Waarom moet contractuele correspondentie toch altijd op papier?

| AE 7882 | Contracten | 13 reacties

dode-boom-papier-contractEen lezer vroeg me:

Waarom eist vrijwel elk (Engelstalig) contract dat je alleen notices en correspondentie rond het contract op papier mag doen? Kennen juristen nog steeds geen e-mail of zo?

Het is inderdaad zeer gebruikelijk om in contracten een “notices” clausule op te nemen. Daarin staat dan dat alle verplichte mededelingen en vaak ook überhaupt alle correspondentie rondom het contract schriftelijk moet, en wel aan de in het contract opgenomen personen en adressen.

In theorie is het idee hierachter dat je dan voorkomt dat mensen mondeling van alles roepen en dan achteraf daar stennis over maken. Maar heel vaak komt dat niet voor: wie namelijk zegt dat hij ooit wat riep, mag bewijzen dat hij dat gedaan heeft. En dat zal niet meevallen.

Mijn gevoel zegt me dat deze clausule vooral opgenomen wordt omdat het gewichtig of juridisch staat. Zoals er wel meer rare clausules in ICT-contracten staan (zie ons Handboek ICT-contracten waar ik ze fileer).

De enige echte juridische reden om papier te willen is omdat een papieren tekst – mits met handtekening – een onderhandse akte oplevert, die in beginsel dwingend bewijs is tussen partijen. Daarmee kan er achteraf dus niet of nauwelijks meer worden getwist over de inhoud van de mededeling. Althans: over de letterlijke mededeling. Ook de inhoud van aktes mag nog steeds worden gesteggeld: wat bedóelden jullie toen je dat schreef?

In mijn praktijk zie ik het papiervereiste massaal misgaan: men schrijft het keurig op “want dat hoort in een contract” en vervolgens ziet niemand het belang van het versturen van een plakje dode boom en mailt dus gewoon wat ze willen zeggen. Als ze het mooi willen doen, dan gaat dat als PDF in bijlage. Er is ook geen reden om dergelijke communicatie als minderwaardig aan papier te zien, zolang maar duidelijk is van wie deze afkomstig zijn en vaststaat dat de inhoud is zoals bedoeld door de afzender. Zet dát dan gewoon in je contract, denk ik dan.

Arnoud

IP-adressen ministerie gekaapt door Bulgaren, mag dat?

| AE 7880 | Strafrecht | 23 reacties

class-a-ip-address.pngIP-adressen van het ministerie van Buitenlandse Zaken zijn vorig jaar een week lang in handen gekomen van Bulgaarse criminelen, meldde de Volkskrant vorige week. Middels een BGP Hijack wist men internetverkeer van en naar deze IP-adressen te kapen, waarmee men in theorie in staat zou zijn geweest malware of phishingmails te versturen die niet te onderscheiden zouden zijn van echte. Volgens het ministerie zijn er ‘geen signalen van daadwerkelijk misbruik’. Tentamenvraag: welk strafrechtartikel wordt hier overtreden?

Wat er gebeurt bij een BGP hijack is dat een aanvaller hard gaat roepen dat hij een snellere route weet voor IP-verkeer naar een aantal specifieke IP-adressen. Dat is op zich een standaardfeature uit het Border Gateway Protocol (BGP): iedereen vertelt elkaar voor welke IP-adressen hij verkeer kan routeren, en zo kan iedereen snel bepalen waar pakketjes het beste heen kunnen.

Zo’n route-advertentie kan per ongeluk gebeuren, maar een slimme aanvaller kan het ook met opzet uitvoeren. Het kan zelfs zodanig dat het slachtoffer het niet merkt: de aanvaller stuurt dan het verkeer (eventueel licht gemanipuleerd) door naar de IP-adressen van het slachtoffer. Hij kan dan bijvoorbeeld meelezen of heel specifieke data manipuleren.

Dit voelt strafbaar, maar noem eens een wetsartikel dat hiervoor geschreven is? Computervredebreuk is dit niet, want er wordt niet binnengedrongen in een computer van Buitenlandse Zaken. Een denial-of-service aanval is het ook niet echt te noemen, de computers van het ministerie hadden nergens last van en draaiden geen millihertz harder door deze aanval.

Op Twitter noemt cyberofficier Lodewijk van Swieten artikel 161sexies als een mogelijke optie, en dat lijkt mij ook het beste passen:

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft: …

De computers van BuZa zijn niet vernield, beschadigd of onbruikbaar. De discussie moet dus gaan over de vraag of er sprake is van een “stoornis” in de gang of werking van die computer. Ik blijf zitten met datzelfde argument: die computers gaan niet stuk. Het netwerk er rondom ook niet. Dan blijft over dat je spreekt van verstoren van de BGP route-tabellen of internetrouters richting de BuZa-computers. Oftewel, als je met opzet valselijk zegt “ik weet een snellere route naar 127.0.0.1″ dan verstoor je de werking van de ‘echte’ routers daarheen en dan kun je dus een celstraf krijgen.

