Als je een netwerk beheert, is het verstandig om naast technische ook juridische beschermingsmaatregelen te nemen. Ondertussen is het de vraag of je als beheerder van je eigen netwerk rekening moet houden met de wet. Want wat mag je zelf precies wel en niet?
Wanneer er activiteiten op je netwerk plaatsvinden die in strijd zijn met de wet, zoals het illegaal uploaden van films, kan er bij jou - als houder van het IP-adres - worden aangeklopt. In dat geval moet je bewijzen dat niet jij maar iemand anders schade via jouw netwerk heeft aangericht. Lees ook: Zo scherp je de privacy-instellingen van Windows 10 aan.
Risico netwerkbeheerder
Dat netwerkbeheerders risico's lopen, blijkt uit de rechtszaak tussen Mc Fadden en Sony Music, waarover Szpunar advies aan het Hof heeft uitgebracht. Om klanten te trekken had Mc Fadden, een Duitse handelaar in licht- en geluidstechnieken, gratis wifi voor iedereen beschikbaar gesteld. Via dit netwerk is in 2010 illegaal muziek geüpload, waar Sony de auteursrechthebbende van is. Doordat Sony de illegale uploader niet kan achterhalen, gaat het bedrijf achter Mc Fadden aan. Die had betere beveiligingsmaatregelen kunnen nemen om illegaal uploaden te voorkomen, bijvoorbeeld door een wachtwoord in te stellen op zijn netwerk. Het Europese Hof moet nu beoordelen welk recht in dit geval zwaarder weegt: het auteursrechtelijke belang van Sony of het recht van Mc Fadden om zonder belemmeringen een wifi-netwerk op te zetten.
© PXimport
Wifi is vaak gratis beschikbaar in winkels en horecagelegenheden als service voor klanten, maar ook om extra klantgegevens te verzamelen.
Schoolvoorbeeld
In 2009 werd er op de website 4chan.org gepost dat er een schietpartij zou gaan plaatsvinden op een school. Op basis van het IP-adres had de politie in eerste instantie een vrouw aangemerkt als verdachte. Pas later kon via het MAC-adres van de MacBook van een buurjongen van de vrouw, worden vastgesteld dat hij de dreigementen had geplaatst. Volgens de jongen had hij de inloggegevens van het netwerk gekregen omdat zijn eigen netwerk te traag was. Om te voorkomen dat je in dezelfde positie terechtkomt als de vrouw in deze zaak, is het verstandig om actief bij te houden aan wie je precies het wachtwoord van je netwerk hebt verstrekt.
Wachtwoord verplicht?
Het is in Nederland niet verplicht om een wachtwoord in te stellen op je netwerk, alleen is dit vanuit juridisch oogpunt wel een goed middel om jezelf in te dekken. Met een wachtwoord kun je namelijk aantonen dat je de poort tot jouw netwerk niet volledig open hebt gezet voor illegale activiteiten. Verder worden de regels rond beveiliging voor netwerken steeds strenger, vooral op het gebied van privacy. Zo wordt binnenkort de Europese Privacyverordening ingevoerd. Deze wet kan je verplichten om 'passende technische en organisatorische maatregelen' te nemen om de persoonsgegevens op je netwerk te beschermen. Hoe zwaar deze beveiligingsmaatregelen moeten zijn, hangt af van de gegevens die op je netwerk worden verwerkt. Als dit medische gegevens zijn, moet je meer doen aan de beveiliging dan wanneer jouw netwerk is opgezet voor een LAN-party. Als je niet voldoet aan de privacywetgeving, loop je kans op een boete van de Autoriteit Persoonsgegevens (voorheen College Bescherming Persoonsgegevens, CBP).
Juridische tips & trucs
Je kunt in het geval van schade op je netwerk de kans op juridische claims of een boete van de Autoriteit Persoonsgegevens enigszins verkleinen door de volgende maatregelen te nemen.
- Waarschuw gebruikers voor de risico's die ze lopen tijdens het gebruik van jouw netwerk.
- Laat je bezoekers expliciet akkoord gaan met de waarschuwing dat ze zelf aansprakelijk zijn in het geval van schade.
