Internetrecht door Arnoud Engelfriet

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was met security updates uitgeven. Samsung belooft goedkopere modellen minimaal twee jaar na de release te voorzien van updates, terwijl dat bij high-end modellen minimaal drie jaar is.

De Consumentenbond spande de zaak aan in 2016. Op dat moment stond Samsung bekend als niet zo’n snelle updater, zeker voor goedkope modellen was er vaak snel geen fatsoenlijke security update te krijgen. Dat is sindsdien fors verbeterd, zo lees ik overal. Die verbeterslag weegt mee in het vonnis, want de rechtbank beoordeelt Samsung naar hoe ze nu werkt en niet naar hoe het bij de dagvaarding was.

Het eerste aspect dat in het vonnis aan de orde kwam, was dat Samsung met name te weinig doet om securityupdates zo snel mogelijk naar de consument te krijgen, en wel eigenlijk gewoon binnen een maand nadat de patch is verschenen. Maar dat vindt de rechtbank te rigide: Samsung zit nu eenmaal vast aan het updateproces zoals door Google gedefinieerd, en kan dus niet altijd zo snel met een update komen. Het is een complex proces en daarom kun je niet in het algemeen zeggen dat Samsung te weinig doet en daarmee nodeloos risico’s bij de consument legt.

Het tweede punt is dat Samsung te weinig zou doen om de consument te informeren over veiligheidsrisico’s die aan haar smartphones kleven. Dat zou eigenlijk wel moeten, want dat is toch essentiële informatie zou je zeggen en dan ben je wettelijk verplicht daarover actief mede te delen. Maar de rechtbank ziet dat Samsung op haar site een uitgebreide uitleg publiceert over beveiliging, en oordeelt dat dat genoeg is voor de gemiddelde consument:

De rechtbank neemt daarbij mede in aanmerking dat de “maatman consument” waarop de onder meer door de Consumentenbond ingeroepen artikel 6:193a e.v. 3W zien, een gemiddeld geïnformeerde, omzichtige en oplettende consument is, van wie verwacht mag worden dat hij bereid is zich in de aangeboden informatie te verdiepen, tvaarbij denkbaar is dat informatie langs verschillende wegen wordt aangeboden. De gemiddelde consument wordt in beginsel geacht in staat te zijn om verstrekte informatie op waarde te schatten, om zo nodig nadere informatie te zoeken en om vervolgens informatie uit verschillende bronnen met elkaar in verband te brengen; enige onderzoeksplicht is inherent aan de maatstaf van de gemiddelde consument.

De ‘maatman’ lijkt me daarmee iets proactiever en ondernemender in zijn informatieverwerving dan ik gewend ben. Het is jammer dat er niet inhoudelijk is ingegaan op waar deze lat had moeten liggen.

Alles bij elkaar worden alle eisen dus afgewezen; Samsung mag doorgaan met haar huidige beleid en hoeft niet meer te doen om de consument op te voeden.

Arnoud

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon wettelijk verplicht dit te doen, maar werken daar bepaald niet enthousiast aan mee. Ergens is het dan wel erg frappant dat Google met zo’n aankondiging (waarschijnlijk) wél iedereen gewoon meekrijgt.

Natuurlijk is het heel logisch dat als Google het zegt, iedereen zich eraan gaat houden. Google heeft het merk Android en stelt stevige eisen aan het gebruik van deze software. Dat mogen ze, en je bent uiteindelijk niet formeel verplicht om Android op je telefoon te zetten. Maar praktisch gezien heeft Google een forse marktmacht (een dikke 85% van de mobielebesturingssystemenmarkt) dus vanuit dat standpunt kun je wel zeggen dat Google echt afdwingt dat je dit moet doen.

Het kan misbruik van je machtspositie zijn om zo’n verplichting op te leggen. Maar hier lijkt het me zó in het voordeel van de markt en de consument dat ik me niet kan voorstellen dat iemand er werkelijk met succes bezwaar tegen kan maken.

Het raakte me vooral omdat het er nu op lijkt dat een marktpartij (Google) méér voor elkaar kan krijgen dan de wetgever en uitvoerende macht bij elkaar. Dat is ergens raar, want regels in het voordeel van de markt of maatschappij lijken me regels die je vanuit de overheid zou verwachten, inclusief handhaving daarvan. Maar het is wel iets dat je typisch vaker ziet bij internetbedrijven, dat zij veel effectiever normen stellen en handhaven dan de formele overheid. Ik zou echt eens een studie rechtsfilosofie moeten gaan doen, wat zit hier achter, hoe past dit in de grondslagen van het recht?

Arnoud

Een lezer vroeg me: Recent kwam ik bij een netwerkapparaat de Air Marshal techniek tegen. Deze blokkeert actief SSIDs van netwerken in de buurt vanuit veiligheidsoverwegingen. Ik zie dat het apparaat legaal te krijgen is, maar zou het legaal zijn dat ik dit apparaat aanzet om zo de buren van hun wifi te beroven? De… Lees verder

Een lezer vroeg me: Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu… Lees verder

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox,… Lees verder

De Amerikaanse stad Plattsburgh (NY) is de eerste die het minen (delven) van cryptomunten zoals bitcoin heeft verboden, las ik bij The Verge. De komende achttien maanden is het niet toegestaan om met commercieel oogmerk een “farm” te opereren met daarin minstens drie apparaten die specifiek bezig zijn met het minen van deze munten. De… Lees verder

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens… Lees verder

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder