Is de eigenaar (of fabrikant) van een Internet of Things-apparaat aansprakelijk voor de schade?

Een lezer vroeg me:

Stel dat je als consument een IoT-apparaat aanschaft en dit apparaat wordt gehackt. Is de fabrikant dan aansprakelijk voor de schade? Kan in sommige gevallen de consument zelf aansprakelijk zijn?
Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Recente wetgeving gaat hier hopelijk iets van verbetering in brengen, al blijft het in eerste instantie bij duidelijke informatie tot wanneer je updates krijgt. Maar een wettelijke plicht dat je als consument zelf een wachtwoord moet instellen, die is er nog steeds niet. Dus de kans dat je brakke apparaat met internettoegang (de Nederlandse vertaling van IoT-apparaat) ergens schade aanricht, is er nog steeds.

Waar schade is, ruiken advocaten aansprakelijkheid. En terecht, want in de wet staat immers dat je schade moet vergoeden – tenminste, als die door een “onrechtmatige daad” is toegebracht. Dat is een daad die niet hoorde te gebeuren, zeg maar even, iets dat tegen de wet is of tegen wat we de “maatschappelijke zorgvuldigheid” noemen.

Een hele lastige is natuurlijk hoe je de eigenaar van zo’n apparaatje achterhaalt, want dat is wel een voorwaarde voordat je schadeclaims kunt indienen. Met een IP-adres uit een botnetaanval bijvoorbeeld kan dat in theorie (via de provider) maar dat is een hoop, duur werk en of je de héle schade bij die ene bot z’n onwetende baasje kunt neerleggen, daar zijn juridische scripties over te schrijven. Dus praktisch gezien zie ik dit niet echt gebeuren.

De fabrikant is iets makkelijker aansprakelijk te stellen, al krijg je daar het probleem dat de schade ook door andere dingen veroorzaakt kan zijn. Updates niet bijgewerkt, de firewall niet conform de handleiding dichtgezet, ga zo maar door. En natuurlijk de vraag of het fair is dat een stilgevallen elektriciteitscentrale (door een ddos-aanval met brakke koelkasten) voor rekening van de koelkastfabrikant moest komen.

Praktisch gezien zie ik het dus niet echt gebeuren, niet tegen consumenten in ieder geval. Bij fabrikanten zal er vast over een paar maanden een interessante zaak komen, maar verwacht geen kortetermijnuitkomsten.

Arnoud

Pornosite moet van rechter toestemming vragen aan mensen op amateurbeelden

De pornowebsite Vagina.nl mag alleen naaktbeelden publiceren na toestemming van de personen die in beeld komen, las ik bij Nu.nl. Dit bepaalde de rechtbank Amsterdam in een massaclaim van stichting Stop Online Shaming (SOS) en Helpwanted.nl vorige week. De site bevat naast professionele porno ook amateurporno, waaronder heimelijk gefilmd materiaal waarop mensen te zien zijn die geheel of gedeeltelijk ontkleed zijn. Het rondzingen van zulk materiaal is schadelijk voor de slachtoffers, en met deze massaclaim wilde men paal en perk daartegen stellen.

De site is een typische pornosite: gebruikers mogen zelf materiaal uploaden, dat komt na een minimale screening online en komt dan in een van tientallen categorieën terecht. De algemene voorwaarden klinken mooi, en er is een notice-takedown procedure die wederom op papier mooi klinkt: stuur een klacht, we kijken ernaar en als het ons terecht lijkt, halen we het weg.

Leuk en aardig, maar voor veel mensen is dit een lastige hobbel. Je moet dan aantonen dat jij in beeld was, dat jij géén toestemming hebt gegeven en dat het bezwaarlijk of schadelijk voor je is en ga zo maar door. Nog los van dat vele sites gewoon geen gehoor geven aan je sommatie, wetende dat je toch niet naar de rechter gaat als slachtoffer.

De stichting draaide het in haar massaclaim om: de eis kwam neer op een verklaring voor recht (een “gerechtelijk bevel”, zo u wilt) dat het onrechtmatig is om amateurporno online te zetten zonder dat je aantoonbaar toestemming hebt van de betrokken acteurs. Zoiets kan tegenwoordig onder de Wet massaclaims. Zoals de rechtbank het uitlegt, de wet gaat uit van de fictie dat alle Nederlanders die onder de groep vallen voor wiens belangen wordt opgekomen, betrokken zijn in het geding, tenzij ze expliciet hebben aangeven niet vertegenwoordigd te willen zijn door de eisers (opt-out).

Allereerst constateert de rechter dat de site inhoudelijk filtert op wat mensen uploaden. De stichting had een paar testvideo’s geupload, en die werden met inhoudelijke motivatie afgekeurd. Dan ben je dus redactioneel bezig, en dan kun je je niet beroepen op de vrijstelling voor platforms.

Vervolgens doet de rechtbank de gebruikelijke belangenafweging: de privacy van betrokkenen versus de nieuwswaarde van de video’s (vrijheid van meningsuiting, immers) en het commercieel belang (ondernemersvrijheid) van de site. Het gaat hier specifiek om gluurvideo’s, stiekem gemaakt in situaties waarin mensen zich onbespied mogen wanen, zonder dat er enig algemeen belang of iets dergelijks te bedenken is. Ook ging het om gelekte privébeelden (zoals wraakporno), waarbij mensen misschien dan de video wel wilden maken maar zeker niet akkoord gingen met openbare publicatie.

De slotsom is dat het onrechtmatig is om op een adult website beeldmateriaal te publiceren dat heimelijk is gefilmd en dat personen herkenbaar toont die (geheel of gedeeltelijk) ontkleed zijn te zien op plekken waar zij zich onbespied wanen of dat niet professioneel is gemaakt en personen herkenbaar toont die in de privésfeer seksuele handelingen verrichten, tenzij de exploitant, in dit geval [gedaagde] , zich ervan heeft vergewist dat die personen toestemmen in de openbaarmaking van die beelden.
Dat je een notice/takedownprocedure hebt of in je algemene voorwaarden mensen zogenaamd laat zeggen dat er toestemming is van iedereen, helpt daarbij helemaal niets. Je moet de schade vergoeden van iedere persoon die herkenbaar op zo’n video staat. Bovendien, en dat is belangrijker: er staan dwangsommen op het online houden van zulke video’s, namelijk 10.000 euro per video en 500 euro per dag. Dat is een enorme opsteker voor slachtoffers, want dan hoef je dus eigenlijk geen schadebedrag te onderbouwen.

De uitspraak is niet specifiek voor deze site, andere sites die op dezelfde manier werken (en dat doen ze vrijwel allemaal) kunnen dus op dezelfde manier worden aangesproken. Alleen de dwangsom geldt formeel niet voor andere sites.

Arnoud

 

 

Ben je verzekerd tegen inboedelschade door een te spannend VR spel?

Pexels / Pixabay

Een Britse verzekeraar meldt dat het aantal claims dat consumenten vorig jaar hebben ingediend ten gevolge van ongelukken en schade door het gebruik van vr-brillen in vijf jaar tijd met 68 procent is gestegen. Dat las ik bij Tweakers afgelopen maandag. Als je met een vr-bril actief bent, maak je immers bewegingen die zich kunnen vertalen naar als doen te beschouwen gedragingen met schadebrengend gevolg, zouden juristen zeggen. Dat roept dan de vraag op: kun je dat bij je inboedelverzekering verhalen?

Het gaat bij de verzekeraar (Aviva) met name om kapotte elektronica, zoals mensen die een controller door het beeldscherm slaan of gooien omdat ze iets te enthousiast in het spel bezig zijn. Of mensen die enorm schrikken van een onverwachte zombie en dan een hevige gemoedsbeweging ondergaan die leidt tot een fysieke reactie. Kapotte tv, salontafel of bank, of erger nog, letselschade bij een huisgenoot. Even Apeldoorn bellen?

Kort door de bocht: in principe zou de inboedelverzekering dit moeten dekken, mits je een zogeheten all-risk verzekering had genomen. Bij een “extra uitgebreid” verzekering is eigen schuld niet gedekt. Zoals Independer het uitlegt:

De allrisk-dekking van een inboedelverzekering vergoedt in principe alle schades die onverwacht ontstaan. Alleen als (de oorzaak van) een schade expliciet is uitgesloten in de polisvoorwaarden ben je niet verzekerd. De allrisk-dekking is de meest uitgebreide dekking die je kunt kiezen bij een inboedelverzekering.
Ik kan geen inboedelverzekeringen vinden die schade als gevolg van virtual reality expliciet uitsluiten. Wat ze wél allemaal uitsluiten, is opzet en roekeloosheid, want dat staat in de wet (art. 7:952 BW):
De verzekeraar vergoedt geen schade aan de verzekerde die de schade met opzet of door roekeloosheid heeft veroorzaakt.
Krijg je natuurlijk meteen de vraag wat opzet of roekeloosheid (let op: ook onbewust, voor de juristen) dan precies inhoudt. Het Verbond van Verzekeraars heeft in haar model-voorwaarden uitgelegd dat zij de term “opzet” zien als gericht op het veroorzaken van de schade en niet op de handeling zelf. Een voorbeeld:
De fietser die met opzet door het rode licht rijdt en vervolgens een voetganger verwondt, kan niet met een beroep op de opzetclausule worden geconfronteerd. In het voorbeeld is het opzet van de fietser gericht op het door rood licht rijden en niet op het verwonden van de voetganger.
Pas als de fietser dus van plan zou zijn geweest die stomme voetganger eens lekker aan te rijden, dan zouden we het opzet noemen en zou de schade van die voetganger buiten de verzekering vallen. Bewijstechnisch natuurlijk ingewikkeld om aan te tonen, maar dat is een praktisch probleem.

De Hoge Raad ziet het iets genuanceerder:

[Van opzet gericht op de schade spreken we ook] indien, gelet op de aard van de gedraging en de omstandigheden waaronder deze werd verricht, het in feite toegebrachte letsel of de zaakschade naar objectieve maatstaven als een te verwachten of normaal gevolg van de desbetreffende gedraging kan worden aangemerkt. In zodanig geval moet aangenomen worden dat de gedraging van de verzekerde gericht was op het doen ontstaan van het in feite toegebrachte letsel of de zaakschade, ook al was deze soort of ernst van letsel of zaakschade niet door hem beoogd.
Ik vond nog een vonnis uit Den Bosch waarin een ernstige inschattingsfout niet als opzet werd aangemerkt:
In deze casus heeft de benadeelde zelf verklaard dat sprake was van een inschattingsfout voor wat betreft de afstand tot het mechanisme van de versnipperaar, waarbij wellicht de nieuwe bril die hij kort voordat het ongeval plaatsvond kreeg en waar hij (kennelijk) nog aan moest wennen, een rol heeft gespeeld.  … Er is simpelweg sprake van een ernstige inschattingsfout. Dat benadeelde zich ervan bewust moet zijn geweest dat het inherent gevaarlijk is om zijn hand dicht bij de draaiende messen van de machine te brengen, doet daar niet aan af.
Mijn inschatting is dat je bij werken of gamen in virtual reality ook eerder zult spreken van inschattingsfouten dan van opzet. Als je gaat rondlopen met een vr-bril op, dan kun je inderdaad botsen tegen mensen of dingen. En als je met je handen beweegt (zeker in een spel) dan kan dat tot schade leiden. Maar om nou te zeggen dat het “te verwachten of normaal gevolg” is, gaat mij te ver.

Ik zit er nog een beetje mee wat de positie is van een spelontwikkelaar die zo’n schrikeffect in 3d inbouwt. Je moet ergens weten dat mensen dan forse reacties kunnen geven in kleine woonkamers en andere plekken; zeker als professional zou je dan toch soort van moeten bedenken dat dit een probleem kan zijn. Kun je dat dan zo makkelijk afschuiven met een generieke disclaimer op het opstartscherm?

Arnoud

Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop geen back-ups maakte en heeft de softwareleverancier met recht aangevoerd dat de webshop zelf verantwoordelijk is voor het regelmatig maken van back-ups. “Dat zij dat achterwege heeft gelaten, terwijl het wel mogelijk was, is dan ook een omstandigheid die haar valt toe te rekenen”, aldus het hof.

Het gaat concreet om een koppeling tussen het bekende webshoppakket Magento en Exact Online, waardoor de transacties van de Magento webshop worden doorgestuurd naar de boekhoudsoftware van Exact. Meelezende QA specialisten mogen even wegkijken, voor de rest:

