Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me:

Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat je op zeker moment naar buiten treedt, natuurlijk wel op zorgvuldige wijze. Kunnen bedrijven dit zo stellen, is dit rechtsgeldig? Dan gaat toch het hele concept onderuit?

Een bedrijf dat responsible disclosure-beleid publiceert en daarin zegt dat er nimmer mag worden gepubliceerd zonder haar toestemming, is wat mij betreft misleidend bezig. Dat is niet wat de term responsible disclosure impliceert en het is zeer ergerlijk dat bedrijven op die manier doen alsof ze RP-beleid hebben.

Het hele idee achter responsible disclosure is dat kwetsbaarheden op zeker moment publiek móeten worden, omdat dan iedereen er rekening mee kan houden. Als de good guys hun mond moeten houden dan kunnen bedrijven kwetsbaarheden onder de pet houden. Wat slecht is voor de maatschappij, want de bad guys weten het toch wel. Natuurlijk is het ook weer niet de bedoeling dat kwetsbaarheden direct publiek worden, want dan kan er misbruik van worden gemaakt zonder dat het bedrijf het kon repareren.

De Leidraad over responsible disclosure uit 2013 van de overheid zoekt naar een middenweg. Het idee is dat melder en bedrijf in overleg treden over wanneer naar buiten te treden, met als vuistregel 60 dagen na de melding. Maar dát er naar buiten getreden wordt, staat daarbij voorop. En gezien het belang van security in ICT-systemen is dat ook niet meer dan logisch. Wie anno 2017 nog verdedigt dat security by obscurity beter is, kan beter wat anders gaan doen.

Of responsible disclosure beleid rechtsgeldig is, is een lastige vraag. Beleid is natuurlijk maar beleid, en dat kan zomaar veranderen. Belangrijkste is: wat dóet het, dat beleid. Zijn daar rechten of plichten aan te ontlenen? Plichten opleggen in beleid is erg moeilijk, want de wederpartij moet daar wel mee akkoord gaan. Je kunt dus niet op voorhand iemand aansprakelijk laten zijn voor alle schade die het gevolg is van een ontdekte kwetsbaarheid. Omgekeerd is het wél makkelijk mogelijk om het bedrijf te houden aan een toezegging. Met name dus de toezegging “wij zullen geen aangifte/schadeclaim doen als je je aan het beleid houdt”.

Arnoud

Mag je anno 2016 nog een telefoon verkopen met een 2 jaar oude Android?

| AE 9123 | Beveiliging, Contracten | 21 reacties

kurio-telefoonEen lezer vroeg me:

Wij kochten recent een Kurio telefoon, die wordt geadverteerd als “de veiligste telefoon voor kinderen”. Alleen bleek het ding binnen de kortste keren vol met virussen te staan, en na enig opruimwerk zag ik dat de telefoon Android 4.2.2 draait en dat het toestel dus zo kwetsbaar is als wat voor de Stagefright-bug uit 2015. Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?

Dat lijkt me wel, maar helaas is deze praktijk zó wijdverbreid dat het haast ondoenlijk is hier een punt van te maken.

Een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Dat noemen we de conformiteitseis. Als een toestel daar niet aan voldoet, dan moet de winkel het gratis herstellen of vervangen. Laat bijvoorbeeld het scherm een stukje los na drie maanden, of doet de batterij het al na een half jaar niet meer, dan is dat een conformiteitsgebrek.

Smartphones zijn echter een stuk complexer en vertonen in de praktijk vaak eerder gebreken op het gebied van beveiliging. En dat is juridisch lastig, want er is geen expliciete regel dat ICT-apparatuur goede security moet hebben. Dat maakt het dus moeilijker om aan te tonen dat sprake is van een conformiteitsgebrek als de firmware uit zo’n toestel een securitybug blijkt te hebben, ook omdat de meeste mensen zich daar moeilijk wat bij kunnen voorstellen of het niet merken als hun telefoon gehackt wordt.

De Consumentenbond heeft een proefproces hierover gestart tegen Samsung. De Bond ziet het als onrechtmatig (ik neem aan: als conformiteitsgebrek) om telefoons zonder recente firmware uit te brengen, en om niet twee jaar lang nog updates na te leveren. Men verloor eerder in kort geding omdat deze vraag te complex werd geacht voor die spoedprocedure. Ik hoop dat het vonnis uit die zaak meer duidelijkheid gaat brengen, want wat mij betreft hoort dit gewoon een uitgemaakte zaak te zijn.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

| AE 9014 | Beveiliging | 11 reacties

Jaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die… Lees verder

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Beveiliging | 13 reacties

Een lezer vroeg me: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe… Lees verder

Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Beveiliging | 30 reacties

Een lezer vroeg me: Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn? In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren. Op zich is het… Lees verder

Hoe kun je voldoen aan een beveiligingsplicht én een achterdeurplicht?

| AE 8879 | Beveiliging | 52 reacties

Een lezer vroeg me: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen? Van tijd tot tijd… Lees verder

Mogen onze buren mijn overpad filmen?

| AE 8851 | Beveiliging | 8 reacties

Een lezer vroeg me: Onze buren hebben beveiligingscamera’s opgehangen. Deze filmen ook het pad waar wij een recht van overpad over hebben. Mag dat zomaar zonder overleg? Mensen mogen beveiligingscamera’s ophangen om hun eigendommen, dus ook hun grond, te beschermen. Wel moet er duidelijk worden gewaarschuwd aan bezoekers dat cameratoezicht plaatsvindt. De openbare weg mag… Lees verder

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Beveiliging, Privacy | 27 reacties

Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon. Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn… Lees verder