- Adviseer netwerkbezoekers gebruik te maken van VPN.
- Stel een sterke firewall in.
- Versleutel de gegevens die binnen je netwerk worden verwerkt.
- Verwijder persoonsgegevens op je netwerk op tijd.
- Als je een netwerk opzet dat voor iedereen toegankelijk is, meld dit dan dit op tijd bij de Autoriteit Persoonsgegevens.
- Beveilig je netwerk met een wachtwoord of beperk de toegang tot je netwerk op een andere manier.
© PXimport
Sommige ondernemers kiezen ervoor alleen betalende klanten een wachtwoord te geven. Hierdoor wordt de groep van mogelijke netwerkgebruikers enigszins beperkt.
Gegevens van gasten beheren
Als je een wifi-netwerk voor iedereen openstelt, hoef je de activiteiten van je bezoekers volgens de wet niet bij te houden. Je zou wel kunnen overwegen om de MAC-adressen van de apparaten waarmee verbinding is gemaakt met je netwerk en de duur van die verbinding een korte tijd op te slaan (dit kun je bijvoorbeeld inzien in veel routers). Als er bijvoorbeeld kinderporno via jouw netwerk is verspreid, kan de politie met deze gegevens sneller een verdachte oppakken. Vaak moet je verplicht meewerken met de politie, maar je kunt niet worden gedwongen gegevens af te staan die je niet hebt. Als een partij zoals BUMA Stemra bij je aanklopt voor de persoonsgegevens van een bezoeker, hoef je niet altijd mee te werken aan hun verzoek. Jouw gasten hebben namelijk recht op privacy dat zich hiertegen kan verzetten.
In de zaak Lycos vs. Pessers (zie kader) heeft de rechter in ieder geval vastgesteld dat wanneer het overduidelijk is dat je gast bezig is geweest met illegale activiteiten en alleen jij kunt vaststellen wie illegale activiteiten heeft verricht, je de gegevens waarmee de identiteit van die bezoeker kan worden vastgesteld wel moet afstaan.
Lycos versus Pessers
Een bekende zaak waarin een partij persoonsgegevens moest afstaan is de zaak Lycos - Pessers. Postzegelhandelaar Pessers werd beschuldigd van oplichting via een website die werd gehost door Lycos. De rechter oordeelde dat Lycos de gegevens van de persoon die anoniem stelde dat Pessers een oplichter was, inderdaad moest afgeven. Pessers mocht volgens de rechter niet vogelvrij zijn voor de beweringen van een anoniem persoon. Uiteindelijk bleek dat er een valse naam bij Lycos was opgegeven, waardoor de dader niet kon worden gepakt.
Monitoren van een netwerk: wat zijn de grenzen?
In de praktijk is het lastig voor netwerkbeheerders om vast te stellen in hoeverre ze hun netwerk mogen afspeuren op bijvoorbeeld illegale activiteiten. Uit de rechtspraak blijkt dat dit vaak afhankelijk is van het doel van de controle van het netwerk. Daarbij is de privacyverwachting van je gasten vaak van doorslaggevend belang. Als je jouw netwerkgebruikers van tevoren goed informeert over het feit dat je het netwerk controleert en je daarbij het doel van de controle duidelijk aangeeft, is er minder snel sprake van een inbreuk op de privacy. Zo mag je als beheerder opvallend gegevensverkeer checken om bijvoorbeeld schade aan je netwerk te voorkomen, maar mailverkeer onderscheppen is natuurlijk een ander verhaal. Het is vooral van belang dat je als netwerkbeheerder niet alleen de stand van de techniek op het gebied van beveiliging bijhoudt, maar ook de wet. Zo kan het definitieve oordeel van het Europese Hof in de zaak van Mc Fadden tegen Sony Music ervoor zorgen dat de regels op dit gebied minder streng worden of juist worden aangescherpt.
© PXimport
In ieder geval is het door een derde stiekem monitoren van de gegevensverwerking op jouw openbare netwerk met tools als een Pineapple niet toegestaan.