Brief regering : Verkoop van losse modems en veiligheidsupdates
27 879 Versterking van de positie van de consument
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 68 BRIEF VAN DE STAATSSECRETARIS VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 13 februari 2019
In de brief van 14 november 2018 heeft Uw Kamer verzocht om te worden geïnformeerd
over de stand van zaken met betrekking tot de verantwoordelijkheid voor veiligheidsupdates
van internetmodems uit de losse verkoop en over het accepteren van eigen modems1 van consumenten door providers. Hierbij reageer ik op het verzoek van uw Kamer.
Voor een goed begrip dient vooraf de huidige situatie en de in dit verband lopende
discussie te worden geschetst. Ten aanzien van beide onderwerpen (veiligheidsupdates
en verkoop van losse modems) speelt de vraag of consumenten modems, routers en televisiedecoders
zelf zouden moeten kunnen kiezen (zogeheten «vrije modemkeuze») of dat zij verplicht
gebruik moeten maken van de modems2 die telecomaanbieders in de praktijk leveren bij het afsluiten van een abonnement.
Vrije modemkeuze is primair aan de orde indien deze apparaten tot het private netwerk
van de gebruikers behoren. Het private netwerk wordt van het openbare telecomnetwerk
gescheiden via het zogeheten «netwerkaansluitpunt». Door een langlopende discussie
over de precieze interpretatie van de positie van het netwerkaansluitpunt in de moderne
vaste netwerken, is het lastig gebleken voor de ACM hier op te handhaven. Daarom heb
ik eind 2017 een ontwerpbeleidsregel geconsulteerd die de Nederlandse situatie verduidelijkt.
Vervolgens heb ik naar aanleiding van de reacties van telecomaanbieders onafhankelijk
onderzoek laten uitvoeren door Stratix, waarbij de focus lag op veiligheidsaspecten.
Verder in deze brief ga ik in op zowel de beleidsregel als het onderzoek van Stratix.
Intussen is echter de Europese situatie gewijzigd en is op 20 december 2018 de richtlijn
tot vaststelling van het Europese wetboek voor elektronische communicatie (herschikking)
(EECC)3 in werking getreden. Hierdoor ligt nu de voorheen met ACM gedeelde bevoegdheid voor
het vaststellen van het netwerkaansluitpunt, de kern van genoemde beleidsregel, uitsluitend
bij de ACM. Daarom heb ik de genoemde beleidsregel uiteindelijk niet vastgesteld en
laat ik besluitvorming over de positie van het netwerkaansluitpunt nu aan de ACM.
In het vervolg van de brief zal ik nader ingaan op de stand van zaken met betrekking
tot veiligheidsupdates en de verkoop van losse modems.
Veiligheidsupdates
Voor wat betreft de verantwoordelijkheid voor veiligheidsupdates van producten is,
zoals ik ook uiteen heb gezet in mijn beantwoording van 28 juni 2018 van Kamervragen
over onveilige telefoons van Samsung (Aanhangsel Handelingen II 2017/18, nr. 2597), het Nederlands consumentenrecht relevant. Dit geldt ook bij losse verkoop van modems.
Eén van de belangrijkste onderdelen hiervan is dat de consument het recht heeft op
een deugdelijk product. Of een product deugdelijk is, hangt samen met wat de consument
redelijkerwijs van het product mag verwachten en wordt mede bepaald aan de hand van
de afspraken die de verkoper en consument hebben gemaakt. Bij de beantwoording van
de vraag of een bepaald product deugdelijk is, kunnen alle omstandigheden worden meegenomen,
ook de digitale veiligheid van een product.
In Europa is op 29 januari in de triloog een compromis bereikt over het EU-richtlijnvoorstel
betreffende bepaalde aspecten van overeenkomsten voor de online-verkoop en andere
verkoop op afstand van goederen (richtlijnvoorstel tastbare goederen). Het voorstel
ziet ook op modems en regelt de rechten voor de consument en de verkoper, zoals contractuele
eisen aan de te leveren goederen en rechtsmiddelen voor de consument als de verkoper
de overeenkomst niet nakomt. Het voorstel verplicht de verkoper om veiligheidsupdates
te (laten) verstrekken. Deze verplichting geldt niet als de consument er uitdrukkelijk
op is gewezen dat deze updates niet worden verstrekt en hij hiermee uitdrukkelijk
heeft ingestemd. Modems die worden gehuurd of worden geleend bij een telecomabonnement
vallen niet onder het richtlijnvoorstel tastbare goederen, in de richtlijn gaat het
alleen om koopovereenkomsten waarbij een consument is betrokken. Overigens worden
meegeleverde modems veelal centraal beheerd door de telecomaanbieder, inclusief software-updates
waar fabrikanten en gebruikers zelf maar beperkte invloed hebben.
