Suicide squad kijken? KU Leuven kan je Toledo blokkeren

Een student die anoniem wenst te blijven doet aan Veto zijn verhaal. Hij had nog nooit een waarschuwing of iets dergelijks ontvangen, maar plots was zijn Toledo geblokkeerd. Dat zonder verdere uitleg over het hoe, wat en waarom. Een telefoontje naar het ICTS-servicepunt enkele dagen later zou voor uitleg moeten zorgen.

Daar wist men te vertellen dat de block gebeurde omwille van 'illegale bestanden' op zijn apparaten: 'Die (telefoniste van ICTS, red.) zei dat het waarschijnlijk om torrents ging op mijn laptop… En zij wisten dat op een of andere manier.' Melding van die bestanden en de vraag om te blokkeren zou er gekomen zijn van een 'externe firma'.

Grote externe advocatenkantoren

Het betreft hier onafhankelijke advocatenbureaus, vertelt ICTS-directeur Annemie Depuydt: 'Grote externe advocatenkantoren maken jacht op het illegaal downloaden of distribueren van door copyright beschermd materiaal.' Vaak gaan deze kantoren op sites zoals The Pirate Bay IP-adressen ophalen van downloaders. Dat kan omdat het peer-to-peernetwerken betreft.

Computerwetenschapper Jeroen Baert geeft meer toelichting bij wat peer-to-peer juist is: 'Bij het peer-to-peer delen worden de IP-adressen van peers die een stukje bestand willen uploaden of downloaden met elkaar gedeeld. Dat is nodig om elkaar te vinden. Iedereen kan zich dus aan die "wolk van vragende partijen" toevoegen en de IP-adressen noteren.'

Maar wanneer men een IP-adres heeft, heeft men nog geen naam. Daarvoor moeten de advocatenbureaus aankloppen bij de provider aan wie het IP-adres gelinkt is. In dit geval: campusroam en eduroam, de netwerken uitgebaat door de KU Leuven op de campus en in KU Leuven-koten. Daar kloppen ze aan met de boodschap dat de gebruiker die aan het IP-adres gelinkt is zich schuldig maakt aan illegale downloads.

Wanneer zo'n claim binnenkomt, gaat de KU Leuven ermee aan de slag. Er wordt een waarschuwing uitgestuurd en wanneer die genegeerd wordt, kan een gebruiker geblokkeerd worden. 'We kunnen dit ook niet negeren', aldus Depuydt. Identiteiten van gebruikers worden echter nooit gedeeld, en het netwerk wordt er ook niet proactief op gecontroleerd.

Een groeiende wereld

Maar op de vraag wie dan precies komt aankloppen bij de universiteit met dergelijke aanspraken komt tot tweemaal toe geen duidelijk antwoord. Dat 'de klachten van alle kanten komen' en dat het een 'groeiende wereld' betreft, is het enige dat we horen.

Volgens Baert is het gek dat de KU Leuven hieraan toegeeft: 'Als dit studenten zijn die een stukje Game Of Thrones torrenten... Goh, ja, in de letter van de wet is dat fout, maar ik dacht dat anti-piraterij-tactieken verlegd waren naar de uploaders en grootverbruikers', aldus Baert.

Ook privacy-expert en jurist Matthias Dobbelaere-Welvaert reageert verbijsterd: 'Dit is pure waanzin.' Een IP-adres is een persoonsgegeven en dat mag niet zomaar verwerkt worden zonder reden. Dat staat ook beschreven in de Algemene Verordening Gegevensbescherming, beter bekend onder de Engelse afkorting GDPR. Die reden is hier volgens Dobbelaere-Welvaert niet aanwezig.

'De vraag die je moet stellen is: wie geeft de opdracht aan zulke kantoren, waar halen zij hun mandaat vandaan?', stelt Dobbelaere-Welvaert. 'In principe mogen advocatenbureaus niet proactief speuren op die manier, dat is enkel voorbehouden voor de politie. Maar dat is juridisch erg grijs, en daar maken die bureaus gebruik van.'

De juiste procedure?

De actie is dus niet legitiem, zelfs al hebben deze kantoren gelijk over de auteursrechtenschending – er mogen niet zomaar persoonsgegevens opgeslagen en gedeeld worden.

Maar hoe moeten de KU Leuven en andere internetproviders dan omgaan met zo'n externe claim? Een provider loopt geen risico als ze niet ingaan op een dergelijke oproep. Volgens Dobbelaere-Welvaert heeft de KU Leuven als provider wel een monitoringplicht, maar die is passief. Ze mag dus niet actief het internet van gebruikers controleren op ongure praktijken.

Ze moet ook een dossier opstellen rond de gebruiker in kwestie wanneer ze een schadeclaim aankrijgen en de gebruiker in kwestie de kans geven om zichzelf te verdedigen of hen op z'n minst op de hoogte stellen van de actie.

'Maar evengoed moet ze (de KU Leuven, red.) onderzoeken of de waarschuwing wel gegrond is, en of het advocatenbureau in kwestie wel toestemming kreeg van de provider om dat IP-adres op te sporen', stelt Dobbelaere-Welvaert daartegenover. Baert voegt toe: 'Een IP-adres is ook niet noodzakelijk één persoon. Als er iemand anders op jouw netwerkaansluiting, bijvoorbeeld via wifi, ongure zaken uitspookt, deel je nog steeds hetzelfde IP-adres.'

Slordigheden

Een van de redenen dat de KU Leuven niet altijd even adequaat reageert op zulke claims, ligt volgens Dobbelaere-Welvaert aan een gebrek van kennis over het dossier in kwestie: 'Er zitten veel stappen tussen het advocatenbureau en het opgespoorde IP-adres. Al die tussenstappen kunnen een onwetende ICTS-medewerker al snel bang maken, en aanzetten tot plotse actie.'

In het geval van de contactpersoon die aan Veto zijn verhaal deed, werd hij de ene dag geblokkeerd en enkele dagen later opnieuw gedeblokkeerd, zonder waarschuwing, zonder dossier en zonder dat er gevolg aan gegeven werd. Dat alles duidt er volgens Dobbelaere-Welvaert op dat er geen duidelijke lijn in het beleid van de KU Leuven is.

Dergelijke slordigheden sieren een organisatie met tienduizenden studenten en medewerkers zeker niet. Bovendien legitimeert de universiteit de acties van deze advocatenfirma's door zo gewillig mee te gaan in hun aanspraken.

KU Leuven reageert

De KU Leuven reageert via ICTS-directeur Annemie Depuydt, die ook al eerder aan het woord kwam, en via hoofd juridische dienst Dimitri Droshout:

'In een situatie als deze zal de buitenwereld enkel kennis nemen van een IP-adres dat deel uitmaakt van de range van IP-adressen van de rechtspersoon KU Leuven. Individuen kunnen dan nog niet geïdentificeerd worden, waardoor het moeilijk een inbreuk op de privacywetgeving kan zijn.'

'We zullen nooit slaafs of automatisch acties ondernemen zoals het blokkeren van studentenaccount, ook al wijzen externen ons op mogelijke inbreuken door gebruikers van ons netwerk. Uiteraard kan wel actie ondernomen worden als de instelling aansprakelijkheden, reputatie- of andere schade riskeert. We kunnen jullie verzekeren dat hier echt niet slordig mee wordt omgesprongen.'

Een standaardreactie, zo zegt Dobbelaere-Welvaert. En ook ietwat vreemd gezien er enkel gesproken wordt van een 'range aan IP-adressen' terwijl er toch een individuele gebruiker is uitgehaald.

Privacy in de balans

Hoe kunnen studenten hun internetverkeer beter beschermen? 'Mijn advies is om een VPN (Virtueel Particulier Netwerk of Virtueel Privénetwerk, red.) te gebruiken. Dat is als een tunnel boven een autostrade: de autostrade is je provider, maar de tunnel bedekt wat je doet aan de buitenwereld', zegt Dobbelaere-Welvaert.

De situatie voor veel KU Leuven-studenten is nu ook dat alles samenvalt onder één login bij één instituut: hun lessenrooster, hun mailbox, hun lesopnames en – wanneer ze in een KU Leuven-residentie op kot zitten – ook hun internetverbinding. Ook die situatie is een privacynachtmerrie volgens Dobbelaere-Welvaert.

Het geval van onze anonieme getuigenis toont hoe dat faliekant kan mislopen: er werd zomaar overgegaan tot een blokkering van het account. Dat ondanks de belofte van Depuydt dat er eerst een waarschuwing komt bij een klacht.