BELTUG en V-ICT-OR standpunt
Het aanbieden van ‘free WiFi’ voor bezoekers Juni 2014
Het aanbieden van ‘free WiFi’ voor bezoekers
Inhoud 1
Context .................................................................................................................................3
2
Wetgevend kader – dataretentieverplichting voor operatoren .................................................3
3
4
2.1
Uitzondering op de wet – dienst beperkt tot privaat domein ............................................3
2.2
Bevoegdheid .................................................................................................................4
2.3
Internationale context....................................................................................................4
Vragen en bedenkingen van BELTUG leden..............................................................................4 3.1
Notificatieplicht .............................................................................................................4
3.2
Ongerustheid over toekomstig KB...................................................................................5
BELTUG Standpunt.................................................................................................................5
2 – Juni 2014
1 Context BELTUG krijgt steeds meer vragen van haar leden met betrekking tot de rechten en plichten die zij hebben bij het aanbieden van gratis WiFi aan bezoekers. Het gratis en/of betalend aanbieden van WiFi is sinds de opmars van de smartphone, laptop en tablet niet meer weg te denken uit ons dagelijks bestaan. Klanten, consumenten, bezoekers verwachten vandaag de dag dat ze zich om het even waar op een WiFi netwerk kunnen connecteren. Waar bedrijven zich vroeger de vraag stelden of dit wel veilig was, of het netwerk al dan niet gesplitst moest worden van het bedrijfsnetwerk en wat er in de gebruiksvoorwaarden moest staan, worstelen bedrijven nu met heel andere vragen. Of het nu om steden en gemeenten gaat, restaurants, detailhandel, allen stellen zich de vraag aan welke verplichtingen ze dienen te voldoen. BELTUG en V-ICT-OR dringen er op aan concrete aanbevelingen te kunnen geven aan hun leden, wat onmogelijk is binnen het huidige wetgevende kader.
2 Wetgevend kader – dataretentieverplichting voor operatoren Artikel 9 §1 van de wet van 13 juni 2005 inzake elektronische communicatie bepaalt dat bij het aanbieden van een elektronische communicatiedienst of –netwerk een kennisgeving bij het BIPT vereist is. Bij een dergelijke kennisgeving is de aanbieder van de dienst in de zin van de wet een operator. Dit brengt met zich mee dat alle in de wet voorziene verplichtingen voor operatoren, zoals het bijhouden van informatie over het verwerken van gegevens van toepassing zijn op de aanbieder van de dienst.
2.1 Uitzondering op de wet – dienst beperkt tot privaat domein De wet, met name artikel 9 §5, voorziet echter een uitzondering op de kennisgevingsplicht, indien het netwerk of de dienst zich beperkt tot het private domein. Onder privaat domein begrijpen we een bedrijf, hotel, conferentie, bibliotheek, winkelcentrum e.d. In dit ge val vervallen de verplichtingen die in de wet opgelegd worden aan operatoren. Niettemin voorziet de wet een achterpoortje in artikel 9 §7, waarbij ook aan netwerken en diensten die op privaat domein worden aangeboden een reeks van nog niet nader bepaalde regels opgelegd kunnen worden, via een nog te beslissen KB. Deze voorziening werd genomen met het oog op eventuele samenwerking met justitie en veiligheidsdiensten met betrekking tot het registreren en bewaren van data en identificatiegegevens van eindgebruikers, om deze te kunnen identificeren, opsporen en afluisteren. Artikel 127 §2 voorziet daarnaast tevens dat de gebruiker van de dienst ten allen tijde geïdentificeerd moet kunnen worden en verbiedt bij deze het aanbieden van een dienst die identificati e verhindert. Naast het publieke en het private domein is België het enige land dat ook nog een derde domein beschrijft, met name het private domein met publieke toegang. De verplichtingen hieromtrent zijn onduidelijk en roepen nog meer vragen op bij de potentiële aanbieders van WiFi-diensten.
3 – Juni 2014
2.2 Bevoegdheid Inzake dataretentie zijn diverse overheidsdiensten betrokken partij: het BIPT, verantwoordelijk voor de telecomwet, de privacy commissie, verantwoordelijk voor de wet op de privacy , en justitie.
2.3 Internationale context Het Europese Hof van Justitie verwierp recentelijk de Europese datarententierichtlijn van 2006. Concreet is op dit moment niet duidelijk wat de gevolgen zijn voor de dataretentieplicht in België. Daarenboven is er ook in de praktijk een groot verschil hoe dataretentie in diverse landen, in het geval van kennisgeving waarbij de verplichtingen als operator van toepassing zijn, geregeld is. Concreet bijvoorbeeld is de dataretentieplicht in Duitsland vastgelegd op 6 maand, terwijl dit in België is vastgelegd op 12 maand. Dit is van belang wanneer het aanbieden van WiFi bij internationale be drijven centraal geregeld is, waarbij de login servers niet in België staan en waarbij de gebruikersverklaring ook internationaal geregeld is. Indien dit het geval is, hoe kan de Belgische vestiging van het bedrijf voldoen aan de Belgische dataretentie plicht, als deze sterk verschilt van de plicht in het land waar de login servers is ondergebracht? Meer nog, wie wordt er strafrechterlijk vervolgd in het geval van een zware inbreuk?
3 Vragen en bedenkingen van BELTUG leden 3.1 Notificatieplicht voor operatoren De wettekst is zeer ruim en voor interpretatie vatbaar. Operatoren dienen aangifte te doen bij het BIPT, ongeacht of het gaat om een dienst die gratis of betalend wordt aangeboden en ongeacht of het gaat om privaat of publiek domein. BELTUG en haar leden gaan er van uit dat dit artikel niet van toepassing is op WiFi netwerken van bedrijven en binnen de gebouwen van gemeenten en overheidsinstellingen, als ze die zelf uitbaten. Immers, vaak wordt een beroep gedaan op een operator. Indien het gaat om het aanbieden van een dienst op privaat domein, is er geen notificatieplicht. De omschrijving van het publiek/privaat domein is echter vaag. Is bijvoorbeeld een bibliotheek van de gemeente, publiek of privaat domein? Is een open parking van een bedrijf privaat of publiek domein?
3.2 Verplichtingen voor bedrijven Binnen bedrijven wordt vaak gratis WiFi-toegang aangeboden aan bezoekers en/of consultants. Bij het aanloggen wordt meestal een acceptatiepagina met disclaimer voorzien, maar wordt er niet om identificatie gevraagd. Is dit voldoende? Op dit moment heerst er onzekerheid over:
Welke gegevens er moeten worden bijgehouden Hoe lang deze gegevens moeten worden bijgehouden Welke identificatiegegevens volstaan voor het BIPT, de privacy commissie en justitie, bijvoorbeeld: Persoonsgegevens: login & paswoord of gegevens over de echte persoon?
4 – Juni 2014
Volstaat een IP adres? Een MAC-adres? Een e-ID certificaat? Een email adres? Kredietkaartgegevens? Social media account (Facebook, Twitter, LinkedIn, …) Identificeert men het toestel (laptop,tablet,smartphone) of de persoon? Wat in geval met een bedrijfsadres met een NAT? Volstaat een destination URL?
De wet voorziet ook in een aantal uitzonderingsregels voor hotels en garages. In dit geval zou het volstaan om justitie en de veiligheidsdiensten te ‘helpen’ indien deze dit nodig achten. Verder is de wet onduidelijk over het tijdelijk aanbieden van WiFi-toegang, zoals bijvoorbeeld tijdens sportmanifestaties, evenementen, feestelijkheden. Het gaat hierbij over het ter beschikking stellen van de dienst voor een paar uur of een dag/meerdere dagen. Wanneer de organisator beslist om dit aan te bieden via een operator om te voldoen aan de identificatieplicht, wordt hij geconfronteerd met hoge kosten. Deze hoge kosten kunnen vermeden worden door het tijdelijk bijplaatsen van antennes op de bestaande infrastructuur. De wet is hierover onduidelijk, ook inzake de strafrechterlijke gevolgen in geval van problemen. De wet voorziet enkel in het aanbieden van een echte openbare diensten en een dienst via een openbare netwerk-infrastructuur.
3.3 De privacy van de bezoekers Hoe zit het met de privacy van de gebruikers van deze WiFI-netwerken als ze geïdentificeerd worden en als de gegevens worden bijgehouden? Waarvoor kunnen deze gegevens al dan niet gebruikt worden?
4 Ongerustheid over toekomstig KB BELTUG leden drukken hun ongerustheid uit over een toekomstig KB die de bepalingen van artikel 9 §7 met betrekking tot regels inzake het aanbieden van netwerkdiensten op privaat domein zou verstrengen. Zelfs al is men in dit geval vrijgesteld van operator notificatieplicht, kan de wet toch voorzien dat data en identificatiegegevens van eindgebruikers bijgehouden moeten worden.
5 BELTUG Standpunt BELTUG vraagt in eerste instantie ter bevordering van de digitale economie dat de regels die worden opgelegd aan bedrijven en publieke instellingen beperkt blijven. Indien ze geconfronteerd worden met complexe eisen inzake bijhouden van informatie over de eindgebruiker, kan men er van uit gaan dat dit een remmend effect zal hebben op het aanbieden van gratis WiFi enerzijds en op de verdere digitalisering van onze samenleving anderzijds. We wensen niet dat bedrijven en publieke instellingen geconfronteerd worden met disproportionele eisen. Het Hof van Justitie in Luxemburg oordeelt zelfs dat de verplichtingen inzake het bijhouden van gegevens die opgelegd worden aan telecomoperatoren te ver gaan. Het gratis aanbieden van WiFi zonder identificatie, zoals bij heel wat fastfoodketens en in steden zoals Luxemburg, stimuleert de consument om deze te gebruiken. Daarom vraagt BELTUG verduidelijking inzake:
5 – Juni 2014
Een duidelijk wettelijk kader dat free WIFI zeer ruim toelaat zowel op publiek als privaat domein waarin geen disproportionele eisen in vervat zitten, bijv. met betrekking tot de dataretentie Dat toelaat snel en efficiënt tijdelijke free WIFI netwerkdiensten op te zetten Dat een zo ruim mogelijke internationale uniformiteit nastreeft Duidelijke definities van het publiek en privaat domein Duidelijkheid over de datarententierichtlijn Een goede afstemming tussen de noden inzake identificatiegegevens tussen diverse overheidsdiensten, in het bijzonder het BIPT, de privacy commissie en justitie Duidelijkheid over het type gegevens dat bijgehouden dient te worden
6 – Juni 2014
Copyright © BELTUG 2014. This document may be freely duplicated and distributed in its entirety on an individual one to one basis, either electronically or in hard copy form so long as it is attributed to BELTUG. It may not, however, be disassembled or modified in any way as part of the duplication process.
BELTUG vzw/asbl Knaptandstraat 123 | B - 9100 Sint Niklaas | Tel +32 3 778 17 83 www.beltug.be |
[email protected]
7 – Juni 2014
