Ben je als bedrijf aansprakelijk voor meegemailde virussen?

| AE 6632 | Ondernemingsvrijheid, Privacy | 14 reacties

attachment-bijlage-mail-email-doorsturen-geheim.jpgEen lezer vroeg me:

Op mijn werk werken we alleen met Apple computers en Mac OS X. We hebben geen virusscanners, omdat er geen reële virusdreiging is voor dat platform. Echter, het zou kunnen dat wij per mail bijlages ontvangen met Windowsvirussen erin. Daar hebben wij geen last van, maar als we die doorsturen naar een Windows-draaiend bedrijf dan krijgen zij daar wél last van. Zijn wij daar dan aansprakelijk voor?

Je bent aansprakelijk voor schade die jou te verwijten is, mits je daarbij onrechtmatig gehandeld hebt. Als je concurrent goedkoper is, heb je schade (gemiste omzet) maar dat is niet onrechtmatig.

Je handelt onrechtmatig als je een wettelijke bepaling overtreedt, iemands rechten schendt of maatschappelijk onzorgvuldig handelt. Virussen doorsturen is strafbaar, ook als je dat door nalatigheid doet (art. 350b Strafrecht):

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Zou je dus in deze situatie kunnen spreken van “schuld”, oftewel nalatigheid, domheid, dan kun je dit handelen betitelen als “onrechtmatig” en daarmee moet het Mac-bedrijf de Windowsvirusschade vergoeden. Je kunt het ook op ‘gewoon’ die onzorgvuldigheid gooien: iedereen weet dat Windows virussen kent, dus het is onzorgvuldig om daar geen maatregelen tegen te nemen als je met Windowsmensen communiceert.

In beide gevallen komt de vraag op hetzelfde neer: hoe veel rekening moet je houden met virussen voor platforms waar jij je niet mee bezighoudt?

Ik neig er wel naar die ‘gewone’ onzorgvuldigheid als norm te zien. Windows is zó populair dat je daar rekening mee moet houden, ook als jij dat zelf niet gebruikt. En je weet dat daar virussen rondzwerven, dus let daar even op. Plus, het gaat hier over mailbijlagen die je dus van internet krijgt en zonder te controleren doorstuurt naar je klanten of relaties. Mag ik dat sowieso best wel slordig noemen?

Arnoud

Deel dit artikel

  1. Een kleine informatie voor de vragensteller: De tijden dat MAC en OS-X geen last van virussen hadden zijn intussen voorbij. Welliswaar niet zo begeerd als windows, maar toch, ze zijn er en er komen er steeds meer. Dit heb ik zelf (tot mijn spijt) moeten ervaren. Het is dus niet alleen onzorgvuldig tegenover klanten, maar ook ten opzichte van je eigen bedrijf.

  2. Even kijken of ik het goed begrijp. Bedrijf A zend naar bedrijf B een virus door waardoor bedrijf B besmet raakt en hierdoor schade heeft. Bedrijf A heeft geen antivirus omdat hun platform dat niet vereist. Bedrijf B zou bedrijf A hiervoor aansprakelijk kunnen stellen..?? Hij is fijn. Hoe zit het dan met de eigen verantwoording van bedrijf B? Als je puur op windows draai dan weet je dat je eigen platform primair doelwit voor om het even welke puisterige puber is die een virusje de wereld in wil slingeren.

    Stel nu eens dat bedrijf A WEL een antivirus product gebruikt, maar alleen gericht op het eigen platform. Of een antivirus product wat alles herkend… Verandert dat de zaak? Ben je dan verantwoordelijk omdat jouw AV product een virus niet herkend, terwijl je wel alle voorzorgsmaatregelen hebt genomen.. Vind dit moeilijk verteerbaar, ben dan ook benieuwd of het ene bedrijf het andere aansprakelijk zou gaan stellen terwijl ze de eigen zaakjes niet op orde hebben..

    Om de analogie door te trekken, als mijn bedrijfsgebouw bijna een bunker is, dan ben ik toch ook niet aansprakelijk als een inbreker bij de buren toeslaat…. waarom zou dat digitaal dan anders zijn?

    • Laat ik die analogie eens anders doortrekken:

      Wat nou als jij jouw huis nauwelijks beveiligt omdat er toch niks te halen valt, maar daardoor kunnen de inbrekers zo jouw achtertuin in, en dan via de achtertuin van de buren bij hun naar binnen, waar wel vanalles waardevols te halen valt.

      NB: Ik vind nog steeds ‘eigen schuld’ van de buren.

    • Bedrijf B kan bedrijf A aansprakelijk stellen en een rechter moet dan bepalen welke partij hoeveel schuld heeft. Waarschijnlijk zal een rechter zeggen dat B dermate veel eigen schuld heeft dat de schade vergoeding nihil is, of slechts 10%. Maar als A zo onzorgvuldig is om een virus door te sturen naar een klant dan mogen ze daar (imo) best aansprakelijk voor gesteld worden.

    • Het uitgangspunt moet zijn dat bedrijf B zich niet mag kunnen verschonen van de de eigen onzorgvuldigheid door te wijzen op de onzorgvuldigheid van een ander. Vanwege dit uitgangspunt moet de schade van B te ver verwijderd liggen van de onrechtmatige daad van A, wanneer B deze schade zelf gemakkelijk had kunnen voorkomen door zelf een virusscanner te gebruiken.

      Dan blijft over schade die door bedrijf B niet gemakkelijk voorkomen had kunnen worden. Maar in dat geval heeft bedrijf A geen onrechtmatige daad gepleegd, omdat haar onzorgvuldigheid niet heeft bijgedragen in de schade van bedrijf B. Immers, het gebruik van een virusscanner had in dat geval de schade niet voorkomen.

  3. Zelfs zonder aansprakelijkheid lijkt het me extreem dom voor een bedrijf om geen virusscanner te gebruiken tijdens communicatie met klanten. De kans is groot dat je emails of helemaal niet aankomen of dat ze van bijlages worden ontdaan en er een waarschuwing bij wordt geplaatst door de ontvangende mailserver. Iemand die zo onzorgvuldig is krijgt van mij geen opdracht.

    Er hoeft geen wettelijke aansprakelijkheid te zijn, techniek en marktwerking zullen zo’n bedrijf vanzelf corrigeren of elimineren.

  4. Het lijkt mij dat de Windows-klanten ook een virusscanner moeten gebruiken omdat ze anders sowieso kwetsbaar geweest zouden zijn. De Mac-gebruiker is dan onzorgvuldig geweest maar als de Windows-gebruiker wordt geinfecteerd door het virus dan zie ik niet wat de Mac-gebruiker daar tegen had kunnen doen. Als de Windows-gebruiker een virusscanner had gehad, dan heeft die scanner het virus gemist, dus eenzelfde virusscanner op de Mac zou het ook gemist hebben. Als de scanner het wel opmerkte, dan is er geen sprake van schade. Toch? Dan is er ook geen schadeclaim alleen een slechte beurt van de Mac-gebruiker. Kortom, de Mac gebruiker is niet verantwoordelijk voor virussen die hij doorstuurt naar Windows-gebruikers. Hoewel ik het wel vreemd vind dat hij een attachment mee doorstuurt… De Windows-gebruiker is verantwoordelijk voor zijn eigen veiligheid en moet beseffen dat hij niet zonder virusscanner kan en dat ieder binnenkomend bericht met attachment of URL erin verdacht kan zijn. En de Mac-gebruiker mag zichzelf voor zijn kop slaan als hij door een Mac-virus wordt getroffen, maar dat zijn eigenlijk de enige virussen waar hij bang voor hoeft te zijn. (Tenzij hij Bootcamp gebruikt om ook Windows te kunnen draaien!)

  5. Plus, het gaat hier over mailbijlagen die je dus van internet krijgt en zonder te controleren doorstuurt naar je klanten of relaties. Mag ik dat sowieso best wel slordig noemen?

    Dat is toch precies wat internetproviders ook doen?

    Ik vind dit niet echt onzorgvuldig. Mensen en bedrijven mogen niet zomaar van elkaar verwachten dat ze elkaars e-mail scannen, tenzij daar afspraken over zijn gemaakt. In eerste instantie ben je gewoon zelf verantwoordelijk voor je internetveiligheid.

    Dat gezegd hebbende, lijkt het me wel nuttig om toch e-mails te scannen voordat je ze naar klanten stuurt. Mocht er een virus in zitten, dan is dat toch slecht voor je reputatie, ongeacht of je nou aansprakelijk bent en ongeacht of het virus werkelijk tot schade leidt.

    Ik vind het een beetje vergelijkbaar met wat je als buren van elkaar mag verwachten op het gebied van inbraakpreventie. Je mag van je buren niet verwachten dat ze continu controleren of er bij jou wordt ingebroken; het wordt pas onzorgvuldig als ze toevallig wel een inbraak waarnemen en dan niet passende maatregelen nemen.

    Misschien kan je een “verantwoordelijkheids-volgorde” maken. Dit zou volgens mij de volgorde moeten zijn: * De virus-maker, voor het opzettelijk toebrengen van de schade * Indien van toepassing, een derde partij die zich expliciet verantwoordelijk heeft gesteld voor voorkomen/vergoeden van de schade * Microsoft, voor het leveren van slecht beveiligde software (voor zover niet terecht afgevangen met een disclaimer) * Het slachtoffer, voor de keuze voor Microsoft-software zonder extra beveiligingen (voor zover disclaimers van Microsoft niet van toepassing zijn) * Alle anderen in de keten van oorzaak en gevolg die tot de schade heeft geleid

    • Microsoft, voor het leveren van slecht beveiligde software
      Wat een slap excuus, zeg… Dat is hetzelfde als beweren dat de Volkswagen Golf (Top-10 meest-verkochte auto’s) onveiliger is dan een Subaru Impreza (Is e 1 van verkocht in 2013) omdat er zoveel ongelukken met de Volkswagen gebeuren en nauwelijks met de Subaru. Hetzelfde met Windows. Windows is als besturings-systeem enorm veel in gebruik, waaronder bij veel onervaren personen. Logisch ook dat veel malware- en virusproducenten zich dan ook op Windows richten, ondanks de behoorlijk stevige beveiliging van Windows zelf. Ook Linux en OSX hebben behoorlijk veel zwakheden, net als Windows, maar zijn veel minder in gebruik en daardoor minder kwetsbaar. Overigens is de hoeveelheid malware voor Linux/Android toch weer behoorlijk groot, mede omdat mensen van guiten Google Play om apps op hun devices kunnen laden. Met iOS heb je daar minder last van omdat Apple minder tolerant is dan Google. Heb je echter een jailbreak toegepast op je Apple apparaat dan heb je zelf echter de deur opengezet voor best veel malware… En dan is er nog het probleem van de vele third-party vulnerabilities, gemaakt door Adobe en Oracle. Acrobat Reader is dusdanig kwetsbaar dat deze app gewoon niet op mijn PC komt. Oracle Java is ook een Zwitserse gatenkaas qua lekken. Zo ook de moderne printerdrivers die graag internet-toegang willen voor auto-updates en zo, die ook vaak kwetsbaar blijken te zijn. Of de vele DRM-oplossingen die sinds het Sony-Rootkit debacle een nare nasmaak achterlaten. Brengt mij bovendien bij die gebruikers die software illegaal gebruiken en via een onbetrouwbare bron gewoon een crack gebruiken om de beveiliging van die software te omzeilen.

      Mensen geven makkelijk Microsoft de schuld voor kwetsbaarheden die andere partijen of zij zelf veroorzaken doordat zij hun beveiliging niet op orde te houden.

      Hoeveel software-fabrikanten hebben ondertussen al software uitgebracht met -onbedoeld of niet- de nodige virussen en malware?

      • De veiligheid van windows is in de laatste paar versies wel aardig verbeterd, maar oorspronkelijk was het echt belabberd. Windows was gewoon niet van begin af aan ontworpen om te functioneren in een kwaadaardige internet-omgeving. En de mogelijkheden van microsoft om de beveiliging te verbeteren worden beperkt door de noodzaak om een bepaalde mate van backward compatibility te houden met oude windows-versies.

        Om op jouw vergelijking met auto’s in te gaan: je moet natuurlijk niet het absolute aantal schade-gevallen bekijken, maar de schade in verhouding tot hoe vaak het product wordt gebruikt. Ik ben benieuwd hoe windows er dan uit komt t.o.v. andere besturingssystemen.

        Maar eigenlijk is dit allemaal wel wat off-topic: het echte punt dat ik wilde maken is dat de leverancier van de software ook wel wat verantwoordelijkheid heeft, als er beveiligingslekken in zitten. Dit punt is onafhankelijk van of het nou om microsoft gaat of niet.

      • Ook Linux en OSX hebben behoorlijk veel zwakheden, net als Windows, maar zijn veel minder in gebruik en daardoor minder kwetsbaar.

        Dat is natuurlijk niet helemaal waar (of helemaal niet). Op de server markt is *nix veel groter dan windows. Waarom thuiscomputers hacken als je ook mooie servers kan hacken die 27×7 aan staan, goede verbindingen hebben, etc. Linux is gewoon by design veiliger dan Windows. Althans zeker in het verleden.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS