Kabinet wil telecomproviders verplichten om telefoonspoofing aan te pakken

| AE 12738 | Ondernemingsvrijheid | 17 reacties

Het kabinet komt later dit jaar met een voorstel om de Telecommunicatiewet zo aan te passen dat telecomproviders worden verplicht om telefoonspoofing aan te pakken. Dat las ik bij Security.nl, dat zich baseert op een brief aan de Tweede Kamer van demissionair minister Grapperhaus. Een logische maatregel lijkt me dat je niet zomaar toestaat dat iedere klant ieder nummer als afzender kan sturen, waar ik vorig jaar over blogde. Eind vorig jaar besloten banken na overleg met minister Hoekstra om slachtoffers van telefoonspoofing met terugwerkende kracht te vergoeden. 96 procent van de slachtoffers is inmiddels vergoed. Dat voelt als een stuk meer geld dan zo’n maatregeln.

Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. Dat is logisch, want als een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk. En technisch is dit simpel: telecomproviders hanteren in de praktijk geen enkele beperking , zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Nu is er dus een plan om de wet aan te passen om hier regels voor te maken:

De regels voor nummerdoorgifte (de afzenderinformatie van een oproep of bericht) zullen daarbij worden aangepast en ook zal het gebruik van alfanumerieke informatie worden betrokken door hieraan passende voorwaarden te verbinden. Het wetsvoorstel omvat voorts een beperking van het extraterritoriale gebruik van nummers uit het nummerplan. Bij de regels voor nummerdoorgifte zullen concrete verplichtingen bij telecomaanbieders worden gelegd, en zal nadrukkelijk ook de rol van de aanbieder van de telecomdienst van waaruit de oproep plaatsvindt of het bericht wordt gestuurd, worden geadresseerd.
De kern van het probleem – als ik het ondertussen goed begrijp – is dat telecomproviders vaak geen eigen infrastructuur hebben, maar deze inkopen bij een grotere partij. Dat kan zelfs bij meerdere lagen (ik koop bij A, die inkoopt bij B, die weer bij C, enzovoorts tot ergens bij X of Y). En als je dan als X of Y dat mogelijk wil maken, dan is controleren of de klanten van A wel gerechtigd zijn tot die nummers wel héél veel rompslomp. Zeker omdat het dan gaat om A1 t/m A9001 bij wijze van spreken.

Desondanks lijkt me een check als deze de enige mogelijkheid. Het enige alternatief dat ik kan bedenken is een zwarte lijst – gij zult niet toestaan dat er met deze nummers outbound gebeld wordt, behalve provider K want die hééft de bank als klant – maar dan moet dat continu geupdate worden en is er discussie over wie er wel of niet op mag. Alleen banken, ook betalingsproviders, en hoe zit het met pakketbedrijven zoals DHL waar ook veel oplichting plaatsvindt (“Uw pakketje vereist inklaringskosten”)?

Arnoud

Wat moet je met privacygevoelige informatie bij een bedrijfsovername?

| AE 12735 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me:

Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens.
De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende organisatie krijgt een nieuwe eigenaar, of de “assets” oftewel bezittingen et cetera die horen bij de organisatie krijgen een nieuwe eigenaar.

In het eerste geval blijft de organisatie bestaan maar komen de aandelen in nieuwe handen. Dat is juridisch dan heel simpel: dat verandert helemaal niets. Het bedrijf is er nog steeds, heeft dezelfde rechtsvorm en rechten en plichten. Alles gaat dan gewoon door zoals het was.

In het tweede geval is het juridisch een stuk ingewikkelder, omdat je dan al snel in ongeregeld gebied terechtkomt. Zo is het bijvoorbeeld niet zo dat als  je een computer verkoopt, de ontvanger eigenaar (of verwerkingsverantwoordelijke) wordt van de persoonsgegevens die daar op staan. Softwarelicenties of databases overdragen zijn nog weer ingewikkelder, en of personeel meegaat is ook weer een vraag.

Daarnaast moet je ook inderdaad backups en andere ‘extra’ kopieën van persoonsgegevens goed in de gaten houden. Een extreem geval hiervan zagen we in mei: in een kelder in Schiedam bleken cd’s met de gevoelige dossiers van duizenden cliënten van ggz-instelling Riagg Rijnmond opgeslagen te zijn. De curator die het faillissement afhandelt ging ervan uit dat Parnassia ook de verantwoordelijkheid over de dossiers van Riagg Rijnmond kreeg. De cd’s zijn daarbij over het hoofd gezien.

En als laatste is bij zo’n verkoop natuurlijk de vraag of de AVG dit überhaupt toestaat. Met name curatoren hebben er nog wel eens een handje van om klantenlijsten te verkopen aan de hoogste bieder, dat is eenvoudigweg niet mogelijk onder de AVG. Als je de garantiecontracten overdraagt, dan moeten de klantgegevens natuurlijk mee, dat is dan wel legaal.

Helaas kan ik dus geen algemeen antwoord geven dat verder gaat dan “dat hangt er vanaf, maar let heel goed op”. Ik merk wel dat het vaak een ondergeschoven kindje is of dat mensen vergeten de backups te controleren.

Arnoud

Ook als budgethoster heb je een zorgplicht dat de website het doet (en waarschijnlijk zijn je AV niet van toepassing)

| AE 12700 | Ondernemingsvrijheid | 28 reacties

Ook als je een website maakt voor €199 en die host voor €60 per jaar, dan nog ben je aansprakelijk voor de gevolgen van downtime (in de zin van: de website is geheel down). Dat maak ik op uit een recent vonnis uit Rotterdam. Het optionele servicepakket van €10 per maand en de AV (te vinden op de website) waren daarbij geen factoren van belang. Het laat maar weer eens zien hoe belangrijk goede communicatie is.

Het bedrijf lijkt er een van zovelen te zijn die het mkb bedient: eenvoudige offertes, lage prijzen, op basis van WordPress als cms en recht-voor-zn-raap communicatie:

Productoverzicht: -Standaard website, inclusief hosting en domein ( [domeinnaam] ) -Whatsappfunctie -Analyse software bezoekers website (…)”
Na oplevering leek de site een jaartje prima te werken, maar op 2 maart 2020 bleek de site onbereikbaar voor klanten. Op de navolgende dagen bleek contact met de hoster/designer niet mogelijk, waarna eind mei een ingebrekestelling werd gestuurd en vanwege tegenvallende resultaten werd opgezegd. Vervolgens werd de hoster boos omdat niet voor het hele jaar 2020 was betaald.

Dat voelt een tikje raar, de site doet het niet, je zegt op en dan komt de hoster geld bij jou claimen. Maar het argument was: er was een optioneel servicepakket, dat is niet afgenomen en bovendien bestond op grond van de AV geen aansprakelijkheid voor indirecte schade.

Nee, dat vond de rechter ook niet zoals het hoort:

Ongeacht wat de precieze oorzaak van de onbereikbaarheid is, staat daarmee naar het oordeel van de kantonrechter vast dat [gedaagde] zijn verplichtingen ten aanzien van de hosting van de website (in het bijzonder de onbelemmerde bereikbaarheid op het internet gedurende de looptijd van de overeenkomst) per 2 maart 2020 niet is nagekomen. [eiseres] heeft onweersproken gesteld dat de domeinnaam door een derde partij gehackt was. Voor zover er inderdaad sprake was van het hacken van de domeinnaam dient die omstandigheid voor rekening en risico te komen van [gedaagde] , nu zij – als domeinhouder en verantwoordelijke voor de hosting van de website – verantwoordelijk was voor de bereikbaarheid van de website, waarvan naar het oordeel van de kantonrechter ook deel uit maakt het voorkomen van blootstelling aan door derden veroorzaakte digitale inbreuken op die bereikbaarheid.
Mijn samenvatting: als een site het helemaal niet doet, moet jij als hoster dat oplossen. Een hack kan, maar dat is juridisch wel jouw probleem. (Ja, er is overmacht maar niet iedere hack is overmacht, en op zijn minst moet je probéren het op te lossen.) En dat servicepakket, de upsell naar een SLA zeg maar:
Uit de offerte van [gedaagde] van 11 juli 2018 volgt dat het optionele ondersteuningspakket slechts ziet op te verlenen service en gratis updates van de websites. De situatie die zich thans heeft voorgedaan – het volledig onbereikbaar zijn van de website – valt hier niet onder.
Betalen dus, want wanprestatie. Maar daarvoor had de ondernemer dus nog zijn algemene voorwaarden in de achterzak, die indirecte schade (wat in de ICT grofweg alle schade betekent) keihard uitsluit. Op de offerte stond daarover
“Op deze aanbieding zijn onze algemene voorwaarden van kracht. Deze kunt u op onze website vinden.”
En dat wordt door de rechter binnen een seconde van tafel geveegd. De jurisprudentie is duidelijk: geen dieplink, geen toepasselijkheid.

Betalen dus, maar hoe veel dan? In dit geval was de onbereikbaarheid kennelijk zo ernstig uit de hand gelopen dat de klant maar een geheel nieuwe website met nieuwe domeinnaam had laten bouwen. Want de domeinnaam stond dus op naam van de hoster. En dan krijg je dus de kosten van de nieuwe site (€560) plus – nee, serieus – de kosten van het opnieuw beletteren van de bedrijfsfiets (€294) voor je kiezen.

Het lastige bij dit vonnis is dat alles in vrij absolute termen is geformuleerd. Maar dat komt door de vrij extreme situatie: een site geheel down gedurende lange tijd, nul respons (althans niet bewezen dat er is teruggebeld) en niet betwiste schade, die ook nog eens best redelijk gebudgetteerd was. Het is dus niet zo dat iedereen in elke situatie met een dagje downtime een geheel nieuwe site moet betalen. Maar de les voor mij is wel dat als je hosting belooft, je gewoon voor hosting moet zorgen en niet te makkelijk moet denken “ik verkoop apart een SLA en de AV staan op mijn site”. Daarmee kom je nergens.

Arnoud

Kan iemand mij uitleggen waarom ik het gerechtvaardigd belang van anderen aan en uit kan zetten?

| AE 12691 | Ondernemingsvrijheid | 10 reacties

Via Reddit: Al een tijdje krijgen we in de koekjesschermen een andere keuze. Het gaat niet alleen meer om waar ik toestemming voor geef, maar ook om gerechtvaardigd belang. … Wat ik niet snap, is waarom ik dan in de cookiebanner naast de toestemmingsvraag ook een vraag krijg over legitiem belang. Er staat legitiem belang en… Lees verder

Kan een ICT-leverancier bij contractuele ruzie weigeren de wachtwoorden te geven?

| AE 12687 | Ondernemingsvrijheid | 13 reacties

Een lezer vroeg me: Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden…. Lees verder

DNB: cryptohandelaren hoeven toch niet steeds identiteit van klanten te bewijzen

| AE 12679 | Ondernemingsvrijheid | 5 reacties

De Nederlandsche Bank stopt met het verplicht identificeren van klanten bij elke transactie voor cryptohandelaren. Dat las ik bij Tweakers. Bedrijven moeten transacties wel screenen, maar verplicht identificeren vervalt. DNB had eerder de wet zo geïnterpreteerd dat die identificatie wel zou moeten, waardoor cryptobedrijven als Bitonic zich ernstig bedreigd voelen in hun dienstverlening. Met deze… Lees verder

AP geeft AVG-boete van 15.000 euro aan bedrijf dat ziektes registreerde

| AE 12676 | Ondernemingsvrijheid, Privacy | 3 reacties

De Autoriteit Persoonsgegevens heeft een boete van 15.000 euro opgelegd aan een bedrijf dat zijn systeem om ziekteverzuim te registreren slecht beveiligde. Dat meldde Tweakers onlangs. Ook verzamelde het bedrijf onterecht meer gezondheidsgegevens dan was toegestaan, zoals specifieke klachten en verloop van de ziekte. Opmerkelijk is vooral dat de boetes volgens de regels zouden neerkomen op… Lees verder

Duitse privacywaakhond verbiedt Facebook om WhatsApp-data te gebruiken

| AE 12663 | Ondernemingsvrijheid, Regulering | 11 reacties

De Hamburgse privacytoezichthouder heeft Facebook verboden om WhatsApp-data van Duitse gebruikers voor eigen doeleinden te gebruiken. Dat meldde Tweakers afgelopen vrijdag. Het besluit van de Hamburgse commissaris met de onuitsprekelijke afkorting HmbBfDI heeft te maken met de gewijzigde gebruiksvoorwaarden van WhatsApp, die een dergelijke koppeling zouden autoriseren. Tegelijk was bij de overname van WhatsApp door Facebook nadrukkelijk… Lees verder

Mag ik mensen software verkopen waarmee ze onopvallend kunnen valsspelen?

| AE 12661 | Intellectuele rechten, Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me: Als freelance programmeur krijg ik allerhande vragen, maar dit is toch wel de gekste: een man wil graag dat ik software maak om bij een niet nader te noemen spel onopvallend vals te spelen. Hij had gelezen dat ik bepaalde kennis heb waarmee dat inderdaad een heel eind moet kunnen, en… Lees verder

Een zak met ongeopende AliExpress-pakketjes kopen

| AE 12658 | Ondernemingsvrijheid | 56 reacties

Een zak met tientallen ongeopende kleine pakketjes kopen voor 50 euro. Dat klinkt misschien als een slechte deal, maar er zijn genoeg mensen die er oren naar hebben. Dat las ik bij de NOS onlangs. Het zou gaan om restpartijen van geretourneerde (of onbestelbare) bestellingen van AliExpress en andere grote webwinkels, die vanuit het distributiecentrum… Lees verder