Code-of-conduct

img-3421

Van overheidswege worden er eigenlijk helemaal niet zoveel regels aan de hostingindustrie opgelegd. Natuurlijk voelt het wel eens alsof we moeten leven met allemaal regels en overheidsbemoeienis. Maar dat valt best heel erg mee. We hebben wel een aantal verplichtingen, maar die zijn over het algemeen niet ontworpen voor onze industrie, ze komen uit allemaal verschillende hoeken.

Plichten over melding van datalekken bijvoorbeeld. Of over de manier waarop gevoelige persoonsgegevens worden verwerkt. Of meewerken met het aftappen van gegevens in het kader van opsporing. Ieder bedrijf dat met dit soort materie werkt heeft daar mee te maken, hosters zijn geen uitzondering. Dit zijn verplichtingen die niet specifiek voor de hostingwereld geschreven zijn. Vanuit de overheid gaat het dan meer over grip proberen te krijgen op ‘het internet’, een concept dat niet altijd even duidelijk is voor Den Haag.

De hostingindustrie zelf vliegt voornamelijk onder de radar. Voor de overheid bestaan we namelijk niet echt. Hoe komt dat? Er is geen CBS code voor hosting. Hosters vallen onder de zeer ruime SBI 6311, waaronder webhosting maar bijvoorbeeld ook het bijhouden van condoleanceregisters valt (dat is kennelijk ook een beroep), en ‘data-entry’, een bedrijfstak die voor zover ik weet al sinds de jaren tachtig niet meer als zodanig bestaat. Dit is vervelend omdat je geen sprekende cijfers kunt produceren over een sector als je die sector niet kunt definieren (niemand weet bijvoorbeeld precies hoeveel hosters er in Nederland zijn!), en je kunt natuurlijk niet meten hoe goed het met de sector gaat en hoe het zich allemaal ontwikkelt. Maar je kunt als overeid ook moeilijk inschatten wat de behoeftes zijn van een sector die je niet omschrijft. En hoe je die sector zou moeten (of niet moeten) reguleren.

Onze branche opereert voornamelijk in een ongereguleerde context. We volgen een aantal min of meer vastgelegde afspraken. Omdat het zo hoort, omdat de collega’s dat doen, in sommige gevallen omdat het een vereiste is van de brancheorganisatie. Het is eigenlijk heel vrijblijvend. Zo hebben bijna alle hosters bijvoorbeeld een abuse helpdesk. Maar dat is niet een verplichting. Er is niemand die je verbiedt om hoster te zijn en niets te doen tegen abuse. Je zult je niet popuair maken bij je concullega’s, maar het kan wel.

Bijna alle hosters reageren adequaat en tijdig op Notice en Take-down verzoeken. Maar ook hier geldt: het is geen verplichting, je doet het omdat je vindt dat het hoort bij het goed uitoefenen van je vak. Maar er is geen sanctie (als je lid bent van ISPConnect zullen we je er wel op aanspreken, dat wel, maar niet alle hosters zijn aangesloten).

Er is niemand die je vergunning in gaat trekken als je je niet goed gedraagt. Want er is geen vergunning. In een omgeving (dataverbindingen en ICT) waar best veel regulering is, is hosting gewoon een helemaal vij beroep, waar geen definitie van bestaat en waar de overheid geen regels voor heeft gemaakt.

Geen wonder dat we ook wel eens te maken hebben met cowboys in onze sector. En een ‘bad hoster’ kan een enorme ravage veroorzaken. Er is namelijk wel criminaliteit op het internet, oplichting, phishing, bedreigingen, DDoS-aanvallen, pesten, kinderporno. Het bestaat allemaal en in grote hoeveelheden.

Is het wenselijk dat de overheid ingrijpt en de sector strakker gaat reguleren? Waarschijnlijk niet. Er varandert nog te veel, te snel. We weten uit ervaring dat regelgeving vaak te laat komt, de plank mis slaat, het verkeerde reguleert, of uiteindelijk de groei van de sector in gevaar brengt. Daar zit niemand op te wachten.

Belangrijker is om het sterk zelfregulerend vermogen van de hostingindustrie te koesteren en verder te ontwikkelen. Als hosters hebben we laten zien dat we in staat zijn om sterk op te treden met effectieve collectieve programma’s: Notice en Take-down, abusebestrijding, coöperatieve oplossing tegen DDoS zoals de NaWas, code-of-conducts waar bedrijven zich vrijwillig aan houden, sterke brancheorganisaties die ook echt namens de industrie kunnen spreken (en dat ook doen).

We gooien hoge ogen in Den Haag en in het buitenland met deze aanpak. De Nederlandse hostingwereld heeft een geweldige reputatie in het buitenland. En terecht. Willen wij als sector blijven groeien en de vrijheid behouden die ons heeft gemaakt tot een bloeiende, winstgevende industrie, dan hebben wij de verantwordelijkheid om met elkaar de discipline op te brengen om ons zelfregulerend karakter te behouden en nog sterker te maken.

ISPConnect is van plan om in het najaar met de leden en met vertegenwoordigers van de overheid aan de slag te gaan om voor de leden een code-of-conduct te ontwerpen. Onze vrienden van de DHPA hebben er al een paar jaar een. Wij willen dat hosters met deze CoC een duidelijk signaal geven aan het publiek, aan de samenleving en aan de overheid dat ze voornemens zijn om zich aan de wet te houden, om mee te werken aan de afspraken, om oplichters en illegale content van hun sites te weren en mee te werken aan een schoon, vrij en veilig internet.

Dit is een signaal dat nodig is om de groei van de sector veilig te stellen, maar uiteindelijk ook om te voorkomen dat de overheid ingrijpt en ons opzadelt met allerlei regels en beperkingen waar we niet op ziten te wachten.

Simon Besteman is directeur van ISPConnect