Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

17 reacties

  1. Met een beetje geluk heeft die systeembeheerder dan een eigen huis + auto. Dat is toch al gauw 3 ton. En als zo iemand een veroordeling krijgt… dan kan zo iemand een VOG (en dus een baan bij toekomstige werkgevers) ook wel vergeten…

  2. Zorg dat data niet gewist kán worden door één persoon

    In kleinere organisaties met een handvol systeembeheerders is het vaak onrealistisch om toegang te splitsen, zeker als er ook zo af en toe mensen op vakantie gaan en de continuiteit wel geborgd moet blijven.

    Een oplossing kan dan zijn om bijvoorbeeld ook offiste backups te maken met een langere retentie. Die backups draag je over aan een niet-technisch persoon binnen de organisatie die deze in een kluis bewaart. Mocht Pietje dan een keer een slechte dag hebben, dan heb je in ieder geval iets om op terug te vallen.

    In het kader van die WBP zorg je er natuurlijk wel voor dat die backups encrypted zijn, maar dat spreekt voor zich 🙂

    1. Je wil dat niet thuis bewaren, zoiets laat je aan een gespescialiseerd bedrijf over dat eens per week de tapes ophaalt en veilig opslaat. Zo’n bedrijf zal het niet vergeten.

      En dat bied je gewoon als optie aan bij je paketten: veilig opslag op tapes zodat in het geval van een brand of hack je data nog steeds offline beschikbaar is a 5 euro/maand.

        1. Dit soort backups kost geld, niet gek dat je daarvoor betaalt. En heel gek is het ook niet om een goedkopere oplossing zonder deze optie te hebben. Ik heb volledige backups van mijn sites thuis liggen, niet omdat ik bang ben voor rogue employees, maar omdat ik mijn site wil kunnen verhuizen als mijn huidige hoster failliet zou gaan.

          Ik heb zo’n extra service van een hoster dus niet nodig, fijn als ik er ook niet voor betaal.

          1. Nee, je verwacht bij een hoster, klein of groot, dat die zorgt dat je data niet kwijt kan raken door 1 werknemer die dom doet, of door 1 iemand die bewust schade wil aanrichten, of zelfs door een eigen faillisement Net zoals je bij de dokter verwacht dat hij zijn instrumenten steriliseert.

            Als hij dat goed organiseert kost dat vrijwel niets. Dat hoort gewoon bij het basistarief in te zitten.

            1. Maar bij een faillissement is het probleem dat de Hoster niets meer te zeggen heeft over de data. De curator beslist dan. Dit wil niet zeggen dat die data wordt weggespeeld, maar kan wel betekenen dat deze ontoegankelijk wordt, zelfs met back-up tapes.

  3. Veel bedrijven hebben te maken met informatie die niet kwijt mag raken (of in handen van derden terecht mag komen). Dat is dus een belangrijke voorwaarde voor de continuiteit, waar je als bedrijf dus maatregelen voor moet nemen. Een manier om dit te bereiken is een isolatie van verantwoordelijkheden (zodat niet zowel de on-line data als de backups ervan door dezelfde person kunnen worden weggegooid). Verder kan het zinvol zijn om sommige gegevens-beheer operaties alleen mogelijk te maken als meerdere personen deze geauthoriseerd hebben. Ook daar zijn electronische oplossingen voor. Merk op dat dit niet een kwestie van wantrouwen is, maar juist een bescherming van de medewerkers/personeelsleden. Deze personen lopen dan minder risico om onder druk gezet te worden (afpersing en dergelijke). Technische maatregelen ter bescherming van bedrijfskritische gegevens beschermen dus zowel het bedrijf als de medewerkers.

    1. Dat betekent ook dat een ransomware-infectie zo’n bedrijf fataal kan worden. Als je maatregelen treft tegen een soort “datavernietiging-aanval”, maak je andere aanvallen uit dezelfde klasse ook lastiger.

  4. In zo’n geval wil je een authenticatie van twee 2 personen. De kans dat twee personen het eens worden om tot zo’n daad over te gaan is vele malen kleiner dan dat 1 persoon tot zo’n daad over kan gaan. Dat heeft te maken met hoe schadelijk de daad is.

    Theoretisch gezien kun je via pasjes enkel toegang verschaffen tot backups wanneer 2 geauthenticeerde personen met toegang allebei toegang willen. Theoretisch gezien kan dit ook via root of sudo. Kan dat eigenlijk via root/sudo? Dat 2 personen moeten authen voordat een commando wordt uitgevoerd?

    Ik denk niet dat bovenstaande standaard beleid wordt. Het moet eerst een aantal keer goed fout gaan.

    1. Zodra het systeem zelf ook de data moet kunnen aanpassen en/of verwijderen, zal het bijzonder lastig worden om dat voor systeembeheerders in te perken. Dan moet je het dus zo inrichten dat verwijderen en aanpassen van data domweg niet kan, niet voor de systeembeheerder noch voor het systeem zelf.

      Voor de programmeurs onder ons, dat is een van de resultaten dat te bereiken is met “event sourcing”. Waarbij je bij een aanpassing niet zozeer de nieuwste versie van een bestand opslaat, maar juist een ‘beschrijving’ van de modificatie. Om dan tot de nieuwste versie van dat bestand te komen, moet je al die beschrijvingen combineren (eventueel vanaf een bepaald punt in de tijd).

      Als je dat vervolgens combineert met media dat slechts eenmalig beschreven kan worden, dan heb je het min of meer onmogelijk gemaakt om data te vernietigen. Er zijn vast legio voorbeelden te vinden waarbij iets dergelijks mogelijk is (een log-based filesystem doet iets soortgelijks, maar overschrijft meestal dat log na een bepaalde tijd).

      Dat soort oplossingen zijn echter over het algemeen complex en duur, zeker als je huidige systeem er niet al (eventueel via een omweg, zoals een database dat het kan) een zekere mate van ondersteuning voor heeft… En met een beetje pech zijn de oplossingen ook nog eens lastig te verenigen met andere doelen, zoals de verplichting om data na bepaalde tijd juist wel te vernietigen (wbp) of het halen van hoge verwerkingssnelheden.

  5. Een vorige werkgever van mij heeft alles (het hele bedrijf) in stichting gedaan en de rest zijn echt kleine werkmaatschappijen, dus is het risico dan duidelijk niet zo groot. (btw een van de grotere ICT bedrijven van NL en de eigenaar heeft ook nog wat ingenieurs- en adviesburea’s erbij gekocht) Dit heet hij ook gedaan om als hij komt te overlijden dat er niet teveel o.a. secessie recht naar de staat gaat waardoor het bedrijf het eventueel niet zou overleven. Een beetje vergelijkbaar als dat J. van den Ende zijn huis in een stichting heeft zitten en daar door is de ‘overdracht’ gratis bij overlijden. De stichting is o.a. voor duurzaam onderhoud fam vd ende en zijn dan ook de enige bestuursleden. Waarschijnlijk zijn dit de zaken waarom de staat dit graag openbaar wil maken, maar damn moeten ze zelf ook met de billen bloot…

  6. Ik vraag mij af of je als klant van een kleine hoster niet ook zelf verantwoordelijk bent voor je belangrijke data en dus regelmatig zelf ook backups zult moeten maken. Een klant die al zijn data verliest doordat bij de hoster een kwaadaardige admin zat die alle data vernietigt is naar mijn mening zelf ook niet erg verstandig. Je hebt volgens mij toch ook zelf enige verantwoording over je data.

    En verder, data is toch niets? Data heeft toch weinig wettelijke betekenis? Dus hoe groot kan de schade uiteindelijk zijn?

    1. Er zijn in ieder geval genoeg redenen om zelf backups te hebben. Overmacht is ook altijd mogelijk. In andere woorden denk eens aan die fotograaf die megafiles gebruikte voor zijn fotoarchief en toen een falende harde schijf had terwijl megafiles gestopt was door de FBI.

    2. Los van het dataverlies is er ook down-time en daar is doormiddel van voorliggende verkoopstatistieken een prijskaartje aan te plakken. Het is altijd verstandig om zelf een back-up te maken. Schade aan de pagina kan bestaan uit manuren die nodig zijn om de pagina weer in ruwweg dezelfde staat te brengen. Het is dan niet zozeer de verloren data waarvoor je vergoeding vraagt, maar de verloren manuren. Of dit stand houdt bij een rechter is de vraag maar daar beslissen wij niet over.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.