Het boekhoudprogramma maakt gebruik van een tabel van nummering waarbij voor debiteuren en crediteuren dezelfde tabel wordt gebruikt. Beide groepen krijgen om die reden een verschillend startnummer. Voor debiteuren (klanten met een account en gastklanten zonder een account) is in dit geval gekozen voor een nummer beginnend met 3.000 respectievelijk 7.000 en voor crediteuren beginnend met 1-2.999 en vanaf 15.000. De crediteuren moeten handmatig worden ingevoerd, de debiteuren (zowel de bestellingen van klanten met een account als die van gastklanten) worden door de koppeling automatisch in het boekhoudprogramma ingevoerd.
Deze wijze van scheiden van relaties staat onder programmeurs ook wel bekend als een WTF want op deze manier is het natuurlijk mogelijk dat het aantal aankopen zo oploopt dat je de 15.000 aantikt en dat je debiteur dan een crediteur is. En dat gebeurde ook, omdat er een foutje zat in het toekennen van nummers bij klanten die als gast bestellen:
Hallo … De gast accounts beginnen bij 7000. Inmiddels hebben we al meer dan 8000 gast accounts, waardoor je dus uit komt op de nummering van de crediteuren.
Dit hoort natuurlijk niet te gebeuren, en pijnlijk voor de webshop was vervolgens dat men geen backup had van de relevante tabellen zodat het een berg werk was om alle debiteuren en crediteuren weer in ere te herstellen. Is dit nu het soort fout waar je voor aansprakelijk bent vanuit je zorgplicht als ICT-er? Helaas komt het Hof niet aan die vraag toe, maar ze bevestigt wel dat we zoiets best “eigen schuld” kunnen noemen.

Iedereen die met digitale gegevens werkt in de bedrijfsvoering, moet daar gewoon backups van hebben. Want of het nou gaat om ransomware, dikke vingers of een API koppeling die debiteuren moet invoeren maar die soms als crediteur aanmerkt, als je die data kwijt bent dan heb je een enórm probleem.

Juridisch gezien kom je dan uit bij “eigen schuld” (art. 6:101 BW): weliswaar ontslaat dat de leverancier niet van aansprakelijkheid, maar hij hoeft minder van de schade te vergoeden omdat de gevolgen mede aan de webwinkel te wijten zijn.

Het is aannemelijk dat geen handmatig herstel met de gevorderde kosten nodig was geweest als de door [de webwinkel] gestelde tekortkoming achterwege zou zijn gebleven (zo die na bewijslevering zou komen vast te staan). Maar dat geldt ook indien [de webwinkel] zelf de nodige zorgvuldigheid zou hebben betracht door een back-up te maken. De kosten van de advocaat in verband met het verhaal van herstelkosten bij [de leverancier] zouden ook niet gemaakt zijn.

Je kunt je natuurlijk afvragen of de leverancier niet meer had moeten doen. Nee, niet in dit geval:
Het hof betrekt daar ook bij (i) dat het ging om een standaardkoppeling tegen een lage prijs zonder abonnement, (ii) dat de koppeling als zodanig jarenlang goed heeft gefunctioneerd, (iii) dat [de webwinkel] zelf voor Exact Online heeft gekozen, (iv) dat zij zich in de werking en de beperkingen daarvan kennelijk niet voldoende heeft verdiept, (v) dat de koppeling is hersteld en (vi) dat [de webwinkel] niet onderbouwd heeft gesteld dat zij door het tijdelijk kwijtraken van enkele gegevens van crediteuren (andere financiële) problemen heeft ondervonden.
Met name dat laatste geeft voor mij de doorslag: er zijn geen daadwerkelijke problemen, alleen maar rotzooi die opgeruimd moest worden omdat er geen backup was. Heel vervelend, maar dát is dan het gevolg van je eigen schuld.

Ondertussen blijft wel open de vraag of de leverancier beter had moeten programmeren, bijvoorbeeld een check dat het debiteurennummer altijd kleiner dan 15.000 had moeten zijn. Als je een koppeling met Exact verkoopt, en die heeft deze rare constructie in haar database-tabellen, dan moet je zulke dingen wel doen lijkt me. Maar kennelijk komt het weinig voor dat Exact Online-gebruikers meer dan 8000 klanten zonder registratie hebben?

Arnoud

Je Amazon Echo en Alexa nodigen straks zelf de buren uit

Amazon start op 8 juni met Amazon Sidewalk, een mesh-dienstverlening die alle apparaten van Amazon in staat stelt ook het netwerk van de buren te gebruiken. Dat las ik bij AG Connect. De nieuwe functie is er vooralsnog alleen in de VS maar staat standaard aan op alle Amazon-apparatuur, hoewel er een opt-out is. Het idee is dat wanneer de internetverbinding bij de een uitvalt, de Amazon-services toch nog gebruikt kunnen worden door de ander en vice versa. Maar er hoeft natuurlijk maar iets mis te zijn in de firmware van die apparaten en alle thuisnetwerken van alle klanten liggen open en bloot voor inbrekers. Mag dat dan zomaar?

