Achtergrond
Klanten van DT internet diensten hebben jaren kunnen ervaren dat als ze een foute, niet bestaande, URL invoerden de browser automatische verwees naar een generieke webpagina van T-Online.
T-Online was tot 2015 een merk van DT, het was daarvoor zelfs een beursgenoteerde bedrijf waarin de internet activiteiten van groot aandeelhouder DT waren ondergebracht. De quasi zelfstandigheid is vanwege het gebrek aan rendement opgegeven en het merk T-Online is aan een uitgeversgroep verkocht.
Derde partij
Het ongevraagd rerouteren gebeurde dus al jaren. Het enige verschil was dat sinds 2015 de data die daarbij werd gegenereerd terecht kwam bij een derde partij, waarmee de abonnee van DT internetdiensten geen overeenkomst had. Het vergaren van die data gebeurde daarmee zonder de nadrukkelijke vooraf gegeven toestemming van de consument. Dat er data werd vergaard was onvermijdelijk. De fout ingevoerde URL plus IP adres en dergelijke kwamen bij de derde partij uit. Of die er wat mee gedaan heeft is niet eens meer relevant. Het vergaren alleen al is een wetsovertreding, die in ieder geval in strijd is met de AVG.
Deutsche Telekom
Een groter probleem is er echter bij DT. Dat bedrijf grijpt namelijk structureel in in het internetverkeer van de gebruikers. Het bijhouden van legitieme DNS aanvragen en foutieve is een zaak die niet klopt. Het vervolgens afvangen van de foutieve en dan de herroutering mogelijk maken is een strafbaar feit.
Aangifte
Golem.de noemt een aangifte die hierom dit voorjaar is gedaan door “Elookon” tegen DT, de klachten die hij heeft ingediend bij de privacy toezichthouder en de Duitse toezichthouder voor de telecom sector (zie ook link). De eerste aangifte lijkt tot een vooronderzoek geleid. Dat DT nu toevallig de “navigatie service” uitschakelt is geen toeval. Elke jurist had DT vooraf kunnen vertellen dat deze handeling, zeker sinds de verkoop van T-Online, een evidente wetsovertreding opleverde. DT heeft artikel 303 van het Duitse Strafrecht overtreden. In Nederland zou gesproken worden van een geval van computercriminaliteit.
En Nederland?
De zaak in Duitsland is min of meer opgelost. Of daar andere providers het zelfde doen is niet bekend. Belangrijker is echter de constatering dat DT iets heeft gedaan dat in Nederland diverse keren bij de grote consumentenproviders is overwogen en deels ook is ingevoerd. Alle keren dat het vooraf is besproken met techneuten en juristen bleek de kennis van marketeers en product-managers (de drijvende krachten achter dit soort DNS hijacking) van wetgeving te ontbreken en de beoogde businesscase ook nog eens boterzacht. Deze Duitse case laat zien waartoe dat kan leiden: strafrechtelijk vooronderzoek tegen een concern en de directieleden.
Alleen dat moet al een reden zijn voor het C-level van providers nog eens na te gaan of er de afgelopen jaren iets gewijzigd in de DNS policy van de bedrijven
