De samenleving moet erop kunnen vertrouwen dat operators en aanbieders van digitale infrastructuur zich inspannen om gebruik van hun faciliteiten voor onrechtmatige activiteiten te voorkomen en te bestrijden. Daartoe hanteren zulke operators en/of aanbieders deze gedragscode.
Onder digitale infrastructuur wordt verstaan: op internet aangesloten faciliteiten die digitale online diensten faciliteren, in brede zin, waaronder datacenters, hosting en cloud platforms, domeinen, netwerken (AS), internet access, platforms, file shares; en al datgene wat onder de Europese e-commerce richtlijn als een mere-conduit activiteit wordt beschouwd.
Onder abuse wordt verstaan: het misbruik van op internet aangesloten digitale infrastructuur in brede zin; zoals het versturen van spam of phishing mails, het verspreiden van malware, DDoS, runnen van een botnet, opslaan en verspreiden van CSAM of ander onrechtmatig materiaal, runnen van een frauduleuze website, et cetera. Abuse omvat in elk geval onmiskenbaar onrechtmatige activiteiten en voorts datgene wat door de betreffende operator als ongewenst wordt beschouwd.
Beleid
Operators van digitale infrastructuur:
- Zijn in beginsel niet aansprakelijk noch verantwoordelijk voor de activiteiten van de afnemers van hun diensten(1). Dat neemt niet weg dat zij al wat in hun mogelijkheden ligt zullen doen om abuse te bestrijden.
- Hanteren daartoe deze gedragscode, zullen dat duidelijk kenbaar maken op hun site c.q. communiceren daarover naar hun afnemers en medewerkers.
- Hanteren een acceptable use policy voor hun afnemers en/of gebruikers, waarin wordt vastgelegd wat van hen wordt verwacht indien abuse bij hun activiteiten wordt aangetoond.
- Hanteren de gedragscode NTD en implementeren de bijbehorende processen in hun organisatie.
- Hanteren (een) industry best practice(s) voor abuse bestrijding die past bij hun activiteiten, zoals de gedragscode van de M3AAWG (https://www.m3aawg.org/) voor cloud/hosting providers(2) en maken dit (deze) kenbaar naar hun afnemers.
- Doen al wat redelijkerwijs binnen hun mogelijkheden ligt om de effecten van abuse binnen hun netwerken te verminderen voor andere gebruikers van het internet. Autonomous Systems doen dat door in ieder geval het toepassen van de maatregelen beschreven in MANRS (https:
//www.manrs.org/). - Voeren beleid om hun performance op het gebied van abuse bestrijding continue te verbeteren.
Informatie
Operators van digitale infrastructuur:
- Publiceren op hun website en in de ter zake doende whois registraties contactgegevens voor het melden van abuse.
- Doen al wat redelijkerwijs binnen hun mogelijkheden ligt om informatie te verkrijgen over kwetsbaarheden en abuse in hun netwerken en op hun voorzieningen. Dat doen zij door zich in ieder geval te abonneren op abuse feeds, of zich aan te sluiten bij CleanNetworks (https://www.cleannetworks.net/) of het raadplegen van/aansluiten bij andere informatiebronnen die daarover inzicht geven.
- Accepteren in redelijkheid alle abuse meldingen die ze ontvangen via geautomatiseerde systemen en door personen opgestelde individuele meldingen.
- Stellen zich op de hoogte van hun performance op het gebied van abuse bestrijding door raadplegen van de daartoe beschikbare bronnen.
Meldingen
Operators van digitale infrastructuur:
- Zorgen voor correcte contactgegevens van hun klanten zodat bij abuse of het vermoeden ervan er direct contact gelegd kan worden met de afnemer.
- Zijn pro-actief naar hun afnemers of gebruikers; dat wil zeggen ze nemen actie als zij in kennis worden gesteld van abuse of kwetsbaarheden in hun diensten.
- Zullen bij die vormen van abuse waarbij de operator kennis heeft genomen van de aard van het abuse en het voortduren ervan ernstige schade
aan individuen oplevert, direct maatregelen nemen om verdere schade te voorkomen of te beperken. CSAM, phishing, malafide webshops en malware verspreiding worden in ieder geval geschaard onder deze vormen van abuse. - Verplichten zich om bij langdurig, substantieel of herhaald overtreden van de acceptable use policy door hun afnemers de dienstverlening te schorsen, diensten in quarantaine te plaatsen of de contracten met zulke klanten te beëindigen.
Overtredingen
- Gebruikers van deze code of conduct melden vermeend onterecht gebruik van deze gedragscode aan (´een van de) brancheorganisaties die deze gedragscode onderschrijven, aan het NBIP (https://www.nbip.nl/), of aan het platform internet veiligheid (PIV) van het ECP (https://ecp.nl/).
- Het NBIP, de betreffende brancheorganisatie c.q. het PIV zal de betreffende organisatie verzoeken om een toelichting. Indien naar het oordeel
van bovenstaande organisatie(s) het antwoord niet volstaat, zal de betreffende partij worden verzocht zich te onthouden van het vermelden van
het gebruik van de gedragscode. In dat geval zal melding worden gedaan van de situatie bij het PIV, bij de ACM (https://www.acm.nl/) en de ministeries van Justitie & Veiligheid(3) en Economische Zaken & Klimaat(4). - Deelnemers aan deze gedragscode zullen zich indien mogelijk onthouden van zakelijke relaties met organisaties waarvan bekend is dat ze evident handelen in strijd met deze gedragscode, c.q. waarvan in redelijkheid kan worden gesteld dat ze onrechtmatigheid opzettelijk faciliteren.
Dit document
- Deze code of conduct zal periodiek worden herzien, op basis van feedback
en ervaringen van de deelnemers aan deze gedragscode. - Initiatiefnemers (April 2018):
– Dutch Cloud Community (https://dutchcloudcommunity.nl/)
– DINL (https://www.dinl.nl/)
– ECP
– Ministerie van Economische Zaken & Klimaat
– NBIP
– TU Delft (https://www.tudelft.nl/)
– Vereniging van Registrars (https://www.verenigingvanregistrars.nl/)
(1) In elk geval indien zij op grond van de Europese E-commerce directive aangemerkt worden als intermediaries (mere conduit in https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32000L0031&from=EN).
(2) https://www.m3aawg.org/sites/default/files/document/M3AAWG_Hosting_Abuse_BCPs-2015-03.pdf
(3) https://www.rijksoverheid.nl/ministeries/ministerie-van-justitie-en-veiligheid
(4) https://www.rijksoverheid.nl/ministeries/ministerie-van-economische-zaken-en-klimaat
Downloads:
