedurende het onderzoek "mits er strafbare zaken gepleegd worden"
Ik zou als ik jullie was..in ieder geval een voorziening beschikbaar hebben dat er gelogd kan worden als er inderdaad wat aan de hand is. En dit tijdelijk geactiveerd kan worden met een melding aan allen.
En iedereen vooraf een statement laten ondertekenen dat als er tekenen zijn van misbruik er na melding gelogd gaat worden om de oorzaak te achterhalen dit ten behoeve van het groepsbelang en de eigenaar van het internetabonnement.
Het hoeft namelijk niet altijd een bewuste actie te zijn het kan ook malware zijn ..en in dat geval wil je toch ook optreden?
Maar goed het is maar een ideetje en jullie knelpunt is natuurlijk een logisch gevolg.
Ik zou in ieder geval in jullie thuisnetwerk beginnen met vaste ipadressen uit te delen en dit ook mede te delen, dat werkt ook enigzins preventief.
In dat geval zou het wel eens kunnen gebeuren dat de verkeerde opgepakt wordt en (tijdelijk) de cel in gaat. Want dan komen ze (als eerste) bij degene op wiens naam de internet aansluiting staat. Zal uiteindelijk dan wel weer recht gebreid worden, maar leuk is zoiets helemaal niet. Vooral omdat het niet ongebruikelijk is om dergelijke arrestaties in het midden van de nacht te laten plaatsvinden, met daarbij het nodige (inbraak-)geweld.
Dat is de reden waarom ik liever wat meer betaal aan mijn eigen internet provider, dan gebruik te maken van het internet van iemand anders in het appartementengebouw. Ik kan nu eenmaal nooit controleren wat die anderen op dat netwerk doen. Bij mijn gezinsleden heb ik in elk geval een zekere 'controle' met name in de vorm van vertrouwen.
Het zal het allemaal om draaien om besparing van de internetkosten. Zal de provider trouwens ook niet kunnen waarderen, als ie erachter komt is het meteen afsluiten geblazen. Eerst de voorwaarden van de provider maar eens goed lezen, lijkt me. Tenzij je een deal kunt treffen dat de provider bereid is een contract met de VVE af te sluiten.
Het zal het allemaal om draaien om besparing van de internetkosten. Zal de provider trouwens ook niet kunnen waarderen, als ie erachter komt is het meteen afsluiten geblazen. Eerst de voorwaarden van de provider maar eens goed lezen, lijkt me. Tenzij je een deal kunt treffen dat de provider bereid is een contract met de VVE af te sluiten.
Er zijn inderdaad providers die het in de voorwaarden hebben staan (niet delen buiten huiselijke kring). Daarop afsluiten is, in mijn ervaring, echter een aantal bruggen te ver. Echter kan je je ook niet beroepen op het delen van de internet verbinding als de abuse afdeling de hele verbinding plat gooit. Dan regel je het maar goed.
...
Daarnaast heb je ook nog een perfomance issue, stel dat 1 persoon ontzettende hoeveelheden data download of hebben jullie daar in voorzien? iedereen een maximale bandbreedte en zoveel max per dag?
...
De OP geeft aan dat de delers in kwestie een groep network engineers zijn.
Die zouden wel eens in staat kunnen zijn daar zelfstandig een goede afweging in te maken en zelfs mogelijk daaraan technisch een slag aan kunnen geven.
...
Daarnaast heb je ook nog een perfomance issue, stel dat 1 persoon ontzettende hoeveelheden data download of hebben jullie daar in voorzien? iedereen een maximale bandbreedte en zoveel max per dag?
...
De OP geeft aan dat de delers in kwestie een groep network engineers zijn.
Die zouden wel eens in staat kunnen zijn daar zelfstandig een goede afweging in te maken en zelfs mogelijk daaraan technisch een slag aan kunnen geven.
In eerste instantie las ik het bericht ook zo, dat de alle deelnemers ook netwerk admins zijn,
In dat licht viel het virus of ander abuse probleem me nogal tegen - dat zou een beetje professional niet mogen overkomen.
(cq : zou zich daar niet mee bezig moeten houden ).
Maar toen ik het nog eens las, denk ik dat de alleen de netwerk bouwers (en trekkers van het project) netwerk admins zijn, maar dat de aansluitingen in "alle" appartementen zitten, waarvan het merendeel een 'gewone' gebruiker is.
Oftewel - een complex met een x-aantal appartementen, een paar enthousiastelingen die daar wonen trekken een 'gezamelijk internet' projectje via de VVE .
Alleen ze willen per saldo ISP'tje spelen zonder veel moeite te doen voor beheer , zoals abuse preventie en afhandeling .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
