Mag mijn hoster mijn site zomaar weggooien?

Toevallig vroegen diverse lezers me:

Onlangs was ineens mijn website weg! Mag mijn hoster dat zomaar doen? Ik heb geen backups want ik vertrouw erop dat het gewoon bij de hoster staat. En die heeft ineens zonder mededeling mijn account dichtgezet en alles weggegooid. Ik ben nu drie jaar werk kwijt 🙁

Een hoster mag natuurlijk niet zomaar een account opheffen of bestanden weggooien. Maar het venijn zit ‘m in dat “zomaar”.

Bij een hostingcontract zegt de hoster toe bestanden te hosten (goh) en de klant zegt toe te betalen. Zolang de een zijn prestatie verricht, is de ander verplicht dat ook te doen. Maar wanneer een van de partijen tekort schiet, mag de ander zijn prestaties opschorten zoals dat juridisch heet (art. 6:262 BW).

De hoster mag dus bij wanbetaling zijn prestatie – het hosten – opschorten. In gewone taal: als je niet betaalt, gaat je site op zwart. Betaal je dan alsnog, dan gaat je site weer terug (op wit?). Het maakt niet uit of jou wat te verwijten valt bij dat niet betalen. Ook als het aan jouw kant overmacht was, mag de site op zwart.

De hoster moet dan wel aan de klant melden dat hij dit gaat doen. Dat mag op zich ook met een tekst op de site “Deze site is wegens administratieve redenen onbereikbaar, neem contact op met de helpdesk” maar ik vind het netter om even een mailtje te sturen.

Meer algemeen mag een contractspartij het contract opzeggen als de wederpartij tekort schiet (art. 6:265 BW). De hoster staat dus in principe zelfs in zijn recht als hij bij wanbetaling opzegt. En wederom ook als jou niets te verwijten valt.

Wel geldt zowel bij opschorting als bij opzegging dat dit wel gerechtvaardigd moet zijn door de tekortkoming. Eén keer twee cent te weinig betalen is bijvoorbeeld geen rechtvaardiging voor een contractsopzegging. Zes maanden je 100 euro maandelijkse kosten niet betalen wel.

Ook moet de hostingpartij zich redelijk opstellen bij de maatregelen die hij neemt. Meteen opzeggen én alles weggooien lijkt me niet redelijk, dat kan ook wel een onsje minder. De wijze van opschorting moet proportioneel zijn gezien de aard van de tekortkoming van de klant. Bij een site die virussen verspreidt kan ik me voorstellen dat je data weggooit, die data is immers schadelijk en je wil daar nu een einde aan maken. Bij een gewone site en een ‘gewone’ wanbetaling zou ik eerder verwachten dat de boel ontoegankelijk wordt maar niet volledig wég is.

Aan de andere kant mag je denk ik van een hostingklant ook wel verwachten dat hij regelmatig backups maakt van zijn data. Ik vergeet het zelf ook telkens met de database van deze blog, maar het is wel míjn fout als ik er pas na opzegging van mijn contract bij bHosted.nl achter kom dat mijn blogdatabasebackup een maand mist. Het lijkt me dus moeilijk om een schadeclaim in te dienen wegens kwijtgeraakte data.

Arnoud

20 reacties

  1. Ook mij is dit recent gebeurd en ik was blij om je blog hierover te lezen. Toch nog even wat aanvullende vragen hierover: Maar wat nou als je mondeling bij je hoster gemeld hebt dat er geen backup is, omdat je niet weet hoe je dat moet doen? En de hoster mondeling heeft toegezegd de site met alle info te zullen verhuizen, zodat in de toekomst backups wel mogelijk zijn? Bij mij is hierdoor alle informatie die op de oude site stond en rechtstreeks in een nieuwe site geplaatst konden worden, verloren gegaan. Ze heeft me niet gevraagd vooraf alle informatie alsnog te kopieren in word of iets dergelijks. De hoster weigert hierover te communiceren binnen de betalingstermijn van de factuur en heeft beide sites niet op zwart gegooid, maar wel alle inhoud eruit gehaald. Er staat nu alleen een blanco thema. Ze heeft gecommuniceerd dat ze dat de sites op zwart zou zetten wanneer de factuur voor een bepaalde datum niet betaald was, maar ze heeft dat zonder tegenbericht al 10 dagen eerder gedaan, waardoor mijn site inmiddels al een week niet bereikbaar is. Bovendien wilde ze hierover nog steeds niet communiceren. Kan dit allemaal zomaar?

  2. Ik lees hier een opeenhoping van meerdere vaak voorkomende issues: site op zwart, site weg, teleurstelling over back-ups en virussen. Stuk voor stuk zeer interessant. Edoch echter … ik vraag me af of het voorbeeld: Bij een site die virussen verspreidt kan ik me voorstellen dat je data weggooit, die data is immers schadelijk en je wil daar nu een einde aan maken. wel goed gekozen is. Juist dan kan het toch veel beter zijn de data te isoleren met het oog op verder onderzoek, dan weg te gooien.

    En over weggooien: heb je wel eens je hoster om een schriftelijke bevestiging gevraagd dat alle data ook echt 101% weg is?

  3. Ikzelf heb ooit de situatie gehad dat ik een kleine website bij een host onder “Shared hosting” had ondergebracht. Kostte nog geen 10 dollar per maand en werkte best prima. Alleen, shared hosting betekende dat je de server deelt met mogelijk honderden andere sites. En de betreffende server raakte via enkele andere sites op dezelfde host met enige regelmaat zwaar besmet. En daarbij bedoel ik ook: heel zwaar. Want het resultaat was dat na iedere besmetting alle websites op de host opeens malware bevatten. Dus ook mijn website. Heb vervolgens regelmatig een backup van mijn site naar de host ge-upload om in ieder geval mijn site schoon te krijgen, om de volgende dag te merken dat deze opnieuw besmet was. Ook een keer gewoon een blanco index.htm in plaats van mijn site gezet en ook die raakte binnen 24 uur besmet. Helpdesk gewaarschuwd en die gingen er wat aan doen. Duurde twee maanden en daarna heb ik mijn domein verhuist naar een andere host…

    Een belangrijke les is dat je nooit, maar dan ook echt nooit, erop mag vertrouwen dat de hoster zijn werk goed doet. Zorg voor regelmatige backups, bescherm je data en bovenal: controleer je site regelmatig op aanpassingen in de scriptfiles. (Ofwel, zijn de .html/.aspx/*.php bestanden nog steeds onveranderd?)

    Maar ben wel benieuwd in hoeverre de hoster verantwoordelijk is indien bij shared hosting mijn site keer op keer besmet raakt met malware en ik zo een negatieve reputatie krijg en klanten bij mij weglopen…

  4. @Wim, je krijgt de kwaliteit waarvoor je betaalt.

    Het zou goed zijn als er een lijst van “good practices” voor webhosters is: – voorkom ongewenste wijziging van webpagina’s – bij wanbetaling of verspreiding van malware mag een website “op zwart” gezet worden – gegevens van een “op zwart” gezette website blijven nog minimaal 3 maanden beschikbaar – bij beschuldiging van auteursrechtinbreuk/onrechtmatige daad krijgt de beheerder 3 werkdagen de tijd om probleem te verhelpen of weerwoord te geven – een hoster moet (tegen betaling van redelijke kosten) een backup leveren aan de eigenaar van de website.

  5. @MathFox, dat is niet helemaal waar omdat er best veel hosters zijn die wel kwaliteit-hosting leveren voor die prijs. Het probleem is alleen dat het “shared hosting” betreft waarbij alle sites hun eigen code op de server kunnen introduceren. En in theorie kan een kwaadwillende gebruiker dus doelbewust alle overige sites proberen te besmetten.

    Shared hosting is erg populair bij kleine bedrijven en commercielen omdat het lekker goedkoop is en men meestal geen grote server nodig heeft. Maar wat weinig mensen beseffen is dat shared hosting extra risico’s met zich meebrengt omdat je de server met honderden anderen deelt. (Wat sowieso een risico kan zijn als je een externe webhost zoekt.)

    Mijn site was sowieso niet belangrijk omdat ik deze voornamelijk voor zelfstudie-doeleinden gebruik. De vijf bezoekers per maand klagen er anders nooit om.

    Maar inderdaad, er zouden richtlijnen voor hosters moeten komen.

    Een andere uitdaging is natuurlijk de locatie van de hoster. Want niet alle hosters zitten in Nederland. Rackspace is volgens mij een Amerikaans bedrijf dat ook in Nederland hosting aanbiedt. In hun voorwaarden vermelden ze gelukkig wel netjes dat bij wanbetalers de diensten worden opgeschort en dus niet be-eindigd. Maar ja, dat hun hoofdkantoor in de USA staat is mogelijk een extra hobbel bij juridische procedures.

  6. Volgens mij is voor opschorting geen verzuim vereist, en dus geen waarschuwingsmailtje, maar voor ontbinding wel, volgens 6:265 lid 2. Opzegging staat dan weer geheel los van tekortkoming in de nakoming van de wederpartij. Al met al kan de post wat preciezer geformuleerd, denk ik.

  7. Belangrijk om je bewust van te zijn: Sommigen mensen gaan er vanuit dat backups en de mogelijkheid om een backup terug te laten zetten standaard onderdeel uitmaken van een hostingpakket. Dit is lang niet altijd het geval.

    En de les door anderen al genoemd, altijd zelf backups maken, is ook belangrijk. Als je niet weet hoe dat moet, zoek het dan uit, laat het je uitleggen of regel iemand anders die het voor je doet. Een provider kan failliet gaan, je kan een conflict krijgen en willen verhuizen enzovoorts.

    Ook belangrijk om ervoor te zorgen dat de domeinnaam ook echt op jouw naam staat. Technisch en administratief contactpersoon zijn minder belangrijk, maar blijf zelf de eigenaar. Laat het domein ook niet op naam staan van degene die je website bouwt. Die kan misschien wel zou aardig zijn om de moeite te doen om de domeinnaam vast te leggen, maar laat hem/haar dat dan wel doen op jouw naam (dus meestal met kopie identiteitsbewijs en eventueel uittreksel KVK, vooral bij .NL domeinen). Het komt te vaak voor dat er een conflict ontstaat tussen de bouwer van de site en de opdrachtgever en dat dan de bouwer de domeinnaam niet af wil geven. En dan heb je als opdrachtgever een probleem als de domeinnaam niet op jouw naam staat.

    Ik werk zelf bij een hostingbedrijf (nee, ik zeg niet welke), dus weet redelijk wat er allemaal speelt.

  8. Hoe zit dat dan als als een klant voortijdig opzegt. Echter de klant heeft wel tot het einde van de periode (vooruit) betaald. Moet het hosting bedrijf de data die op de ruimte staat toegankelijk laten of mag hij deze data verwijderen? En indien hij deze verwijderd heeft, is het dan redelijk om de klant voor het terug zetten van een back-up te laten betalen?

  9. Had laatst ook een leuke, was op vakantie en kreeg ineens meldingen dat het wachtwoord voor mijn e-mail adres niet goed zou zijn. Dacht eerst dat het kwam door een brakke wifi verbinding (wel netwerk, geen/amper internet).

    Later bleek dus dat mijn mailaccount geblokkeerd was ivm sturen spam, (hoe ze m’n wachtwoord wisten te achterhalen weet ik nog steeds niet…) shit dat zoiets gebeurt, maar als het echt zo is, mag het best geblokkeerd worden, wachtwoord aangepast, en weer aangezet.

    Hierbij werd echter ook mijn site (nouja site, een wp installatie met 3 sites en meerdere domeinen) even ‘gegijzeld’, de installatie werd door de root-user verplaatst naar een andere map waardoor ik er zelf niet meer bij kon ivm ontbrekende rechten… Geen enkele waarschuwing anders dan een mailtje naar mijn geblokkeerde mailadres :/ Ipv een site of tekst stond er nu alleen een index.html met datum. Site en e-mail stonden ook compleet los van elkaar qua accounts.

    Duurde ook bijna een week voor mijn sites weer live waren…

  10. @Roel

    ach het kapen van een emailadres en het bijbehorende wachtwoord is niet zo heel erg moeilijk. Wat er echter ook veel gebeurd, en dat schijnt ook niet echt moeilijk te zijn, is het versturen van spam via een ander adres en dan een “echt” adres als afzender te gebruiken. Ik krijg regelmatig eMails van ‘mijzelf’ met de raarste reclames. In het begin schrok ik ervan, tot iemand van de Chaos Comuter Club me liet zien, dat het helemaal niet van “mijzelf” kwam, mijn adres alleen als “afzender” was gebruikt.

    Wat ik, met jou, niet begrijp is de reactie van je provider. Ten eerste is het natuurlijk onzin een email te blokkeren om er dan een mededeling naartoe te sturen, dat dit email adres is geblokkeerd en ten tweede, welke omvang heeft de spam dan wel moeten hebben om deze reactie te veroorzaken? Lijkt, tenminste uit wat jij beschrift, een beetje “overkill” geweest.

  11. @Kim

    Normaal gesproken is er (in ieder geval voor particuliere klanten) een opzegtermijn van een maand. Dus het hangt er vanaf per wanneer je opzegt. Zeg je op per einde van de lopende periode (met inachtneming van de opzegtermijn) dan zou de site tot het einde van die periode online moeten blijven. Zeg je eerder op, dan kan de site offline na afloop van de opzegtermijn. Je hebt dan immers opgezegd per die datum, dus kan je niet verwachten dat de provider ondanks je opzegging toch je data bewaard. Wel kan je dan vaak een deel van de betaalde kosten voor hosting terugkrijgen.

    Kortom: als je zelf opzegt per datum x (na de minimale opzegtermijn) dan is het toch logisch dat per datum x je site verwijderd wordt. Als je gewoon ruim op tijd aangeeft dat je na afloop van de huidige periode niet wilt verlengen, zou de site online moeten blijven tot de periode voorbij is.

  12. @Olav

    Mijn mailadres was niet ‘gekaapt’ door alleen mijn naam te gebruiken, je kan als afzender idd alles invullen… Maar blijkbaar werd er via de smtp server spam verstuurd met mijn account, dus echt username/pass. Daarom vond ik het niet zo heel erg dat die mailaccount tijdelijk geblokkeerd werd… Het volledig offline halen van mijn sites wel…

  13. @Roel

    Was er niet toevallig sprake van een lek in de software van je site, waardoor deze misbruikt kon worden om de mail te versturen? Op die manier zou er een link kunnen zijn tussen je site en de e-mail.

    Op mijn werk worden ook regelmatig (delen van) sites geblokkkeerd omdat deze gehacked zijn. Meestal komt een dergelijke hack door niet goed geupdate software (bijvoorbeeld te oude wordpress versies). Of door slecht beveiligde zelf (of in opdracht) gebouwde scripts.

  14. @Roel, @Olav, wat ook kan gebeuren is dat je gebruik maakt van een webhost om je site te serveren en b.v. ook je email te regelen. De beveiliging van webhosts laat soms wel wat te wensen over, zeker als het om shared hosting gaat. Bij shared hosting kan een hacker b.v. zelf ook een site laten hosten om vervolgens code op zijn eigen site te plaatsen die de rest van de server kan analyseren. Op die manier kan hij b.v. zien welke andere sites er op de server staan en dan hangt het er maar van af hoe de host de beveiliging heeft geregeld maar in principe kun je dan proberen sites van anderen over te nemen. Daarnaast, als je de webhost zelf kunt hacken dan kun je overal bij en hoef je niet op een site in te loggen. Je hebt alles al.

    In geval van “thuishosten” geldt hetzelfde principe. Ze hoeven niet je email account te hacken maar gewoon je Windows login kraken. Of gewoon een extra administrator account toevoegen via een hack. Deze methodes zijn deels afhankelijk van de web applicaties die je draait en de kwetsbare lekken in die software. Plus de sterkte van je wachtwoord, natuurlijk. Als je server een onbeperkt aantal login pogingen toestaat heeft een hacker vrij spel.

    Achteraf kun je proberen om in de eventlog na te kijken wat er precies is gebeurt, indien de hacker deze intact heeft gelaten. En wees voorzichtig! De hacker kan terugkeren dus het is belangrijk om te weten hoe je bent gehacked!

  15. @Roel Als jij op vakantie gebruik maakt van Wifi dan is het een koud kunstje om je wachtwoord te kapen. Als dat wachtwoord dan ook nog eens hetzelfde is als die voor je website (ftp/control panel) dan is beide dus gehackt.

    Kortom nooit hetzelfde wachtwoord gebruiken en enorm oppassen met wifi….

  16. Site staat qua account en wachtwoord volledig los van mijn e-mail adres…

    Was eerst ook bang dat alles geblokkeerd werd omdat ik aan het mailen was vanuit de camping in Frankrijk, erge is dat meerdere berichten richting hosting heb moeten sturen om erachter te komen dat dat niet zo was, eerst leuke standaard reply geven… geef gewoon antwoord.

    Ondertussen wel aan het kijken naar andere hosting, hou niet zo van dit soort geintjes.

  17. Ah. Shared hosting, zeker. 🙂 Het probleem van shared hosting is dat de host server wordt gedeeld met honderden andere websites. Ieder van die websites kan een lek opleveren waardoor hackers toegang krijgen tot de host server. Erger: de hacker kan zelf een site aanschaffen op de host server via officiele kanalen om deze dan expres te hacken.

    Ik heb vroeger ook gebruik gemaakt van shared hosting via een goedkope provider om er vervolgens achter te komen dat mijn site steeds werd gehacked. Zelfs een kale website met een blanco index.htm werd gehacked. Dat betekende dat de hacker toegang had tot mijn site via de host en ik ben even gaan experimenteren. Het was een Windows 2003 server en ik kon eigen web applicaties erop installeren. Ik maakte in Delphi een simpele web applicatie aan waarmee ik via Active Directory (AD) en Windows Machine Instrumentation (WMI) allerlei informatie kon opvragen over die web server. Dat dit kon is al vreemd want dit geeft hackers eenvoudige middelen om een server te kraken. Via AD zag ik dat er honderden sites op de server stonden waarbij iedere site in een folder stond met de gebruikersnaam als foldernaam. Heel handig. Met wat extra truken kon ik bovendien de inhoud bekijken van de folderstructuren van al die andere sites. Daarnaast gaf AD mij een overzicht van alle login accounts op die server, wat ook veel waard is voor een hacker. Met WMI kon ik verder de structuur van de server bepalen, waaronder de hoeveelheid RAM, het totaal aantal schijven, informatie over het netwerk en nog heel veel meer. En daar is mijn onderzoek toen gestopt. Shared hosts zijn erg goedkoop, maar vaak ook extreem eenvoudig te kraken. Zeker als het om Windows machines gaat wegens AD en WMI. Windows servers zijn daarnaast kwetsbaar wegens andere ActiveX controls die aanwezig kunnen zijn die aangeroepen kunnen worden vanaf een site op de host.

    Een betere manier van hosten is eigenlijk binnen een virtuele machine. Iedere klant met website zou zijn site binnen een eigen virtuele machine moeten hebben draaien. Een hacker zou het zo lastiger moeten krijgen om vervolgens de sites van andere gebruikers op dezelfde host te bemachtigen.

    Een andere manier is een Cloud oplossing. De meeste Cloud hosts leggen strenge beperkingen op aan wat een site eigenlijk mag doen. Bij Windows Azure, bijvoorbeeld, zijn de beperkingen dusdanig strict dat een webapp die onder Windows 2008 wel werkt onder Azure gewoon geen rechten krijgt om zijn werk te doen. Vaak zie je bij Cloud hosting dat de site ook draait in een virtuele omgeving in plaats van rechtstreeks op de host zelf.

    Het voordeel van hosting binnen virtuele machines is dat een backup eenvoudiger te maken is door gewoon de gehele VM te kopieren naar een backup. Een VM is meestal alleen maar 1 bestandje op de harde schijf en je kunt een VM even in “sleep modus” zetten om er snel een backup van te maken. Nadeel is dat de klant niet makkelijk een kopie van die VM kan krijgen omdat er in principe een besturings-systeem op staat waar alleen de hoster een licentie voor heeft.

    Maar goed, als je alleen bepaalde webapps wilt draaien op je host dan zijn er soms eenvoudigere alternatieven. Voor een blog zoals dit blog kun je bij WordPress.com terecht die je blog best wil hosten onder een (sub)domein van jouw keuze. Doe ik b.v. met mijn eigen blog. Voor email kun je Google Apps gebruiken, waarmee je meteen een spamfilter op je mailbox hebt zitten. (Plus een plek voor je agenda en je belangrijke documenten.) Voor project-management zijn er ook veel hosted oplossingen te vinden en zelfs voor version control systemen zijn er hosted oplossingen die je aan je eigen domeinnaam kunt koppelen. Zo kun je diverse webapps hebben onder je eigen domein zonder dat alles op een enkele host staat en alles dus omvalt indien een hacker wat probeert. Nadeel is dat al die webapps dus maandelijks geld kosten en je net als bij een webhoster ook altijd even op moet letten dat je data niet zomaar van de host afgegooid kan worden…

  18. Mijn website hoster vraagt geld voor het beëindigen van mijn contract. Hij zegt dat hij daar drie uur voor nodig heeft en dus kosten vraagt. Indien ik daar niet mee accoord ga beeindigt hij het contract niet. Mag dat zomaar?

    1. Als je consument bent mag een dienstverlener geen “opzeggingsvergoeding” vragen wanneer je je contract (met de contractuele opzegtermijn) opzegt. Bij een zakelijk contract kan het alleen als dat in het contract of algemene voorwaarden opgenomen is. En zelfs als deze vergoeding contractueel vastgelegd is, kan de rechter alsnog besluiten dat de hoogte daarvan onredelijk is.

      Laat een en ander eventueel door een advocaat of andere jurist uitleggen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.