Blog

Do’s en dont’s bij het aanbieden van WiFi aan klanten

Een persoonlijk irritatiepuntje van mij: openbare wifi met een standaard, gedeeld wachtwoord (“welkom12” “CafeJansen2017”) of zelfs helemaal geen wachtwoord. Mijn advies aan iedere lezer van deze blog: maak daarvan nooit, maar dan ook nooit gebruik. En aanbieders: regel snel een betere beveiliging.

Veilig

Hackers

Het is dan namelijk voor een kwaadwillende partij heel eenvoudig om de smartphone, tablet of computer te hacken van de gebruikers van het netwerk. Door speciale apparatuur kunnen zij een netwerk aanmaken met dezelfde naam als dat van het openbare wifinetwerk. Het apparaat van de gebruiker maakt dan verbinding met het apparaat van de hacker, in plaats van dat van de wifi-aanbieder. Je merkt daar verder niets van, terwijl de hacker mee kan kijken in het internetverkeer. Identiteitsfraude en misbruik van jouw gegevens ligt dan op de loer. Je kunt dit voorkomen door niet in te loggen op openbare WiFi-netwerken, en bijvoorbeeld alleen gebruik te maken van 3G of 4G. Voor de meer geavanceerde internetgebruiker is het aan te raden een VPN-verbinding te gebruiken, zodat als het ware jouw internetverkeer onder een tunnel komt te liggen zodat daarop niet meegekeken kan worden. Of maak alleen gebruik van wifi-netwerken die wel een fatsoenlijke beveiliging bieden.

Unieke sleutel

Zo las ik vorige week het bericht dat Cloudcarrier een iPad-app heeft ontwikkeld die op een veilige manier WiFi-codes genereert binnen een draadloos netwerk. Bezoekers kunnen dan via deze WiFi-code op een veilige manier verbinding maken met het openbare WiFinetwerk, doordat iedereen een unieke sleutel heeft. Voor de aanbieder van het netwerk heeft dit een extra voordeel: het netwerk is volledig afgesloten van het interne netwerk van de aanbieder. Zo kan de cafébaas zijn administratie online bijhouden, zonder dat cafébezoekers mee kunnen kijken door het internetverkeer te onderscheppen.

Aansprakelijkheid voor gebruik van wifi

Maar stel nu dat er klanten op het netwerk auteursrechtinbreuk plegen. Ben je als aanbieder van het Wifinetwerk dan aansprakelijk voor die inbreuk? Ben je als cafébaas aansprakelijk voor de klant die een illegale torrent download? Deze vraag is in 2016 beantwoord door het Hof van Justitie van de EU. Dit hoogste rechtsorgaan van de Europese Unie heeft beslist dat aanbieders van WiFi niet aansprakelijk zijn indien zij slechts als ‘doorgeefluik’ fungeren. Wanneer slechts passief toegang tot internet wordt gegeven, en niet actief wordt gescreend of wordt ingegrepen wat er wel of niet mag, dan is de aanbieder niet aansprakelijk voor hun handelen. Je hoef dus ook niet te weten wat de gebruikers uitspoken. Er hoeft niets gelogd te worden. Het vragen van identificatie is ook niet nodig. Bovendien kan van een WiFiaanbieder niet worden verwacht dat hij mensen afsluit, controleert of beveiligt om auteursrechtinbreuk te voorkomen. Dat zou in strijd zijn met de vrijheid om te ondernemen en de vrijheid van informatie.

Redenen voor beveiliging

Kan je als WiFi-aanbieder dan beter helemaal geen beveiliging bieden? Nee. Daarvoor zijn twee redenen:

  1. Als aanbieder van een WiFinetwerk ben je mogelijk de “verwerkingsverantwoordelijke” of kortweg “verantwoordelijke” onder privacywetgeving zoals de Wet bescherming persoonsgegevens en de aanstaande Algemene Verordening Gegevensbescherming. Zeker als je daarbij ook gebruik maakt van wifi-tracking. Je bent dan verplicht om “passende beveiligingsmaatregelen” te treffen om de zorgvuldige verwerking van persoonsgegevens te waarborgen. Het gebruik van een goede encryptie van de WiFi-verbinding is dan wel het minste wat je mag verwachten. Sterker nog, gezien het gemak waarmee hackers een openbaar WiFi-netwerk kunnen spoofen, meen ik dat een oplossing als dat van Cloudcarrier al voor de hand ligt.
  2. Op grond van voornoemd arrest van het Hof van Justitie hoef je dan wel niet te weten wie er op je netwerk zitten, maar kan je wel worden bevolen om (verdere) inbreuken te voorkomen, door bijvoorbeeld anoniem gebruik uit te sluiten, zoals door het vragen van iemands identiteit en het gebruik van een wachtwoord. Ook in dat opzicht kan een oplossing als dat van Cloudcarrier alleen maar worden toegejuicht. Het is daarbij dan wel aan te raden om ook gebruiksvoorwaarden af te spreken, waarin je de voorwaarden voor gebruik van de wifi regelt.

En daarin schuilt ook gelijk nog een argument. Je kan namelijk ook door jouw klanten zelf aansprakelijk worden gehouden voor het aangeboden netwerk. Bijvoorbeeld in het geval dat er geen adequate beveiliging was en er gegevens lekken. Zo ben je verplicht op grond van de privacywetgeving verplicht om voor een goede beveiliging van persoonsgegevens te zorgen. Ook kan ik me voorstellen dat het aanbieden van een onbeveiligd netwerk waardoor hackers jouw gegevens hebben kunnen onderscheppen wanprestatie of een onrechtmatige daad oplevert. Je kunt dan onder omstandigheden aansprakelijk worden gehouden voor de daardoor geleden en nog te lijden schade.

Kortom: ik raad aanbieders van (openbare) Wifinetwerken absoluut aan om toegang tot het netwerk te beveiligen. Gebruik daarbij geen standaard WiFi-wachtwoord voor iedere gast, maar laat iedere gebruiker een unieke sleutel gebruiken. Vraag daarnaast naar de identificatiegegevens van de gebruiker. Houd wel rekening met de privacywetgeving en hanteer (correcte, rechtsgeldige) gebruiksvoorwaarden.

 

Gerelateerde berichten