Politie maakte vorig jaar veel vaker gebruik van gezichtsherkenning, mag dat van de AI Act?

"Facial Recognition" by mikemacmarketing is licensed under CC BY 2.0

De politie maakte vorig jaar veel vaker gebruik van gezichtsherkenningssoftware dan in 2022, meldde Security.nl vorige week. Dat blijkt uit de jaarcijfers van herkensysteem Centrale Automatische TeChnologie voor Herkenning van personen (CATCH). Het riep bij diverse lezers vragen op, mag dat nog wel nu de AI Act eraan komt in februari?

Het persbericht van de politie legt uit:

Er is een database met strafrechtafbeeldingen – foto’s die politiemensen van aangehouden verdachten en veroordeelden maken – en een voor vreemdelingenafbeeldingen. Als omstanders of slachtoffers beelden hebben gemaakt van bijvoorbeeld oplichters aan de deur of een straatmishandeling, dan kunnen deze worden vergeleken met de foto’s in CATCH. Immers heeft een verdachte vaak al eerder strafbare feiten gepleegd.
De AI Act is afgelopen zomer wet geworden, en treedt gefaseerd in werking. Op 2 februari zullen een aantal gebruiksvormen van AI verboden worden, en dat is relevant want eentje daarvan gaat over biometrie bij de politie (art. 5.1(h) AIA):
het gebruik van systemen voor biometrische identificatie op afstand in real time in openbare ruimten met het oog op de rechtshandhaving, tenzij en voor zover een dergelijk gebruik strikt noodzakelijk is voor [gericht zoeken naar slachtoffers/vermisten, verijdelen van aanslagen of de lokalisatie of identificatie van een persoon die ervan wordt verdacht een [ernstig] strafbaar feit te hebben gepleegd.]
Het CATCH systeem zoals hier beschreven gaat echter niet over biometrie op afstand in real time, maar over wat de AI Act “biometrische verificatie” noemt:
de geautomatiseerde één-op-éénverificatie, met inbegrip van de authenticatie, van de identiteit van natuurlijke personen door hun biometrische gegevens te vergelijken met eerder verstrekte biometrische gegevens;
Het systeem werkt immers op achterafbasis, een foto van het verleden wordt vergeleken met opgeslagen gegevens. Het verbod betreft real-time scannen van ‘iedereen’ in een bepaalde openbare ruimte om zo live te kunnen reageren als je iemand herkent. Dat zijn twee heel verschillende dingen.

Dat het niet onder de AI Act verboden is, wil natuurlijk niet zeggen dat het nietzomaar wel mag. Sterker nog, in Nederland hebben we de omgekeerde regel – bij zulke diep de privacy rakende technieken moet er een wet zijn die zegt dat het wél mag, en hoe. En die wet lijkt te ontbreken, zoals Bits of Freedom al in maart aankaartte.

De minister ziet dat anders, overigens. Daarbij werd opgemerkt dat dit zou worden herzien als de AI Act definitief was. Alleen zegt die dus helemaal niets over de risico’s van biometrische verificatie, dus de bal komt direct weer terug bij de AVG en de Wet politiegegevens.

Arnoud

 

Is geen nieuwe auto krijgen ook al schade onder de AVG?

Photo by taichi nakamura on Unsplash

Stel je koopt een nieuwe auto, krijgt betalingsinstructies van de garage gemaild en betaalt. Vervolgens blijken die instructies van een ‘hacker’ te komen. Kun je daar wat mee onder de AVG? Ja, volgens het Hof Arnhem-Leeuwarden in een recent arrest. Het gaat er om spannen of de garage haar mail goed beveiligd had.

De zaak is in de kern als volgt:

[Koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd.
Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, riekt wel ergens naar een inside job.

De koper gooit zijn claim op de AVG: hij wil zijn schade vergoed, namelijk de € 26.900 die hij betaald had voor de auto die hij vervolgens niet kreeg. (Zou je dit via de gewone regels spelen, dan had je de derde aansprakelijk moeten stellen en dat heeft uiteraard weinig kans.)

Slaat dat ergens op? Ja, ik zie hem wel en het Hof ook:

Op grond van artikelen 5 lid 1 onder f, 24 en 32 AVG dient [het autobedrijf] haar e-mailaccount waarop persoonsgegevens – zoals in ieder geval namen en e-mailadressen van haar klanten – worden verwerkt, passend te beveiligen. … De artikelen 24 en 32 AVG verplichten [het autobedrijf] technische en organisatorische maatregelen te nemen die passen bij haar bedrijfsvoering en bij de daarbij horende verwerking van persoonsgegevens om een inbreuk op persoonsgegevens zoveel mogelijk te voorkomen.
Als een onbevoegde een mail van een klant kan lezen en daarop kan reageren namens jou, met als gevolg een omgeleide betaling, dan zie ik wel hoe daar de beveiliging van de persoonsgegevens (mailadres, betalingsstatus) wordt omzeild.

Echter, het is niet zo dat íedere fout automatisch een schending van deze beveiligingsplicht is. De AVG kent een inspanningsplicht, dat “zoveel mogelijk” zinnetje. Maar heeft het autobedrijf hieraan voldaan? De ict-leverancier (Autosociaal) had alvast vastgesteld dat er geen malware op de computers van het bedrijf zat.

Uit de toelichting van [het autobedrijf] blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan Autosociaal in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount.
Het wachtwoord was lang, maar vooringevuld vanaf de computer van de garagemedewerker. Zo te lezen was geen sprake van 2FA. Ik zie hoe je beheer over wilt laten aan een specialist, dus ik ben een tikje verrast dat nu net dát aspect eruit gelicht wordt voor de twijfel; zelf had ik meer vraagtekens gehad bij het ontbreken van tweefactorauthenticatie, iets dat toch standaard is bij Microsoft.

De garage mag nu bewijzen dat zij wél de boel adequaat beveiligd had.

Arnoud

 

Als jij zegt dat het via Wetransfer moet, dan is het niet-aankomen jouw risico

Photo by Zlatko ?uri? on Unsplash

In coronatijd kiest De Alliantie voor het systeem WeTransfer voor het aanleveren van benodigde stukken voor het verkrijgen van een huurwoning. Zo opent een recent vonnis uit Amsterdam over waar het risico ligt bij het niet aankomen van documenten. Spoiler: bij De Alliantie, in dit geval.

De Alliantie is een woningcorporatie, en die had de eiser uitgekozen als kandidaat voor een woning op Zeeburgereiland. Daarvoor moeten dan diverse documenten worden aangeleverd, en vanwege corona had De Alliantie een online systeem opgezet. Uit het vonnis:

“Om te controleren of u in aanmerking komt voor deze woning wordt u gevraagd enkele documenten in te leveren. U kunt deze documenten uploaden op deze website (website blauw gedrukt, vzr.). Vermeld a.u.b. in het bericht het adres van de woning én uw IBAN-nummer. Om elk risico op verdere verspreiding van het corona-virus te voorkomen, hebben wij besloten om onze balie aan de [adres 3] te sluiten tot 28 april. Dit betekent dat de Alliantie alleen via de digitale kanalen en/of telefonisch bereikbaar is.
De website-link verwees naar een eigen Wetransfer-omgeving (“dealliantie.wetransfer(.)com”) waarmee je extra grote bestanden kunt versturen, doch alleen naar de Alliantie zelf. Dat deed men dan ook, en na versturen was te lezen “dat de huurovereenkomst en de inkomensverklaring zijn verstuurd, maar nog niet gedownload”. Daarop klom men in de telefoon:
Op 20 april 2020 heeft (de vriendin van) [eiser] gebeld met De Alliantie met de vraag of de documenten zijn aangekomen en of ze kloppen. Daarop is geantwoord dat De Alliantie vijf werkdagen de tijd heeft om de documenten te beoordelen en dan zal reageren. Op de vraag of de medewerker kan controleren of de documenten wel ontvangen zijn antwoordt de medewerker: “Nee, dat kan ik helaas niet maar in principe als u gewoon de link heeft gevolgd die in de mail bijgesloten is dan kunt u ervan uitgaan dat we alle documentatie hebben ontvangen”.
U voelt hem al aankomen: een week later bleek dat de organisatie “geen documenten van [eiser] heeft gezien en dat de woning inmiddels aan de eerstvolgende kandidaat op de ranglijst is aangeboden”. Rechtszaak dus.

Wat was hier misgegaan? Bij Wetransfer was niets meer te achterhalen. De Alliantie speculeerde dat men mogelijk het formulier niet goed had ingevuld, maar als de statusmelding “verzonden/nog niet gedownload” wordt gegeven dan is dat niet logisch. Voor mij ligt meer voor de hand dat de melding van Wetransfer bij de Alliantie was kwijtgeraakt (in de spam) en dat men het daarom simpelweg nooit gedownload had.

Natuurlijk heb je als afzender een verantwoordelijkheid om te zorgen dat stukken aankomen. Maar die werd hier ook genomen: de stukken werden opgestuurd via het aangewezen kanaal, en er is meerdere malen gebeld om te vragen of het aangekomen is. Veel meer kun je niet doen.

Het steekt dan dat de organisatie alleen lijkt te hebben gereageerd dat “indien de link in de e-mail is gevolgd, [u] ervan uit mag gaan dat de documenten ontvangen zijn.” Zijn ze er dan of niet? Even kijken in de map met ingekomen stukken was een logischer stap geweest.

De rechter is niet mals:

Dat de Alliantie dan niet in staat is te controleren of de stukken zijn binnengekomen, dient voor rekening en risico van De Alliantie te komen. Overduidelijk is dat [eiser] alles wat in zijn vermogen lag, heeft gedaan om te zorgen dat de benodigde stukken tijdig bij De Alliantie zouden komen.  … Indien De Alliantie op 20 april 2020 wél had nagekeken of de stukken waren ontvangen en vervolgens [eiser] had meegedeeld dat zij ze níet had ontvangen, had [eiser] direct nogmaals de stukken kunnen aanleveren via WeTransfer. Deze kans heeft [eiser] nu niet gekregen. Niet acceptabel is dat de negatieve gevolgen van een niet waterdicht alternatief aanleversysteem zonder controlemogelijkheden worden afgewenteld op de woningzoekende.
De organisatie moet binnen drie maanden een met de eerdere aangeboden woning gelijkwaardige woning aanbieden.

Arnoud

 

Man krijgt jaar celstraf voor verkoop van ‘enorme hoeveelheid persoonsgegevens’

De rechtbank in Gelderland heeft een 26-jarige man veroordeeld tot een gevangenisstraf van twaalf maanden, onder meer vanwege het ‘verspreiden van een enorme hoeveelheid persoonsgegevens’. Dat meldde Tweakers vorige week. Het gaat om zo’n 5.000 gegevens (personen) die werden verhandeld om cryptodiefstal op te kunnen plegen.

Uit het vonnis haal ik dat een undercoveragent een pseudokoop is aangegaan:

Op 21 september 2021 heeft een verbalisant in het kader van een pseudokoop via de app Telegram contact gelegd met gebruiker [account 1] . Deze reageerde door te vragen wat de koper precies wilde en deelde mee voor hem rond te vragen. De koper wilde volgens het chatbericht “full info 65+”. … Vervolgens kocht de verbalisant 5.000 targetleads van [account 3] voor een bedrag van € 50,- in bitcoins. Na de betaling ontving de verbalisant van [account 3] via Telegram een bestand, genaamd ‘ [bestandnaam] ’ met de leads.
Mag dat? Ja, dat mag: art. 126i Strafvordering regelt de pseudokoop, die zowel goederen als diensten kan betreffen (en de agent zowel als klant en als leverancier kan aanwijzen). In dit geval was de agent koper en kreeg “telefoonnummer, mogelijk Facebook ID, voornaam, achternaam, geslacht, woonplaats, werkgever en relatiestatus” van zo’n 5000 personen.

Account 3 hierboven bleek te herleiden tot de verdachte, die ook bekende dat hij de gegevens had verkocht. Hij zag daar geen probleem in, ik veronderstel omdat “het gewoon gegevens zijn” en hij zich niet verantwoordelijk achtte voor wat kopers daarmee zouden doen. Daar kan de rechtbak niets mee:

Het is een feit van algemene bekendheid dat persoonsgegevens (leads) veelal worden gebruikt bij oplichting en diefstal, zoals Whatsapp- of bankhelpdeskfraude. Verdachte zat in de openbare Telegramgroep met de naam ‘FraudeHandel’, waarin naar zijn account werd verwezen voor de koop van persoonsgegevens. Verdachte kreeg regelmatig geld voor de verkoop van de persoonsgegevens. Het kan dan ook niet anders dan dat verdachte wist dat de door hem verstrekte persoonsgegevens bestemd zijn voor het plegen van oplichtingen en diefstallen.
Dat maakt je strafbaar (art. 234 Strafrecht):
Hij die stoffen, voorwerpen of gegevens vervaardigt, ontvangt, zich verschaft, verkoopt, overdraagt, verwerft, vervoert, invoert, uitvoert, verspreidt, anderszins ter beschikking stelt of voorhanden heeft waarvan hij weet dat zij bestemd zijn tot het plegen van een [trits misdrijven zoals diefstal of oplichting], voor zover deze feiten betrekking hebben op de verkrijging van een niet-contant betaalinstrument, wordt gestraft met gevangenisstraf van ten hoogste vier jaar of geldboete van de vierde categorie.
De rechtbank ziet weinig omstandigheden om de straf te matigen en komt uit op een jaar gevangenisstraf.

Arnoud

 

 

 

Mag Tesla mijn automatisch-sturenfunctie afpakken als ik het stuur loslaat?

Een lezer vroeg me:

Ik heb een oude Tesla (2017) en daar is destijds extra betaald voor de Verbeterde Autopilot (€ 5800) en Zelfrijdende functie (€ 3500). Sinds de laatste software update dreigt de auto die functie uit te schakelen als hij vaker dan 3x “misbruik” van deze functie detecteert. Dus, als ik niet op tijd aan het stuur jutter noemt hij dat misbruik. Eerst wordt de autopilot voor de rest van de rit uitgeschakeld en na 3x dus helemaal. Toen de auto gekocht werd was alleen van “uitschakelen voor de rest van de rit” sprake. Nu suggereert de waarschuwing (ik heb ‘m niet kunnen vastleggen) dat deze, duurbetaalde, functie zomaar door Tesla kan worden afgepakt. Mag Tesla zomaar gekochte functionaliteit afpakken?
‘Afpakken’ is niet helemaal de juiste term. Het gaat om een veiligheidsmaatregel bij herhaaldelijk onjuist gebruik van de autopilot-functie. Dit is een tijdelijke maatregel: na vijf keer ingrijpen door het systeem kun je een week lang geen gebruik maken van deze functie.

De onderliggende reden ligt bij de Amerikaanse toezichthouder NHTSA, die in december 2023 met Tesla na een terugroepactie afspraak dat ze een “Suspension Policy” zouden invoeren:

Introduced a Suspension Policy that will restrict Autosteer usage for one week if improper usage is detected. Improper usage is when you, or another driver of your vehicle, receive five “Forced Autopilot Disengagements.”
Het probleem was dat mensen deze automatische stuurfunctie aanzetten en dan het stuur loslaten en/of niet meer naar de weg kijken. Daar komen ongelukken van, vandaar dat de toezichthouder eiste dat hier een effectieve controle met sanctie voor ingeprogrammeerd zou worden.

In Europa hebben we natuurlijk niets te maken met de Amerikaanse National Highway Traffic Safety Administration, daar is deze update aan de auto een gewone, vrijwillige verandering van de fabrikant. Dat mag, tenzij de verandering in gaat tegen de verwachting die je als koper van zo’n auto redelijkerwijs mocht hebben.

In de handleiding bij Autosteer staat natuurlijk

“Autosteer is a hands-on feature. You must keep your hands on the steering wheel at all times. … Failure to follow these instructions could cause damage, serious injury or death.”
Hier staat nu ook uitgelegd hoe deze sanctieregeling werkt, maar dat stond er natuurlijk niet toen de vraagsteller de feature kocht (2017), want die regeling is pas eind 2023 ingevoerd.

Mag je redelijkerwijs verwachten dat een autofabrikant extra veiligheidsmaatregelen neemt om (mogelijk dodelijke) ongevallen te voorkomen? De vraag stellen is ‘m beantwoorden: natuurlijk mag dat.

Het zit hem in redelijkheid en proportionaliteit, is deze manier van afstraffen van kennelijk misbruik een gepaste reactie? Ik neig naar ja: het is nu eenmaal écht niet gewenst dat je je ogen van de weg haalt of het stuur loslaat, ongeacht wat de reclame over zelfrijdende auto’s je wijs wil maken. Auto’s en andere weggebruikers zijn daar niet voor gemaakt. De sanctieregeling is daarbij getrapt opgebouwd en beperkt je een relatief korte tijd.

De enige twijfel die ik heb, zit hem in hoe accuraat de gevaardetectie van Tesla is. Ik lees her en der verhalen dat hij ‘zomaar’ een sanctie oplegt, maar die komen vaak uiteindelijk toch neer op “ik keek maar éventjes naar de Spotify-instellingen” of “ik deed één yoga-oefening” en niet naar “ik hield de handen op het stuur en keek naar buiten, maar toch”.

Arnoud

“Tesla roept Cybertrucks terug”, althans doet over-the-air update

Photo by Luke Miller on Pexels

Tesla start een terugroepactie voor de Cybertruck vanwege een te trage weergave van de achteruitrijcamera. Dat meldde Tweakers vorige week. De reacties klonken ergerlijk: de fabrikant brengt een over-the-airupdate uit, dus je hoeft niet met je Tesla terug. Bewuste propaganda van Teslahatende media?

Een willekeurige greep uit de reacties:

Het is geen terugroepactie, er hoeft niks terug naar de garage of dealer. Je auto update zijn firmware in de nacht via wifi / 5G op je eigen oprit en de volgende ochtend rij je gewoon weer weg. Als je dit een recall noemt, dan wordt je Windows / MacOS laptop ongeveer 2 x per maand ‘ge-recalled’.
Het heet natuurlijk een ‘recall’ of terugroepactie omdat dit de juridische bevoegdheid is van de toezichthouder. Dat is hier de de Amerikaanse verkeerstoezichthouder National Highway Traffic Safety Administration, die in haar rapport schetst wat er aan de hand was:
On September 12, 2024, as part of an internal compliance audit involving a MY 2024 Tesla Cybertruck, Tesla identified a potential FMVSS 111, S6.2.3 noncompliance. … On September 19, 2024, having completed its assessment, Tesla determined that a noncompliance exists and made a voluntary recall determination. … Beginning on or shortly after September 19, 2024, at no cost to customers, affected vehicles received an over-the-air (OTA) software remedy that ensures the back-up camera display complies with the two-second response time, as per FMVSS 111, S6.2.3.
Tesla heeft, zo lees ik bij Autoweek, het hoogste aantal recalls per autofabrikant in de VS. Dat is inclusief de dingen die met een OTA worden opgelost, en waarvoor je gewoon thuis kan blijven. Inderdaad, net zoals met je telefoon of laptop die een update krijgt.

Waarom noemen we dat niet ook een terugroepactie of recall? Inderdaad dus omdat het juridisch zo heet, maar ook omdat er een iets serieuzere ondertoon in zit dan ‘gewoon’ een bugfix. Anders gezegd, iets is een recall omdat er iets mis is, en wel iets dat mens of goed in gevaar kan brengen. Daarom die specifieke procedure met die zware term. Het triggert mensen dat er echt wat is, zodat ze actie ondernemen en zich bewust zijn van het probleem.

Je zou een andere term kunnen bedenken (“verplichte update” of “mandatory security fix”) maar die heeft bij het beoogde publiek niet die associatie van urgent, gevaar, actie vereist. En het voelt wat overdreven om dan heel hard die associatie te gaan bouwen enkel om te voorkomen dat een OTA oplossing meegeteld wordt in dezelfde kolom als de terug-naar-de-dealer oplossing.

Arnoud

 

DTC mag vertrouwelijke informatie over cyberdreigingen met meer bedrijven delen

Photo by Towfiqu barbhuiya on Unsplash

Door de Wet bevordering digitale weerbaarheid bedrijven mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen delen met individuele bedrijven in Nederland,  las ik bij Tweakers. Het lijkt een detail maar het was al langer een ergernis van mij dat dit niet kon, helemaal omdat dit als “mag niet van de AVG” werd gebracht.

De Rijksoverheid legt uit:

In de praktijk zal het Digital Trust Center (DTC) vanuit het ministerie van Economische Zaken hieraan uitvoering geven. Door de wet mag het DTC beschikbare specifieke vertrouwelijke informatie over cyberdreigingen ook daadwerkelijk delen met individuele bedrijven in Nederland. De wet maakt bijvoorbeeld een rechtstreekse informatie-uitwisseling mogelijk tussen overheidsorganisaties die zich met digitale beveiliging bezighouden. Dit zijn het Nationaal Cyber Security Centrum (NCSC), het Computer Security Incident Response Team (CSIRT) voor digitale diensten en het DTC.
Je zou zeggen dat er weinig bijzonders is aan het informeren van partijen die geraakt kunnen worden door een cyberbedreiging. Je bent de overheid, je weet van een risico, dan benader je zo’n bedrijf toch even?

Helaas lag dat iets ingewikkelder. Ik heb diverse redenen gehoord:

  • Willekeurige marktpartijen benaderen is lastig, want hoe weet je die te vinden en bij welke ingang moet je zijn?
  • Er is te weinig menskracht om al die meldingen te doen, want je kunt niet een paar bedrijven informeren.
  • Dit mag niet van de AVG want er kunnen persoonsgegevens betrokken zijn (denk aan IP-adressen van gehackte computers die van eenmanszaken zijn).
  • De doelstelling van de genoemde organisaties is beperkt tot informeren van aangewezen instanties, dus men treedt dan buiten de wettelijke taakstelling.
  • De overheid concurreert zo met private partijen die security alert diensten bieden, en dat is oneerlijk als het geen wettelijke taak is.
De Wbdw is kort maar krachtig en noemt twee nieuwe taken voor het DTC:
  1. het analyseren en het onderzoeken van gegevens over kwetsbaarheden, dreigingen en incidenten die betrekking kunnen hebben op netwerk- en informatiesystemen van bedrijven;
  2. het informeren en adviseren van bedrijven over kwetsbaarheden, dreigingen en incidenten die betrekking kunnen hebben op hun netwerken informatiesystemen.
Deze taakstelling creëert in ieder geval een duidelijke grondslag onder de AVG om deze gegevens over te brengen. Het probleem van capaciteit of prioriteiten blijft bestaan, maar daar is nu meer ruimte voor te maken. Het stuk concurreren is nu in ieder geval wettelijk geregeld, en wat mij betreft blijft er genoeg ruimte over voor commerciële partijen.

Arnoud

 

 

Minister wil digitale meldplicht voor relschoppers met stadionverbod

Photo by Claudio Schwarz on Unsplash

Minister David van Weel van Justitie en Veiligheid wil een digitale meldplicht voor mensen met een stadionverbod. Dat meldde Tweakers vorige week. Met een kastje met vingerafdrukscanner en locatiebepaling moeten deze personen zich tijdens de wedstrijd melden, om zo te controleren of ze zich aan het opgelegde stadionverbod houden. De fysieke meldplicht wordt hier omschreven als een “te zwaar middel”, wat vragen opriep.

De gemeenten Rotterdam, Leeuwarden en Utrecht experimenteren sinds 2023 met een digitale meldplicht voor overlastgevers rond voetbalwedstrijden.

Tijdens het experiment wordt gebruik gemaakt van een klein draagbaar kastje: de Mini-ID, waarmee via het lezen van een vingerafdruk wordt voldaan aan de meldplicht.
De werking is simpel genoeg. Op een willekeurig moment tijdens de tijd van de wedstrijd krijg je een signaal en moet je je vingerafdruk aan het kastje geven. Dit leest tevens je locatie uit, en dat wordt samen centraal uitgelezen. Die locatie moet dan ver genoeg weg zijn van het stadion, waarmee vast komt te staan dat jij (althans je latex vingerafdruk) je hield aan het stadionverbod.

Wat is er dan mis met de fysieke meldplicht, zou je denken. Tijdens de wedstrijd moet je naar het bureau komen en je gezicht laten zien, daar is geen kastje met alle technische complexiteit en kosten voor nodig.

Deze aanpak kent twee varianten:

  1. Je laat je gezicht zien en gaat weer weg.
  2. Je komt binnen en blijft zitten tot de wedstrijd afgelopen is.
De meeste mensen denken aan optie 2, maar de praktijk is dus vaak optie 1. De overheid zegt hierover:
In de praktijk wordt een fysieke meldplicht nu weinig opgelegd, omdat het beschouwd wordt als een zwaar middel dat disproportioneel kan zijn ten opzichte van de overtreding, en omdat het beslag legt op de capaciteit van de politie die op locatie de meldplichtige moet ontvangen en registreren.
Dit gaat dan weer wel over punt 2. Iemand verplichten 1 uur 45 ergens te gaan zitten is een een vorm van gevangenneming, ook al is deze kort. En het voornaamste bezwaar daarbij is dat de burgemeester mensen niet gevangen mag laten nemen, ook niet voor 1 uur 45. (Er is het instrument van bestuurlijk ophouden, maar dat geldt voor groepen en in acute situaties.)

De digitale meldplicht is een instrument om een gebiedsverbod af te kunnen dwingen, zonder deze bezwaren. Er is immers in principe geen agent meer nodig, het systeem rekent uit waar je was en of je in overtreding was. Tegelijk biedt het wel weer nieuwe kansen voor misbruik en problemen, denk aan “het kastje was nét in bad gevallen”.

Arnoud

 

 

Aansprakelijkheid van de netwerkbeheerder voor schade ten gevolge van een ransomware aanval

Photo by Michael Geiger on Unsplash

Als ict-beheerder 50.000 euro moeten betalen omdat je klant door ransomware werd getroffen, terwijl de netwerkbeveiliging eigenlijk bij een derde lag. Ja, dat kan: zorg dus dat je je documentatie goed op orde hebt, want dat is waar de zaak eigenlijk op mis ging voor de beheerder.

Dat vonnis gaat vooral in over verrekenen van de schadeclaim met openstaande facturen. Het echte verhaal lezen we in het tussenvonnis uit 2022 (nu pas gepubliceerd) waarin de rechter concludeerde dat de beheerder aansprakelijk was. Haar primaire taak was netwerkbeheer en onderhoud, maar ook een stukje security:

A) Aangaande security dienen minimaal door Opdrachtgever de volgende maatregelen te zijn getroffen: ? Deugdelijke antivirusbeveiliging; ? Firewall. B) Uitvoerder zal de deugdelijkheid van de security [maandelijks] beoordelen en haar bevindingen aan Opdrachtgever mededelen. C) Indien de security door Uitvoerder als niet deugdelijk wordt beschouwd, dan is Uitvoerder niet aansprakelijk voor enige schade die als gevolg van de niet deugdelijke security is ontstaan of in de toekomst kan ontstaan. D) Uitvoerder kan op verzoek/aanvraag van Opdrachtgever zorgdragen voor een deugdelijke security. Deze aanvraag/opdracht zal worden behandeld als zijnde meerwerk als in art. 8 van deze overeenkomst.
Op enig moment werd de klant (opdrachtgever) getroffen door ransomware. Onduidelijk was hoe dat precies was gebeurd, maar de rechter is daar snel klaar mee:
Hoe de hackers het netwerk van [de klant] zijn binnengedrongen, kan naar het oordeel van de rechtbank echter in het midden blijven. Van belang is dat schade is ontstaan doordat bij de aanval niet alleen de werkbestanden maar ook de back-up bestanden van [de klant] versleuteld zijn geraakt. Niet in geschil is dat de bedrijfsvoering van [de klant] enige tijd belemmerd is geweest doordat [de klant] niet meer bij haar systemen en bestanden kon, en dat hierdoor schade is ontstaan. Netwerksegmentatie, een beter wachtwoordbeleid en een deugdelijk afgescheiden back-upvoorziening hadden dat kunnen voorkomen.
Het niet hebben van die drie dingen is iets waar de beheerpartij op had moeten screenen en waarschuwen. (Dit is niet zodanig subtiel dat je dat normaal mist.) Advies en waarschuwingen hierover ontbraken echter in het dossier.

Weliswaar was er een plan voor herziening van het netwerk, maar dat is niet echt hetzelfde als een waarschuwing:

Deze offerte behelst de installatie en configuratie van een nieuwe ICT-omgeving met nieuwe hardware en de aansluiting op de bestaande netwerk. Blijkens het bijbehorende werkplan is een vorm van netwerksegmentatie en een veiligere back-upvoorziening weliswaar onderdeel van de geoffreerde nieuwe ICT-omgeving, maar uit de offerte blijkt niet dat [de leverancier] de ondeugdelijkheid van de bestaande beveiliging en de noodzaak tot het nemen van maatregelen, laat staan de urgentie daarvan, aan [de klant] heeft meegedeeld.
Bij enkele andere problemen was wél duidelijk gewaarschuwd: “Dicht zetten RDP-poorten van alle servers! Of gaan whitelisten. Zie Risico.” Dat betrof een oude server die allang niet meer actief had moeten zijn. Er is een reële kans dat de criminelen via deze server zijn binnengedrongen, maar zoals gezegd maakt dat niet uit – de beveiliging elders had ze dan moeten stoppen.

Het lijkt er dus op dat de beheerder er op zich prima over nagedacht had, maar niet consequent handelde zoals ze had toegezegd. Ook schoten er dingen te kort in de uitvoering, bijvoorbeeld hetzelfde wachtwoord voor de backupserver als voor de gewone beheerserver. Maar uiteindelijk komt het neer op dit soort dingen:

[De leverancier] verwijst naar een e-mail van 3 oktober 2019 waarin staat vermeld: “Wachtwoordbeleid nakijken Done, geen eenduidig beleid”

Daaruit blijkt niet dat [de leverancier] [de klant] heeft gewezen op de noodzaak om een beter wachtwoordbeleid toe te passen, heeft geadviseerd welke verbeteringen nodig zijn en heeft gewezen op de urgentie voor het nemen van maatregelen.

Ik blijf het zeggen: je zorgplicht als ict-dienstverlener wordt ingevuld door je documentatie. Wat heb je toegezegd, wat heb je uitgesloten en wat heb je aangegeven in de uitvoering? Dat leg je dus vast, van mails met signaleringen tot bevestigingen van telefonische (of mondelinge) opmerkingen.

Arnoud

Mag mijn ict-leverancier oude mailboxen zomaar weggooien na 30 dagen?

Photo by Pixabay on Pexels

Een lezer vroeg me:

Wij zijn een klein adviesbureau en besteden al onze ict-dienstverlening uit. Nu hebben wij recent ontdekt dat oude mailboxen (ex-werknemers) na 30 dagen worden gewist. Dit is erg vervelend, omdat wij nu geen oude correspondentie terug kunnen halen die nodig is voor een juridisch geschil met een klant. Kunnen wij de dienstverlener hierop aanspreken?
Het antwoord begint zoals altijd bij de zorgplicht van de ict-dienstverlener. Iets specifieker diens informatieplicht, uitleggen hoe je werkt en welke keuzes je daarin maakt. Op zich is die 30 dagen een prima keuze, maar de klant moet dat wel weten zodat deze erop kan acteren. Ik twijfel of je per mailbox nog laatste herinneringen moet mailen (“Let op: over 3 dagen wordt een oude mailbox gewist” naar de contactpersoon), maar netjes zou dat wel zijn.

Tegelijkertijd heeft ook de klant natuurlijk een zekere verantwoordelijkheid. Als een werknemer vertrekt, is opschonen van diens mailbox een standaardactie. Belangrijke mails, zoals toezeggingen aan een klant, horen in dossiers of klantadministraties te zitten en niet in een mailbox. Ik snap dat dat vaak niet gebeurt, maar dan krijg je dus wel dit soort problemen.

Voor dit concrete geval zie ik niet echt een oplossing. Die mailbox is weg, en die komt niet terug als de leverancier bedrag X als schadevergoeding betaalt. Dit nog los van de vraag óf er vergoedbare schade is. De gevolgschade zoals de klant moeten afkopen valt buiten de risicosfeer van de leverancier, dit zal het adviesbureau zelf moeten dragen. Dit is te zeer hun eigen risico om nog 100% op het bordje van de ict-leverancier te leggen.

Het beste advies is dus om dit als aanleiding te gebruiken om de beheersovereenkomst te herzien. Maak afspraken over bewaartermijnen, over het aanleveren van een statische kopie of export dan wel over herinneringen om te downloaden voor het te laat is. En herzie je eigen procedures over wat er (uitsluitend) in mailboxen mag staan.

(Ik las ooit ergens dat e-mail eigenlijk een transportmedium is en geen opslagmedium. Vanuit dat standpunt zou het wellicht een goede zaak zijn als mails standaard gewist worden een week na geopend te zijn.)

Arnoud