Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 februari 2019

In de brief van 14 november 2018 heeft Uw Kamer verzocht om te worden geïnformeerd over de stand van zaken met betrekking tot de verantwoordelijkheid voor veiligheidsupdates van internetmodems uit de losse verkoop en over het accepteren van eigen modems1 van consumenten door providers. Hierbij reageer ik op het verzoek van uw Kamer.

Voor een goed begrip dient vooraf de huidige situatie en de in dit verband lopende discussie te worden geschetst. Ten aanzien van beide onderwerpen (veiligheidsupdates en verkoop van losse modems) speelt de vraag of consumenten modems, routers en televisiedecoders zelf zouden moeten kunnen kiezen (zogeheten «vrije modemkeuze») of dat zij verplicht gebruik moeten maken van de modems2 die telecomaanbieders in de praktijk leveren bij het afsluiten van een abonnement.

Vrije modemkeuze is primair aan de orde indien deze apparaten tot het private netwerk van de gebruikers behoren. Het private netwerk wordt van het openbare telecomnetwerk gescheiden via het zogeheten «netwerkaansluitpunt». Door een langlopende discussie over de precieze interpretatie van de positie van het netwerkaansluitpunt in de moderne vaste netwerken, is het lastig gebleken voor de ACM hier op te handhaven. Daarom heb ik eind 2017 een ontwerpbeleidsregel geconsulteerd die de Nederlandse situatie verduidelijkt. Vervolgens heb ik naar aanleiding van de reacties van telecomaanbieders onafhankelijk onderzoek laten uitvoeren door Stratix, waarbij de focus lag op veiligheidsaspecten. Verder in deze brief ga ik in op zowel de beleidsregel als het onderzoek van Stratix.

Intussen is echter de Europese situatie gewijzigd en is op 20 december 2018 de richtlijn tot vaststelling van het Europese wetboek voor elektronische communicatie (herschikking) (EECC)3 in werking getreden. Hierdoor ligt nu de voorheen met ACM gedeelde bevoegdheid voor het vaststellen van het netwerkaansluitpunt, de kern van genoemde beleidsregel, uitsluitend bij de ACM. Daarom heb ik de genoemde beleidsregel uiteindelijk niet vastgesteld en laat ik besluitvorming over de positie van het netwerkaansluitpunt nu aan de ACM.

In het vervolg van de brief zal ik nader ingaan op de stand van zaken met betrekking tot veiligheidsupdates en de verkoop van losse modems.

Veiligheidsupdates

Voor wat betreft de verantwoordelijkheid voor veiligheidsupdates van producten is, zoals ik ook uiteen heb gezet in mijn beantwoording van 28 juni 2018 van Kamervragen over onveilige telefoons van Samsung (Aanhangsel Handelingen II 2017/18, nr. 2597), het Nederlands consumentenrecht relevant. Dit geldt ook bij losse verkoop van modems. Eén van de belangrijkste onderdelen hiervan is dat de consument het recht heeft op een deugdelijk product. Of een product deugdelijk is, hangt samen met wat de consument redelijkerwijs van het product mag verwachten en wordt mede bepaald aan de hand van de afspraken die de verkoper en consument hebben gemaakt. Bij de beantwoording van de vraag of een bepaald product deugdelijk is, kunnen alle omstandigheden worden meegenomen, ook de digitale veiligheid van een product.

In Europa is op 29 januari in de triloog een compromis bereikt over het EU-richtlijnvoorstel betreffende bepaalde aspecten van overeenkomsten voor de online-verkoop en andere verkoop op afstand van goederen (richtlijnvoorstel tastbare goederen). Het voorstel ziet ook op modems en regelt de rechten voor de consument en de verkoper, zoals contractuele eisen aan de te leveren goederen en rechtsmiddelen voor de consument als de verkoper de overeenkomst niet nakomt. Het voorstel verplicht de verkoper om veiligheidsupdates te (laten) verstrekken. Deze verplichting geldt niet als de consument er uitdrukkelijk op is gewezen dat deze updates niet worden verstrekt en hij hiermee uitdrukkelijk heeft ingestemd. Modems die worden gehuurd of worden geleend bij een telecomabonnement vallen niet onder het richtlijnvoorstel tastbare goederen, in de richtlijn gaat het alleen om koopovereenkomsten waarbij een consument is betrokken. Overigens worden meegeleverde modems veelal centraal beheerd door de telecomaanbieder, inclusief software-updates waar fabrikanten en gebruikers zelf maar beperkte invloed hebben.

Samen met de Minister van Justitie en Veiligheid heb ik de Roadmap Digitaal Veilige Hard- en Software4 opgesteld. Deze Roadmap bevat een samenhangende set van maatregelen om onveiligheden in hard- en software te voorkomen, kwetsbaarheden te detecteren, en om de gevolgen daarvan te beperken. Wetgeving maakt hier ook onderdeel van uit. In dit kader zet ik mij er toe in dat ook fabrikanten verantwoordelijkheid krijgen voor veiligheidsupdates van modems. Dat vereist Europese afstemming. Zoals ook benoemd in mijn antwoord van 29 juni 2018 op de vragen over het bericht «Agentschap Telecom slaat alarm over hackbare apparaten» (Aanhangsel Handelingen II 2017/18, nr. 2649) kijk ik daarbij primair naar de Europese richtlijn 2014/53/EU betreffende de harmonisatie van de wetgevingen van de lidstaten inzake het op de markt aanbieden van radioapparaten (Radio Equipment Directive – RED). De RED schrijft eisen voor waar radioapparatuur (dit omvat alle apparatuur met een draadloze communicatiefunctie, waartoe de meeste modems behoren) aan moet voldoen om toegang te krijgen tot de Europese markt. De RED biedt de mogelijkheid om, na inwerkingtreding van een gedelegeerde handeling van de Europese Commissie (naar schatting eerste helft 2020), minimale eisen te stellen aan de digitale veiligheid van alle radioapparaten die met het internet verbonden zijn (security by design). Het overleg tussen lidstaten en Europese Commissie over de invulling hiervan loopt voorspoedig.

Verkoop van losse modems

In de praktijk leveren telecomaanbieders voor diensten over vaste netwerken modems mee bij het afsluiten van een abonnement en stellen zij het gebruik daarvan ook doorgaans verplicht. Er zijn op het moment van schrijven van deze kamerbrief slechts enkele telecomaanbieders die vrije modemkeuze volledig ondersteunen. Er is verder ook tenminste één telecomaanbieder die dit deels ondersteunt voor de routerfunctionaliteit waardoor aansluiting van een door de gebruiker zelf gekozen (hoofd)router mogelijk is.

De markt voor telecommunicatie-eindapparatuur («eindapparaten») ontwikkelt zich snel door de digitalisering en er manifesteert zich bij fabrikanten en een aantal gebruikers een groeiende behoefte aan een bredere afzetmarkt en vrije keuze van modems.

Vrije markttoegang voor eindapparaten is beoogd in de EU richtlijn 2008/63/EG betreffende de mededinging op de markten van telecommunicatie-eindapparatuur, en geldt voor alle eindgebruikers van telecomdiensten, consumenten en bedrijven. In deze richtlijn is ook het recht vastgelegd om eigen eindapparatuur te gebruiken in het kader van internettoegangsdiensten5. De richtlijn 2008/63/EG is geïmplementeerd in het Besluit eindapparaten6. Vrije keuze van eindapparaten bevordert marktinnovatie, biedt gebruikers voordelen en verlaagt overstapdrempels, juist ook in het geval van modems.

In de markt is onduidelijkheid gerezen over de positie van modems als eindapparaten. Eindapparaten bevinden zich in het private netwerk van de eindgebruiker. Dit private netwerk wordt van het openbare telecomnetwerk gescheiden via het zogenaamde «netwerkaansluitpunt». Het netwerkaansluitpunt beïnvloedt daarmee de positie van een bepaald apparaat als een eindapparaat. Omdat Europese regelgeving niet eenduidig is over de precieze interpretatie van de positie van het netwerkaansluitpunt (en dus of een modem behoort tot het private netwerk of niet) in de moderne vaste netwerken, is het voor de toezichthouder Autoriteit Consument en Markt (ACM) lastig gebleken het Besluit eindapparaten ten aanzien van modems te handhaven. Om de door de richtlijn beoogde concurrentie daadwerkelijk in praktijk te brengen heb ik eind 2017 het voornemen neergelegd een beleidsregel vast te stellen die de Nederlandse situatie verduidelijkt. Dit voornemen betrof het nader vastleggen van de positie van het netwerkaansluitpunt. Uit deze conceptbeleidsregel vloeide voort dat een modem tot het private netwerk behoort en dus vrij door de gebruiker gekozen kan worden. Dat zou overigens niet wegnemen dat telecomaanbieders deze apparatuur zelf ook kunnen blijven aanbieden. De ontwerpbeleidsregel is van december 2017 tot februari 2018 openbaar geconsulteerd.

Naar aanleiding van uitvoerige reacties van telecomaanbieders, die aandacht vroegen voor onder andere de veiligheidsaspecten en de continuïteit van de dienstverlening bij een vrije modemkeuze, heb ik een onafhankelijk onderzoek laten uitvoeren door Stratix naar de technische en operationele aspecten van vrije modemkeuze, met een focus op de veiligheidsaspecten voor netwerken en de continuïteit van de dienstverlening7. Het eindrapport van dit onderzoek is bij deze brief gevoegd. In dit rapport worden de in de consultatie aangedragen aspecten van vrije modemkeuze in een technische context geplaatst en worden eventuele risico’s op het vlak van veiligheid en continuïteit van de dienstverlening van telecomaanbieders nader geanalyseerd. Op dit onderzoek heeft ook hoor/wederhoor plaatsgevonden met telecomaanbieders. Op de achtergrond speelt dat ik in gesprek ben met deze partijen om te bezien in hoeverre zij een faciliterende rol kunnen en willen spelen in het kader van maatregelen tegen Internet of Things (IoT)-onveiligheid, als een van de actielijnen uit de hierboven genoemde Roadmap.

Stratix concludeert dat bij vrije modemkeuze de beveiliging van de toegang tot het openbare netwerk voor specifieke dienstonderdelen tot meer complexiteit kan leiden en (initieel) hogere kosten kan opleveren, maar dat vrije modemkeuze geen fundamentele veranderingen brengt in de veiligheid van zowel de openbare netwerken als de private netwerken in het kader van de IoT-ontwikkeling. De veiligheid van en door (IoT)-apparaten en software achter de modem/router verdient aandacht, maar dit staat los van vrije modemkeuze. Telecomaanbieders kunnen ook bij vrije modemkeuze mitigerende maatregelen (blijven) nemen, waaronder het afsluiten van de netwerktoegang van gebruikers in het geval van apparatuur die problemen veroorzaakt voor derden. Desondanks moet ik constateren dat het onderzoek telecomaanbieders niet heeft kunnen overtuigen en dat er bij deze partijen beperkt draagvlak is voor het effectueren van vrije modemkeuze. Telecomaanbieders zelf blijven stellen dat centraal management van modems nodig is om veiligheidsgevaren van IoT effectief te kunnen bestrijden. De ondersteuning van de implementatie van vrije modemkeuze door deze partijen vind ik van belang juist ook om geen concessies te doen aan de veiligheid van de netwerken.

Ik vind keuzevrijheid voor deze apparatuur van belang voor de implementatie van Europese regelgeving. Veiligheid zie ik als een essentiële randvoorwaarde en tevens integraal onderdeel voor een goede werking van de (bredere) markt voor eindapparaten. Daarbij zijn de nog lopende Europese ontwikkelingen ten aanzien van het stellen van veiligheidseisen voor eindapparaten (de RED) van belang als randvoorwaarde van de regelgeving en als draagvlak onder telecomaanbieders voor vrije modemkeuze.

Zoals al opgemerkt is op 20 december 2018 de richtlijn tot vaststelling van het Europese wetboek voor elektronische communicatie in werking getreden. Met de inwerkingtreding van de EECC is de bevoegdheid voor het vaststellen van het netwerkaansluitpunt bij de nationale regelgevende instantie komen te liggen. Hierdoor ligt nu deze voorheen met ACM gedeelde bevoegdheid uitsluitend nog bij de ACM. Tevens is bepaald dat het Orgaan van Europese regelgevende instanties voor elektronische communicatie (BEREC), waarin Nederland wordt vertegenwoordigd door de ACM, binnen achttien maanden na inwerkingtreding van de richtlijn op EU-niveau nog richtsnoeren zal vaststellen voor de bepaling van het netwerkaansluitpunt. Nederland heeft zich, conform de motie Bosma8, gedurende de onderhandelingen uitgesproken tegen de overdracht van bevoegdheden naar onafhankelijke toezichthouders en BEREC. Het onderhandelingsresultaat komt in zijn algemeenheid tegemoet aan de wens van de Kamer zoals tot uiting gebracht in de motie Bosma9, maar heeft ten aanzien van de onderhavige bevoegdheid geen resultaat opgeleverd. Het is vanwege deze nieuwe Europeesrechtelijke situatie van belang dat vrije modemkeuze in lijn zal zijn met de nog op te stellen BEREC-richtsnoeren voor de bepaling van het netwerkaansluitpunt. Het is zoals gezegd nu aan de ACM om een standpunt over de positie van het netwerkaansluitpunt in te nemen bij de totstandkoming van de betreffende BEREC-richtsnoeren en hierover een besluit te nemen.

De Staatssecretaris van Economische Zaken en Klimaat, M.C.G. Keijzer