5 februari 2009

OPTA stelt beleidsregels voor ISP’s op

Door Gilyan Parker

De Telecommunicatiewet legt internetserviceproviders (ISP’s) een aantal verplichtingen op.

Eén van die verplichtingen is dat ISP’s hun klanten dienen te informeren over de risico’s van het internet. Probleem daarbij was dat tot voor kort de inhoud van deze informatieverplichting niet duidelijk was. Door publicatie van beleidsregels poogt de OPTA (www.opta.nl) daar nu meer duidelijkheid over te geven en dat is toe te juichen. Hieronder volgt een samenvatting.

Verplichting tot wijzen op beveiligingsrisico’s

De ISP’s zijn niet gehouden de abonnees te informeren over elk beveiligingsrisico. Het gaat om de bijzondere risico’s met betrekking tot de aangeboden dienst. De OPTA noemt in de beleidsregels een aantal risico’s die minimaal genoemd dienen te worden. Zo zal een aanbieder van een e-maildienst de gebruiker in ieder geval dienen te informeren over de specifieke risico’s gemoeid met emailgebruik zoals spam, phishing, spyware, trojans en overige malware en identiteitskaping. Met betrekking tot het aanbieden van internettoegang gaat het om spam, bodnets, zombienetwerken, spyware, trojans en overige malware, beveiliging draadloze router, identiteitskaping en ongewenste websites. De OPTA verwacht overigens van alle aanbieders dat zij nieuwe risico’s in de informatievoorziening opnemen.

Verplichting tot het wijzen op beschermingsmaatregelen

Naast het wijzen op de bijzondere risico’s dient de aanbieder ook de gebruikers te informeren over eventuele middelen waarmee zij de bijzondere risico’s kunnen tegengaan. De OPTA vindt het te ver gaan om in de beleidsregels vast te leggen om welke specifieke informatie het dan moet gaan en laat dat aan de aanbieders zelf over.

De OPTA geeft wel aan dat het naar haar mening in ieder geval dient te gaan om beveiligingsmaatregelen zoals een firewall, een e-mailfilter, een virusscanner, het gebruik van legale software, het activeren van automatische updates van software en gepaste voorzichtigheid bij het openen van aangeboden bestanden.

De wijze van informatieverstrekking

Volgens de OPTA dient de informatieverstrekking op een duidelijke en ondubbelzinnige manier plaats te vinden. De informatie dient actueel en relevant te zijn en bovendien gemakkelijk en permanent toegankelijk. Daarnaast dienen de gebruikers te worden geïnformeerd over de wijze waarop zij die ISP kunnen bereiken voor hulp of informatie over internetveiligheid.

De informatie dient verstrekt te worden op het moment dat toekomstige abonnees de website van de aanbieder bezoeken en op het moment dat toekomstige abonnees een contract voor een dienst gaan afsluiten of verlengen. Ook rust op aanbieders de plicht om bij substantiële wijzigingen in de bijzondere risico’s de individuele abonnee rechtstreeks te benaderen binnen een termijn wat recht doet aan de grootte van de risico’s.

Eisen aan digitale verstrekking van informatie

Indien de aanbieder er voor kiest om de informatie digitaal te verstrekken via de website dan gelden er een aantal aanvullende verplichtingen. Zo dient de aanbieder een speciale webpagina in te richten met:

  • algemene informatie over veiligheid en beveiliging van internetdiensten;
  • een uitleg over bijzondere en actuele veiligheidsrisico’s;
  • een verwijzing naar eventuele middelen (firewalls etc.) waarmee deze risico’s kunnen worden tegengegaan en een indicatie van de daarmee gemoeide kosten;
  • een uitleg of een verwijzing naar een uitleg over de gebruikte begrippen.

Daarnaast dient de pagina via maximaal één muisklik bereikt te kunnen worden vanaf de pagina’s waar de toekomstige abonnee als eerste terecht kan komen indien hij de dienst van deze aanbieder wil afnemen. Ook dienen de verwijzingen makkelijk te vinden te zijn en duidelijk aangeven welke informatie met de verwijzing te vinden valt.

Handhaving door de OPTA

De OPTA zal ambtshalve toezicht houden door steekproeven uit te voeren en te reageren op basis van klachten van gebruikers. Kort gezegd: hoe meer klachten, hoe groter de aanleiding voor de OPTA om handhavend op te treden. Consumenten kunnen klachten indienen bij het Loket van de overheid voor consumenten, de Consuwijzer (http://www.consuwijzer.nl/).

De OPTA heeft bestuurlijke handhavingsmiddelen en beschikt over het opleggen van een last onder dwangsom, last onder bestuursdwang en een bestuurlijke boete. De voorkeur gaat volgens de OPTA uit naar het geven van een waarschuwing en indien de overtreding vervolgens niet snel wordt beëindigd tot het overgaan van het opleggen van een sanctie waarbij een last onder dwangsom het meest voor de hand ligt.

Tot slot

ISP’s zullen allert moeten zijn op veranderingen op het gebied van internetveiligheid. Zodra een ISP een nieuwe trend signaleert zal zij moeten overwegen of zij haar klanten daarover informeert. Voor alle duidelijkheid: er wordt geen onderscheid gemaakt tussen consumenten of zakelijke klanten. Ook de kleinere ISP’s met uitsluitend zakelijke klanten zullen moeten voldoen aan de informatieplicht.

Gilyan Parker