Internetproviders en met name aanbieders van mobiel internet dienen volgens telecomwaakhond OPTA hun klanten beter te informeren over de gevaren op het web, meldde Nu.nl eergisteren. De OPTA, die ook toezicht uitoefent over internetaanbieders, heeft beleidsregels uitgegeven over de informatieplichten van internetaanbieders. Op grond van art. 11.3 Telecommunicatiewet is de OPTA bevoegd deze regels op te leggen en met boetes naleving af te dwingen.

De OPTA noemt in de beleidsregels (die als niet-kopieerbare PDF aangeboden worden, argh!) informatie over deze onderwerpen als minimum:

• Het binnenkrijgen van spam, phishing-mails, spyware en andere malware.
• Het ongewenst door anderen laten gebruiken van een (draadloze) internetverbinding of van de eigen computer.
• Het bereikbaar zijn(!) van ongewenste websites.
• Het laten kapen van de eigen computer zodat daarmee spam, phishingmails of malware verstuurd kan worden (door deelname aan een botnet).

De informatie moet duidelijk, ondubbelzinnig, actueel en relevant zijn. Een tekst als “Om veilig te internetten zou u een virusscanner moeten installeren” is bijvoorbeeld onvoldoende volgens de OPTA, omdat je daarmee mensen niet informeert over de risico’s als je die niet installeert. “Onveilig” is niet duidelijk genoeg.

Providers moeten een aparte pagina op hun website maken waarin ze deze informatie opnemen. Deze moet met één klik vanaf de homepage of landing page te bereiken zijn waar men het abonnement kan afsluiten.

De OPTA is al sinds 2007 bezig met het formuleren van passende regels. Dat gaf nog aardig wat ophef onder de ISP-community. Het zou bemoeizucht van de OPTA zijn of zelfs “gezochte werkgelegenheid“. Dit omdat “de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn”, aldus Simon Hania van (destijds) XS4All.

Wat vinden jullie van deze regels? Heeft het nut om ISP’s te verplichten hierover informatie te verschaffen? Of wat zou men beter kunnen doen?

Je kunt je bijvoorbeeld afvragen of het nu juist de ISP’s moeten zijn die deze informatie gaan verspreiden. Zelf zou ik verder meer zien in verplichte maatregelen om deze beveiligingsrisico’s tegen te gaan. Internetrechtexpert Gerrit-Jan Zwenne (Leiden, Bird & Bird) zegt bijvoorbeeld terecht:

Ook als ik wordt geinformeerd over de risico’s van spam en botnets, blijf ik daarvan last hebben. Om echt iets te doen aan internetveiligheid moet meer gebeuren. Ik maak mij sterk dat OPTA heel wel in staat is om aanbieders te verplichten botnets op te sporen en te verwijderen. En als het moet zou OPTA dat ook zelf kunnen doen.

Denk aan scanners die bergen uitgaande spam of phishingmails detecteren en dan de betreffende poort sluiten of het internetverkeer van die computer beperken. Volgens mij werkt dat beter dan een folder met “pas op met het openen van bijlagen bij e-mail”.

Arnoud