DINL directeur Michiel Steltman over Huawei en Kaspersky: “Barbertje moet hangen”

DINL directeur Michiel Steltman klaagt in een opinie op AG Connect over verdachtmakingen aan het adres van technologiebedrijven door de politiek en media. Daarbij voert hij Huawei en Kaspersky op als slachtoffers.

Des te opvallender is het dat er vandaag door De Volkskrant bericht over het feit dat er Huawei een verborgen achterdeur zou hebben naar de klantgegevens van één van de drie grote telecomproviders.

Er valt daarnaast nog iets anders op in de opinie van Steltman. Minister van Justitie Grapperhaus besloot vorig jaar mei dat de anti-virus software van Kaspersky niet meer door de overheid mag worden gebruikt. Kaspersky huurde Brenno de Winter in om daar onderzoek naar te doen.

Steltman schrijft hierover in zijn opinie:

Brenno de Winter, bepaald niet iemand die zachtzinnig omgaat met bedrijven, onderzocht de kwestie en vond niets dat de vermoedens onderbouwde. De minister zelf gaf uiteindelijk toe dat een en ander niet echt gelukkig was aangepakt.

Steltman lijkt hier niet te onderkennen dat De Winter geen onafhankelijke journalist meer is, zoals Tweakers ook nadrukkelijk opmerkt. De Winter is door Kaspersky betaald om dit onderzoek uit te voeren. Daarnaast kan ik in de berichtgeving over het onderwerp nergens vinden dat de minister zou hebben toegegeven dat hij een en ander niet echt gelukkig heeft aangepakt.

Over Huawei stelt Steltman het volgende in zijn opinie:

Ook bij Huawei is er nu sprake van een omgekeerde bewijslast. Het bedrijf zit net als Kasperky in de onmogelijke positie te moeten bewijzen dat vermoedens niet waar zijn. En zolang het tegendeel niet bewezen is regeert de twijfel, want waar rook is moet wel vuur zijn. Newssite Bloomberg voelde zich in die sfeer veilig genoeg om een bevinding van Vodafone uit 2012 over een onopgemerkte telnet poort te presenteren als zo’n bewust ingebouwde achterdeur. Kan een telnet poort dan niet onveilig zijn? Ja, dat kan zeker, maar het zegt niets over achterdeuren of spionage. Kwetsbare features zitten in apparatuur van allerlei fabrikanten, of ze nu uit de V.S., Europa of Azië afkomstig zijn. Barbertje moet kortom hangen, om een ander spreekwoord aan te halen.

Vandaag bericht De Volkskrant dat Huawei een achterdeur zou hebben naar de klantgegevens van één van de drie grote telecomproviders: Vodafone/ Ziggo, T-Mobile/Tele2 of KPN. Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen, stelt dat dit klinkt als “een smoking gun met mogelijk geopolitieke consequenties”.

In de laatste alinea van zijn opinie schrijft DINL-directeur Michiel Steltman:

Dat vertrouwen te voet komt en te paard kan gaan zou ons als industrie niet bang moeten maken maar ons juist aan moeten sporen om zorgvuldiger met dat vertrouwen om te gaan. In ons eigen belang.

Dat lijkt mij een heel goed advies.

The Datacenter Group: “Conventionele datacenterdiensten zijn niet meer voldoende”

De stelling dat datacenterdiensten zelf geen toegevoegde waarde meer bieden wordt opnieuw bevestigd door de grootste 100% Nederlandse datacenter speler The Datacenter Group. Het is volgens het bedrijf cruciaal om additionele diensten te ontwikkelen om zich te kunnen blijven onderscheiden van de concurrentie.

