Mag je anno 2016 nog een telefoon verkopen met een 2 jaar oude Android?

| AE 9123 | Beveiliging, Contracten | 21 reacties

kurio-telefoonEen lezer vroeg me:

Wij kochten recent een Kurio telefoon, die wordt geadverteerd als “de veiligste telefoon voor kinderen”. Alleen bleek het ding binnen de kortste keren vol met virussen te staan, en na enig opruimwerk zag ik dat de telefoon Android 4.2.2 draait en dat het toestel dus zo kwetsbaar is als wat voor de Stagefright-bug uit 2015. Is dat niet gewoon een conformiteitsgebrek, zulke oude software op een gloednieuwe telefoon?

Dat lijkt me wel, maar helaas is deze praktijk zó wijdverbreid dat het haast ondoenlijk is hier een punt van te maken.

Een product moet voldoen aan de redelijkerwijs gewekte verwachtingen (art. 7:17 BW). Dat noemen we de conformiteitseis. Als een toestel daar niet aan voldoet, dan moet de winkel het gratis herstellen of vervangen. Laat bijvoorbeeld het scherm een stukje los na drie maanden, of doet de batterij het al na een half jaar niet meer, dan is dat een conformiteitsgebrek.

Smartphones zijn echter een stuk complexer en vertonen in de praktijk vaak eerder gebreken op het gebied van beveiliging. En dat is juridisch lastig, want er is geen expliciete regel dat ICT-apparatuur goede security moet hebben. Dat maakt het dus moeilijker om aan te tonen dat sprake is van een conformiteitsgebrek als de firmware uit zo’n toestel een securitybug blijkt te hebben, ook omdat de meeste mensen zich daar moeilijk wat bij kunnen voorstellen of het niet merken als hun telefoon gehackt wordt.

De Consumentenbond heeft een proefproces hierover gestart tegen Samsung. De Bond ziet het als onrechtmatig (ik neem aan: als conformiteitsgebrek) om telefoons zonder recente firmware uit te brengen, en om niet twee jaar lang nog updates na te leveren. Men verloor eerder in kort geding omdat deze vraag te complex werd geacht voor die spoedprocedure. Ik hoop dat het vonnis uit die zaak meer duidelijkheid gaat brengen, want wat mij betreft hoort dit gewoon een uitgemaakte zaak te zijn.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Privacyprogramma AVROTROS offline gehaald vanwege privacyschending

| AE 9014 | Beveiliging | 11 reacties

fail-faal-it-project-altijd-kat.jpgJaja, dat is hilarisch: het AVROTROS-programma De Privacytest, dat vorige week maandagavond werd uitgezonden op NPO 3, blijkt zelf de privacy van nietsvermoedende Instagram-gebruikers te hebben geschonden. Men wilde met een quiz aandacht vragen voor onverwachte privacykwesties, en daarbij werden foto’s van rijbewijzen en sleutels van Instagram geplukt om het punt te maken dat die makkelijk op Instagram staan. Maar eh ja, dan zet je wel iemands privé op teevee. Mag dat?

Het spreekt voor zich dat het op zijn zachtst gezegd niet handig is om je rijbewijs of identiteitskaart op internet te zetten. Zeker niet als je je bsn erin laat staan. (Over een foto van je creditcard op internet zetten heb ik het al helemaal niet.) Dus aandacht vragen daarvoor – doe het niet, in vredesnaam doe het niet – dat zie ik wel.

Ook bij sleutels (“Eindelijk, mijn nieuwe huis! #sleuteloverdracht”) speelt dat, en dat is nóg belangrijker want weinig mensen beseffen dat je een sleutel van zo’n foto kunt namaken met een 3D printer.

Mag je dan als televisieprogramma een paar voorbeelden laten zien? Ik meen van wel: het punt “dit komt vaak voor” is niet goed te maken als je vervolgens zegt “ik heb er alleen geen beeld van”. Dus ik denk dat auteursrechtelijk het wel goed zit met die foto’s. De bron had misschien wel moeten worden genoemd, maar in combinatie met de privacyschending is dat misschien niet zo handig. “Bron bij de redactie bekend” zou dan beter zijn, of “Bron ivm privacy verborgen”.

Wel hadden die foto’s natuurlijk geblurd moeten zijn vanwege de privacy. Het punt blijft dan duidelijk, dit is eenvoudig te vinden. Maar je hoeft dan niet dubbelop de privacy nog eens te schenden.

Arnoud

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Beveiliging | 13 reacties

Een lezer vroeg me: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe… Lees verder

Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Beveiliging | 30 reacties

Een lezer vroeg me: Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn? In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren. Op zich is het… Lees verder

Hoe kun je voldoen aan een beveiligingsplicht én een achterdeurplicht?

| AE 8879 | Beveiliging | 52 reacties

Een lezer vroeg me: Sinds kort hebben we een wet tegen datalekken. Die zegt dat je je beveiliging zo goed mogelijk moet regelen. Maar nu lees ik dat er allerlei voorstellen in de maak zijn om end-to-end encryptie te verbieden. Hoe kun je nu aan twee zulke tegenstrijdige wetten tegelijk voldoen? Van tijd tot tijd… Lees verder

Mogen onze buren mijn overpad filmen?

| AE 8851 | Beveiliging | 8 reacties

Een lezer vroeg me: Onze buren hebben beveiligingscamera’s opgehangen. Deze filmen ook het pad waar wij een recht van overpad over hebben. Mag dat zomaar zonder overleg? Mensen mogen beveiligingscamera’s ophangen om hun eigendommen, dus ook hun grond, te beschermen. Wel moet er duidelijk worden gewaarschuwd aan bezoekers dat cameratoezicht plaatsvindt. De openbare weg mag… Lees verder

Gastpost: Mag mijn telefoon mijn vingerafdruk eigenlijk wel gebruiken?

| AE 8829 | Beveiliging, Privacy | 27 reacties

Deze week ben ik met vakantie, dus traditiegetrouw een aantal gastblogs. Vandaag: Xinthia Krielaart met een juridische kijk op vingerafdrukken op je telefoon. Tot twee maanden geleden behoorde ik nog tot de zeer kleine groep mensen die nog nooit een smartphone had gekocht. Maar toen ik in dienst kwam bij een hip IT-bedrijf, moest mijn… Lees verder

Is het strafbaar om je Netflix-wachtwoord te delen?

| AE 8804 | Beveiliging, Strafrecht | 9 reacties

Wanneer is het strafbaar om je wachtwoord te delen? Recent werd er in de VS weer een arrest gewezen hierover, wat eigenlijk meer vragen opriep dan het beantwoordde. Maar de wachtwoorddeler werd wel veroordeeld, dus paniek in de tent: is wachtwoorden delen dan altijd strafbaar? Computervredebreuk is kort gezegd een computer binnendringen. In de Amerikaanse… Lees verder