Door middel van Deep Packet Inspection (DPI) zijn vaste en mobiele telecomproviders in staat om op diepgaand niveau datapakketten van gebruikers, die over hun netwerk worden getransporteerd, in te zien. Telecomproviders kunnen niet alleen het dataverbruik, maar ook de inhoud van het dataverkeer meten.
DPI hangt nauw samen met het netneutraliteitsbeginsel, dat is vastgelegd in de Open Internet Verordening (OIV) uit 2015. In 2011 zagen de Autoriteit Consument & Markt (ACM), het Openbaar Ministerie (OM), noch het College bescherming persoonsgegevens (Cbp) strijd met de relevante wetgeving. Inmiddels is de relevante wetgeving in de Europese Unie (EU) en dus in Nederland, behoorlijk gewijzigd.
De OIV bevat een aantal voorwaarden waaraan DPI moet voldoen. De Body of European Regulators of Electronic Communications (BEREC) heeft oog voor DPI. BEREC heeft in 2016 richtlijnen voor het gebruik van DPI opgesteld, zie BoR (16) 127)). Art. 3 lid 4 OIV gaat niet verder dan dat aanbieders van internettoegangsdiensten alleen persoonsgegevens in het dataverkeer mogen meten als dat noodzakelijk en proportioneel is voor het voldoen aan EU-regelgeving of nationale regelgeving; voor het waarborgen van de integriteit en beveiliging van de telecomnetwerken; of om netwerkcongestie te voorkomen of te beperken. Doorslaggevend is dat alle mobiele data ‘gelijkelijk’ moeten worden behandeld. Prijsdifferentiatie is op dit moment niet in zijn algemeenheid verboden. Wel is het in art. 3 van de OIV aan voorwaarden onderworpen.
In Nederland duikt DPI opnieuw op in een recente uitspraak van de Rechtbank Rotterdam, aangespannen door onder meer Bits of Freedom, tegen enkele mobiele telecomproviders (CLI:NL:RBROT:2019:414). Die zaak draait om de vraag of ACM een handhavingsverzoek tegen een telecomprovider terecht heeft afgewezen. Het betreft geen beoordeling vanuit de AVG, maar een stellingname tegen de telecomprovider, omdat zij artikel 3 van de OIV zou hebben overtreden met de dienst Datavrije Muziek, door aan prijsdiscriminatie te doen. Dat zou ze doen in de vorm van het niet in rekening brengen van bepaalde datavolumes met bepaalde inhoud (zero-rating). Van overtreding van de OIV bleek echter geen sprake.
De European Data Protection Supervisor (EDPS) heeft zich nog niet uitgelaten over DPI. Er is nog het – kwijnende – voorstel voor een e-Privacy Verordening of Richtlijn, die maar blijft hangen in de EU-wetgevingsprocedure. De laatste versie van dit voorstel dateert van 13 maart 2019. Er staat niets in over DPI. Er lijkt een algemene tendens te zijn dat het beheersen en meten van dataverkeer al snel zal worden aangemerkt als het verwerken van verkeers- en/of locatiegegevens. Maar er lijkt voor DPI in zijn algemeenheid in de EU op dit moment niet erg veel belangstelling te zijn. Komt daarin verandering?
Enige tijd geleden waarschuwden enkele privacy-organisaties opnieuw voor DPI-gebruik door telecom- en internetproviders. Het ging om de European Digital Rights organisatie (EDRi). Deze organisatie is door een aantal partijen in het leven geroepen om de digitale burgerrechten en fundamentele rechten in de EU te bewaken, maar niet alle lidstaten zijn erbij aangesloten. In een brandbrief van de EDRi, ondertekend door academici, NGO’s en enkele ondernemingen, waarschuwden de opstellers de EDPS en BEREC ervoor dat aanbieders van internettoegangsdiensten steeds meer beroep doen op DPI om het dataverkeer te beheersen. De opstellers uitten hun bezorgdheid over de verwerking van gevoelige persoonsgegevens door de telecomproviders. De EDRi lijkt echter meer oog te hebben voor de mogelijkheid dat de internet service providers (ISP’s) en andere telecomproviders DPI gebruiken om prijsdifferentiatie van bepaalde diensten mogelijk te maken. De brief bevat voor dit punt echter weinig onderbouwing. De opstellers vinden trouwens ook dat het onwenselijk is dat een goede samenwerking tussen BEREC (telecom) en de EDPS (bescherming persoonsgegevens) ontbreekt...
De huidige wetgeving op het punt van DPI laat ruimte voor verschillende interpretaties. Zo moeten volgens BEREC aanbiedingen voor internettoegang applicatie-agnostisch (toegang onafhankelijk van soort applicatie) zijn, maar zo’n high level norm levert ruimte voor interpretatieverschillen.
Hoe zit het met de verzochte coördinatie tussen de EDPS en BEREC? De EDPS website bevat – bij een globale blik – geen specifieke opinies of consultaties over DPI. De AVG is helder: de verwerking van persoonsgegevens, waaronder tot IP-adressen herleidbaar dataverbruik, dient een rechtvaardigingsgrond te hebben. Tot nog toe is sprake geweest van een ‘van geval tot geval’ aanpak van onwenselijke DPI-toepassingen. Het ligt niet voor de hand dat de regelgever in detail zal voorschrijven wanneer er wel en niet een rechtvaardiging is voor het toepassen van DPI. Hoe dan ook, op dit moment ligt het dictaat bij de OIV en niet de AVG. Het uitgebreidere reguleringsgereedschap voor het beoordelen van DPI-acties komt uit de OIV – al kan coördinatie noodzakelijk zijn.
Met steeds sneller vooruitschrijdende, soms ontwrichtende technologieën, is flexibiliteit in het regelgevende kader geen overbodige luxe. Marktpartijen en betrokkenen hebben hier meer baat bij toetsing achteraf. Betrokkenen hebben niet perse voordeel aan het verbieden van DPI of het strenger toepassen van de regels. Vooral de discussie over zero-rating (denk aan de zg. datavrije muziek), lijdt soms tot verhitte debatten. Erg interessant is natuurlijk wat de uitrol van 5G (zie de studie 5G and Net Neutrality uit 2018 (1), zal betekenen voor de nu tamelijk licht gereguleerde netneutraliteit. In plaats van zwaardere regulering, lijkt meer voor de hand te liggen dat de aanbieders van diensten die straks mogelijk worden door nieuwe technologieën (bijvoorbeeld network slicing: het opdelen van een netwerk voor verschillende gebruiksdoeleinden) lichter gereguleerd zouden kunnen worden. Dat zou de standaardisatie van bijvoorbeeld zelfrijdende auto’s, VR en IoT kunnen stimuleren.
Dit artikel is ook te vinden in het dossier e-Privacy en AVG