In een whitepaper beschrijft Amazon hoe de dienst werkt. De kern is dat er een groot mesh network opgebouwd wordt, waarbij alle apparaten verbinding met elkaar leggen en zo ook elkaars internettoegang delen. Als mijn systeem dus even niet internet op kan, dan wordt er desnoods tot in het dorp hiernaast gehopt tot er iemand wél internet heeft. Snel zal het niet zijn, maar voor bijvoorbeeld het synchroniseren van profielgegevens of het downloaden van komt-wel-een-keer updates is dat niet erg.

Dat klinkt leuk en hip maar het betekent wel dat je dus je internetverbinding beschikbaar stelt voor iedereen in het land (in theorie zelfs ter wereld) die ook Amazon-diensten afneemt. Er wordt niet van alles gedownload en getorrend, dus echt bang voor claims van derden hoef je niet te zijn. Gemiste kans in zoverre dat ik Tim Kuik wel wil zien kijken als ik “ja sorry dat moet de koelkast van de buren geweest zijn” zeg.

Verder komt men bij Wired nog met de berekening:

What’s more, Amazon promises never to use more than 500 MB of data in a month, which is the same as streaming about 10 minutes of high definition data.
Nou is 10 minuten HD video niet echt ontzettend veel maar verwaarloosbaar kan ik het ook niet noemen. Plus, er gebeurt niet als die belofte niet wordt gehaald, behalve dat je een meelbal van een marketeer krijgt.

Ik kan er niet direct een juridisch verbod op aanwijzen maar het voelt onprettig, opgedrongen en net te veel gevraagd. Ik weet dat heul heul vroeger de PTT ook ongevraagd stroom afnam om je telefoon te laten rinkelen, maar dit lijkt meer op een cryptominer in je router.

Ik snap denk ik vooral niet waarom Amazon denkt dat ik dit een goed idee zou vinden?

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar zorgplicht. En ja, dan gaan bepaalde advocaten warmdraaien en ontstaat enige paniek in de branche, want iederéén kent klanten die alleen wachtwoorden van drie tekens accepteren en een perfecte backup eisen voor 2,50 per maand. En die zouden dan van de rechter gelijk krijgen? Eh, nee dus.

Die zaak (overigens uit 2018 en ik heb géén idee waarom hij nu pas wordt gepubliceerd) ging over een automatiseerder die de zaak niet zo goed had aangepakt. Geen duidelijk contract, geen schriftelijke afspraken en zo te zien ook weinig vastgelegd over de communicatie. Dan creëer je onduidelijkheid als dienstverlener en dan wordt het ingewikkeld als er dan iets misgaat, want de rechter zal jou als professionele partij aankijken op de rommel.

Oh wacht, misschien weet ik toch waarom de zaak recent is gepubliceerd (quote FD):

‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers. Het voormalig Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen.

Bedrijven met een niet-gepubliceerd vonnis bangmaken en aandringen op schikkingen, dat is natuurlijk geen fijne praktijk. Dan zal er een bedrijf zijn geweest dat even de Rechtspraak belde en vroeg om publicatie – dat kan namelijk gewoon. Want dan krijgt het aandacht zonder dat jij specifiek in de picture komt bij de bangmakers.

Het is natuurlijk zwaar overdreven dat dit vonnis een zodanig principiële rechtsregel formuleerde dat je dús altijd aansprakelijk bent als IT-er als er wat misgaat met de beveiliging. Zelfs al was dit een arrest van de Hoge Raad. Maar dat vereist enige nuance en lezen wat er precies gezegd is. Advocaat Menno Weij zegt het precies raak: één zwaluw maakt geen zomer. Dat is eigenlijk nooit zo in het recht.

Natuurlijk is het een wake-up call voor IT-ers dat je even wat beter je best moet doen om dingen te documenteren. En dat je af en toe tegen een klant moet zeggen “nee, dat gaan we niet doen anders ben ik weg”. Of je algemene voorwaarden even afstoffen of daar een goed aansprakelijkheidsbeding in staat met afkadering van je zorgplicht. Maar het is echt onzin dat je nu ineens veel grotere risico’s loopt als automatiseerder.

Arnoud

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

Een lezer vroeg me:

Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in de onderhandelingen. Ben ik strafbaar als ik dat doe, of kan mijn werk dan alsnog de boete van de rechthebbende op mij verhalen?

