Betalen voor dataverkeer veroorzaakt door een inbraak

data-traffic-spike.pngEen lezer vroeg me:

In januari is mijn (zakelijke) website gehackt. Diegene heeft vervolgens heel veel dataverkeer veroorzaakt, o.a. door spam te versturen vanaf de site. De hoster heeft dit na een paar dagen gemerkt en het lek gerepareerd. Hij meldde me dat dit door een bug in het controlepanel van de site (Directadmin) was veroorzaakt. Dat is dus de software die hij aanbiedt om de site te beheren.

Vervolgens stuurt hij me doodleuk de rekening voor het extra dataverkeer! In de voorwaarden staat namelijk dat ik moet betalen voor alle dataverkeer boven de 4 gigabyte, en hij zegt nu dat het niet uitmaakt dat het een hacker is geweest. Dat kan toch niet zomaar?

Ik hoop dat iedereen hier het met me eens is dat dit inderdaad niet zomaar kan. Maar goed, daar kom je niet ver mee bij de kantonrechter. Je zult moeten uitleggen waarom die bepaling in de algemene voorwaarden niet op deze manier kan worden toegepast, ook al staat er dat al het extra verkeer voor rekening van de klant komt.

Artikel 6:248 BW biedt de mogelijkheid om de contractsbepalingen naar redelijkheid en billijkheid aan te vullen of zelfs in te perken. Stel er staat in een huurcontract dat de verhuurder “op elk moment” toegang tot het pand kan verlangen voor inspectie. Als het gaat om een woonhuis, dan volgt uit de redelijkheid en billijkheid dat hij dat niet op vrijdagnacht om 03:25 kan eisen, maar zich moet beperken tot normale tijden. En waarschijnlijk ook wel dat hij een afspraak moet maken voordat hij naar binnen mag. Bij een datacentrum of opslagruimte zou dat iets anders liggen. Er zijn dan eerder redenen om zomaar om 03:25 naar binnen te gaan, dus het kan dan best redelijk zijn dat de verhuurder ineens binnen staat.

Het lijkt me dat je met dit artikel ook deze interpretatie van het contract van tafel kunt krijgen. Het is volstrekt onredelijk dat de klant moet betalen voor dataverkeer dat een derde veroorzaakte door een een fout in een controlepaneel onder het beheer van de leverancier. Daarom mag deze contractsregel in deze situatie redelijkerwijs niet toegepast worden (edit: zin half afgemaakt).

Als het nou zelfgekozen software was, dan kon ik wel wat zien in het standpunt van de leverancier. De bug is dan binnen de risicosfeer van de klant, die kiest voor die software en moet dan de gevolgen dragen voor exploitatie van die bug. Denk aan forumsoftware die slecht beveiligd is, of een zelfgeschreven mailscript waar een spammer mee aan de haal gaat.

Hoewel in zo’n geval de klant wellicht een beroep op overmacht kan doen, als hij alles heeft gedaan om de software dicht te timmeren en er toch een fout in bleek te zitten. Maar ergens wringt dat: het kan toch niet de bedoeling zijn dat de hoster dan dat meerverkeer gaat betalen?

Arnoud

14 reacties

  1. Dit lijkt mij een eenvoudige kwestie. Per saldo is de server van de hoster gehackt, niet de website of het account van de klant. Het is dus de server die door de hacker is misbruikt en de hacker heeft er voor gezorgd dat zijn acties (administratief) onder het account van de onfortuinlijke klant plaatsvonden. Het maakt echter helemaal niet uit onder welk account de acties plaatsvonden, omdat het de server is die gehackt is en wordt misbruikt. De hoster draagt verantwoording voor de veiligheid van de server en niet de klant. Het is dus de hoster die moet opdraaien voor zijn eigen geleden schade.

  2. Typerend aan dit soort situaties is dat er niet slechts sprake is van een kant en klaar product. Het is net als een verbouwing of een IT project iets waar beide partijen in hetzelfde bootje stappen. Het is meestal omwille van de samenwerking beter dat de partijen er samen uit komen. Verhuizen betekent voor deze klant weer veel en omslachtig werk.

    In dit geval overigens is het wel duidelijker. Terwijl de hoster het extra dataverkeer kan uitsmeren over tientallen klanten, gaat hij specifiek deze klant dit aanrekenen. Vreemde zaak. Is het verhaal ook wel volledig? wellicht heeft de klant zwakke wachtwoorden gebruikt?

  3. Volgens mij heeft de hostingprovider gelijk. Het is aan de klant om ervoor te zorgen dat hij zowel een goed beveiligd product inkoopt als dat hij zorgt dat het product goed beveiligd blijft. Als een derde een schadeclaim heeft als gevolg van de hack, zal hij ook eerst bij de klant terechtkomen, niet bij de hoster.

    Met andere woorden, de klant moet gewoon dokken.

    Maar!!! Vervolgens kan de klant een claim neerleggen bij de hoster voor het leveren van een ondeugdelijk product, en de schade die daaruit is ontstaan. Omdat de hoster van tevoren de kosten voor de bandbreedte had kunnen wegstrepen tegen de te verwachten schadeclaim, en daarmee de klant werk had kunnen besparen, lijkt me niet meer dan redelijk dat de klant daarbij een uurtarief van 100 euro rekent.

  4. @Arnout – reactie 1 De hoster draagt verantwoording voor de veiligheid van de server en niet de klant. Het is dus de hoster die moet opdraaien voor zijn eigen geleden schade.

    Ik zie direct een leuk, informatief en verheldering scheppend onderzoekje: * hoeveel hosters hebben hiervoor bepalingen in de AV’s * zo ja kloppen die (dus voldoen ze aan boven gestelde bepalingen) * in hoeveel gevallen wordt in de AV’s verwezen naar andere leverancier(s)

  5. Het lijkt mij dat de hoster die de software aanbiedt en beheert ook een risicoaansprakelijkheid hiervoor heeft. Als in de algemene voorwaarden staat dat elke overschrijding van de dataverkeerlimiet voor rekening van de afnemer is, ook als dit (mede) aan de hoster is toe te rekenen, dan lijkt dit beding mij vernietigbaar (art 6:233 BW). Zou anders wel een erg makkelijke manier zijn voor hosters om geld te verdienen.

  6. Branko, nergens blijkt blijkt uit dat de klant iets gedaan heeft om product slecht te maken.

    Maar ergens wringt dat: het kan toch niet de bedoeling zijn dat de hoster dan dat meerverkeer gaat betalen?

    Als er spraken is van overmacht dan is er spraken van overmacht. De host provider heeft het netwerk in beheer. En juist van hen mag je deskundigheid verwachten op dit vlak. Zij hadden een veiligheid kunnen inbouwen zodat deze schade niet was geleden.

  7. Je zou in dit verband toch ook moeten kijken naar de geleden schade (kosten) voor de provider en de commerciele tarieven die voor extra dataverkeer worden gehanteerd door de provider. Nu lijkt het wel alsof de provider ook doodleuk de winstmarge wil opstrijken, dat is wat anders dan kosten vergoeden.

  8. Nu lijkt het wel alsof de provider ook doodleuk de winstmarge wil opstrijken, dat is wat anders dan kosten vergoeden.

    Dat vond ik ook typisch. Ik kan me nog wel een clausule voorstellen waarin de klant moet betalen voor extra onkosten, ook al is het niet diens schuld: de klant is dan zeg maar de verzekeraar van de provider tegen dit soort inbraken (en redenerend dat de provider de onkosten nooit had gemaakt als de klant er niet was geweest). Maar nu lijkt het alsof de verzekeraar er domweg van wil profiteren.

  9. @Alex; tot op zekere hoogte ben ik het met je eens.

    Als de fout in de software zit die de hoster aanbiedt, dan vind ik dat die ook verantwoordelijk is voor de overschrijding die daaruit voortvloeit.

    Mocht dat niet zo zijn dan vind ik het alweer lastiger. Ik zou dan willen stellen dat de klant dan de verantwoordelijkheid draagt. Als het technisch gezien mogelijk is (binnen redelijkheid) om het te voorkomen zonder dat je daarmee ook veel beperkingen oplegt, dan zou het goed kunnen.

  10. Stel, de hoster moet de kosten dragen voor het extra bandbreedtegebruik omdat ‘ie zelf de software die gekraakt is heeft aangeleverd. (Klinkt logisch, en zelf zou ik dat doen uit verantwoordelijkheidsgevoel en coulance, zelfs al was ik er niet toe verplicht.) Is het hierbij nog relevant dat de leverancier van de lekke software en de hoster dezelfde zijn? Oftewel, stel dat ik DirectAdmin bij X bestel voor een server die ik bij Y in het rek hang. Op een gegeven moment gaat het fout en wordt een lek misbruikt waardoor he dataverkeer enorm toeneemt. Y brengt mij hiervoor kosten in rekening; kan ik nu X aansprakelijk stellen? Dat klinkt mij dan weer onwaarschijnlijk en onredelijk. Maar dan volg ik ineens andere logica dan eerst…

    Overigens is 4 GB wel erg weinig voor een server.

    Of gaat het hier toch niet om een server, maar om een account op een server die voor meerdere klanten van de hoster gebruikt wordt? Dan zou ik het wel heel raar vinden om bij de klanten aan te kloppen en gaat Arnouts logica op.

  11. @Juerd: de hoster zou dit als schadeclaim bij de leverancier van DirectAdmin in kunnen dienen. Die had een werkend panel beloofd, daar zat een bug in en daardoor leed de klant schade. Afhankelijk van het leveringscontract kan de hoster die schade wel of niet verhalen. Maar X zal ook niet gek zijn en dit soort schade uitsluiten in het leveringscontract. Dus dan hang je.

    Het is me niet duidelijk of het een shared server of een dedicated systeem was. Ik vermoed het eerste, maar waarom maakt het uit?

    Oh ja, en deze blog trekt zo’n 4GB per maand.

  12. Bij een shared systeem wordt het systeem beheerd door de hoster, bij een dedicated server is dat de verantwoordelijkheid van de klant. Je kan daarom in het geval van een dedicated server afvragen of op de hoogte zijn van problemen met de software en zorgen dat die niet misbruikt worden, een verantwoordelijkheid van de huurder is. Mij lijkt van wel, al was het maar omdat in de regel de hoster zelf geen toegang tot de software heeft.

    Bij virtual servers werkt dat ook net zo: de huurder krijgt een rootwachtwoord en heeft daarna vrij spel. Dat betekent dat de hoster het systeem niet kan beheren en de huurder het dus zelf zal moeten doen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.