Zorgen om de zorgplicht

Door Niels Huijbregts, 10 June 2008

Internetveiligheid blijft een lastig onderwerp. Een tijd geleden kondigde OPTA aan zich op dat onderwerp te gaan richten, door verplichtingen aan providers te gaan opleggen. Ze vroegen de internetproviders hoe ze dat het beste aan konden pakken. De providers zagen die regels en verplichtingen niet zo zitten, waarna OPTA besloot toch maar niet te gaan reguleren.

Sindsdien is OPTA met een aantal internetproviders in overleg over hoe het probleem dan het beste aangepakt kan worden. OPTA wil graag een keurmerk. Voor een keurmerk zou precies moeten worden vastgelegd aan welke eisen een provider moet voldoen. Dat klinkt misschien goed, maar dat is het niet. Computerveiligheid en -beveiliging zijn namelijk zeer beweeglijk: elke week is er wel weer een nieuw beveiligingsprobleem, risico of bedreiging. Als je gaat vastleggen welke veiligheidsmaatregelen providers moeten nemen, dan zijn de regels die je vastlegt dus na een week al weer verouderd.

De providers legden hun alternatief aan OPTA voor: betere informatie aan klanten en gebruikers over veiligheidsrisico’s op internet en hoe ermee om te gaan. Als je mensen duidelijk uitlegt wat het risico is, kunnen ze er beter mee omgaan en wordt de kans op een probleem kleiner. De providers stelden voor, op een prominente plek op hun websites een pagina in te richten met goede informatie over het onderwerp, met de mogelijkheid contact op te nemen met de providers in geval van een internetveiligheidsprobleem. Zo dus.

En toen opeens, midden in het overleg, stuurde OPTA een boze brief aan de providers en deed men in de pers voorkomen alsof de providers laks met internetveiligheid omspringen. Een vreemde gang van zaken, aangezien de providers juist een goed voorstel aan OPTA hadden gedaan.

Vandaag hebben we een brief teruggestuurd. Ik roep OPTA daarin op, het probleem breder aan te pakken dan alleen alle hoop op de providers te vestigen. Veiligheid en beveiliging op internet is een breed probleem dat zo dicht mogelijk bij de bron moet worden aangepakt. Luchtvervuiling los je immers ook niet op door iedereen verplicht een mondkapje te laten dragen, dat doe je door roetfilters te installeren op de uitlaat van de vervuiler.

Bij onveiligheid op internet valt het niet mee de precieze bron te bepalen. Dat komt doordat er niet één precieze bron is. Onveiligheid op internet komt door spammers, virusmakers en leveranciers van gebrekkige software en hardware, door slordige gebruikers, onzichtbare spyware en authentiek ogende phisingsites, etc. Al die bedreigingen kunnen we best het hoofd bieden, als we maar inzien dat het een complex probleem is, waar geen simpele oplossing voor bestaat. Veiligheid bereik je niet door ergens een keurmerk op te plakken en een boze brief te schrijven. Veiligheid bereik je vooral door samen te werken.

Een bijdrage van Niels Huijbregts

Niels werkt op de afdeling Public Affairs van XS4ALL als woordvoerder.

Reacties

Commentaar is gesloten

  1. Paul Tap 10 June, 2008 20:41:50

    Gelukkig neemt XS4ALL dit standpunt in want ik heb al vaker “internet toegang” bij een provider genomen om vervolgens achter allerlei proxies, dichtgezette poorten etc. terecht te komen.

    Goede voorlichting en eventueel afsluiten van herhaaldelijk besmette klanten, prima, maar internet is een open systeem en dat dient het te blijven. De illusie dat het probleem door de ISP’s opgelost kan worden is a) het probleem bij de verkeerde partij neerleggen en b) een onderschatting van de creativiteit van de makers van de narigheid.

  2. Dijk 11 June, 2008 04:18:54

    De spijker op z’n kop. Ik wil niet bij een dichtgetimmerde provider met bijbehorende sticker zitten. Xs4all bied ruim voldoende mogelijkheden voor veiligheid EN vrijheid,gaat prima samen.

  3. dick 11 June, 2008 09:04:07

    Wellicht dat de ISP het allemaal heel vervelend vindt, echter zei staan zelf aan de basis, voor de ellende welke ze nu over hun heen krijgen. Men is er in het verleden aan zeer vaak op gewezen, dat wanneer men mensen opbeperkte vrijheid biedt, haalt dat werkelijk ook het beste in de mens naar boven. Men had veel eerder in moeten grijpen, maar ja, de euro wordt DUUR als je tegen je klant moet zeggen, dat het niet helemaal wenselijk is wat men aan het doen is. Dus de EURO is belangrijker dan wat dan ook, en die deksel komt nu op hun neus.

    gr
    dick

  4. Urbain 11 June, 2008 09:55:36

    Dick: ik snap niks van wat u zegt. Waarin had men moeten grijpen? En wat heeft het met EUROS te maken? Leg eens iets preciezer uit wat u bedoelt?