Samen met de Minister van Justitie en Veiligheid heb ik de Roadmap Digitaal Veilige
Hard- en Software4 opgesteld. Deze Roadmap bevat een samenhangende set van maatregelen om onveiligheden
in hard- en software te voorkomen, kwetsbaarheden te detecteren, en om de gevolgen
daarvan te beperken. Wetgeving maakt hier ook onderdeel van uit. In dit kader zet
ik mij er toe in dat ook fabrikanten verantwoordelijkheid krijgen voor veiligheidsupdates
van modems. Dat vereist Europese afstemming. Zoals ook benoemd in mijn antwoord van
29 juni 2018 op de vragen over het bericht «Agentschap Telecom slaat alarm over hackbare
apparaten» (Aanhangsel Handelingen II 2017/18, nr. 2649) kijk ik daarbij primair naar de Europese richtlijn 2014/53/EU betreffende de harmonisatie
van de wetgevingen van de lidstaten inzake het op de markt aanbieden van radioapparaten
(Radio Equipment Directive – RED). De RED schrijft eisen voor waar radioapparatuur
(dit omvat alle apparatuur met een draadloze communicatiefunctie, waartoe de meeste
modems behoren) aan moet voldoen om toegang te krijgen tot de Europese markt. De RED
biedt de mogelijkheid om, na inwerkingtreding van een gedelegeerde handeling van de
Europese Commissie (naar schatting eerste helft 2020), minimale eisen te stellen aan
de digitale veiligheid van alle radioapparaten die met het internet verbonden zijn
(security by design). Het overleg tussen lidstaten en Europese Commissie over de invulling hiervan loopt
voorspoedig.
Verkoop van losse modems
In de praktijk leveren telecomaanbieders voor diensten over vaste netwerken modems
mee bij het afsluiten van een abonnement en stellen zij het gebruik daarvan ook doorgaans
verplicht. Er zijn op het moment van schrijven van deze kamerbrief slechts enkele
telecomaanbieders die vrije modemkeuze volledig ondersteunen. Er is verder ook tenminste
één telecomaanbieder die dit deels ondersteunt voor de routerfunctionaliteit waardoor
aansluiting van een door de gebruiker zelf gekozen (hoofd)router mogelijk is.
De markt voor telecommunicatie-eindapparatuur («eindapparaten») ontwikkelt zich snel
door de digitalisering en er manifesteert zich bij fabrikanten en een aantal gebruikers
een groeiende behoefte aan een bredere afzetmarkt en vrije keuze van modems.
Vrije markttoegang voor eindapparaten is beoogd in de EU richtlijn 2008/63/EG betreffende
de mededinging op de markten van telecommunicatie-eindapparatuur, en geldt voor alle
eindgebruikers van telecomdiensten, consumenten en bedrijven. In deze richtlijn is
ook het recht vastgelegd om eigen eindapparatuur te gebruiken in het kader van internettoegangsdiensten5. De richtlijn 2008/63/EG is geïmplementeerd in het Besluit eindapparaten6. Vrije keuze van eindapparaten bevordert marktinnovatie, biedt gebruikers voordelen
en verlaagt overstapdrempels, juist ook in het geval van modems.
In de markt is onduidelijkheid gerezen over de positie van modems als eindapparaten.
Eindapparaten bevinden zich in het private netwerk van de eindgebruiker. Dit private
netwerk wordt van het openbare telecomnetwerk gescheiden via het zogenaamde «netwerkaansluitpunt».
Het netwerkaansluitpunt beïnvloedt daarmee de positie van een bepaald apparaat als
een eindapparaat. Omdat Europese regelgeving niet eenduidig is over de precieze interpretatie
van de positie van het netwerkaansluitpunt (en dus of een modem behoort tot het private
netwerk of niet) in de moderne vaste netwerken, is het voor de toezichthouder Autoriteit
Consument en Markt (ACM) lastig gebleken het Besluit eindapparaten ten aanzien van
modems te handhaven. Om de door de richtlijn beoogde concurrentie daadwerkelijk in
praktijk te brengen heb ik eind 2017 het voornemen neergelegd een beleidsregel vast
te stellen die de Nederlandse situatie verduidelijkt. Dit voornemen betrof het nader
vastleggen van de positie van het netwerkaansluitpunt. Uit deze conceptbeleidsregel
vloeide voort dat een modem tot het private netwerk behoort en dus vrij door de gebruiker
gekozen kan worden. Dat zou overigens niet wegnemen dat telecomaanbieders deze apparatuur
zelf ook kunnen blijven aanbieden. De ontwerpbeleidsregel is van december 2017 tot
februari 2018 openbaar geconsulteerd.
Naar aanleiding van uitvoerige reacties van telecomaanbieders, die aandacht vroegen
voor onder andere de veiligheidsaspecten en de continuïteit van de dienstverlening
bij een vrije modemkeuze, heb ik een onafhankelijk onderzoek laten uitvoeren door
Stratix naar de technische en operationele aspecten van vrije modemkeuze, met een
focus op de veiligheidsaspecten voor netwerken en de continuïteit van de dienstverlening7. Het eindrapport van dit onderzoek is bij deze brief gevoegd. In dit rapport worden
de in de consultatie aangedragen aspecten van vrije modemkeuze in een technische context
geplaatst en worden eventuele risico’s op het vlak van veiligheid en continuïteit
van de dienstverlening van telecomaanbieders nader geanalyseerd. Op dit onderzoek
heeft ook hoor/wederhoor plaatsgevonden met telecomaanbieders. Op de achtergrond speelt
dat ik in gesprek ben met deze partijen om te bezien in hoeverre zij een faciliterende
rol kunnen en willen spelen in het kader van maatregelen tegen Internet of Things
(IoT)-onveiligheid, als een van de actielijnen uit de hierboven genoemde Roadmap.
Stratix concludeert dat bij vrije modemkeuze de beveiliging van de toegang tot het
openbare netwerk voor specifieke dienstonderdelen tot meer complexiteit kan leiden
en (initieel) hogere kosten kan opleveren, maar dat vrije modemkeuze geen fundamentele
veranderingen brengt in de veiligheid van zowel de openbare netwerken als de private
netwerken in het kader van de IoT-ontwikkeling. De veiligheid van en door (IoT)-apparaten
en software achter de modem/router verdient aandacht, maar dit staat los van vrije
modemkeuze. Telecomaanbieders kunnen ook bij vrije modemkeuze mitigerende maatregelen
(blijven) nemen, waaronder het afsluiten van de netwerktoegang van gebruikers in het
geval van apparatuur die problemen veroorzaakt voor derden. Desondanks moet ik constateren
dat het onderzoek telecomaanbieders niet heeft kunnen overtuigen en dat er bij deze
partijen beperkt draagvlak is voor het effectueren van vrije modemkeuze. Telecomaanbieders
zelf blijven stellen dat centraal management van modems nodig is om veiligheidsgevaren
van IoT effectief te kunnen bestrijden. De ondersteuning van de implementatie van
vrije modemkeuze door deze partijen vind ik van belang juist ook om geen concessies
te doen aan de veiligheid van de netwerken.
Ik vind keuzevrijheid voor deze apparatuur van belang voor de implementatie van Europese
regelgeving. Veiligheid zie ik als een essentiële randvoorwaarde en tevens integraal
onderdeel voor een goede werking van de (bredere) markt voor eindapparaten. Daarbij
zijn de nog lopende Europese ontwikkelingen ten aanzien van het stellen van veiligheidseisen
voor eindapparaten (de RED) van belang als randvoorwaarde van de regelgeving en als
draagvlak onder telecomaanbieders voor vrije modemkeuze.
Zoals al opgemerkt is op 20 december 2018 de richtlijn tot vaststelling van het Europese
wetboek voor elektronische communicatie in werking getreden. Met de inwerkingtreding
van de EECC is de bevoegdheid voor het vaststellen van het netwerkaansluitpunt bij
de nationale regelgevende instantie komen te liggen. Hierdoor ligt nu deze voorheen
met ACM gedeelde bevoegdheid uitsluitend nog bij de ACM. Tevens is bepaald dat het
Orgaan van Europese regelgevende instanties voor elektronische communicatie (BEREC),
waarin Nederland wordt vertegenwoordigd door de ACM, binnen achttien maanden na inwerkingtreding
van de richtlijn op EU-niveau nog richtsnoeren zal vaststellen voor de bepaling van
het netwerkaansluitpunt. Nederland heeft zich, conform de motie Bosma8, gedurende de onderhandelingen uitgesproken tegen de overdracht van bevoegdheden
naar onafhankelijke toezichthouders en BEREC. Het onderhandelingsresultaat komt in
zijn algemeenheid tegemoet aan de wens van de Kamer zoals tot uiting gebracht in de
motie Bosma9, maar heeft ten aanzien van de onderhavige bevoegdheid geen resultaat opgeleverd.
Het is vanwege deze nieuwe Europeesrechtelijke situatie van belang dat vrije modemkeuze
in lijn zal zijn met de nog op te stellen BEREC-richtsnoeren voor de bepaling van
het netwerkaansluitpunt. Het is zoals gezegd nu aan de ACM om een standpunt over de
positie van het netwerkaansluitpunt in te nemen bij de totstandkoming van de betreffende
BEREC-richtsnoeren en hierover een besluit te nemen.
De Staatssecretaris van Economische Zaken en Klimaat,
M.C.G. Keijzer
Indieners
-
Indiener
M.C.G. Keijzer, staatssecretaris van Economische Zaken en Klimaat