Wanneer ben je nou gebonden aan rare bedingen in een disclosurebeleid?

Via Twitter:

Stel: @DIVDnlvind een lek bij veel organisaties en gebruikt security.txt om contactgegevens te vinden en in bulk organisaties te informeren. Wat als één van die organisaties een disclosure beleid hanteert met een eenzijdig geformuleerde geheimhoudingsclausule?
DIVD is het Dutch Institute for Vulnerability Disclosure dat opereert als een tussenpersoon: zij worden geïnformeerd over security issues en berichten dat aan organisaties die daarmee aan de slag moeten. Denk aan leveranciers in wiens software een gat wordt ontdekt, of bedrijven wiens gegevens zijn gelekt. Security.txt is een standaardmiddel voor het informeren van organisaties: je zet dit op je website en plaatst er contactgegevens in van de security-persoon die over incidenten of kwetsbaarheden moet worden geïnformeerd. Dit bestand is machine-leesbaar, zodat je automatisch zaken als het e-mailadres eruit kunt vissen om er vanuit je eigen applicatie een notificatie heen te sturen.

Een van de informatievelden die in een security.txt-bestand staat, is het policybeleid waaronder je meldingen aanneemt. Dit is dus de vulnerability disclosure policy of responsible disclosure policy, waarin een bedrijf uitlegt hoe je tips doorgeeft, hoe ze daarmee omgaan en wat ze van jou verwachten. En dat is dus waar de Twittervraag over gaat: als men daarin zet “gij zult voor eeuwig zwijgen over het gemelde op straffe van eene boete van vijftienhonderd florijnen”, hoe bindend is dat dan en op wie?

Het haakt in op de recente discussie over ethische hackers in België, waar ook verwezen werd naar strenge geheimhouding als je binnen een wettelijk beschermingsregime wilde opereren. Maar een kernverschil is wel dat het daar gaat over een wettelijk regime, waar je het mee te doen hebt. Hier gaat het over privaatrechtelijke regels, juridisch gezien algemene voorwaarden die deel uit kunnen maken van een overeenkomst. Als je een overeenkomst sluit met een strenge geheimhouding, dan zit je daaraan vast. Als professioneel opererende partij is daar weinig discussie over.

Het lastige is natuurlijk, waardoor zit je aan die voorwaarden vast. Een handtekening zet je niet, en je communiceert ook geen akkoord op andere wijze. Je handelt conform het gepubliceerde beleid, maar dat is zeker niet genoeg. Juristen noemen dat “browse-wrap” overeenkomsten, naar analogie met de click-wrap overeenkomst waarbij je door klikken op “I agree” ergens mee akkoord gaat, en met de oudere shrink-wrap overeenkomst waarbij je akkoord gaat (althans, beweerdelijk) door het krimpfolie te verbreken. (Alles hierover in mijn nieuwe boek.)

Hoofdregel uit de wet is dat browse-wrap overeenkomsten niet legaal zijn. Dit haal ik uit een arrest van het Hof Den Haag uit 2018, dat het sluitstuk is van acht jaar procederen inclusief de hulplijn van het Hof van Justitie. Na een zéér diepgravende analyse van internationaal privaatrecht, Iers versus Engels versus Nederlands recht en of een rechtskeuze uit algemene voorwaarden meeweegt bij de vraag of die voorwaarden bindend zijn, komt men met een zeer recht-voor-z’n-raap conclusie over browse-wrap:

Waar deze juridisch onbeschermbare [prijs]gegevens [van Ryanair-vluchten] voor een ieder gratis en vrij toegankelijk zijn openbaar gemaakt op een openbare website [van Ryanair zelf], zal een redelijk persoon niet denken dat PR Aviation, louter door de website te bezoeken en/of deze gegevens te verzamelen, zich wilde binden aan de gebruiksvoorwaarden die haar verbieden om die gegevens te verzamelen en te gebruiken, noch aan de daarin opgenomen rechtskeuze. Ter vergelijking: wie op straat aan een muur, of in een étalage zichtbaar vanaf de openbare weg, een aanplakbiljet heeft opgehangen met een tekst waarvan de eerste regel luidt: “Wie verder leest, moet € 5,- betalen”, mag er niet zo maar op vertrouwen dat een voorbijganger die de tekst verder leest, zich heeft willen binden aan deze voorwaarde.
Zou je ergens in moeten loggen of een aanvraag doen, dan kan men wel voorwaarden stellen. Het ging hier dus goed (voor PR Aviation) omdat de gegevens openbaar én onbeschermd waren. Dat analoog toepassen zou dan zijn: “als iemand gewoon een tip over een kwetsbaarheid wil doorgeven, dan mag je er niet op vertrouwen dat die zich wilde binden aan jouw voorwaarden”.

Daar staat natuurlijk tegenover dat het onderzoeken en uitpluizen van vulnerabilities al snel in de sfeer van computervredebreuk terecht komt, omdat je op plekken komt waarvan je moet weten dat je er niet hoort te zijn. Daardoor heerst het beeld dat je maar beter de policy-regels kunt accepteren, want dan zal men geen aangifte doen of je civielrechtelijk aanspreken op de schade. Dus je gaat dan semi-vrijwillig akkoord omdat het alternatief “nee ik was wel binnen maar ik verwerp jullie regels” neerkomt op een bekentenis van een misdrijf.

Maar is het wel een misdrijf, zo’n ethische hack? Het Openbaar Ministerie denkt daar volgens mij anders over, die focussen op het maatschappelijk belang en je proportionaliteit/subsidiariteit maar niet op de vraag of je keurig de regels van het bedrijf gevolgd hebt. Gezien die regels lijkt het mij zeer onwaarschijnlijk dat je vervolgd wordt als je volgens de algemeen aanvaarde ethische regels werkt maar er gezien de situatie wel voor kiest om na een redelijke periode te publiceren over de vulnerability.

Een civielrechtelijke zaak dan, men dagvaardt je wegens onrechtmatige daad en claimt tonnen aan schade plus een verbod met dwangsom om ooit nog in de buurt van hun IP-range te komen? Dat kan natuurlijk altijd, alleen bij ethisch hacken is er haast per definitie geen schade, dus wat wou je dan claimen? Los daarvan lijkt het me moeilijk te spreken van onrechtmatig handelen als het geen computervredebreuk is omdat je het ethisch verantwoord deed.

Dan blijft contractbreuk over: los van de rechtmatigheid, wij hadden áfgesproken dat jij je mond zou houden toen jij de melding deed, en die afspraak schend je nu. Maar eenzijdig iets afspreken kan dus niet, en dan komen we terug bij die Ryanair-zaak over de vraag of je akkoord was gegaan met die voorwaarden omdat ze ergens te lezen waren. Ik zie ondertussen nog steeds geen reden waarom dat zo zou zijn, als een CVD-melding een gewone, legale actie is dan zie ik dat als analoog aan die tekst op de muur. De enige uitzondering die ik kan bedenken is als je iets extra’s zou willen, zoals een beloning. Dan doe je meer dan alleen een melding en kan er ook meer van je verwacht worden.

Arnoud

 

 

7 reacties

    1. Het versturen van een betaalverzoek mag, maar pas op met de formulering zodat de ontvanger het niet als “spookfactuur” ziet.

      Maar je kunt bij je bug-melding wel melden dat je de algemene voorwaarden zoals verwoord in het “disclosure beleid” niet accepteert en je eigen richtlijnen hanteert (voeg deze als bijlage toe.) Je kunt dan ook aangeven dat verdere hulp bij het verhelpen van het probleem afhankelijk is van acceptatie van jouw voorwaarden.

  1. Dank voor het uitzoeken Arnoud. We zijn bij DIVD ook niet zo bang dat we hier last van zouden krijgen. We versturen veelal geautomatiseerd meldingen van kwetsbaarheden naar de eigenaar van de systemen. Dat we ongevraagd hun gegevens verwerken zou je kunnen zien als strijdig met AVG en andere bepalingen, maar hiervan zeggen wij: je mag best een klein beetje de privacy schenden om een grotere privacyschending te voorkomen. We hebben dit laten uitzoeken en dit valt onder ‘slachtoffernotificatie’. Ben je daarmee bekend?

    1. Dank je wel Chris, altijd leuk te horen. Als je een linkje hebt met meer informatie over die constructie, dan graag. Het lijkt mij ook vrij evident legaal onder de AVG dat je mensen wilt bereiken om ze te wijzen op een probleem (zoals dat hun gegevens gelekt zijn). De AVG is niet gek.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.