  5. fer 11 June, 2008 12:06:01

    Het wets artikel waarnaar verwezen wordt:
    ——————————
    Artikel 11.3
    1.

    De in artikel 11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico.
    2.

    De in artikel 11.2 bedoelde aanbieders dragen er zorg voor dat de abonnees worden geïnformeerd over:
    a.

    bijzondere risico’s voor de doorbreking van de veiligheid of de beveiliging van het aangeboden netwerk of de aangeboden dienst;
    b.

    de eventuele middelen waarmee de onder a bedoelde risico’s kunnen worden tegengegaan, voor zover het andere maatregelen betreft dan die welke de aanbieder op grond van het eerste lid gehouden is te treffen, alsmede een indicatie van de verwachte kosten.
    ———————————
    Dit is een lekker vaag artikel waarin je kan lezen wat je wilt. Het begint met de berscherming van de persoonsgegevens. Gaat het hier om de gegevens zoals deze bij de provider zijn vastgelegd of moet je dit breder zien en ook de persoonsgegevens van de abbonees thuis meenemen? Dat laatste vloeit voort uit de term persoonlijke levenssfeer. Wat valt daar onder, voor wie en wie bepaalt dat?

    Daarnaast gaat het over passende maatregelen die afhankelijk zijn van risico en kosten. Hoe bepaal je wat passend is?

    De eigen infrastructuur van de verschillende providers zal inmiddels redelijk goed tot goed beschermd zijn. Hoe bepaalt een serviceprovider wat een aanvaardbaar risico is voor zijn abbonees in het algemeen en een specifieke abbonee in het bijzonder?

    Dan ook nog daar een keurmerk aan willen hangen met verschillende schalen. Het is immers bedoeld om een vergelijking over maatregelen tussen providers te kunnen maken. Ik kan begrijpen dat providers daar niet zo happig op zijn. Zeker bij een statisch keurmerk worden de mogelijkheden om snel een nieuw business propositie met een keurmerk te introduceren sterk beperkt. Het gaat hier immers om commerciele ondernemingen.

  6. dick 11 June, 2008 13:30:52

    @Urbain

    Het is niet zo moeilijk, zie het als een snelweg, ook daar heb je verkeers regels, op het internet zijn deze regels door de ISP vanaf dag 1, onderuit gehaald onder het mom van pricacy. Echter men wist en weet heel goed dat dit moreel niet echt in de haak was. Alleen wanneer men een klant ( wij zetten de deur aleen maar open) de toegang weigert of een beperking oplegt ( filter), dan kon die klant wel eens naar een ander gaan, die het wel goed vindt. euro’s dus.

    gr

    dick

  7. Urbain 11 June, 2008 14:07:45

    Dick: aha. Uw boodschap is niet ingewikkeld, maar de manier waarop u die brengt bracht mij in verwarring. U bedoelt dus eigenlijk: de ISP’s liggen dwars omdat ze alleen maar aan het geld denken.

    Persoonlijk heb ik er veel meer vertrouwen in wanneer mijn ISP bepaalt welke veiligheidsmaatregelen noodzakelijk zijn en die uitvoert (zoals nu het geval is), dan wanneer OPTA dat gaat bepalen. Let goed op: OPTA is geen technisch expert, maar een juridisch gevaarte. Het is geen goed idee dat OPTA regels wil gaan opleggen over hoe ISP’s hun beveiliging moeten regelen. Dat worden logge juridische regels die de veiligheid niet zullen verhogen. ISP’s weten zelf veel beter hoe dat moet. Dat heeft niks te maken met “onder het mom van privacy”.

    Zoals XS4ALL al in die brief schrijft: ze voldoen al aan de eisen. En dat klopt ook: je kijgt virusscanner, firewall, een modem met ingebouwde firewall, ze geven informatie op hun site, geven veiligheidscursussen, ze hebben een duidelijk (wel streng) abuse beleid. Dat zijn allemaal dingen die geen geld opleveren, maar geld kosten. Ze doen het dus niet voor de euro’s, maar omdat ze verstand van zaken hebben.

    Kortom: vraag je eens af of je opmerkingen wel ergens op slaan.

  8. dick 11 June, 2008 14:18:11

    Kortom: vraag je eens af of je opmerkingen wel ergens

    De ISP weet heel goed dat er op dit moment vanuit Den Haag steeds meer druk uitgeoefend wordt om eens iets te gaan doen aan bv het illegale aanbod door hun klanten, want wat in de telegraaf niet gaat lukt bij XS4All wel……….

    gr
    dick

  9. Urbain 11 June, 2008 14:27:58

    Dick: het zal vast aan mij liggen, maar ik snap weer niet wat u bedoelt. Wat lukt er niet in de Telegraaf en wel bij XS4ALL?