Aansprakelijkheid van de netwerkbeheerder voor schade ten gevolge van een ransomware aanval

Photo by Michael Geiger on Unsplash

Als ict-beheerder 50.000 euro moeten betalen omdat je klant door ransomware werd getroffen, terwijl de netwerkbeveiliging eigenlijk bij een derde lag. Ja, dat kan: zorg dus dat je je documentatie goed op orde hebt, want dat is waar de zaak eigenlijk op mis ging voor de beheerder.

Dat vonnis gaat vooral in over verrekenen van de schadeclaim met openstaande facturen. Het echte verhaal lezen we in het tussenvonnis uit 2022 (nu pas gepubliceerd) waarin de rechter concludeerde dat de beheerder aansprakelijk was. Haar primaire taak was netwerkbeheer en onderhoud, maar ook een stukje security:

A) Aangaande security dienen minimaal door Opdrachtgever de volgende maatregelen te zijn getroffen: ? Deugdelijke antivirusbeveiliging; ? Firewall. B) Uitvoerder zal de deugdelijkheid van de security [maandelijks] beoordelen en haar bevindingen aan Opdrachtgever mededelen. C) Indien de security door Uitvoerder als niet deugdelijk wordt beschouwd, dan is Uitvoerder niet aansprakelijk voor enige schade die als gevolg van de niet deugdelijke security is ontstaan of in de toekomst kan ontstaan. D) Uitvoerder kan op verzoek/aanvraag van Opdrachtgever zorgdragen voor een deugdelijke security. Deze aanvraag/opdracht zal worden behandeld als zijnde meerwerk als in art. 8 van deze overeenkomst.
Op enig moment werd de klant (opdrachtgever) getroffen door ransomware. Onduidelijk was hoe dat precies was gebeurd, maar de rechter is daar snel klaar mee:
Hoe de hackers het netwerk van [de klant] zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van [de klant] versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van [de klant] enige tijd belemmerd is geweest doordat [de klant] niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.
Het niet hebben van die drie dingen is iets waar de beheerpartij op had moeten screenen en waarschuwen. (Dit is niet zodanig subtiel dat je dat normaal mist.) Advies en waarschuwingen hierover ontbraken echter in het dossier.

Weliswaar was er een plan voor herziening van het netwerk, maar dat is niet echt hetzelfde als een waarschuwing:

Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat [de leverancier] de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan [de klant] heeft meegedeeld.
Bij enkele andere problemen was wél duidelijk gewaarschuwd: “Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.” Dat betrof een oude server die allang niet meer actief had moeten zijn. Er is een reële kans dat de criminelen via deze server zijn binnengedrongen, maar zoals gezegd maakt dat niet uit – de beveiliging elders had ze dan moeten stoppen.

Het lijkt er dus op dat de beheerder er op zich prima over nagedacht had, maar niet consequent handelde zoals ze had toegezegd. Ook schoten er dingen te kort in de uitvoering, bijvoorbeeld hetzelfde wachtwoord voor de backupserver als voor de gewone beheerserver. Maar uiteindelijk komt het neer op dit soort dingen:

[De leverancier] verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “Wachtwoordbeleid nakijken Done, geen eenduidig beleid”

Daaruit blijkt niet dat [de leverancier] [de klant] heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen.

Ik blijf het zeggen: je zorgplicht als ict-dienstverlener wordt ingevuld door je documentatie. Wat heb je toegezegd, wat heb je uitgesloten en wat heb je aangegeven in de uitvoering? Dat leg je dus vast, van mails met signaleringen tot bevestigingen van telefonische (of mondelinge) opmerkingen.

Arnoud

Mag mijn ict-leverancier oude mailboxen zomaar weggooien na 30 dagen?

Photo by Pixabay on Pexels

Een lezer vroeg me:

Wij zijn een klein adviesbureau en besteden al onze ict-dienstverlening uit. Nu hebben wij recent ontdekt dat oude mailboxen (ex-werknemers) na 30 dagen worden gewist. Dit is erg vervelend, omdat wij nu geen oude correspondentie terug kunnen halen die nodig is voor een juridisch geschil met een klant. Kunnen wij de dienstverlener hierop aanspreken?
Het antwoord begint zoals altijd bij de zorgplicht van de ict-dienstverlener. Iets specifieker diens informatieplicht, uitleggen hoe je werkt en welke keuzes je daarin maakt. Op zich is die 30 dagen een prima keuze, maar de klant moet dat wel weten zodat deze erop kan acteren. Ik twijfel of je per mailbox nog laatste herinneringen moet mailen (“Let op: over 3 dagen wordt een oude mailbox gewist” naar de contactpersoon), maar netjes zou dat wel zijn.

Tegelijkertijd heeft ook de klant natuurlijk een zekere verantwoordelijkheid. Als een werknemer vertrekt, is opschonen van diens mailbox een standaardactie. Belangrijke mails, zoals toezeggingen aan een klant, horen in dossiers of klantadministraties te zitten en niet in een mailbox. Ik snap dat dat vaak niet gebeurt, maar dan krijg je dus wel dit soort problemen.

Voor dit concrete geval zie ik niet echt een oplossing. Die mailbox is weg, en die komt niet terug als de leverancier bedrag X als schadevergoeding betaalt. Dit nog los van de vraag óf er vergoedbare schade is. De gevolgschade zoals de klant moeten afkopen valt buiten de risicosfeer van de leverancier, dit zal het adviesbureau zelf moeten dragen. Dit is te zeer hun eigen risico om nog 100% op het bordje van de ict-leverancier te leggen.

Het beste advies is dus om dit als aanleiding te gebruiken om de beheersovereenkomst te herzien. Maak afspraken over bewaartermijnen, over het aanleveren van een statische kopie of export dan wel over herinneringen om te downloaden voor het te laat is. En herzie je eigen procedures over wat er (uitsluitend) in mailboxen mag staan.

(Ik las ooit ergens dat e-mail eigenlijk een transportmedium is en geen opslagmedium. Vanuit dat standpunt zou het wellicht een goede zaak zijn als mails standaard gewist worden een week na geopend te zijn.)

Arnoud

Telegram-oprichter Pavel Durov opgepakt op luchthaven in Parijs

Photo by ev on Unsplash

Oprichter en directeur Pavel Durov van berichtendienst Telegram is zaterdagavond opgepakt op de Franse luchthaven Le Bourget. Dat las ik bij Nu.nl. Het sluit toevalligerwijs mooi aan bij mijn bericht van vorige week over het verzoek tot handhaving op het platform. Toch roept dit weer nieuwe vragen op.

Nu.nl legt uit wat de aanleiding was:

Volgens persbureau Reuters wordt Durov er door de Franse autoriteiten van beschuldigd te weinig te doen aan criminele activiteiten op Telegram. Door niet te modereren en geen of nauwelijks informatie te delen over gebruikers, zou de dienst vrij spel bieden aan drugshandelaren en kindermisbruikers.
Terzijde: Telegram is géén messenger-app zoals WhatsApp, maar eerder een chatgebaseerd sociaal netwerk georganiseerd rond groepen, die via trefwoorden te vinden zijn. Er is ook de mogelijkheid voor privécommunicatie, maar dat is eerder vergelijkbaar met een Instagram-privébericht; iets dat óók kan. En oh ja, de encryptie is centraal en zeker niet e2ee.

De situatie is opmerkelijk omdat Durov vrijwillig naar Frankrijk vloog, kennelijk in de wetenschap dat hij daar gearresteerd kon worden. (Hij heeft een Frans paspoort.) Hij vertrok uit Azerbeidzjan, waar hij tegelijkertijd met president Putin aanwezig was. Op de vlucht na een onwelgevallig gesprek over encryptie in Rusland?

In verband met vorige week roept het vooral de vraag op: wat is hier precies voor crimineels aan de hand? Het niet-naleven van de Digital Services Act (de oproep van vorige week) is immers een bestuursrechtelijke of civielrechtelijke kwestie, die wet kent geen bepalingen van strafrecht.

Frankrijk kent echter een met de DSA vergelijkbare wet die wél strafrechtelijk gehandhaafd wordt, Wet 2024-449 van 21 mei 2024 gericht op het beveiligen en reguleren van de digitale ruimte. Deze stelt bijvoorbeeld een jaar cel op het niet adequaat modereren tegen kindermisbruikbeeldmateriaal (art. 6-2-1).

Een andere mogelijkheid is dat men de kennis en activiteiten van Durov (of Telegram als bedrijf) ziet als zó ver gaand dat sprake kan zijn van medeplichtigheid. In Nederland is daarvoor vereist dat je actief hulp geeft, of inlichtingen of middelen verschaft (art. 48 Sr). Een platform bieden waar dit toevallig gebeurt is natuurlijk geen medeplichtigheid, maar zodra er iets blijkt van aanmoedigen, moderatie tegenhouden of onder tafel geld accepteren zodat men het kan blijven doen, dan kom je daar wel.

Arnoud

 

Stichting wil dat toezichthouders Telegram dwingen content offline te halen

Photo by Pixabay on Pexels

Stichting Offlimits, Expertisecentrum Online Misbruik, heeft bij verschillende toezichthouders een klacht ingediend om Telegram te dwingen strafbare content offline te halen. Dat meldde Security.nl maandag. Het gaat om zaken als aanbod van wapens, drugs, beeldmateriaal van seksueel kindermisbruik en  bangalijsten. Diverse lezers vroegen me: hoezo kan een stichting eisen dat dit offline gehaald wordt?

De constructie die Offlimits (gelieerd aan deze zaak uit 2023) gebruikt, is een heel legitime. Het wemelt in Nederland van de toezichthouders, zoals de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt. Die kun je vragen om de regels te handhaven, en zo’n verzoek moeten ze serieus in behandeling nemen. Het is dus niet zo dat Offlimits zelf bedenkt wat strafbaar is of dat ze de regie over wil nemen.

Het handhavingsverzoek staat online. Men opent met de constatering dat het Openbaar Ministerie niet strafrechtelijk wil optreden tegen Telegram, hoewel daar juridisch best ruimte voor is. De reden “omdat Telegram, aldus het OM, ‘toch geen gehoor geeft aan zo’n bevel’.” Het bedrijf zit immers niet in de EU, maar dit voelt wel érg makkelijk.

De overtredingen van de DSA en AVG zijn vrij evident, en het verzoek licht dat grondig toe. AVG technisch is de kern dat er zonder toezicht of controle bijzondere persoonsgegevens (zoals op de bangalijsten of kindermisbruikafbeeldingen) worden verwerkt. De DSA eist een effectief notice-and-action protocol, en dat heeft Telegram niet.

Alleen, wat kunnen de toezichthouders hier anders doen dan wat het OM ook al constateerde? Ja, boetes opleggen die in de vele miljoenen kunnen lopen. Een bevel met dwangsom geven dat aanpassingen zoals een filter eist. De betreffende content te wissen. Enzovoorts. Maar dan steekt Telegram vanuit Rusland een ??????? ????? op, en dan?

De échte volgende stap zou zijn naar een afsluiting van de dienst te gaan, als blijkt dat die zich in het geheel niet wenst te conformeren aan de Europese regels. Daar is ruimte voor, toezichthouders (en zeker de Europese Commissie, als Telegram als VLOP aangemerkt gaat worden) kunnen vérgaande bevelen geven, zolang die maar proportioneel en passend zijn gezien de overtreding.

Het zou een primeur zijn als Europa zo ver zou gaan, want het zo laten zien dat we écht bereid zijn onze regels te handhaven.

Arnoud

Mogen wij ongevraagd onze klantomgevingen backuppen (en dat tegen een schappelijk tarief restoren)?

Photo by tookapic on Pixabay

Een lezer vroeg me:

Met enige regelmaat ontdekken wij dat niet alle klanten behoefte hebben aan backups van hun Office 365-omgevingen. Meestal gaat het dan om budgetkwesties, maar toch maken we ons zorgen gezien de impact die een verloren omgeving zónder backup kan geven. Nu hadden wij bedacht om voor al onze klanten een backupoplossing uit te rollen, waarbij we pas geld vragen als de klant deze nodig heeft. Op dat moment begrijpen ze de waarde van een backup zeker wel. Is dit toegestaan?
Het verzorgen van goede backups van data (of dienstverlening) van een klant is eigenlijk altijd een goed idee. Ik durf anno 2024 wel zo ver te gaan door te zeggen dat dit gewoon deel is van je zorgplicht. Een klant verwacht van jou dat er backups zijn. Dit is zó gebruikelijk en de impact van geen backups is zó enorm, dat je er nauwelijks onderuit kunt.

Natuurlijk, het is mogelijk om af te zien van backups. Maar dat moet dan wel heel expliciet gebeuren. Dus doorvragen en expliciet op papier zetten. Het liefst inclusief waarom: de klant heeft al een eigen backup oplossing, deze dienst is niet bedrijfskritisch, als de data verloren gaat is er geen man overboord. Let op: dit is dus niet hetzelfde als “we hebben in artikel 17.3 Algemene Voorwaarden bepaald dat we geen backups maken”.

Hier wil de leverancier het omgekeerde doen: juist wél backups maken, ook als de klant dat eigenlijk niet wil. Of nou ja, zonder na te gaan of de klant het wil. Ik zie daar in principe geen probleem mee, juist vanwege het enorme voordeel dat het de klant oplevert als de backup toch noodzakelijk blijkt. Natuurlijk zit je met zaken als vertrouwelijkheid en AVG, maar een goede informatiebeveiliging rondom die backups moet dat kunnen oplossen.

Het grootste probleem lijkt me het tarief op het moment dat de data weg blijkt. Dat zal al heel snel overkomen als er een slaatje uit willen slaan. De klant zit in nood, er is een backup, dat kostte nooit wat en nú wil je X duizend euro voor het terugzetten? Als deze zaak net voor de lunch bij de rechter komt, dan sta je niet heel sterk als dienstverlener.

Ik val dan weer terug op de zorgplicht. Daar hoort ook bij dat je de klant voorlicht en duidelijk maakt wat er nodig is. Backups moeten dus onderdeel zijn van dat gesprek. Je kunt daarin prima een backup meenemen als de defaultoptie: we doen dit gratis voor het geval dat, de restorekosten zijn X. Wil de klant dat niet, dan haal je het eruit mét een motivatie waarom de klant het niet wil. Zegt de klant niets, dan blijft het staan. Maar dan is het besproken, en dán wordt het een stuk redelijker allemaal.

Arnoud

 

Kan mijn bank me verplichten om hun app te gebruiken in plaats van de edentifier?

(bron: Wikipedia)

Een lezer vroeg me:

Mijn bank heeft aangegeven dat ze in de toekomst gaan stoppen met hun identifier voor het inloggen. Ze willen dat ik overstap op hun app. Nu heb ik daar twee problemen mee: Het verplicht me om een account bij Apple of Google aan te maken en het verplicht me om hun software op mijn apparatuur te installeren. Kan dat zomaar?
Een bank heeft vanwege haar bijzondere positie in de maatschappij een aantal zogeheten zorgplichten. Een bank moet onderzoeken, adviseren, informatie geven en waarschuwen als de klant bepaalde dingen wil.

Afgeleid hiervan is een beveiligingsplicht: de bank moet toegang en autorisatie van transacties goed beveiligen. De wet geeft ze daar ook een stevige prikkel voor: alleen wanneer de klant “frauduleus heeft gehandeld” of “opzettelijk of met grove nalatigheid” omging met beveiligingsmiddelen, is de klant aansprakelijk (art. 7:529 BW). De bank kan dus maar beter de boel goed inrichten.

Tegelijk ligt daarmee de keuze voor wélke middelen het beste zijn, ook duidelijk bij de bank. Als deze tot de conclusie komt dat een e.dentifier, random reader of dergelijk kastje niet meer verstandig is, dan mag men deze uitfaseren en een nieuw middel introduceren.

Hier zijn eigenlijk geen wettelijke kaders voor, anders dan de redelijkheid en billijkheid (art. 6:248 BW): als het écht onaanvaardbaar is om de klant van middel A naar middel B te dwingen, dan zou de rechter kunnen ingrijpen. Maar dat is een hele hoge lat, waar je zelden aan zult komen. Er is nu eenmaal vrij veel argumentatieruimte op dit gebied, en dan zal de bank al snel het pleidooi winnen.

Natuurlijk is het hinderlijk dat je een account moet nemen om de nieuwe app te kunnen installeren, en dat je van een webinterface over moet stappen naar een stuk software. Alleen, zo abstract gesteld levert dat geen onaanvaardbare overlast op voor de gebruiker. Het begint al met dat je sterk in de minderheid bent: een bank moet begrijpelijkerwijs één oplossing hebben die ze bij iedereen uit kan rollen.

Daar komt dan bij dat de risico’s van een Apple- of Google-account weinig concreet te maken zijn, behalve datalekken en daarvan zal iedere jurist zeggen dat er keurige maatregelen op papier zijn gesteld én er toezicht van de AP is. In de datatengels van Amerikaanse Big Tech zitten en mogelijk besnuffeld worden door de geheime diensten via een geheim FISA-bevel is te mager als tegenargument.

Elders las ik het argument dat apps minder toegankelijk zijn dan webapplicaties. Mensen met een visuele of andere beperking worden dus benadeeld als ze naar een app moeten. Dat is een juridisch relevant argument, want onder de Accessibility Act moeten vrijwel alle elektronische/online diensten een hoge mate van toegankelijkheid realiseren. Bankdiensten worden daarbij zelfs apart genoemd.

Banken besteden hier ook aandacht aan, zoals uit bijvoorbeeld dit interview blijkt. Met functies als grotere lettertypes of contrast, voorleesopties en braille-ondersteuning bedien je ook beperkten adequaat. Dus ook vanuit dat perspectief blijft er weinig over.

Arnoud

Bitcoins witwassen is inderdaad een strafbaar feit

Photo by David McBee on Pexels

De Hoge Raad voegde weer een uitspraak toe aan de discussie over wat bitcoins (en cryptovaluta algemeen) eigenlijk zijn in het recht. Ditmaal of ze een ‘voorwerp’ zijn dat je kunt witwassen als het uit enig misdrijf afkomstig is.

De verdachte handelde in bitcoins, en zette deze om in contant geld. Dat bleek om forse bedragen te gaan – ik zie 464.028,06 euro opduiken als dagwaarde bij de arrestatie. Dat kan dus best gaan om crimineel geld dat wit gemaakt moet worden.

Probleem: het wetsartikel over witwassen voorziet alleen in ‘voorwerpen’ die je aldus kunt behandelen. Contant geld is een voorwerp, dus daar is het geen probleem. Maar een Instagram-account (om een dwarsstraat te noemen) is géén voorwerp en daar kan dat dus niet mee.

De Hoge Raad vindt het geen probleem om bitcoins als voorwerpen aan te merken, maar is vrij kort in de motivatie. De AG concludeerde eerder dat dit keurig in de bestaande lijn past:

Uit rechtspraak van de Hoge Raad leid ik echter af dat bepaalde entiteiten die mogelijk óók de kenmerken van computergegevens dragen niettemin als een ‘goed’ – en dus ook als een ‘voorwerp’ – kunnen worden aangemerkt wanneer (i) de onderwerpelijke entiteit uniek en individualiseerbaar is en in het economische verkeer een reële waarde vertegenwoordigt, (ii) die entiteit voor menselijke beheersing vatbaar is en de eigenaar ervan daarover de feitelijke en exclusieve heerschappij toekomt, en (iii) die entiteit overdraagbaar is, (dus) van eigenaar kan wisselen en van de eigenaar kan worden afgenomen, als gevolg waarvan de (oorspronkelijke) eigenaar de beschikkingsmacht erover verliest.
Al deze eigenschappen zijn aanwezig bij cryptomunten. Wie deze dus omwisselt terwijl zhij heet dat ze uit misdrijf afkomstig is, is bezig met witwassen.

Arnoud

Wie bewijst er dat authenticatiemiddelen zijn misbruikt?

Photo by Signature Pro on Unsplash

Moet jij bewijzen dat je handtekening is vervalst, of de wederpartij het omgekeerde? Die vraag kwam recent zijdelings langs bij het Hof Amsterdam in een zaak over een borgtochtovereenkomst.

De gedaagde partij zou volgens een borgtochtovereenkomst op moeten draaien voor een lening van € 18.630 aan een (ondertussen failliet) bedrijf waar hij directeur en enig aandeelhouder van was. In art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Betwisten van de handtekening kan dus een effectief middel zijn om zo’n borg van tafel te krijgen.

Het Hof vindt de stelling dat deze persoon niets te maken had met de lening of borg moeilijk te geloven – hij was immers de enige directeur van het bedrijf. Die skepsis zien we terug in de beoordeling van de argumenten over identiteitsmisbruik:

In dat verband ligt het op zijn weg toe te lichten hoe het mogelijk is dat derden in het bezit zijn gekomen van gegevens met betrekking tot Zesto Groep zoals inloggegevens behorend bij de mailaccount en de bankrekening van Zesto Groep en wat de achtergrond en redenen ervan zijn dat diverse geldbedragen van de bankrekening van Zesto Groep zijn overgeboekt naar zijn eigen privérekening.
De achterliggende technologie is IDIN. Hierbij identificeer je jezelf via je bank, wat algemeen als veilig wordt gezien omdat toegang tot bankrekeningen al aan strenge authenticatie- en veiligheidsvoorschriften gebonden is. Daarnaast wordt gesproken over een mailaccount, dat is het info@ adres dus ik kan me nog nét voorstellen dat een ander dan de directeur in die mailbox kan.

Bij het banksysteem is dat wat meer twijfelachtig, gezien het algemeen bekende feit dat daar tweefactorauthenticatie en andere controles en toezicht zijn. Terecht zegt het Hof dan ook:

Onder deze omstandigheden lag het op de weg van [appellant] toe te lichten hoe het mogelijk is dat derden aan zijn persoonlijke inloggegevens zijn gekomen als het werkelijk zo is dat een en ander buiten hem om is gegaan. [appellant] heeft die toelichting evenwel niet gegeven. De stelling van [appellant] dat de stem in de geluidsfragmenten van de telefoongesprekken niet van hem is, maar van [naam 3] en dat daaruit zou moeten blijken dat niet [appellant] maar [naam 3] betrokken is geweest bij de totstandkoming van de overeenkomsten, is door [appellant] – tegenover de betwisting van [geïntimeerde] – op geen enkele wijze onderbouwd.
Dit wringt in zoverre dat normaliter de wederpartij bij een “stellige ontkenning” moet bewijzen dat de handtekening wél door die persoon is gezet (art. 159 lid 2 Rv). En daar komt bij dat de borg door deze meneer is aangegaan vanuit zakelijke motieven – zijn eigen bedrijf, immers – en dat de strenge handtekeningeis daarmee van tafel is.

De man krijgt de borgverplichting dus gewoon opgelegd. Had hij enige argumenten ingebracht waarom zijn account gehackt was of internetbankieren overgenomen, dan was dat wellicht anders komen te liggen.

Arnoud

Mag een school de VPN app van mijn dochter automatisch wissen?

Photo by Arthur Lambillotte on Unsplash

Een lezer vroeg me:

De middelbare school waar mijn dochter op zit verbiedt een VPN programma te hebben op haar iPad. Via het beheersysteem van school wordt deze app verwijderd. Thuis is het niet toegestaan wegens werkomstandigheden van mij een iPad te gebruiken zonder VPN. Hoe kan ik dit het beste oplossen met de school?
Dit wist ik ook niet, maar er zijn vele scholen die in hun reglement bij het beschikbaar stellen van een iPad de eis stellen dat er geen VPN app op wordt gebruikt.
Voorbeeldje van een school in Heerenveen: Installatie van illegaal verkregen software, het zogenaamde “jailbreaken” en het gebruik van VPN apps is nadrukkelijk verboden. … Installatie van en het gebruik van VPN applicaties of VPN Apps is nadrukkelijk verboden;
Hier lijkt het verbod gerelateerd aan illegale zaken, via een VPN kun je anoniem internet op en dat zal wel voor rare dingen gebeuren.

Een andere school, uit Wijk bij Duurstede, geeft een andere reden:

Het is niet toegestaan om een VPN-verbinding te gebruiken op het schoolnetwerk, omdat hiermee de werking van Apple Klaslokaal wordt beïnvloed. VPN-apps worden daarom actief geblokkeerd op het netwerk en leerlingen zullen worden aangesproken op het gebruik van een dergelijke app, mocht deze (nog) niet geblokkeerd zijn.
Dat “beïnvloeden van de werking” blijkt te gaan om de monitoringfunctie: de tool van Apple kan dan niet meer aan de docent laten zien wat je aan het doen bent. Ook kun je dan geblackliste websites bezoeken en ga zo maar door.

Deze redenen lijken me zeer legitiem om te handhaven tijdens de les – want dat is met het smartphoneverbod eigenlijk het enige moment dat je nog een tablet bedient op school. Ik snap dat de school daar dan proactief in wil zijn en dergelijke apps dus wist als ze toch worden geïnstalleerd.

Dit blijkt echter thuisgebruik van die tablet te hinderen, want kennelijk is het in die situatie nodig dat de scholier een VPN app gebruikt om internet op te kunnen. Wat moet er dan winnen, de wens van de school om de hierboven beschreven issues te regelen of de thuissituatie?

De wet biedt hier geen expliciete regels over. Het komt neer op een afweging van belangen, en dat vereist in discussie gaan met elkaar. Het zou bij een school vast mogelijk moeten zijn een uitzondering wegens persoonlijke omstandigheden te maken (whitelist één specifieke vpn app op deze iPad). Misschien is er ook iets in het thuisnetwerk aan te passen, bijvoorbeeld een apart subnet voor de kinderen zodat ze geen last hebben van de streng beveiligde baan van hun ouder(s).

Als dit bij de rechter zou komen (wat je écht zou willen vermijden) dan denk ik dat die de school gelijk geeft. Die heeft een toezichtplicht op gebruik van ict-middelen op school, en de school kan vast onderbouwen dat leraren niet handmatig kunnen scannen op VPN apps op de tablets die men op school gebruikt. Dan is ze automatisch wissen een logische stap. De ouders hebben een ongebruikelijke netwerksetup, en dat zal in zo’n geval voor hun rekening moeten komen.

Arnoud

Ik heb de DPIA gemist waaruit bleek dat Microsoft Recall een goed idee was?

Photo by Peggy_Marco on Pixabay

Recall, kent u die al? Microsoft “omschrijft deze functie als een doorzoekbaar fotografisch geheugen voor Windows”, aldus Tweakers. Het is een systeemproces dat elke paar seconden een screenshot neemt (ja, die van de PrtSc knop)en opslaat in een onbeveiligde map waar een AI proces dan tekstanalyse op gaat doen. Of iets dergelijks. De Britse AVG-toezichthouder kijkt hier al naar, maar waarom dat zo lang moet duren?

Microsoft noemt het “snapshots”, cynische ikke denkt dan dat dat is omdat iedereen weet wat “screenshots” zijn en snapshot gezellig & ietwat technisch klinkt. En hoewel Microsoft beweert dat de informatie goed beveiligd is, blijkt er toch het nodige vrij triviaal toegankelijk.

Mijn grootste verbazing is dat men dit ook in de EU gaat uitrollen, terwijl het zo triviaal niet beveiligd opslaan van persoonsgegevens daar waar een crimineel zo gaat zoeken toch niet echt voor de hand ligt. Ik zal wel een DPIA gemist hebben.

Arnoud