Zelf dacht ik nog aan art. 139c Strafrecht:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hiermee zeg je in feite: een BGP hijack laat jou luisteren naar verkeer/datacommunicatie dat eigenlijk voor BuZa bestemd is, en dat is aftappen van verkeer. Even los nog van of je dat doet enkel om mee te luisteren (MITM) of om mensen op te lichten (met een nepserver). Maar volgens mij gaat dat niet op wanneer je die IP-adressen alleen als afzender gebruikt, bijvoorbeeld voor een spamrun of om phishingmails te sturen die je vervolgens naar een andere server doorsturen. En zelfs als je het laat sturen naar een server met een BuZa-IP: tap je dan verkeer van BuZa af? Je initieert het zelf immers.

Meer algemeen zit je met het probleem dat die BGP routers zich in allerlei landen bevinden, zodat je niet weet wie er jurisdictie heeft. En trouwens: wordt het niet eens tijd om BGP te voorzien van een beveiliging zodat dit soort trucs niet meer mogelijk zijn?

Arnoud

De strafbaarheid van luisteren naar iemands broekzak

| AE 7876 | Beveiliging, Strafrecht | 21 reacties

broekzak-telefoon-afluisterenEen rechter in Amerika heeft besloten dat broekzakbellers hun recht op privacy verliezen door het per ongeluk bellen van derden, las ik bij Webwereld (en ik reageerde bij RTL waar ze me advocaat durven te noemen).

Uit het Amerikaanse arrest blijkt maar weer eens hoe anders men daar tegen privacy aankijkt. Privacy heb je als je thuis de gordijnen dicht doet, punt. Als jij niet goed oplet en anderen komen iets over je te weten, sucks to be you en moet je de handleiding maar lezen volgende keer. ZOals men het in dit arrest formuleert:

Under the plain-view doctrine, if a homeowner neglects to cover a window with drapes, he would lose his reasonable expectation of privacy with respect to a viewer looking into the window from outside his property.

De grens daarbij ligt bij wat mensen met “technology in general public use” niet meer kunnen. Die NSA-satelliet die dwars door je dak heen filmt, schendt dus je privacy. Die drone boven je achtertuin filmt daar legaal. Of natuurlijk wanneer de ander het initieert: als ik je telefoon pak, mezelf bel en het toestal dan met uitgeschakeld scherm terug in je zak steek, dan ben ik aan het afluisteren.

Die telefoon in je broekzak die een billenbelletje pleegt, is dus ook legaal. Algemeen bekende technologie waarvan eveneens algemeen bekend is hoe je dat voorkomt: je telefoon locken, of de appstore doorsnuffelen op zoek naar anti-butt dial apps. Oftewel, je doet je best maar om het te voorkomen want anders is het jouw probleem. Ja, dat is een tikje hard.

Bij ons ligt dat anders. Het is strafbaar een gesprek af te luisteren of op te nemen als je daar geen deelnemer aan bent en ook niet in opdracht van een deelnemer handelt (art. 139a Strafrecht als het in een besloten ruimte is en 139b Strafrecht elders). En dat is precies de situatie als je een broekzakbelletje krijgt en vervolgens meeluistert naar wat je via die broekzak kunt horen. Natuurlijk, je initieert het afluisteren niet, maar zodra je doorkrijgt dat je per abuis gebeld bent en iets hoort dat eigenlijk een gesprek zonder jou had moeten zijn, kom je toch een heel eind in het strafrechtelijk gebied. Ik denk dat je over de grens gaat zelfs.

Wat vinden jullie? Amerikaans: je moet maar opletten? Of Europees: hang op in plaats van als nieuwsgierig Aagje mee te luisteren?

Arnoud

Bedrijven, hotels en instellingen mogen internet wél filteren

| AE 7874 | Netneutraliteit | 23 reacties

Oh en dat is wel een verrassing: in die beleidsregel van gisteren is tevens bepaald dat netneutraliteit alleen geldt voor openbare aanbieders van internet, niet voor private aanbieders zoals bedrijven (gastennetwerken), hotels en instellingen die hun bezoekers op internet laten. (Ik loop een beetje achter geloof ik, laatst ook al de datalekmeldplicht en beveiligingsboetes gemist.)… Lees verder

‘Eindeloos Spotify’ van KPN is datadiscriminatie, ook straks in Europa?

| AE 7872 | Netneutraliteit | 16 reacties

KPN moet het streamen van Spotify buiten de mobiele databundel uitfaseren, las ik bij Computerworld. Toezichthouder ACM heeft op basis van aangescherpte regels de telecomprovider op de vingers getikt. Een internetdienst uitzonderen van de databundel is in strijd met netneutraliteit. De dienst is al door KPN opgeheven, maar bestaande “Eindeloos”-abonnementen lopen nog door tot 1… Lees verder

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

| AE 7860 | Beveiliging, Privacy | 19 reacties

Op 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden… Lees verder

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Beveiliging | 22 reacties

Een lezer vroeg me: Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer? Als… Lees verder

Hoe misleidend is een weggelaten punt?

| AE 7849 | Aansprakelijkheid | 29 reacties

Een lezer wees me op de site van Mijntoeslagen.nl. Dit is niet de overheidssite waar je jouw/mijn toeslagen regelt: dat is namelijk mijn PUNT toeslagen punt ennel. Vergeet je de punt, dan krijg je frases als “Mijntoeslagen.nl, uw toeslagen onze zorg”, “Hulp nodig bij aanvragen”, “Zorgtoeslag.nl is de intermediair voor het optimaal regelen van zorgtoeslagen.”… Lees verder