In een persbericht over aansluiting als businesspartner bij de Dutch Hosting Provider Association stelt Edwin Kennedy, Chief Commercial Officer van The Datacenter Group:

Met de komst van de Internet of Things en clouddiensten is het bieden van alleen conventionele datacenterdiensten niet meer voldoende. Via dit platform bieden wij klanten daarom verschillende diensten aan om onderdeel te worden van een groter ecosysteem, zonder dat zij zelf grote investeringen in platformen, services en connectiviteit moeten doen. Het doorontwikkelen van het platform is van cruciaal belang om ons ook in de toekomst te kunnen blijven onderscheiden ten opzichte van andere partijen. De kennis en het advies van de DHPA-deelnemers zijn hierin erg belangrijk.

Het is interessant dat om te zien dat The Datacenter Group expliciet stelt dat het de samenwerking met hostingbedrijven erg belangrijk is om te kunnen innoveren. Dat de datacenter speler zelf voortgekomen is uit een hostingbedrijf ziet Kennedy daarom ook als een belangrijke asset:

Ooit waren wij zelf een hostingpartij. Hierdoor weten we precies wat er speelt in de markt en welke eisen aan een datacenter gesteld moeten worden. Wij zijn al meer dan twaalf jaar actief in de datacentermarkt. Deze kennis en ervaring willen we graag delen met de deelnemers van DHPA, om samen te innoveren en te ondernemen.

Ruud Allaerds, directeur van DHPA zegt hierover het volgende in het persbericht:

TDCG is een bekende partij onder de cloud- en hostingproviders. De organisatie groeit snel en is toch lokaal. En dat local for local aspect kan een belangrijk argument zijn voor de deelnemers van DHPA om de samenwerking op te zoeken. De oprichter van TDCG – Siemon van den Berg – is daarnaast ook één van de grondleggers van DHPA. Hij kent onze sector daarom zeer goed. Ik verwacht dan ook dat de samenwerking met TDCG tot wederzijdse versterking leidt op het gebied van kennis en mogelijkheden.

Het gezamenlijk persbericht van DHPA en The Datacenter Group laat opnieuw duidelijk zien dat de innovatiekracht in de digitale infrastructuursector bij hostingbedrijven zit. Eerder bleek al uit een summit van ChannelConnect dat de markt voor colocatie stilgevallen is. Dat wordt ook in dit persbericht bevestigd. De waarde voor de BV Nederland van de digitale infrastructuursector moet dus bij hostingbedrijven gevonden worden.

Bad hosters moeten als criminele organisatie worden aangemerkt

Aanbieders van digitale infrastructuur worden in Nederland goed beschermd door een tweetal verschillende artikelen. Civielrechtelijk gaat het om artikel 6:196c lid 3 BW en strafrechtelijk om artikel 54a Sr. Dat is op zichzelf een goede zaak. Helaas zijn er ook zogeheten “bad hosters” die hun business om het laatste artikel hebben heen gebouwd.

SIDN directeur Roelof Meijer vraagt zich in een blog op de website van het .nl-registry over de toppositie op het gebied van het hosten van beeldmateriaal van kindermisbruik af waarom dat zo is:

De vragen die direct opkomen zijn: waarom is Nederland zo’n populaire plek om beeldmateriaal van kindermisbruik te hosten? En wat doen we daar tegen? Want het gaat tot slot om “een van de meest verwoestende vormen van criminaliteit” zoals minister Grapperhaus van Justitie & Veiligheid terecht stelt.

In het artikel geeft Meijer zelf al antwoord op die vragen:

Het is bekend dat er enkele bad hosters in zijn in ons land. Deze bedrijven hebben, hoe onvoorstelbaar ook, van het hosten van kinderpornografisch beeldmateriaal hun business gemaakt. Op meldingen hierover van het Meldpunt Kinderporno reageren zij niet en het materiaal wordt pas verwijderd als zij daartoe een gerechtelijk bevel hebben ontvangen. En dan pas op het allerlaatste moment, want tijd is hier geld. Juridisch gezien op het randje, moreel gezien ver erover.

Deze bedrijven maken misbruik van de wettelijke bescherming die bedoeld is voor bonafide telecom- en hostingbedrijven. Het idee achter artikel 54a Sr is dat een aanbieder van digitale communicatiediensten zelf pas strafrechtelijk aansprakelijk is ná een bevel daartoe van de officier van justitie die daar weer machtiging van de rechter-commissaris nodig heeft.

Als gevolg daarvan kunnen bedrijven gewoon hun gang gaan zolang ze niet zo’n bevel krijgen van de officier van justitie. Dit probleem is al lang bekend. In 2008 is door onderzoekers van Tilburg University al onderzoek naar de problematiek gedaan zie hun rapport: Wat niet weg is, is gezien. Een analyse van art. 54a Sr in het licht van een Notice-and-Take-Down-regime.

De toenmalige Minister van Justitie heeft toen aangekondigd het artikel te zullen aanpassen. Dat is helaas niet gebeurd als gevolg waarvan bad hosters hun gang gewoon nog kunnen gaan. Daarbij moet wel worden opgemerkt dat in het kader van publiek-private samenwerking er al héél veel is gedaan om misbruik van digitale infrastructuur aan te pakken. Zo is de Gedragscode Notice & Take Down nog recent aangepast.

Meijer stelt in zijn artikel voor om: “Ontwerp en toepassing van een bestuursrechtelijke aanpak van bad hosters die aan een melding van het Meldpunt geen (tijdig) gehoor geven;”. Dat gaat mij niet ver genoeg. Bad hosters die willens en wetens medewerking verlenen aan het hosten van inbreukmakend materiaal of zelfs aan een van de meest verwoestende vormen van criminaliteit actief meewerken moeten via het strafrecht worden aangepakt.

Mijn voorstel zou zijn om bad hosters aan te merken als criminele organisatie (artikel 140 Sr). Immers heeft de organisatie tot doel op misdrijven te faciliteren. De bescherming van artikel 54a Sr geldt dan wel ten aanzien van individuele casus. Het doel van de organisatie is om een van de meest verwoestende vormen van criminaliteit te faciliteren.

Het is daarom goed om te kijken naar wat er staat in beide artikelen. Artikel 54a Sr: “Een tussenpersoon die een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt als zodanig niet vervolgd indien (..)” en artikel 140 lid 1 Sr: “Deelneming aan een organisatie die tot oogmerk heeft het plegen van misdrijven, wordt gestraft (..)“.

Interessant aan de redactie van artikel 54a Sr is dat er niet staat dat er géén sprake van strafbaarheid is van de tussenpersoon (hoster). Het is een verbod voor de officier van justitie om in die hoedanigheid te vervolgen indien de hoster meewerkt aan het verwijderen van bepaalde strafbare inhoud.

Wanneer de hoster echter tot doel heeft om doelbewust strafbare inhoud te faciliteren dan heeft de organisatie (de hoster) het oogmerk om misdrijven te plegen, zoals bedoeld in artikel 140 Sr. Wanneer er systematisch en bovengemiddeld veel sprake is van het hosten van strafbare inhoud én er ook – in tegenstelling tot de rest van de collega hosters – niet tegen opgetreden wordt na meldingen erover, dan is dat oogmerk mijns inziens gegeven.

Ook in het licht van de bescherming die artikel 54a Sr biedt zie ik geen beletsel. Dat artikel is bedoeld om bonafide hosters te beschermen. Een bonafide hoster zal onmiddellijk optreden na een (civiele) melding van onmiskenbaar onrechtmatige inhoud en al helemaal wanneer er sprake is van een van de meest vernietigende vormen van criminaliteit. Met dat oogmerk bestaat artikel 54a Sr.

Digitale infrastructuur is gebaat bij regulering

Alle regulering die op de digitale infrastructuur afkomt is indrukwekkend voor bedrijven in de sector die moeten wennen aan een hogere mate van regeldruk. Het heeft echter ook een positieve kant namelijk dat de sector daardoor meer een gelijke van andere sectoren wordt waar al sprake van strenge regulering is.

Vandaag is er op ISP Today een artikel verschenen over het feit dat een aanbieder van digitale infrastructuur een risico kan zijn voor een onderaannemer van een financiële instelling zoals een bank:

De hele keten, waar je als provider maar een kleine schakel van uitmaakt, wordt doorgelicht. Als je klant zijn zaakjes niet voor elkaar heeft kan hij zijn opdracht als leverancier of onderaannemer van een financial kwijtraken. De cijfers lijken aan te geven dat zoiets vaker voorkomt en zal voorkomen dan we ons realiseren. Het kan verklaren waarom jij weer klanten en/of omzet kwijtraakt.

Wanneer bedrijven in de digitale infrastructuur een strakker regulatory framework is, dan wordt het voor hen makkelijker om bij te dragen aan de compliance van hun afnemers die op hun beurt weer leverancier zijn van bedrijven die eveneens aan strenge regulering zijn onderworpen.

De invoering en daarmee gepaarde gaande implementatie van nieuwe regulering zal een investering van bedrijven in de digitale infrastructuur vergen. Gelukkig zijn bedrijven in de digitale infrastructuur over het algemeen financieel kerngezond en kunnen zij die last dragen.

Het is vooral belangrijk dat er door de wetgever rekening wordt gehouden met de belangen van de bedrijven die het betreft en duidelijke definities in wetgeving op te nemen, zo stelt Stichting DINL:

De termen vliegen je dan ook om de oren. Diensten van de informatie maatschappij, mere-conduit, digital service providers, aanbieders van essentiële diensten, platforms, hostingproviders, cloudproviders, serviceproviders, aanbieders van communicatiediensten, gegevensverwerkers en ga zo maar door. Het is vaak onduidelijk wie precies onder die definities vallen en wie niet.

Hier valt voor de digitale infrastructuur én de BV Nederland winst te boeken. Het fundament van de Nederlandse infrastructuur wordt namelijk gevormd door enkele, unieke spelers zoals internet exchanges én vele honderden kleine financieel kerngezonde IT-bedrijven zoals hostingbedrijven. Juist deze bedrijven zijn gebaat bij duidelijke definities zodat direct duidelijk is hoe zij compliant kunnen zijn.

Datacenters: “Onze markt is tot stilstand gekomen”

De Nederlandse digitale infrastructuursector maakt een enorme groei door en innovaties volgen elkaar in een rap tempo op. Vooral hostingbedrijven maken een stormachtige groei door en ook de hoeveelheid personeel dat nodig is om die groei bij te benen is enorm.

Helaas is er ook een deel van de markt dat naar eigen zeggen volledig tot stilstand is gekomen en waarbij helemaal geen sprake meer van innovatie is. Daarbij gaat het om datacenters. Dat blijkt uit een summit die door ChannelConnect is georganiseerd en waar ISP Today over bericht.

Opvallend is dat zelfs dat nadrukkelijk “on the record” de volgende citaten van Gijs van Gemert, CEO van Serverius door ISP Today zijn opgeschreven: “Colo is dood” en “We zien weinig innovaties”.

Deze passage uit het artikel op ISP Today bevestigt de woorden van Van Gemert:

Dat is wat datacenters zien gebeuren met de colo klanten. Als je daar dieper induikt valt direct op dat de meeste colo klanten een duidelijk beeld heeft van wat ze nodig hebben. Als ze overstappen naar een hyperscaler is dat vanwege groei, flexibiliteit en kosten. Grappig genoeg worden die zelfde argumenten gebruikt door ex-colo huurders die weer terug migreren van een grote cloud aanbieder naar een lokale colo aanbieder. Dat is een beeld dat we in Nederland zien, maar ook in de buurlanden links en rechts komt dat voor.

Uit de summit die door ChannelConnect is georganiseerd kan dus de conclusie worden getrokken dat lokale colocatie én een grote cloudproviders als Amazon, Google en Microsoft uitwisselbaar zijn. Het onderscheidende vermogen en de concurrentiepositie van Nederlandse datacenters is dus héél erg klein aan het worden.

Wanneer grote cloudproviders dus nóg verder optimaliseren en goedkoper worden dan zullen Nederlandse datacenters steeds meer aan relevantie verliezen zo kan worden geconcludeerd uit de verslaggeving over het open gesprek tussen de CEO’s van Cellnex (voorheen Alticom), Colohouse, Datacenter.com, Interconnect, maincubes en Serverius.

De behoefte aan het openstellen van de kabel is er ook in de praktijk

De Autoriteit Consument en Markt (ACM) heeft op 27 februari dit jaar een ontwerpbesluit gepubliceerd waarin staat opgenomen dat VodafoneZiggo derde partijen toegang tot de kabel moet geven. Hierop heeft het bedrijf op 30 maart dit jaar een referentieaanbod op de website gepubliceerd.

In een vandaag gepubliceerd persbericht meldt Belcentrale dat het onderhandelingen is gestart met VodafoneZiggo over toegang tot de het kabelnetwerk van het bedrijf. Belcentrale verwacht dat dit snel zal leiden tot een concrete samenwerking én dat de openstelling van de kabel het eindelijk de lucht geeft omdat het tot nu toe volledig afhankelijk van KPN is om diensten rechtstreeks aan eindgebruikers aan te kunnen bieden.

De belangrijkste conclusie die kan worden getrokken uit het persbericht van Belcentrale is dat de behoefte aan het openstellen van de kabel er ook in de praktijk is. Gezien VodafoneZiggo zijn referentieaanbod op het laatst mogelijke moment heeft gepubliceerd valt het wel nog te bezien of dat het optimisme van Belcentrale terecht is.

De digitale infrastructuur wenst op waarde geschat te worden

Als het in de digitale infrastructuursector over de politiek gaat dan zijn de geluiden niet bepaald positief. Ook als het over andere instituten met een groot maatschappelijk belang gaat dan klinkt er vooral kritiek vanuit de hoek van de digitale infrastructuur.

De sector voelt zich niet op waarde geschat. De belangrijkste vertegenwoordiger van de sector is Stichting Digitale Infrastructuur Nederland (DINL). Het bericht “Neutrale rol van infrastructuuraanbieders staat onder druk” dat op 7 januari dit jaar is gepubliceerd laat de teneur al in de eerste alinea zien:

Wie dacht dat we met de GDPR het meeste qua ingrijpende wetgeving wel achter de rug hadden, komt bedrogen uit. Want de Europese Unie, en dus ook Nederland, ontwikkelt momenteel een stapel met nieuwe wetgeving en regulering die onze bedrijfstak flink zal raken. Het idee is dat maatschappelijke onrust over privacy, veiligheid, en de invloed van grote online platforms op het publieke debat door haatzaaierij, fake nieuws en meer, nieuwe regels en wetten voor internetbedrijven noodzakelijk maakt. Maar hoe terecht sommige van die maatschappelijke kritiek en onrust ook is, het mag niet resulteren in regulering van organisaties die niet verantwoordelijk kunnen zijn voor wat hun gebruikers doen. En toch is dat precies wat er nu in Brussel dreigt te gebeuren.

Bedrogen uitkomen, flink zal raken, maatschappelijke onrust, dreigt te gebeuren. Het zijn stuk voor stuk aanduidingen die niet bepaald positief zijn. De rest van het bericht is niet veel positiever van aard. Of de kritiek terecht is maakt niet uit. Het gaat erom dat dit de teneur is in een sector waar de hele maatschappij van afhankelijk is.

Beleidsmakers die een beter beeld willen krijgen van de teneur in de digitale infrastructuursector kan ik het nieuwsarchief van Stichting DINL van harte aanbevelen.