Als werknemer ben je niet privé aansprakelijk voor je handelen dat je in opdracht doet, of het moet wel héél ver buiten “gewoon je werk doen” treden. Je handelt immers als vertegenwoordiger van het bedrijf, dus wat jij doet wordt je werk aangerekend.

Als je specifiek en expliciet discussie hebt gevoerd dat de software illegaal gebruikt gaat worden, dan zie ik die grens wel in beeld komen. Ik kan me niet voorstellen dat je dan wegkomt met “ik kreeg de opdracht dus ik doe het gewoon”.

Vaak zie je dat het eerder iets is van, we hebben een tijdelijke licentie gebruik die maar, of je collega is parttime HBO docent dus we gebruiken de educatieve licentie. Daar kun je over twisten of dat legaal is maar daarbij heeft de werkgever dan het laatste woord. Dat zou hier op kunnen gaan, omdat de werkgever aangeeft dat dit een tijdelijke oplossing is die men gaat melden aan de licentiegever (en kennelijk denkt voordelig recht te kunnen breien). Ik denk dat je daar als werknemer wel in mee moet gaan.

Mijn advies zou desondanks zijn om expliciet in de mail op schrift te krijgen dat men de illegale versie wil, onder verwijzing naar het mondelinge gesprek en de gevolgen die jij ziet. Of je stuurt het door naar de bedrijfsjurist met de vraag hoe jij die licentieovereenkomst vervolgens moet sluiten.

Arnoud

Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde inhoud ook werkelijk down te hóuden, bijvoorbeeld door met filters te herkennen dat iets vrij sterk lijkt op eerder, geweerd commentaar. Maar ze moesten wel, want er is geen EU-regel die letterlijk zegt dat rechters dit mogen doen. Daarmee is eindelijk een grondslag gekomen voor wat in het jargon notice and stay down heet; je hoeft niet apart een procedure te voeren over iedere repost met een toegevoegde komma of een zin “hear hear” er boven geplakt.

Wanneer iemand een onrechtmatige uiting plaatst op een platform zoals een website of een Facebookpagina, kun je een klacht indienen bij de beheerder. Die moet dan (als de klacht evident juist is) de uiting weghalen. Dat is notice & takedown zoals we dat al bijna 20 jaar kennen. Maar vaak speelt dan het probleem dat die content dan weer opnieuw wordt geplaatst door een ander, eventueel met kleine aanpassingen zodat het niet direct opvalt. Dan moet je als klager dus wéér aan de bak en die hele notice&takedown procedure doorlopen.

In een Oostenrijkse zaak had de eisende partij (dus de klager) tegen Facebook geëist dat deze stay down maatregelen zou nemen om een smadelijk bericht blijvend offline te houden. De rechter aldaar vond het belangrijk genoeg om dit aan het Hof van Justitie voor te leggen, dat dus niet alleen bevestigt dat die maatregelen er moeten komen maar ook dat de rechtbank mag vonnissen dat dat wereldwijd gevolg moet hebben.

En dus dat het ook moet gelden voor inhoudelijk grofweg dezelfde teksten. Dit omdat je anders nog steeds aan de gang blijft; iedere trol weet dat je een komma weg kunt halen of een zin toevoegen en dan een simpel algoritme kunt omzeilen. Het gaat alleen niet zo ver dat ieder bericht van gelijke strekking automatisch geweerd moet worden, ik denk echt dat het beperkt is tot tekstuele aanpassingen op het bericht, zeg maar even als we het plagiaat zouden noemen. Dit omdat de reden achter deze uitspraak is dat een verbod op herpublicatie niet te eenvoudig omzeild moet worden. Een volledig nieuwe tekst valt sowieso niet onder dat verbod, immers.

Bijzonder is nog dat het Hof expliciet zegt dat de rechter zo’n verbod ook wereldwijd mag opleggen. Althans, dat niets in het Europese recht zegt dat dat niet mag. Een paar weken terug zei het Hof nog wat anders bij het vergeetrecht. Maar het verschil is dat in die zaak de Europese wetgever vrij duidelijk niet aangedurfd had om een wereldwijd vergeetrecht aan te nemen. Bij dit soort klachten is er überhaupt weinig Europees recht, landen mogen dus zelf uitzoeken of zo’n vonnis wereldwijde werking mag hebben. Daarom kan de Europese rechter daar geen uitspraak over doen.

Arnoud

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud