Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

Een lezer vroeg me:

Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat. Kunnen wij de wachtwoorden opeisen?
Dat zal echt 100% afhangen van wat in je contract met die leverancier staat. Als er niets staat, dan heb je een enorm probleem als je de wachtwoorden niet hebt en de diensten kritisch zijn voor je bedrijfsvoering.

Er is in de wet niets bijzonders geregeld over toegang tot diensten. Die worden geen eigendom van de klant bijvoorbeeld, in tegenstelling tot zeg de producten die voor je worden gemaakt. Zulke producten zou je nog kunnen opeisen (hoewel eigendomsvoorbehoud et cetera daar het ingewikkeld kan maken) maar het wachtwoord voor een dienst die beheerd wordt door de dienstverlener, dat valt daar zeker niet onder.

Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd. Die zou jou dan een nieuw wachtwoord moeten geven. Of die dat doet, is de vraag; vaak werken die met resellers of dit soort ICT-partners omdat ze niet zelf met de eindklant bezig willen zijn.

Dit is dus waarom je het contractueel moet regelen met die leverancier. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten. Dan hoeven ze niets te doen, dus ook niet de afspraak nakomen dat ze je wachtwoord moeten geven. Natuurlijk moet de reden voor die ruzie dan wel kloppen, maar hoe dan ook ben je vele weken verder totdat de rechter in kort geding oordeelt dat de wachtwoorden toch moeten worden gegeven.

Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Arnoud

13 reacties

  1. Kennelijk is het bedrijf waarmee het conflict is en die het wachtwoord heeft een ander bedrijf dan het bedrijf dat de dienst levert waar het wachtwoord voor nodig is. Het wachtwoord krijgen zou anders niks oplossen, omdat ze dan alsnog jouw account kunnen blokkeren.

    Als het een online dienst is, dan kan je proberen aan te kloppen bij die dienst zelf voor een wachtwoord reset. Maar als het is voor een lokale server, kom je dan alsnog bij eigendom in de buurt? Als je geen eens de server af kan sluiten (daarvoor moet je inloggen) en je alleen maar de stekker eruit kan trekken met alle data corruptie die daarbij hoort, dan kan je geen normaal gebruik maken van je eigendom zonder het wachtwoord.

    Ik zou het dan vergelijken met een futuristisch huis gekocht hebben waar geen sleutels maar pincodes gebruikt worden en je moet elke keer een raam intikken om binnen te komen omdat je de pincode niet hebt gekregen.

  2. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten

    Nou is mijn kennis van contractenrecht enigzins beperkt, maar zou je dit met een passage als dit kunnen voorkomen?

    Ook indien leverancier de overeenkomst opschort blijft zij verplicht de wachtwoorden onverwijld ter beschikking te stellen aan opdrachtgever

      1. Lijkt me ook vrij nutteloos. Dan kun je er ook in zetten dat ze die wachtwoorden gewoon meteen moeten geven, voordat er uberhaupt van opschorting sprake is.

        Zit je wel met de vraag: Wat als ze die wachtwoorden nou bij een conflictsituatie gaan veranderen zodat je er niet meer bij kan?

    1. Terecht punt, maar wat is volgens jou de beste praktijk als ik dienstverlening laat beheren door een externe partij? Dus de dienst is van M, maar alle beheer wil ik neerleggen bij A. Zowel A als ik willen dat ik er niet standaard bij kan, zodat we geen ruzie krijgen over wiens fout het was als er iets misging. Maar zodra A moeilijk doet over de factuur, wil ik de dienst zelf over kunnen nemen en daar mag A niets aan kunnen doen.

      (De klassieke oplossing is het wachtwoord in een envelop bij de notaris. Maar hey het is 2021!)

      1. Je geeft het antwoord al: het wachtwoord (of beter: een USB device met een SSH key, en/of een stuk papier met een SSH key passphrase) van een dedicated escrow account in een envelop bij de notaris. Eventueel stop je daar ook nog een 2FA device of een stuk papier met 2FA recovery codes bij (zodat het toch nog 2021 voelt ;). Die kan je ook in een la bij de directeur leggen maar wellicht wil je je diensten ook beschermen tegen een rogue directielid.

    2. Dat kan allemaal natuurlijk heel goed. Het idee van zo’n dienst afnemen is nu juist dat je al het gedoe niet meer zelf wil doen; dus je medewerkers hebben allemaal een persoonlijk account met bijpassende rechten, en voor de rest laat je alles over aan die leverancier, inclusief het beheer e.d. Er zijn bovendien plenty diensten waar je een soort “local” account hebt die juist niet afhankelijk is van 2FA en zo, om als beheerder ook in te kunnen loggen bij storingen, upgrades e.d. Ik heb geen idee om wat voor dienst het precies gaat, maar heel vreemd is het niet dat er sprake is van een “admin”-account met een password.

      1. En als er dan iets is verziekt dan kom je uit bij de gebruiker “admin” en weet je nog steeds niet wie het verziekt heeft. Nee, zodra je de dienst inricht maak je admin gebruikers op naam aan en disable je het admin account voorgoed. Dat zorgt er ook voor dat een aanvaller eerst nog eens de naam van die medewerkers moet kennen en niet het “Administrator” account kan gaan bruteforcen.

        Daarnaast ageerde ik vooral tegen het overdragen van het wachtwoord. Dat laat je dan dus resetten. Je hebt het dan over het overdragen van het account. Dergelijke dienstverleners hebben ook niet de neiging om die wachtwoorden (voldoende) te varieren tussen hun klanten.

        Anekdote 1: in de jaren 90 verleenden we diensten voor een kabel-ISP. Deze hadden security hoog in het vaandel (vonden ze) en stuurden elke week het nieuwe admin wachtwoord per SMS toe. Na vier wachtwoorden konden we eenvoudig hun formule bepalen en zo de wachtwoorden tot in de verre toekomst genereren.

        Anekdote 2: we hadden een systeembeheerder/helpdeskmedewerker in dienst die te lui was om naar de medewerker die hij moest helpen toe te lopen, en impersonatie werkte niet altijd goed. Dus als iemand belde vroeg hij gewoon het wachtwoord van die medewerker en logde remote in. Bijna iedereen gaf zijn wachtwoord zonder problemen af. Ook als dat <naam collega>zuigsletje!!1! was.

  3. Ik krijg er altijd kriebel van om dit soort gevallen te lezen. Web developers die 5000 euro vragen voor een export van een WordPress database. Klanten laten betalen voor een security update. Bouwen op een gratis GPL software product, maar dan closed-source houden, en hier, het “kapen” van toegangssleutels. Met de digitalisering van de maatschappij, waarom volgt de wet niet op de voet? Is “digitaal is niets, het is geen product in de context van de wet” niet verouderd? Of krijg je alleen maar rare dingen, zodra je 1’tjes en 0’tjes kunt stelen?

    Je hebt een warenhuis. Je huurt een veiligheidsbedrijf. Deze hebben sleutels voor toegang tot alles. Je zegt contract op en dan: “Ja maar, wij weigeren de sleutels over te dragen”. Hoe is dat acceptabel?

    Een andere is: Hoe je garant staan voor de veiligheid, indien een derde partij, niet onder contract, jouw sleutels heeft? Als de derde partij de wachtwoorden gebruikt om in te loggen, plegen ze dan niet computervredebreuk? Het systeem is immers wel van de eigenaar? Kun je niet zeggen als veiligheids officier: ok, dan geef je sleutels niet, maar stuur je bewijs dat je ze hebt vernietigd. Dan moet de derde partij een harde keuze maken: indien vernietigd hebben ze geen stok achter de deur, en maken ze het zichzelf lastig wettelijk gezien.

    Ik vind het niet billijk dat sleutels worden achtergehouden, ongeacht of dit wel of niet in het contract staat (staat er: “opdrachtnemer mag wachtwoorden achterhouden bij achterstallige betaling”, ok, maar dat staat er ook niet). Dit is dus niet contractueel geregeld, en billijkheid stuurt dan in voordeel van de opdrachtgever (wachtwoorden achterhouden is echt niet gangbaar, anders wel vermelding in meerdere contracten). Waarom is de opdrachtgever de bok in deze unieke situatie?

    1. Bij fysieke sleutels kun je als eigenaar deze terugeisen. En meer algemeen kun je toegang forceren tot je eigendom, desnoods de hele deur eruit en slot vervangen. Maar ik zou eerlijk gezegd niet weten welk rechtsmiddel je hebt als het bewakingsbedrijf eigen sloten plaatst (“alleen zo kunnen wij inbraakpreventie garanderen”) en dan bij een geschil over betaling weigert deze te openen.

      Je ziet dit trouwens vaker, bijvoorbeeld een aannemer die de sloten verandert omdat de eigenaar van het grondig te verbouwen pand de rekeningen niet meer betaalt. Of nog simpeler: waarom mag de fietsenmaker mijn fiets wel achterhouden tot ik het bandenplakken betaal, en de ICT-totaaloplosser niet mijn adminwachtwoord?

  4. “Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd.”

    Waarom is dat anders dan bij bijv. online-aankopen? Als ik een online-aankoop toe, kan ik niet direct naar de fabrikant omdat ik het met de winkel in kwestie moet oplossen, ofwel met de leverancier (de winkel fungeert immers als leverancier).

    1. Dit is niet anders? In beide gevallen spreek je de partij aan die je moet hebben, namelijk de winkel (bij de aankoop) en de dienstverlener (bij de ICT-dienst waar die ICT-leverancier voor verantwoordelijk is). De aanname bij het laatste is dat je rechtstreeks contracteert bij de uiteindelijke dienstverlener, bijvoorbeeld Microsoft voor Office 365. Dat is dan weer anders dan bij de winkel, waar je niets afspreekt met de fabrikant en daar dus ook niet heen verwezen mag worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.