Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Beveiliging | 26 reacties

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

| AE 8909 | Arbeidsrecht | 26 reacties

telefoon-smartphone-kinderen-schoolEen lezer vroeg me:

Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven als het bedrijf dat nodig acht in het kader van een rechtszaak. Kunnen ze dat zo eisen?

Dat wissen op afstand zie ik vaker bij BYOD policies (beleiden? beleids?). Het idee is dat als er bedrijfsdata op zo’n telefoon staat, en die telefoon gestolen of verloren raakt, de werkgever de schade kan beperken door de inhoud te wissen. Op zich logisch, en bij een zakelijke telefoon niet meer dan normaal denk ik. Maar bij een BYOD telefoon raakt dat natuurlijk óók privédata van de werknemer.

Het afgeven van de telefoon is een stukje conservatisme volgens mij. In met name de VS is het een ding dat je bij rechtszaken een discovery-procedure kunt krijgen, waarbij alle relevante documenten moeten worden afgegeven aan de wederpartij. Dat omvat ook elektronische documenten, dus dat kunnen ook bestanden op een BYOD-telefoon zijn.

In principe zullen die bestanden kopieën bevatten van gegevens van bedrijfsservers zijn, het hele punt is natuurlijk dat je dingen daar downloadt en gebruikt. Maar het is niet uit te sluiten dat er data op maar één plek staat (die telefoon), en dan moet de inhoud van die telefoon worden afgegeven. Dus dan komt er een stukje in het beleid dat je daaraan moet meewerken.

Daarnaast is er natuurlijk de mogelijkheid dat Justitie of een toezichthouder inzage eist in bedrijfsdata, en ook dan geldt dat die inzage er moet komen. Ook als dat bij een medewerker thuis ligt. Je hebt dan een medewerkingsplicht. Bij een fysiek dossier zal niemand dat gek vinden, die doos moet dan naar kantoor. Maar bij een BYOD telefoon voelt het ineens een stuk complexer.

Wat is dat toch, dat dingen ineens moeilijker zijn omdat er ICT in zit? Waarom is inzage in een fysiek dossier thuis niet gek en inzage in een telefoon wel?

Arnoud

Fabrikanten mogen van EU-Hof pc’s met geïnstalleerde software verkopen

| AE 8952 | Software | 18 reacties

hardware-software-computer-gollem-huh.jpgComputerfabrikanten mogen gewoon pc’s blijven verkopen met bijvoorbeeld Windows vooraf geïnstalleerd. Dat meldde Nu.nl onlang. Ze hoeven geen alternatief te bieden zonder de geïnstalleerde software. Dit volgt uit een uitspraak van het Hof van Justitie (zaaknr C-310/15) naar aanleiding van een Franse rechtszaak over de vraag of dit een oneerlijke handelspraktijk was.

Een Franse consument had in 2008 een laptop gekocht en kreeg daar ongevraagd Windows Vista bij. Hij wilde de EULA daarvan niet accepteren en claimde toen bij leverancier Sony het geld van die licentie terug. Dat werd geweigerd, waarop hij naar de rechter stapte met het argument dat hier sprake was van een oneerlijke handelspraktijk: het is niet netjes en dus niet eerlijk dat je geen laptop zónder Windows kunt kopen.

Volgens het Hof kan een handelspraktijk zoals reclame of het aanbieden van producten alleen oneerlijk zijn als aan twee eisen is voldaan:

Een handelspraktijk kan in dat verband slechts als oneerlijk […] worden beschouwd onder de dubbele voorwaarde dat zij in de eerste plaats in strijd is met de vereisten van professionele toewijding en in de tweede plaats het economische gedrag van de gemiddelde consument met betrekking tot het product wezenlijk verstoort of kan verstoren.

Is sprake van strijd met die professionele toewijding, zeg maar even wat je van een fatsoenlijk handelaar in de ICT-sector mag verwachten? Behoort een normale dozenschuiver ook dozen zonder OS te schuiven?

Nee, aldus het Hof:

In casu blijkt uit de verwijzingsbeslissing met name dat de verkoop door Sony van computers met voorgeïnstalleerde software voldoet aan de uit de analyse van de betrokken markt blijkende verwachtingen van een belangrijk deel van de consumenten die de aankoop van een aldus uitgeruste en onmiddellijk bruikbare computer verkiezen boven de afzonderlijke aankoop van een computer en software. Bovendien werd volgens diezelfde beslissing Deroo-Blanquart, als consument, vóór de aankoop van de betrokken computer door de detailhandelaar van Sony naar behoren geïnformeerd over het bestaan van voorgeïnstalleerde software op deze computer en de specifieke kenmerken van elk van de softwareprogramma’s. Tot slot heeft Sony, na de aankoop en bij het eerste gebruik van deze computer, Deroo-Blanquart de mogelijkheid geboden om in te stemmen met de „eindgebruikersovereenkomst” om deze software te kunnen gebruiken, dan wel de verkoop te herroepen.

In gewone taal: Je wist bij aanschaf dat er Windows op die laptop zou staan. Dat is ook normaal bij computerverkoop aan consumenten. En je mág de EULA annuleren, alleen moet dan wel de gehele aanschaf terug (dus ook de hardware) en niet alleen de software. Daar is niets mis mee. Ook niet omdat de prijs van Windows niet uitgesplitst is.

En moet een handelaar ook kale computers aanbieden? Nee, ook dat is niet in strijd met de professionele toewijding. Als een winkel alleen combinaties hardware/software wil verkopen, dan staat ze dat vrij (het mededingingsrecht even daargelaten) en zolang je als consument maar wéét dat je dat gaat krijgen, is er niets aan de hand. Je kunt dan naar een concurrent.

Arnoud

Mag McAfee zichzelf zakelijk geen McAfee meer noemen?

| AE 8950 | Merken | 7 reacties

Antiviruspionier John McAfee mag zijn nieuwe bedrijf niet de naam John McAfee Global Technologies geven, meldde Nu.nl onlangs. Chipmaker Intel, de koper van zijn oude securitybedrijf McAfee, had formeel bezwaar gemaakt tegen deze bedrijfsnaam. Het nieuwe bedrijf van John McAfee zou zich gaan richten op het ontwikkelen van anti-spionagesoftware, en ik zie wel hoe Intel… Lees verder

Is encryptie een mensenrecht? #vrijmorefi

| AE 8902 | Internetrecht | 36 reacties

Begin september hadden we een discussie over crypto-achterdeuren, waarbij de vraag langskwam of encryptie eigenlijk niet gewoon een mensenrecht is. Je hebt toch het grondrecht privacy, en hoe kun je dat nu effectief uitoefenen anders dan door versleutelde communicatie? Een goed punt, en ik werd er door aan het denken gezet want dit is een… Lees verder

Dochter klaagt ouders aan wegens babyfoto’s op Facebook

| AE 8933 | Privacy | 15 reacties

Een achttienjarig meisje uit Oostenrijk heeft haar ouders aangeklaagd omdat die zonder haar toestemming babyfoto’s op hun Facebook-account hadden gepost. Dat meldde Het Nieuwsblad onlangs (dank, Koen). De ouders van de vrouw (sinds wanneer zijn volwassenen ‘meisjes’?) publiceerden dagelijks babyfoto’s van hun dochter, al vanaf dat zij elf was. Dit ondanks aandringen van de dochter…. Lees verder

Mag HP haar printers geen huismerkinkt meer laten accepteren?

| AE 8940 | Innovatie | 121 reacties

Consumenten melden op sociale media en aan de NOS dat apparaten van HP sinds dinsdag geen inkt meer accepteren van andere – meestal goedkopere – merken, las ik bij de NOS. De printers hebben een software-update gehad waarbij “iets gruwelijk mis is gegaan”, waardoor ze andermans cartridges niet meer accepteren. Vervolgens lees ik dat het… Lees verder

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Aansprakelijkheid, Auteursrecht | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder