Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Beveiliging | 30 reacties

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

Deel dit artikel

  1. Ik mis de rol van de webhoster in dit verhaal. Stel ik maak een website, laat die draaien en kijk er misschien een hele tijd niet meer naar. Ondertussen wordt het webhosting bedrijf gehackt en malware op mijn website geplaatst, dit is bijna altijd het gangbare scenario wanneer er malware op websites verschijnt (de oorspronkelijke webcode van de eigenaar is in deze gevallen bijna altijd vrij van malware). Ik heb echter geen enkele controle over de beveiliging van de webhoster. De vraag is nu:

    1) Ben ik aansprakelijk en moet ik zelf de webhoster weer aansprakelijk stellen.

    2) Kan ik gedupeerden direct doorverwijzen naar de webhoster.

    • Dit lijkt mij een geval “overmacht” en ik zou (om duidelijkheid te verschaffen) de webhoster (schriftelijk) aansprakelijk stellen. De webhoster heeft zijn contractprestatie met jou ook niet nageleefd.

      Hoe de juridische strijd uit gaat pakken weet ik niet. Hou er serieus rekening mee dat de gebruikers van jouw website eerst bij jou komen klagen en dat het behoorlijk wat overredingskracht kan kosten om jouw webhoster hun klachten netjes af te laten handelen.

      P.S.: Wat ook wel voorkomt is dat een website op een shared host een beveiligingsgat bevat waarmee alle vhosts op die server gehackt worden. Op zo’n moment kun jij ook de eigenaar van de lekke website aanspreken voor de kosten die jij hebt moeten maken om jouw website te herstellen.

    • Mijn eigen ervaring (gelukkig niet vanuit het perspectief van website-eigenaar is dat vaak juist wél de code van een website aangepast is. Dit gebeurt praktisch nooit bij ‘eigen’ code maar juist vaak bij standaard pakketten zoals WordPress of Joomla, en al helemaal als er slechte of slecht geupdate plugins aanwezig zijn.

      De meeste open source software limiteert de aansprakelijkheid. Nu wil dat natuurlijk niet altijd stand houden, maar in zo’n geval neig ik persoonlijk toch naar aansprakelijkheid van de site-eigenaar. Hij/zij had immers eenvoudig de software kunnen updaten.

  2. Mijn ervaring is dat malware hoofdzakelijk via reclames komt en dat virusscanners malware slecht detecteren. Vaak worden de reclames indirect op een website gezet en kan het goed zijn dat de websiteverantwoordelijke dit niet direct in de gaten heeft. Maar die malware komt wel enorm vaak voor bij website die handleidingen of schema’s aanbieden. Vaak zijn die dingen (die ze in zoekmachines plaatsen) niet aanwezig en dan denk ik dat de website mogelijk zelfs van de malwaremaker komt. De beste methode om het tegen te houden is alle reclames blokkeren. Sinds ik dat doe heb ik geen enkele malware meer op mijn oeroude PC gehad.

    • ‘Vaak worden de reclames indirect op een website gezet en kan het goed zijn dat de websiteverantwoordelijke dit niet direct in de gaten heeft’.

      Dat zal best, maar de vraag is niet of de verantwoordelijke het in de gaten heeft, maar of hij het in de gaten zou moeten hebben. Hij geeft toestemming die reclame erop te zetten, en verdient er zelfs aan, dan kan hij ook wel een beetje zorg dragen dat daar geen rotzooi tussen zit.

  3. Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen.

    Ok, beveiliging niet up-to-date dus is infectie eigen schuld.

    Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier

    Oh, dus omdat de websitebeheerder het beter kan voorkomen, is het toch geen eigen schuld. Ongeacht dat de beveiliging niet op orde was.

    of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

    Wacht, wat? Waar ligt de grens dan? De websitebeheerder is nog steeds in de beste positie om een infectie te voorkomen, maar omdat er niet aan een onzichtbare minimale veiligheidseis is voldaan is het toch weer eigen schuld?

    • Het idee van “eigen schuld” is dat de rechter een schadevergoeding kan verminderen indien de benadeelde geen of minder schade had geleden als hij adequaat gehandeld had of goed voorbereid was. Daarbij wordt gekeken naar wat “maatschappelijk gebruikelijk” is. In de praktijk kan dit betekenen dat de rechter de eigenaar van een website veroordeelt tot het betalen van bijvoorbeeld 70% van de schade van ransomware, omdat er een jaar lang geen flash update geweest is, terwijl het bedrijfje zonder backups maar 10% vergoed krijgt.

      • Toch denk ik, en volg ik dan niet dat daar de lat zo hoog moet liggen als je de dienstverlener offline aansprakelijk wil stellen. En het op het online dan weer andersom zou moeten zijn. Als ik jou volg, zou een website beheerder al een hoop kunnen voorkomen door zélf een virusscanner op zijn server te installeren. En dan bij schade roepen ‘goh, wat spijtig, maar ik heb toch echt mijn best gedaan’.

        • Een website beheerder kan een hoop problemen voorkomen door de software van zijn site up to date te houden en verder een oogje in het zeil te houden mbt. verdachte activiteit.

          Aan de andere kant, veel websites gebruiken “slinkse kunstgrepen” (inline images, objects, flash) om mij advertenties voor te kunnen schotelen. Nu wordt er regelmatig malware via advertentienetwerken verspreid en dan heeft de toepasser van de “slinkse kunstgreep” naar mijn mening toch wel iets uit te leggen.

    • Als iemand mij als passagier kwaad doet in de trein, en daarvoor gebruikt hij een methode die staat of valt bij een stukje beveiliging dat in de trein is ingebouwd, dan kun je de NS best aansprakelijk stellen.

      Concreet (verzonnen) voorbeeld: Stel je voor dat bekend raakt dat de bagagerekken boven de banken slecht vastzitten en dat als je daar op de juiste manier een ruk aan geeft, de hele boel naar beneden komt donderen. En stel je voor dat jij op een bank zit en er komt een kwajongen die dat verhaal heeft gehoord en besluit dat uit te proberen. Jij krijgt de hele boel op je hoofd en belandt in het ziekenhuis. De kwajongen is nergens te vinden natuurlijk. Dan mag je toch de NS aansprakelijk stellen?

      • Juist zoiets. Maar nu stel je als eis dat NS nalatig is geweest. Bij de website-eigenaar mis ik die nuance. Zoiets als “er werd een WordPress installatie gebruikt maar de laatste security patches waren niet geïnstalleerd, waardoor deze exploit er in kon komen…”, of “er zat geen virusscanner op de server, en die zou dit er wel uit hebben gevist.”

        Zoals Arnoud het schrijft is de website-eigenaar gewoon aansprakelijk, en zou voor overmacht de lat hoog moeten liggen… Daar kan ik me niet geheel in vinden.

    • Je zou het natuurlijk kunnen vergelijken met jezelf niet in hebben laten enten (toentertijd de keuze van je ouders) en dan ziek te worden van een te voorkomen ziekte. Die ziekte heb je gekregen van iemand die ook niet ingeënt is. Als de schuld bij die ander zou liggen, dan kan de hele biblebelt-gemeenschap elke paar jaar elkaar aan gaan zitten klagen. Of in ieder geval diegenen die ziek worden en kudde immuniteit nodig hebben om niet ziek te worden.

  4. Maar stel je hebt nog een oude PC bijvoorbeeld XP of Vista daarop. Worden niet meer ondersteund en dus ook niet geupdate. Maar je hebt geen geld voor een nieuwe PC waar dan een nieuw systeem op geinstalleerd is. Is dat dan eigenschuld? Zo ja, dan zeg je eigenlijk dat die mensen niet meer op internet mogen.

  5. Ik denk dat bepalen dat er een onrechtmatige daad is gepleegd makkelijker is dan bepalen wie de onrechtmatige daad heeft gepleegd, zelfs in het theoretische geval dat alle feiten en namen op tafel liggen. Ik neem aan dat geleden schade maar één keer vergoed hoeft te worden, dus dat als er meerdere partijen hebben bijgedragen aan de schade, elk van die partijen een bepaalde fractie van de schade moet vergoeden. De vraag is dan wat de fracties zouden moeten zijn. Wat voorbeelden:

    A. iemand die, tegen betaling door B of C, malware programmeert maar er verder niets mee doet

    B. iemand die, tegen betaling door C, malware op andermans websites plaatst door die te hacken

    C. iemand die opdracht geeft tot het plaatsen van malware, en daar mogelijk van profiteert (bijv. ransomware, spyware of botnets)

    D. een website-maker die, tegen betaling door C, expres malware op zijn site plaatst

    E. een hosting provider die, tegen betaling door C, expres malware op gehoste sites plaatst

    F. een hosting provider die de beveiliging niet op orde heeft, waardoor B malware op gehoste sites kan plaatsen

    G. een bedrijf dat advertenties matcht met websites, maar daarbij de advertenties niet handmatig controleert, waardoor B advertenties met malware op andermans sites kan plaatsen

    H. een website-maker die klant is van E, F of G, waardoor er malware op de site verschijnt

    I. een website-maker die zelf (per ongeluk) een beveiligingslek creëert, waardoor B malware op de site kan plaatsen

    J. een website-maker die toestaat dat anderen content op de site plaatsen (bijv. een wiki of een forum), maar de user content niet handmatig controleert, waardoor B content met malware op de site kan plaatsen

    Ik zou zeggen dat A tm/ E echt wat te verwijten valt, omdat ze willens en wetens bezig zijn met schadelijke activiteiten. De anderen valt misschien te verwijten dat ze onvoldoende beveiligingsmaatregelen hebben genomen, maar er is geen kwade opzet. Waar mogelijk zou wat mij betreft de schade verhaald moeten worden op A t/m E, en met name C, want daar valt waarschijnlijk veel geld te halen. Ik zou erg terughoudend zijn met schade verhalen op de anderen, want dat kan een “chilling effect” hebben: er zijn altijd risico’s dat beveiliging niet goed is, en als dat zorgt voor risico op schadeclaims, kan je niet meer vrijblijvend experimenteren met het ontwikkelen van internet-services. Om de vrijheid van het internet te bewaren is het misschien beter te accepteren dat het internet nou eenmaal een gevaarlijke ruimte is, waar je zelf verantwoordelijk bent voor je eigen bescherming, bijv. met goed beveiligde brower-software.

    • Ik neem aan dat geleden schade maar één keer vergoed hoeft te worden, dus dat als er meerdere partijen hebben bijgedragen aan de schade, elk van die partijen een bepaalde fractie van de schade moet vergoeden. De vraag is dan wat de fracties zouden moeten zijn.

      Zo werkt het gelukkig niet. Art 6:102 BW: “Rust op ieder van twee of meer personen een verplichting tot vergoeding van dezelfde schade, dan zijn zij hoofdelijk verbonden.”

    • Bij G en J zou ik het woorden “niet handmatig” willen vervangen door “onvoldoende”… Geautomatiseerd opschonen van bijdragen is gebruikelijk op wikis en fora en blijkt behoorlijk effectief, beter dan handmatig werk.

      Juridisch gezien: A t/m E zijn strafbaar en dienen strafrechtelijk aangepakt te worden. F t/m J kunnen civielrechtelijk aansprakelijk zijn voor malware die via hun website verspreid wordt. Ik geval van roekeloosheid kunnen ze misschien wel strafrechtelijk aangepakt worden. (Kan een echte jurist dit bevestigen of ontkrachten?)

      Hoe heet de aansprakelijkheid opgediend wordt bij H hangt er van af van hoe ver hij de dienstverleners (in alle redelijkheid) mocht vertrouwen. Als je bij een bekende prutser blijft kan dat jou tegengeworpen worden.

  6. Ik denk dat het te kort door de bocht is om de eigenaar van de website aansprakelijk te houden omdat deze mogelijk geen volledige controle heeft over de hosting-omgeving. Uit eigen ervaring weet ik dat Shared Hosting, waarbij de hoster tientallen sites op een enkele host beheert, some enorme problemen kunnen opleveren. Ik had in het verleden een site op zo’n host die keer op keer werd besmet door malware simpelweg doordat vanuit een andere gebruiker/site op dezelfde host het geheel steeds weer opnieuw werd besmet. De hoster ondernam hier ook geen actie tegen dus ben ik uiteindelijk opgestapt. Maar met Shared Hosting is de kans op een besmetting via een andere site op dezelfde host enorm groot.

    Maar Shared Hosting is ideaal voor kleinere bedrijven die alleen een simpele website willen.

    Een ander probleem is dat de meeste site-eigenaren niet eens weten hoe ze hun sites moeten beveiligen en dit overlaten aan de beheerders van de servers. Dus ook al huren ze een VPS omgeving om zo hun eigen virtuele server te hebben, ze weten nog niet hoe de beveiliging van die server opgezet moet worden.

    Persoonlijk vind ik dus dat de eigenaar van de server verantwoordelijk gehouden moet worden en niet de eigenaar van de website. Het is immers de server die de besmetting aanlevert. De server-eigenaar zou dit dan eventueel weer kunnen doorberekenen aan de site eigenaar als deze onzorgvuldig is geweest met zijn site…

  7. Is iets dat je overkomt een daad? Als ik zonder het te weten met ebola terugvlieg naar Nederland en een halve provincie uitroei, of ik fok geiten en veroorzaak zonder het te weten massale Q-koorts, heb ik dan een onrechtmatige daad gepleegd?

    Altijd? Nooit? Hangt het af van in hoeverre ik vooraf al had moeten weten in hoeverre er een risico was?

    • Nu er in Nederland een verplichte vaccinatie voor geiten is, ben je schadeplichtig als jouw ongevaccineerde geiten een infectiebron worden.

      De discussie over “onrechtmatige daad” en “verwijtbare nalatigheid” kent veel tinten grijs. De jurist zegt: de uitkomst is afhankelijk van de feiten in de zaak.

      Bij sommige ziekten bestaan er besmettelijke maar niet zieke “dragers”. Als je niet in redelijkheid kunt vermoeden dat je drager bent, is het nmm geen onrechtmatige daad om gewoon aan het maatschappelijke leven deel te nemen. Als je in het buitenland met dodelijk zieken gewerkt hebt lijkt het me opportuun om bij terugkomst in Nederland even in quarantaine te gaan.

  8. Die aansprakelijkheidscultuur toch altijd.

    Waarom moet de eigenaar van de website aansprakelijke zijn? Niemand verplicht jou toch om naar die website te gaan. Als je daar naar toe gaat, loop je een risico op een computerbesmetting. Als je naar een melaatsenkolonie of een land met malaria gaat, loop je kans die ziektes te krijgen. Als je buitenkomt loop je kans in een hondendrol te stappen.

    Er zijn nu eenmaal dingen die risico met zich meebrengen. Je accepteert dat en je doet je best om dat risico te beperken (of niet, moet je zelf weten), of je accepteert dat niet, dan doe je die dingen gewoon niet.

    Iets anders is het natuurlijk als je iets MOET doen via een bepaalde website van de overheid of zo.

    Kunnen we het niet gewoon simpel houden: tenzij er bijzondere omstandigheden zijn is dit gewoon een gevalletje ‘pech’ zonder aansprakelijkheid voor schade?

    • Dus als je een winkel binnenstapt en er zijn enkele gaten in de vloer en je breekt je enkel, dan is dat jouw fout want je had maar moeten uitkijken? Of je gaat een restaurant binnen en je wordt ziek omdat hun vis niet al te vers meer is, dan zeggen we maar ‘ach ja, dat heb je soms wel snel met vis’?

      Lijkt me toch logisch dat websiteseigenaars verantwoordelijk zijn voor wat er op hun site staat qua schadelijke dingen? Je verstoppen achter de reclame host service lijkt me toch te gemakkelijk. Dat moet de website de geleden schade op zijn beurt maar verhalen op de reclameboer. Zou gebeurt dat bij niet computer zaken toch ook?

      Is dit in de praktijk lastig? Ja, maar vooral omdat iedereen in de industrie tegenwoordig sneller vooruit wil als de security van zijn dienst kan volgen. Niemand aanvaard dit bij auto’s of vliegtuigen, maar bij software kan bijna alles. Ik weet ook dat het onmogelijk is om een volledig bugvrije site te hebben die 100% is dicht getimmerd, maar 95% of 99% kan je misschien wel verwachten.

      • Wel, de hele vraag is: moet je een gratis website bezoeken vergelijken met vis eten in een restaurant (waar je voor betaalt en dus ook iets mag verwachten) of eerder met een strandwandeling waarbij je zou moeten weten dat je kleren misschien vies en nat worden of een bergwandeling waarbij weet dat je in het ravijn kunt vallen?

        Uitzonderingen daargelaten vind ik eigenlijk het tweede: je trekt virtueel de wildernis is. Meestal blijkt die wildernis niet zo wild, maar soms kunnen er toch onaangename dingen gebeuren. Tja, je wilde zelf de wijde wereld verkennen.

        Dat is geen vrijbrief om maar bewust gevaarlijke situaties te creeeren/in stand te houden, meer een pleidooi voor wat redelijkheid.

  9. Een vorm van aansprakelijkheid van de website eigenaar vind ik wel redelijk, maar volledige aansprakelijk lijkt juist met internet heel onredelijk uit te pakken:

    In de fysieke wereld zul je (als prive persoon) bewust heel veel moeite moeten doen om verantwoordelijk te worden voor schade bij duizenden. Maar stel je voor: je bouwt als website-beginneling een eerste website-je (om het te leren), kijkt er niet meer naar om, iemand hackt zonder dat je het merkt je site, en zet er vervolgens iets op dat heel veel schade veroorzaakt. Het web kent miljarden gebruikers, dus het zal best eens lukken om voor vele miljoenen schade te veroorzaken verspreid over vele miljoenen gebruikers. Voelt niet lekker dat je daar dan volledig aansprakelijk voor bent en iedere gebruiker (voor groot deel) schadeloos moet stellen.

    En nog een stap verder: ik zie geen principieel verschil in deze tussen een website en een PC, laptop, telefoon, router of tablet die geinfecteerd raakt en daardoor (grote) schades op internet veroorzaakt. De eigenaar is dan toch net zo goed aansprakelijk?

    Zijn er principes in het recht om dit soort aansprakelijkheidsuitwassen in te perken?

  10. @Arnoud En nog een vraagje: hoe ben je juridisch eigenaar van een website? Een website is data, en data was juridisch toch niets? Zou je dan niet moeten zeggen dat de eigenaren van de hardware die de website mogelijk maken aansprakelijk zouden moeten zijn? Dus veelal eigenaren van de cloud infrastructuur. Dat klinkt eigenlijk wel weer redelijk.

    Blijft het nog wel wat gevaarlijk om op een eigen server te experimenteren, maar dat doen al veel minder beginners….

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS