Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?
In theorie is het een strafbaar feit (art. 272/273 Strafrecht) om vertrouwelijke informatie van het werk te onthullen of voor andere doeleinden te gebruiken. Ik ken echter geen situaties waarin reparateurs werden vervolgd voor het soort handelen als in dat onderzoek werd beschreven. De AVG zou wel kunnen helpen, want je verwerkt als reparatiebedrijf dan persoonsgegevens op een manier die niet hoort bij de reparatie-opdracht. En uit je zorgplicht als dienstverlener volgt lijkt me ook wel dat je dit gewoon niet doet.
Het grote probleem is natuurlijk dat je hier moeilijk tot niet achter komt als klant. Heel misschien die wachtwoorden, maar de andere dingen kan een gewone gebruiker echt niet detecteren. En ze vooraf weghalen of afschermen is natuurlijk niet echt mogelijk, tegen de tijd dat je naar een reparatiewinkel gaat is de gemiddelde laptop of smartphone niet meer benaderbaar voor backups en afschermen.
Interessant vond ik nog het nieuwtje van Samsung en haar “Repair Mode“:
De modus geeft voldoende toegang om een reparatie uit te voeren, inclusief data over de apps van een device. Technici krijgen geen toegang tot de gebruikersgegevens van apps. Foto’s, sms’jes en e-mails blijven privé. … Samsung deelde geen details over de onderliggende technologie, maar we hebben een idee. Android-toestellen maken het reeds mogelijk om verschillende accounts voor verschillende gebruikers aan te maken.
Dit werkt bij smartphones denk ik vrij goed, zo’n gastaccount voor reparateurs zal dan geen sleutel bevatten om de user content te unlocken, maar biedt wel toegang tot instellingen van het apparaat zodat diagnostiek en controle uit te voeren is. Bij laptops zou ook zoiets kunnen, maar daar is disk encryptie (zoals Bitlocker) bij consumenten niet standaard. Dan zou je dus ook vanuit een gastenaccount op de harddisk kunnen gaan snuffelen, of gewoon de HD eruit halen en uitlezen.
Stel je bestelt bij een klein IT-bedrijf een tweedehands laptop met het verzoek er software voor “tekeningen voor metaalconstructies” op te zetten, zodat je als zzp’er direct kunt gaan werken. Oh ja, en het mag 150 euro kosten. Zou je dan gek opkijken als er op zeker moment claims van de rechthebbende op die software komen, mede omdat de echte versie 6000 euro kost en een phone-home functie heeft? Afgaande op dit arrest komt dat voor, met daarbij dus de vraag of er geleverd is wat er besteld was.
De discussie bij de rechter spitste zich toe op wat er nu besteld was: een laptop geschikt voor AutoCADSolidworks, een laptop met een trial zodat je kon zien dat die software erop zou werken, een laptop met een illegale (gekraakte) full versie of een geheel legale full versie? Het bedrag van 150 euro maakt dat laatste een tikje onwaarschijnlijk, maar het idee van een trial versie is misschien zo gek gedacht nog niet. Hoewel, de Nederlandse distributeur in de mail:
De enigen die ene trialversie kunnen regelen bij [softwarebedrijf] in NL zijn: [licentiebedrijf] , [naam 1] en [naam 2]. Dit is niet bedoeld voor doorverkoop, maar om te kijken of de software aansluit bij de wensen van de potentiële klant. (…) Daarnaast zijn wij vanuit [licentiebedrijf] niet op de hoogte dat er een trialversie door [handelsnaam appellant] is geregeld. Dit kan het beste bij [softwarebedrijf] zelf worden gecheckt.
Het [licentiebedrijf] sprak de [handelsnaam appellant] van de laptop vervolgens aan op [illegaal] gebruik, waarna werd geschikt. Dat is dan meteen de reden voor het aanspreken op nonconformiteit natuurlijk, het verhalen van het schikkingsbedrag.
Het Gerechtshof kwam tot de tussenconclusie dat de klant maar moest bewijzen wat er precies besteld was. Als dat een legale versie van Solidworks was, dan zou de leverancier tekort geschoten zijn. Echter, zou dat niet de afspraak zijn geweest, dan waren alle gevolgen voor rekening en risico van de klant. De klant kwam daarop met een getuige, een van zijn werknemers:
Tegen [de leverancier] heb ik gezegd dat ik een laptop zocht met SolidWorks. Ik heb uitdrukkelijk gezegd dat het om SolidWorks ging. [De leverancier] zou gaan kijken of hij dat voor mij kon regelen. Er is op dat moment niet specifiek gesproken over een legale of illegale versie. Er is ook niets gezegd over een trialversie, alleen dat het om SolidWorks ging. [De leverancier] zei dat hij ervoor kon zorgen. Hij zou in eerste instantie kijken of hij aan mijn wensen kon voldoen om een laptop met die software te leveren. Er is bij de aflevering van de laptop nog gesproken over SolidWorks. Hij heeft aan de keukentafel bij mijn schoonouders gedemonstreerd dat er SolidWorks op de laptop zat. Hij heeft laten zien dat het programma er op zat door het programma te openen maar niet laten zien hoe het werkte. Er is niet gesproken over de versie van SolidWorks op het moment van aflevering.
Verder was niet gesproken over de aard van de Software. De klant kende deze niet, maar de software werd aangeraden door een zakenrelatie (een tekenaar) en men had geen idee wat het moest kosten, maar kan het voor 1000 euro?
Meer bewijs was er dus niet. Het Gerechtshof trekt vervolgens zelf de conclusie dat een bedrijf dat vraagt om een laptop met zakelijke software, normaal de bedoeling heeft om daarmee te werken. Dan heb je een legale, volledige versie nodig. Als je zonder nader overleg dus dit bestelt bij een leverancier, dan moet die begrijpen dat de volledige, legaal gekochte software erop moet. Geen trials en al helemaal geen gekraakte/illegale versies.
Natuurlijk kan dat wel eens te duur zijn – de standaardlicentie is 6000 euro. Maar zoiets even uitzoeken is toch echt deel van je zorgplicht als IT-leverancier. Je moet dus even doorvragen, en het is dan prima als je zegt “dit kan niet voor jouw budget want die licentie is zes keer wat jij hebt”. Of “dit gaat niet maar ik kan de open source FreeCAD er wel op zetten”. Of “ik heb een trial erop gezet, want die software kost 6000 euro en ik weet niet of je dat wel wil”. Of “wil je even bijbetalen dan koop ik die licentie voor je”. Maar niet leveren en achteraf zeggen:
Midden September 2017 heb ik een 2e hands laptop voor jou geregeld en geleverd, met daarop de trialversie van [softwareprogramma] . (…) Vanaf begin November 2017 is het gebruik van een niet legitieme software op een IP-adres gelokaliseerd van de gebruiker van de laptop. Dit is ruim anderhalf maand later, ik weet niet wat er in de tussentijd met de laptop is gebeurt en als het daadwerkelijk om de desbetreffende laptop gaat. Ik heb de laptop sinds midden September 2017 niet meer in mijn bezit en ik ben niet verantwoordelijk voor wat er in de tussentijd op de laptop gezet is en ermee gedaan word.
Nonconforme laptop dus, en/of wanprestatie onder de overeenkomst. Dat betekent betalen. Alleen, hoe veel?
De klant had de volledige € 7.500 in rekening gebracht, en het Hof erkent dat dat nu eenmaal de schade is. Dat men voor een echte licentie ook dik 6000 euro had moeten neerleggen, is dan niet relevant: bij een correcte nakoming had de klant niets aan Solidworks of haar distributeur hoeven te betalen. (Hetzij omdat de IT-leverancier de kosten in rekening had gebracht, hetzij omdat deze magischerwijs een licentie voor 1000k had kunnen kopn, hetzij omdat de klant had gezegd “ben je betoeterd, 6000 euro, doe maar FreeCAD”.) Bijgevolg komt die volledige 7500 ook echt voor rekening van de leverancier.
Het bevestigt het beeld van die zorgplicht: niet zelf bedenken wat de klant wil (of niet), maar onderzoeken en navragen. En natuurlijk op papier zetten (al is het maar de e-mail) wat de klant heeft gezegd.
[Ik heb online een laptop gekocht.] Ik heb de laptop aangezet, de verplichte installatie doorlopen, hem een tijdje lang de nodige Windows updates laten doen, en heb hem daarna even uitgeprobeerd door Chrome te installeren, wat webpagina’s te openen en Windows verkenner gelijktijdig te openen. [De laptop viel tegen] De volgende werkdag werd ik gebeld door de desbetreffende winkel: “heeft u de laptop aangehad? En de installatie doorlopen? Dan moet u 50 euro betalen omdat wij de laptop moeten resetten.”
De vraag is dan natuurlijk: mag een winkel dit zo eisen van een consument?
Hoofdregel bij een koop op afstand (want dat is het) is dat je het gekochte product mag uitproberen om te zien of deze bevalt. Dat doet je retourrecht (de 14-dagen-retourtermijn zeg maar) niet vervallen. Dus als je een jurk aan wil doen, even een rondje lopen met nieuwe schoenen of de tuinstoelen uitklappen om te zien of ze passen bij de schutting: dat is prima.
Het probleem is natuurlijk dat uitproberen kan leiden tot kleine (of grote) schade. Bij die jurk kan een kaartje er af vallen, die schoenen kunnen nét wat streepjes krijgen onder de zool en de tuinstoelen worden vies van het gras in je tuin, of van je kind dat er net een glas limonade op gooit tijdens het uitproberen van de springkussenfunctie. Ook dat is geen reden tot weigeren van de retour; wel mag de winkel dan soms een redelijke schadevergoeding berekenen voor de waardevermindering van de zaak. De wet (art. 6:230s lid 3 BW) bepaalt:
De consument is slechts aansprakelijk voor de waardevermindering van de zaak als een behandeling van de zaak verder is gegaan dan noodzakelijk om de aard, de kenmerken en de werking daarvan vast te stellen.
Dat afgevallen kaartje zou ik nauwelijks schade willen noemen, maar zelfs als het schade is (er moet een nieuw kaartje geprint) dan lijkt me dat voor rekening van de winkel. Dat een kaartje in de hals loskomt bij het passen van een jurk dat is normaal. Die krasjes onder de schoenen lijken me ook normaal bij gewoon uitproberen. Onder dat laatste valt dan weer niet het langdurig op een grindpad gaan lopen, dat zou ik onnodig vinden. Voor dergelijke krassen is denk ik wel een vergoeding mogelijk. En die limonade, dat spreekt voor zich want het is geen normale test om limonade ergens overheen te gooien.
Deze regel toepassend op een laptop geeft dus de vraag: is het aanzetten, updaten en even Chrome + spielerei proberen een vorm van “normaal uitproberen” of gaat men dan verder dan noodzakelijk? Ik neig toch naar dat laatste. Installeren van software en rondklikken in Windows is voor mij primair het uitproberen van Windows en niet de laptop, de hardware zeg maar. Hoe de toetsen typen en of je makkelijk de Sleep-knop indrukt omdat die zit waar jij de Insert-knop verwacht (ik kijk naar jou, Asus) dat is een hardwaretest maar die kun je ook met de laptop uit volgens mij.
Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer als een groot risico, maar hoe zit het juridisch met deze positie?
Je kunt inderdaad werknemers een vergoeding via de werkkostenregeling geven voor de aanschaf van apparatuur zoals een laptop. Maar dat is inderdaad dan ook een privélaptop, waar de werknemer mee mag doen wat zhij wil. Inclusief installeren van gare software met adminrechten.
Als werkgever kun je dan natuurlijk zeggen dat die laptop niet veilig genoeg is om het werk mee te doen. Dat is je goed recht, alleen moet de werknemer dan wel een andere laptop krijgen om mee te kunnen werken.
Er is een uitzondering, en die heet de gerichte vrijstelling: als de laptop voor 90% of meer zakelijk gebruikt wordt, dan kun je de werknemer deze geven en gaat het bedrag niet uit deze regeling. Wel moet het dan noodzakelijk zijn:
‘Noodzakelijk’ betekent dat de werknemer zonder de voorziening zijn dienstbetrekking niet goed kan uitoefenen. Dat houdt in dat de werknemer de voorziening voor zijn werk nodig heeft en gebruikt. De mate van dat zakelijke gebruik is daarbij niet doorslaggevend.
In die situatie kun je de laptop als werklaptop zien en behandelen, inclusief veiligheidsrestricties die redelijkerwijs nodig zijn. Echt privé is de laptop dan niet: bij uitdiensttreden moet deze teruggegeven worden aan de werkgever.
De laptop van mijn leidinggevende is recent gestolen. Helaas was het
systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?
Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.
De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was – BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.
Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.
Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.
Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem “dark web” te kijken of je creditcard daar opduikt, maar voor bsn’s of medische dossiers is er niet echt zo’n markt.
Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af hoe bindend dat zou zijn op die persoon?
Een eis dat mensen hun laptop locken is een prima idee, en het is goed om met concrete voorbeelden te illustreren waarom. Het spreekt zeer tot de verbeelding dat iemand dan vanaf jouw mailadres iets raars naar je manager stuurt, dat geeft gedoe waar je géén zin in hebt.
Ik adviseer zelf om krokettenbeleid te voeren (in het Zuiden des lands ook wel vlaaienbeleid): je mailt alle collega’s “Mijn laptop stond open dus ik regel morgen kroketten”. En dat is dan soort van sociaal verplicht dat je dat doet.
Juridisch kun je een werknemer natuurlijk niet verplichten om kroketten (of vlaaien) te gaan kopen. En ik heb al een OR-lid in de mail gehad die dit potentieel pesten/bullying vond van de zwakkere werknemer, die zo legaal te grazen genomen kan worden door collega’s. Je daartegen wapenen vind ik wel een serieuze randvoorwaarde voor je bedrijf.
Deze constructie (je baas mailen “ik neem ontslag”) gaat voor mij nog een stapje verder. Afhankelijk van de werkrelatie, die je niet kent als langslopende security officer, kan het zijn dat deze persoon geloofd wordt (“Ha, eindelijk!”) en dan komen er processen op gang waar het héél lastig weer uit te komen is. Ik zou dit dus dringend afraden.
Formeel-juridisch is het niet bindend want die persoon heeft het niet gezegd, en daar is bewijs van want als goed werknemer ga jij natuurlijk een getuigenverklaring afleggen dat jij die mail hebt gestuurd. Maar je komt er pas achter als het ontslagproces al op gang is, en misschien is er dan al een arbeidsconflict ontstaan waardoor het hoe dan ook doorgezet wordt.
Dus misschien moeten we maar gewoon zeggen, de SO stuurt alleen mails naar de persoon zelf “Volgende keer je laptop afsluiten” of de laptop meenemen en een geel briefje achterlaten. Geen ontslagbrieven sturen, en geen kroketten aankondigen. Dan laat je iemand lopen in plaats van vettigheid eten, is nog beter voor de gezondheid ook.
Ik werk als zzp’er voor een verzekeraar. Tijdens mijn klus (waarbij ik een hoop gegevens moest verzamelen en verwerken) ging mijn laptop stuk, en vanwege de deadline kreeg ik toen een laptop van de opdrachtgever te leen. Daarop mocht ik ook privédata opslaan, dit staat expliciet in de leenovereenkomst. Echter, daarna ontstond ruzie en werd de overeenkomst opgezegd, waarna men van op afstand de laptop vergrendelde! Nu kan ik niet meer bij de privédata die ik daar mocht opslaan. Bovendien ontdekte ik daarna dat men bepaalde resultaten toch ging gebruiken (ik zie ze terug in publicaties). Mag dat zomaar?
Het is nogal cru, maar ik zou zeggen dat een opdrachtgever inderdaad gerechtigd is de geleende laptop op te eisen als de opdracht ineens eindigt. Dat men deze nu op afstand vergrendelt, is het cyber-equivalent daarvan. Dat je de laptop voor privédoeleinden mocht gebruiken, impliceert voor mij nog niet dat je ook recht had op toegang tot de data na einde opdracht. Zoiets moet expliciet in de overeenkomst opgenomen zijn.
Los daarvan mag de opdrachtgever natuurlijk niet zomaar die data gebruiken, dat mag pas als uit de overeenkomst blijkt dat deze bruikbaar is. Zonder overeenkomst is hij niet bevoegd daarmee te werken. Zeker omdat op die data een databankrecht rust (mag u van me aannemen). Ik zou hem sommeren de data te vernietigen.
Het maakt natuurlijk nogal uit wat de reden is voor de ruzie. Als dat bijvoorbeeld gaat over dat er te veel is gefactureerd, dan zie ik wel hoe de opdrachtgever zou denken dat hij de resultaten mag gebruiken. Maar als de klacht is dat er prutswerk is geleverd, dan is het natuurlijk onzin om vervolgens wél met die data verder te werken.
Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat las ik bij Tweakers. De kritiek luidt dat de app data van Chinese toeristen verzamelt en naar Chinese servers, en daarmee naar de Chinese overheid zou sturen. Oké, leuk nieuwtje maar het échte nieuws voor mij is dat Trouw dit achterhaalde door te snuffelen op het KPN intranet, waar men toegang toe had via een laptop die een monteur was vergeten bij een klant – en die ook geen wachtwoord had. Eh, wacht, wat. En vooral, mag dat dan, journalistiek snuffelen?
De laptop gaf met enkele muiskliks toegang tot gevoelige documenten van het Nederlandse telecombedrijf, aldus Trouw. Vooral vanaf het begin val je ICT-securitytechnisch van je stoel: er zat geen wachtwoord op de laptop. Vervolgens kon men zo bij het intranet TeamKPN, waar geen extra login of tweefactorauthenticatie nodig is. En dan lees je bijvoorbeeld dat een KPN manager over de samenwerking met Tencent zegt dat KPN in zijn ogen ‘een hofleverancier van persoonsdata voor de Chinese overheid is’. Oeh, schandaal, manager roddelt over eigen bedrijf met collega’s, nog nooit gehoord.
Nou ja, het zal wel nieuws zijn op een of andere manier. En het is inderdaad zo dat je als journalist net even iets meer mag dan gewone mensen wanneer dat nodig is voor het nieuws. Een misstand of schandaal aan het licht brengen is nu eenmaal de taak van de journalist, en soms kun je dat niet anders doen dan door ahem het schemergebied tussen legaal en illegaal te betreden en zo zorgvuldig mogelijk daarbij te werken.
Voor mij staat wel voorop dat áls je tegen het illegale aan gaat schuren, dat je dat pas doet als je weet dat je een mooie scoop gaat ontdekken. En helemaal als je gewoon keihard computervredebreuk gaat plegen. Want ja, dat doe je als je een laptop opentrekt waarvan je weet dat ‘ie niet jouw eigendom is. En oké, die laptop is achtergelaten dus een bijdehante jurist zegt dan res derelicta dus 5:18 BW geen eigenaar dus mag je erin kijken. Oké, wat jij wilt.
Maar dan mag je nog steeds niet het KPN intranet op, want daarvan weet iedereen dat dat een vertrouwelijk netwerk is. En zonder vooraf ook maar iets van een misstand te vermoeden en dat op te willen lossen dan gaan snuffelen, nee dat lijkt mij gewoon strafbaar. Dan blijft alleen nog over “maar ik héb me toch een schandaal gevonden”, het excuus achteraf. Dat vind ik een hele spannende, het zou dus betekenen dat als je zomaar gaat snuffelen je strafbaar bent afhankelijk van wat je uiteindelijk vindt.
Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op een andere manier de laptop te kunnen resetten. In hoger beroep bevestigt het Gerechtshof Amsterdam dat het wachtwoord moet worden afgegeven plus een schadevergoeding. Een ICT-faal, zoals men zegt in de reacties?
De vrouw was een goed half jaar in dienst bij het kdv, en had voor haar werk onder meer een bedrijfslaptop gekregen. Bij einde dienstverband leverde ze deze weer in, maar vervolgens bleek dat het gebruikersaccount voorzien was van een wachtwoord. Daardoor kon het kdv er geen nieuw account op zetten.
Navraag bij de vrouw gaf de op zich terechte reactie:
De administrator kan simpelweg een nieuwe account voor (…) aanmaken. Het afgeven van het wachtwoord zou betekenen dat anderen kunnen werken op mijn account. Dit zou betekenen dat men allerlei (ongewenste) activiteiten zou kunnen uitvoeren op mijn account zonder mijn in- en toestemming. (…)
Het kdv beschouwde daarop de laptop als onbruikbaar en hield de kosten van een nieuwe(!) in op haar laatste loonbetaling. Mede daarom kwam het voor de rechter. In eerste instantie oordeelde de kantonrechter dat een nieuwe laptop een tikje overdreven was, maar dat er wel schade was en die werd geschat op 500 euro.
In hoger beroep wordt dat bevestigd, met name omdat er geen inhoudelijk verweer was gevoerd tegen het verzoek. Enkel zeggen dat een administrator dat zou moeten kunnen oplossen is namelijk niet genoeg. Zeker als daar aantoonbaar tegenover staat dat er veel uren zijn gestoken in het proberen te ontgrendelen van de laptop. En ja, dan ga je nat als werknemer.
Natuurlijk, met een goede ict-infrastructuur was dit geen issue: laptop terug, standaard image erop en klaar. Of het schaduwaccount oproepen dat administrator-rechten heeft, het gebruikersaccount met data wissen en een nieuwe gebruiker aanmaken voor de opvolger. Of een van de vele andere oplossingen die een professioneel bedrijf zou kunnen inzetten om laptops te hergebruiken.
Alleen: dit is geen professioneel bedrijf met ict-afdeling of zelfs maar een fulltime ict’er. We hebben het hier over een kinderdagverblijf, waar professionele kinderverzorgenden rondlopen maar de ict-beheerskennis geen kerncompetentie is (of hoeft te zijn). Dan wordt er in de praktijk dus op een andere manier gewerkt met de ict-middelen, en het is die praktijk vanuit waar de rechtbank moet kijken hoe het geschil moet worden opgelost.
Ik kan me heel goed voorstellen dat een organisatie zoals een kdv niet in staat is een account op een laptop te wissen en dan een nieuw account in te richten. Met name als die laptop in een winkel gekocht is en bij de installatie alleen de standaardprocedure is doorlopen waarbij er één account wordt aangemaakt. Dan heb je als ict-leek best wel weinig opties behalve vanuit dat account inloggen en een nieuw account aanmaken of anderszins de boel resetten.
In die situatie snap ik best dat er weinig anders opzit. Dus zelfs als mevrouw een steviger verweer had gevoerd, had ik deze uitkomst wel verwacht. Ik zie dus niets in de argumentatie dat de rechters ict-prutsers zijn – dat zijn ze tegenwoordig zelden meer. Het is vooral dat er een knoop moet worden doorgehakt, hoe lelijk die oplossing ook is. Dus dan is alle mooie theorie over hoe het ook had gekund niet meer relevant.
Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De kwetsbaarheden zitten in de processorchips die het hart vormen van veel moderne laptops, en het maakt dus niet uit of je Windows, Linux of MacOS draait. Aan oplossingen wordt gewerkt, maar ondertussen rijst dan de vraag: wie gaat opdraaien voor de kosten?
In zakelijke verkoopcontracten is het in principe volledig vrij onderhandelbaar wie welke kosten of schade voor zijn rekening neemt. Ik zou dus verwachten dat in een zakelijk leveringscontract voor die processorchips gewoon een uitsluiting voor aansprakelijkheid staat voor bugs als deze, zodat de koper daarvan met de gebakken peren zit nu en zelf op zoek moet gaan naar software-workarounds of nieuwe chips met alle kosten van vervanging van dien.
Bij consumenten kan dat anders liggen. Een consument heeft gewoon recht op een product conform de verwachtingen, en deze “wettelijke garantie” kan niet met kleine lettertjes worden ingeperkt. Als het product niet conform is, dan moet de winkelier (dus niet Intel of AMD maar de MediaMarkt of waar je de laptop maar kocht) het probleem herstellen of je een nieuwe laptop geven.
De vraag bij consumenten is dus, werd hier de verwachtingen geschonden? Of iets preciezer, de tekst uit artikel 7:17 BW:
Een zaak beantwoordt niet aan de overeenkomst indien zij, mede gelet op de aard van de zaak en de mededelingen die de verkoper over de zaak heeft gedaan, niet de eigenschappen bezit die de koper op grond van de overeenkomst mocht verwachten. De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.
Ik verwacht niet dat bij de aanschaf van een laptop iets gezegd is over de aan- of afwezigheid van dit soort diepe bugs in de processoren. Je mag al blij zijn als erbij staat welk processortype erin zit. We zullen het dus moeten hebben van het “eigenschappen voor normaal gebruik” criterium. Is het voor normaal consumentengebruik vereist dat de processor deze bugs niet vertoont? Zo ja, dan maakt de bug de laptop nonconform en moet de verkoper er dus nieuwe chips zónder de bug maar mét dezelfde performance in prikken.
De bug kan worden gebruikt om gevoelige informatie zoals persoonsgegevens of wachtwoorden te stelen. Hij vereist wel dat de stelende software al op je computer staat, en dat is een breder probleem dat bekend is bij consumenten. Daarvan weet (of moet weten) de consument dat hij maatregelen moet nemen, zoals antivirussoftware of een firewall – die ook vandaag de dag vaak standaard op laptops aanwezig is. Mét die maatregelen lijkt de impact van deze bugs voor consumenten me zeer beperkt. Daarom denk ik niet dat je een conformiteitsclaim kunt indienen.
De bug heeft meer impact bij clouddienstverleners, en consumenten maken daar ook vaak gebruik van. Daar is het dus een verhoogd risico: er kunnen nu gegevens worden gestolen of ontoegankelijk gemaakt – datalekken – en dat kan de consument raken. De conformiteitsregel geldt daarbij echter niet, omdat een dienst geen product is. Maar het is wel een wanprestatie van de dienstverlener, zodat je je schade hierdoor kunt verhalen. Mits je deze hard kunt maken natuurlijk.
Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?
Via 
Een lezer vroeg me:
Een lezer vroeg me:
Een lezer vroeg me:
Enkele KPN-medewerkers hebben zich intern kritisch uitgelaten over de door KPN ontwikkelde app WeGoEU. Dat 
Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat 