Mag ik hacken om mijn klant te migreren naar een nieuwe omgeving?

| AE 6478 | Security | 31 reacties

migrationEen lezer vroeg me:

Een nieuwe klant vroeg ons hen te migreren naar een nieuwe omgeving. Echter, er blijkt een geschil te zijn met de huidige ICT-leverancier en mijn klant heeft de benodigde wachtwoorden dan ook niet. De klant heeft me gevraagd de betreffende systemen te hacken omdat dat geschil nog wel even kan duren (er zijn al advocaten losgelaten). Mag ik dit doen?

Helaas komen dit soort situaties vaker voor. De klant heeft een dispuut met zijn ICT-leverancier, die blokkeert de dienst of weigert relevante wachtwoorden of data te verstrekken en dan zit je daar als klant. Of, omgekeerd: je hebt een dispuut met je klant, die wil dan boos weg (terwijl het contract nog gewoon loopt en de klant ongelijk heeft met z’n dispuut) en dan moet jij zeker gratis alles even aan laten staan zodat hij alles kan downloaden en migreren en daarna je facturen vrolijk niet betalen.

Hoe dan ook, als nieuwe leverancier heb je daar niets mee te maken. Laat je daar ook niet toe verleiden, want voor je het weet ben je partij en krijg je een deel van het ongenoegen over je heen.

De klant helpen met een migratie mag, ook als de migratie gebeurt vanaf een omgeving waar iemand anders iets over te zeggen heeft. Net zo goed als jij als verhuisbedrijf spullen mag weghalen bij een gehuurd pand waarvan huurder en verhuurder een dispuut hebben over achterstallige huurbedragen. Wat je echter niet mag, is in zo’n situatie de door de verhuurder afgesloten deur openbreken.

In de ICT-situatie betekent dat dus: je mag geen wachtwoorden kraken van servers die in eigendom zijn bij de verhuurder, pardon de leverancier. Ook mag je niet op zoek naar achterdeurtjes om daar data uit te halen. Ook niet als het gaat om klantdata. Het mag dan “klantdata” heten in het ICT-spraakgebruik, maar juridisch gezien is data niets. Er valt dus niets op te eisen, in tegenstelling tot bv. fysieke spullen die opgeslagen zijn bij de leverancier.

Wachtwoorden kunnen ook een rol spelen bij systemen van de klant zelf, zoals laptops of door hen zelf aangeschafte servers. Door de leverancier daarop ingestelde wachtwoorden mag je wél kraken of veranderen. De systemen zijn immers eigendom van de klant, en het is niet strafbaar om in opdracht van de eigenaar een beveiliging onklaar te maken.

Twijfel je over de legaliteit van wat je klant vraagt, dan kun je een garantie en vrijwaring van je klant verlangen dat je dit mag en dat zij alle boetes en schadeclaims die jij krijgt, moeten vergoeden. Dat werkt dan echter weer niet wanneer het evident is dat de klantvraag illegaal is. “Ze draaien een oude versie van PHP, kun jij ergens op zo’n hackersite iets vinden dat je binnen kunt komen en onze database kunt downloaden” is geen legitieme klantvraag. Ook niet als daar de enige plek is waar de klantdata staat.

Hebben jullie wel eens zulke disputen meegemaakt als derde? En hoe ging je daarmee om?

Arnoud

Deel dit artikel

  1. Wat is de wetregel waar naar verwezen wordt dat data “niets” is volgens de wet? Er zit toch een intelectueel eigendom op? Wat als de klant wel hackt, dit wordt ontdekt door de hoster (leverancier) en deze sluit de klant af wegens misbruik. Welke rechten heeft de klant dan nog?

    • Er is geen wettelijke regel die zegt dat data iets is, dus is het niets. Het is geen zaak die je in eigendom kunt hebben.

      Een IE-recht geeft je geen bevoegdheid een digitale kopie van het werk op te eisen. Enkel bij inbreuk middels roerende zaken (een illegale dvd of zo) heb je soms een opeisingsrecht als rechthebbende.

      Daarnaast geeft een IE-recht je al helemaal geen bevoegdheid computervredebreuk bij een derde te plegen om zo aan de kopie te komen.

      Als de klant nog klant is, dan zou ik allereerst gewoon via de contractuele weg een kopie opeisen. Je mag hopen dat in een hostingcontract staat dat de klant bij zijn data moet kunnen. Maar als de klant geen klant meer is, dan gaat dat niet. Echter dan valt er ook weinig meer af te sluiten door de hoster.

        • De opmerking “het is mijn data” is betekenisloos. Net als tegen de uitbater van een garagebox zeggen “het is mijn lucht”. Daar heb je geen recht op, lucht is niet iets waar de term “recht op” van toepassing op is.

          Het beste is dit in je AV te regelen, want daarmee voorkom je een hoop geruzie. Maar het is aan de klant te bewijzen dat hij een recht heeft op die data, niet aan jou dat hij géén recht heeft. Hoofdregel uit de wet is namelijk, wie zich op een rechtsgevolg beroept, moet zijn stelling bewijzen.

            • Ja, opeisen kan altijd, maar daadwerkelijk ook krijgen is een ander probleem. Als de host gewoon blijft weigeren dan zul je toch juridische onkosten moeten maken. Als de host ook nog eens buiten het Nederlandse rechtsgebied is gevestigd dan zullen die kosten nog verder omhoog lopen en zijn er mogelijk niet genoeg dwangmiddelen. Het hangt bovendien ook af op welk niveau de toegang tot de data is afgesloten. Voorbeeld: Je laat je administratie beheren door een extern bureau. Dit bureau maakt op hun beurt gebruik van een Brits bedrijf dat een boekhoud-SAAS oplossing biedt, dus geheel via Internet. Dit Britse bedrijf is deze data weer aan het hosten op servers in de USA. Echter, britse bedrijf gaat failliet en de Amerikaanse provider zet de toegang tot alles volledig uit, tot de rekening weer is betaalt. Dan heb je toch een groot probleem om bij je data te komen omdat je via de boekhouder, via het Britse bedrijf uiteindelijk bij het Amerikaanse bedrijf om je data moet vragen. En de vraag is of dat bedrijf ook beschikt over de middelen om die toegang weer te verlenen…

        • Dat ging om digitale data die ontworpen was om gestolen te kunnen worden. Iets moet weggenomen kunnen worden, in één atomaire handeling (in databasetaal). Gewone software of data kan niet worden gestolen. Je kunt het wel kopiëren, en je kunt het wissen, maar dat zijn twee handelingen die op zich los van elkaar staan ook al doe je de tweede direct na de eerste. Daarom is software (en data) niet te stelen. Virtuele goederen in Runescape wel, want daar bestaat de handeling “weggeven object” en die zorgt ervoor dat een object van A naar B gaat, zonder dat er op enig moment twee objecten zijn.

          Los daarvan gaat het hier om strafrecht, en volgens de HR is de definitie van “enig goed” uit het strafrecht een andere dan de definitie van “zaak” uit het Burgerlijk Wetboek. Dat iemand het kan stelen, betekent dus nog niet dat het je eigendom is.

      • Data is juridisch gezien niets. Ik kan die redenering wel volgen. Het is een string aan nulletjes en eentjes. Echter hier geld volgens mij:

        Een database is een verzameling van werken, gegevens of andere zelfstandige elementen, systematisch of methodisch geordend, en afzonderlijk met elektronische middelen of anderszins toegankelijk.

        Databankrecht. Je wil een database dump. Jouw leverancier heeft dit onmogelijk gemaakt. Data is juridisch gezien niets, maar een databank wél. Dat kan heel goed intellectueel eigendom zijn, indien er sprake is van een substantiele investering. Een leverancier kan dit volgens mij niet zomaar achterhouden.

        Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.
        Encryptie. Als de leverancier de data encrypt en de sleutel niet overhandigd dan is de data gestolen. Het gaat dan niet om de data zelf, maar om de sleutel. Data met een slotje erop is wat anders als lucht. Dat is meer als een fles met gecomprimeerde lucht met een slotje erop. Een leverancier kan niet zomaar dat slot vervangen zonder gevolgen. Of de lucht laten ontsnappen zodat de flessen waardeloos worden. Het gaat hier om data toegang. Met encryptie kan alleen diegene die de sleutel weet bij de data. Verander de sleutel en je “steelt” de toegang en eigent die jezelf toe.

  2. De term hacken is altijd wat ruim wat het natuurlijk moeilijk maakt. Maar stel dat de hoster geen dump van de database wil geven maar je hebt nog wel ftp toegang. Dan mag je toch wel gewoon zelf een dump maken van de database dmv een PHP-scriptje?

    En wat nu als je ook geen ftp toegang meer hebt maar het CMS staat het toe om dingen te uploaden (foto’s) en deze blijkt slecht beveiligd waardoor je ook een PHP script kan uploaden. Mag dat?

    Maakt het verder nog iets uit wat je precies hackt. Zo lijkt me dat PHP (op een shared omgeving) van de hoster is maar WordPress lijkt me dan weer van de klant. Kan je je eigen software eigenlijk wel hacken?

    • Als je binnen de opengestelde kanalen aan je data kunt komen, dan is dat prima lijkt me.

      Mag je PHP scripts draaien en upload je er eentje die een databasedump doet, dan denk ik dat dat wel legaal is. Heb je een hosted omgeving waarbij normaal de leverancier alle scripts maakt en installeert, dan kom je in een grijzer gebied. Ik zou echter nog denken dat het mag, tenzij in de AV expliciet staat dat klant niet zelfstandig programmatuur zal uitvoeren via de systemen.

      Het komt ergens neer op een redelijkheidstoets: is dit gewoon iets dat je als gemiddelde klant zou doen, of sta je rare dingen uit te halen?

      • Mag je PHP scripts draaien en upload je er eentje die een databasedump doet, dan denk ik dat dat wel legaal is.
        Bij een experimentje met Active Directory (AD) en met Windows Machine Instrumentation (WMI) onder Windows had ik ooit een webpagina gemaakt waarbij ik van mijn eigen server allerlei informatie op kon vragen. Via AD kon ik alle accounts en andere gegevens inkijken en via WMI kon ik de hardware configuratie inkijken. Ik heb deze pagina 1x bij een (shared) hosted website van mijzelf geplaatst (wat mocht, want ik moest zelf de site bouwen) en tot mijn schrik kon ik via AD en WMI enorm veel gegevens ophalen van die server, inclusief login-namen en wat andere gegevens van andere gebruikers op die server. (Geen wachtwoorden, gelukkig.)

        Nu de vraag: als je legaal scripts mag uploaden naar een host, mag je dan ook dit soort scripts uploaden? 🙂

  3. Arnoud, De door jou gevolgde redenering geeft natuurlijk impliciet een zeer grote macht aan de ICT provider.

    Uiteindelijk: de klant zet zijn data bij ICT provider, en rekent erop dat hij erbij kan. Dan ontstaat er een onbenullig dispuutje, zonder duidelijke partij die in de fout is gegaan. Wat kan de klant dan? Geen vuist maken, voor hij het weet kan hij niet meer bij zijn data.

    De ICT provider heeft in deze redenering gewoon alle touwtjes in handen: prijsverhoging, betwistbaar onterecht toegeven bij een conflict, opgeven van de vrije keuze om een andere leverancier te kiezen. De klant heeft alles maar te slikken anders heeft hij geen toegang meer tot zijn data.

    Een oneerlijke provider zou zelfs een datagijzeling kunnen opzetten. Betaal als je je data terug wilt!

    Is dat wenselijk?

    • Nee, het is zeer onwenselijk en een lacune in de wet dat er niets geregeld is op dit punt. Maar dat iets onwenselijk is, betekent nog niet dat het tegendeel wettelijk juist is.

      Voor nu is het dus voor iedere klant aan te raden hier expliciete afspraken over te maken met de leverancier, en die op papier te zetten als het even kan. En hopelijk gaan zo veel mensen dat doen dat er gekrakeel over ontstaat, waarna hopelijk dan de politiek het nut inziet van een Wet op de clouddienstverlening. Met naast data-eigendom en exportrecht ook een positie bij faillissement voor de klant geregeld wordt, minimale eisen aan een SLA en een zwarte lijst voor EULA/TOS-bedingen naar consumenten toe.

    • Iemand die zijn verplichtingen niet nakomt (zoals betalingen) of zodanig misdraagt (illegale activiteiten) is het vrij normaal dat de dienstverlening wordt opgeschort (waaronder dus toegang tot de data) of zelfs directe beeindiging van de overeenkomst (ligt aan wat er gebeurt is, maar bv ontdekken illegale website). De provider is dan imho gerechtigd om de dienstverlening te beperken/op te schorten. De daadwerkelijke toedracht zal de zwaarte van de sanctie moeten bepalen uiteraard. Maar niet betalen is imho gewoon opschorten tot er betaald is. Indien de betalingsverplichting uitblijft heeft ieder bedrijf die gezond nadenkt een clausulle die na xx dagen de overeenkomst kan ontbinden. Dit doen overigens energie bedrijven en telco’s ook (kpn etc)

      Waarom is dat een te grootte macht?

  4. @ jeroen: Als je je data extern laat opslaan doe je dat meestal omdat je geen zin/kennis/middelen hebt om zelf goed voor je data te zorgen. Omdat je dus van de zorg van back-ups etc af wilt zijn en daar voor wilt betalen. Het is dan natuurlijk niet de bedoeling dat je je alsnog met backups moet gaan bezighouden

    @ Maurice: De te grote macht zit hem niet eens zozeer in gevallen van overduidelijke wanprestatie van de klant. De te grote macht zit hem bij discutabele issues tussen de leverancier en de klant. De klant moet dan wel buigen, met een muisklik kan de ICT immers de toegang blokkeren.

    De te grote macht zit hem nog meer bij oneerlijk gedrag van de ICT leverancier. We verdubbelen de prijs met ingang van gisteren. Niet akkoord, pech, je kunt niet meer aan je data.

    Je hebt een conflict over iets anders met een andere tak van de multinational: toegeven, anders blokkeren we je data. ETC

    • Als je je data extern laat opslaan doe je dat meestal omdat je geen zin/kennis/middelen hebt om zelf goed voor je data te zorgen. Omdat je dus van de zorg van back-ups etc af wilt zijn en daar voor wilt betalen. Het is dan natuurlijk niet de bedoeling dat je je alsnog met backups moet gaan bezighouden

      Ik denk dat we er zo langzamerhand achter komen dat dat een manier van denken is die gewoon naïef is, en in de praktijk tot problemen kan leiden. Als je zelf de touwtjes in handen wilt houden, dan zul je daar een bepaalde hoeveelheid moeite voor moeten doen.

      • Mensen worden lui, en gaan er ook vanuit dat een provider vaak eindeloos backups moet bijhouden kosteloos. Ook een backup is niet feilloos. Immers als er maar bijvoorbeeld 3 dagen backups worden gemaakt dan is de correcte data toch op de 4de dag verloren en is de tekortkoming ook “in” de backup data. Kortom dan heb je ook niets meer aan je backup.

        Ik ben werkzaam geweest bij een toch redelijke provider in Nederland (100k+ websites gehost) maar ook daar hadden we in de AV staan dat we niet verantwoordelijk zijn voor de inhoud van een backup. Simpelweg omweg het feit dat slimme klanten er gewoon misbruik van maken.

    • De prijs even opkrikken in een dag is buiten het feit onwenselijk (klanten wegjagend) ook nog eens onrechtmatig naar mijn bescheiden mening. Uiteraard mag je een inflatie % hanteren maar bij tussentijdse wijzigingen behoor je als leverancier je klanten in te lichten mbt de nieuwe wijzigingen (eveneens ook met algemene voorwaarden wijzigingen). Daarna zijn zover ik weet de oude regels/prijzen nog minimaal 30 dagen van toepassing. In deze 30 dagen mag een klant verweer indienen en op basis daarvan de overeenkomst ontbinden. Al dan niet,, er zijn dus 30 dagen voor de klant om een andere provider te vinden en netjes te migreren zonder enige beperking als hij er dus niet mee akkoord gaat.

      • Maurice, Ik had eerder aanbieders van cloud-opslag in gedachten. Die prijzen hun diensten aan met argumenten als veilig en geen noodzaak tot back-up.

        Als je daar dan mee in zee gaat, en dan komt iemand je vertellen dat je toch back-ups moet maken, dan denk je ‘waarvoor heb ik die dienst dan gekocht’.

        Wat betreft die macht van de ICT provider.

        Het probleem zit hem erin dat de technische macht om met een muisklik de data te blokkeren en zelfs te verwijderen een gevaar is voor een evenwichtige verhouding tussen de partijen.

        De klant heeft geen andere keus dan de provider ter wille te zijn op straffe van verlies van toegang tot de data, of zelfs de data zelf, waardoor het risico van machtsmisbruik door die provider levensgroot is.

        Een nette provider zal die macht niet misbruiken.

        Maar zal een eveneens nette klant, die een eerlijk dispuut heeft met die nette provider waarbij ze allebei geloven gelijk te hebben, de zaak wel voor de rechter durven te brengen uit angst om zijn data te verliezen?

        Ga jij een discussie over voorrang in het verkeer aan als de andere partij een pistool in zijn hand heeft? Dat is precies hetzelfde.

  5. Cloud is niet heiligmakend, goede backups is een must in welke hoedanigheid dan ook. Dat er voldoende “cloud” piraten zijn is een feit. Het wordt de wannabees ook te makkelijk gemaakt om tegen nihil aan kosten een reseller te worden. De echte investerende partij zal daarom ook anders handelen dan de reseller. Machtsmisbruik heb je in iedere banche helaas. Zie bv dropbox die onlangs even hun algemene voorwaarden zodanig samenstelde dat je niets meer te vertellen hebt en zelfs een rechter niet meer.

  6. In deze discussie moet ik opeens denken aan de Bitcoin-perikelen om Mt. Gox. Daar zijn bitcoins gestolen door een te zwakke beveiliging en nu hebben ze hun website gewoon op zwart gezet. Niemand kan meer bij hun bitcoins en technisch gezien is een bitcoin gewoon een verzameling data, dus feitelijk niets. Toch? Mag je nu Mt. Gox gaan hacken om je bitcoins weer terug te halen? 🙂

    • Je bent dan wel strafrechtelijk te vervolgen. Zie art. 138ab Sr, waarin het opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk strafbaar is gesteld, en waarin tevens wordt gesproken over een verhoogde straf bij het overnemen van gegevens. Aangezien je geen toestemming hebt om in de computersystemen van MtGox te neuzen, is het hacken wederrechtelijk. Je hebt bovendien geen schulduitsluitingsgrond.

      Data is civielrechtelijk gezien niets en ik denk ook niet dat MtGox je kan aanspreken voor het terughalen van je eigen bitcoins. Interessanter is of MtGox je kan aanspreken als je bitcoins van anderen hebt weggehaald via art. 6:162 BW. Je hebt een wet (art. 138ab Sr) overtreden die MtGox moet beschermen, maar wat is de schade van MtGox? Bitcoins hebben waarde in het economische verkeer (en moeten daarom worden aangegeven in box 3 van de inkomstenbelasting), maar zijn geen goederen die worden weggenomen. Data is niks, dus wat is de schade dan?

      • Bitcoins lijken me vergelijkbaar met items in een spel (waarvan al een keer was geoordeeld dat ze gestolen konden worden) of evt met belminuten die je ook kon stelen. De nulletjes en eentjes zijn dus welliswaar niets maar vertegenwoordigen wel iets. Volgens mij kan het dus prima gestolen worden.

        Bitcoins zijn ook niet te kopiëren, althans niet in de zin dat je ze dan 2 keer kan gebruiken.

      • Bitcoins zijn naar Nederland recht vatbaar voor diefstal, zoals lezer al zegt. En civielrechtelijk is MtGox benadeeld: er is data vernield/weggenomen en dat zal moeten worden hersteld. Herstel is hier onmogelijk, bitcoins zijn niet terug te draaien of opnieuw in te typen. Dus dan maar geld als vergoeding, net zoals wanneer mijn harddisk met oude onvervangbare foto’s in jpeg gewist wordt door de reparateur. En gelukkig kunnen we de verloren data hier op geld waarderen, er is immers een wisselkoers. Dus de cracker mag dan de dagwaarde van de gestolen bitcoins terugbetalen.

        Het is nog een leuke of de bitcoins vermogen zijn van MtGox of van de klanten.

  7. Net zo goed als jij als verhuisbedrijf spullen mag weghalen bij een gehuurd pand waarvan huurder en verhuurder een dispuut hebben over achterstallige huurbedragen. Wat je echter niet mag, is in zo’n situatie de door de verhuurder afgesloten deur openbreken.

    Serieus? Iemand huurt bijvoorbeeld een huis, maar de verhuurder vervangt de sloten zodat de huurder niet kan verhuizen voor de huur te hebben betaald, en dan mag de huurder niet een slotenmaker bellen? Dat lijkt me wel erg sterk.

    In elk geval lijkt dit voorbeeld je stelling tegen te spreken: http://www.m2advocaten.nl/niet-betalen-gewoon-de-sloten-vervangen-retentierecht-van-de-verhuurder , en dat is een zakelijke overeenkomst. Het lijkt me nog sterker dat je dat bij een privépersoon zou mogen doen. (Stel dat er nog kinderen of huisdieren in het pand zijn?)

    • Ik sprak tegen de verhuizer. Die mag dat niet zelfstandig gaan doen, dit is een verantwoordelijkheid van de huurder. Plus, er is hier een bijzondere regeling namelijk dat je als verhuurder een huurcontract voor onroerend goed niet mag opzeggen zonder rechterlijke tussenkomst (art. 7:231 BW). Ook niet bij wanprestatie door de huurder. Dat mag onder normale omstandigheden wel, als jij je cloudcontract niet betaalt dan mag de clouddienstverlener je afsluiten (art. 6:265 BW). Dus de analogie gaat weer eens niet op…

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS