Categorie: Security

About Security

Subscribe Feeds

Ontslag voor doorsturen van werkmail naar privémail onterecht

Geplaatst op in Ondernemingsvrijheid, Security, 6 reacties
geralt / Pixabay

Een Nederlands bedrijf dat een medewerker op staande voet ontsloeg voor het doorsturen van driehonderd zakelijke e-mails uit zijn werkmail naar zijn privémail had dit niet mogen doen, las ik bij Security.nl. De kantonrechter stelt dat het opschonen van een zakelijke mailbox voorafgaand aan een kort daarna intredende vrijstelling van werkzaamheden geen dringende reden oplevert voor ontslag op staande voet. Wel wordt alsnog de arbeidsrelatie beëindigd want die is té verstoord om verder te kunnen.

De werknemer werd eind 2022 boventallig verklaard omdat zijn functie van IT & E-commerce specialist niet meer nodig was toen de website naar een SaaS-oplossing werd gemigreerd. Hij ging daarmee niet akkoord en wees het voorstel voor een beëindiging van de hand. Na enig onderhandelen kwam men eind december toch tot een vaststellingsovereenkomst. En dan komt ‘ie: “Na het sluiten van de onder 2.7 opgenomen vaststellingsovereenkomst heeft [eiser] de volledige inhoud van het werke-mailadres geleegd.” Húú peerd, aldus de jurist:

“(..) Van [werkgever] begrijpen wij dat de e-mailbox van uw cliënt om onverklaarbare redenen leeg is. [Werkgever] heeft hier geen instructie toe gegeven en uw cliënt heeft dit ook niet met [werkgever] overlegd. Sterker nog, uw cliënt heeft wel contact gehad met zijn manager over de overdracht, maar heeft niets over het leegmaken van een e-mailbox genoemd. Wij verzoeken u ons uiterlijk morgen voor 16:00 uur opheldering te geven over de gang van zaken en waarom de e mailbox van uw cliënt leeg is. Daarnaast dient uw cliënt per ommegaande te zorgen dat de e-mails en wachtwoorden terug komen, het gaat immers om bedrijfseigendommen. [Werkgever] behoudt zich alle rechten voor en is bezig met nader onderzoek. [Werkgever] zal zich verder beraden en de stappen zetten die zij passend acht. (..)”
Gelukkig bleek een en ander te herstellen met een link die de werknemer wist aan te leveren. Daarna bleek er echter bij nóg een mailbox het een en ander weg te zijn, waar de werknemer betrokkenheid bij ontkende, maar wat de werkgever dan weer niet geloofde. Ook ontdekte men
  1. het automatisch laten doorsturen van e-mails uit de marketing e-mailbox naar het werke-mailadres, het verzoek aan leveranciers om het werke-mailadres in de bcc te houden bij het sturen van facturen, terwijl dat voor de uitoefening van de functie niet relevant was en de ongeloofwaardige uitleg die [eiser] daarover heeft gegeven;
  2. het doorsturen van meer dan 300 zakelijke e-mails naar de privémail van [eiser] en de ongeloofwaardige uitleg die [eiser] daarover heeft gegeven;
Daar werd men zó boos van dat de man vervolgens ontslag op staande voet aangezegd kreeg. Dat klinkt namelijk heel boos en heel erg, maar je moet daar als werkgever wel voorzichtig mee zijn want het is alleen bedoeld voor zeer dringende situaties, er gebeurt nú iets bizar ergs en daarom schop je die persoon nú de straat op. Voor het legen en in bcc houden was plausibele uitleg denkbaar. Anders ligt dat bij het doorsturen van die 300 mails:
Het doorsturen van deze e-mails is in de voorliggende omstandigheden, zoals later nog aan de orde zal komen, een ernstige gedraging, die [eiser] ook verweten kan worden. Echter, de strekking van dit artikel is naar het oordeel van de kantonrechter niet zodanig duidelijk dat [eiser] op voorhand had moeten begrijpen dat daaronder ook valt het doorsturen van e-mails naar zijn privémail, temeer waar het onbetwist gebruik was bij [werkgever] om via WhatsApp allerlei zakelijke bestanden en gegevens uit te wisselen. In zoverre kan niet aan [eiser] worden tegengeworpen dat sprake is van een gedraging die een dringende reden voor een ontslag op staande voet oplevert.
Daarbij woog mee dat de doorgestuurde mails mede gingen over de aanloop tot het ontslag; “het verstevigen van zijn bewijspositie in een eventueel te volgen ontslagprocedure” zoals de rechter dat omschrijft. Er was geen concurrentiegevoelige data aangetroffen en de werknemer was na het ontslag van plan weer zijn dansschool op te pakken die door corona in de ijskast was beland. (Een dansschool oppakken en nog uit de ijskast ook, Arnoud doe wat aan je beeldspraak.)

Dat ontslag op staande voet wordt dus teruggedraaid. En dat is altijd een dure grap:

Nu het ontslag op staande voet wordt vernietigd, duurt de arbeidsovereenkomst voort en heeft [eiser] recht op loon. De vordering van [eiser] tot loonbetaling zal daarom worden toegewezen. De gevorderde wettelijke verhoging van artikel 7:625 BW en de wettelijke rente zullen ook worden toegewezen, omdat [werkgever] te laat heeft betaald, waarbij de kantonrechter aanleiding ziet om de wettelijke verhoging te matigen tot 10%.
Tegelijkertijd vindt de rechter het wél onzorgvuldig zoals de werknemer had gehandeld:
Echter, van [eiser] had, als redelijk handelend werknemer, mogen worden verwacht dat hij met het doorsturen van deze e-mails de nodige zorgvuldigheid had betracht, hetgeen hij niet heeft gedaan. Hij heeft immers niet slechts een paar e-mails met essentialia maar ruim 300 e-mails doorgestuurd naar zijn privémail, waarvan er een aantal vertrouwelijke bedrijfsgegevens van [werkgever] bevatte, zoals wachtwoorden of verslagen van functioneringsgesprekken. … Bovendien heeft [eiser] van het doorsturen van de betreffende e-mails ten onrechte geen melding gemaakt bij [werkgever] tijdens de onderhandelingen over c.q. het sluiten van de vaststellingsovereenkomst.
Daarmee wordt de werknemer alsnog ontslagen, maar dan dus ‘gewoon’ en niet op staande voet. Hij krijgt alsnog vier maandsalarissen mee met 10% opslag wegens te laat betalen, 3000 euro transitievergoeding en de proceskosten ter hoogte van bijna 900 euro.

Arnoud

 

Dit is dus hoe je als jurist niét ChatGPT moet gebruiken (en ik leer je hoe wel)

Geplaatst op in Ondernemingsvrijheid, Security, 11 reacties

Een advocaat uit New York gebruikte ChatGPT om een verweer in te dienen bij een letselschadezaak, en dat ging ongeveer zoals je zou verwachten: de volgendewoordvoorspeldienst genereerde een imposant stukje proza inclusief relevante zaken en verwijzingen naar wetsartikelen, die allemaal niet bleken te bestaan. Excuses zijn aangeboden, maar toch. Wut.

De zaak kwam aan het rollen nadat advocaat Steven Schwartz (30 jaar ervaring) vliegmaatschappij Avianca Airlines had aangeklaagd vanwege letselschade bij een cliënt. Nadat de maatschappij verweer had gevoerd, diende Schwartz een uitgebreide repliek in waarbij hij meende te mogen profiteren van geavanceerde generatieve Artificial Intelligence die in luttele minuten doodsaai juridisch werk transformeerde in een intellectuele ervaring.

Ik vergat er trouwens nog bij te zeggen dat nadat de wederpartij verzocht om kopieën van deze beweerdelijke jurisprudentie, Schwarts deze aan ChatGPT opvroeg en de resultaten opstuurde. Dat viel niet in goede aarde bij de rechter, die dus nu aanstuurt op sancties tegen de advocaat.

Wat ging hier mis? Zoals hij zelf uitlegt:

Schwartz, in an affidavit, said that he had never used ChatGPT as a legal research source prior to this case and, therefore, “was unaware of the possibility that its content could be false.” He accepted responsibility for not confirming the chatbot’s sources. Schwartz is now facing a sanctions hearing on June 8.
We hebben hier een paar keer discussies gehad over of mensen al dan niet snappen wat ChatGPT is en hoe je het kunt gebruiken. Ik proef dan altijd een toon van ongeloof dat mensen zouden denken dat het wáár is wat eruit komt. Deze zaak laat volgens mij geen geïsoleerd one-in-a-million incident zien, maar eerder toevallig de eerste die betrapt werd.

Voor de duidelijkheid: GPT snapt niets van tekst, heeft geen idee wat een docket number is of zelfs maar wat het verschil is tussen een werkwoord en een tussenwerpsel. Het systeem is verbluffend goed in het maken van mooie zinnen, maar doet dat enkel op basis van statistiek, woordpatronen. Dat verklaart meteen hoe GPT met nepbronnen aan kan komen zetten: op die plek hoorde iets dergelijks te staan, en termen als “Varghese” of “China South Airlines” komen vaak voor bij dit soort teksten (luchtvaartrechtszaken) en daar moet een “v. ” tussen, prima, doen we dat.

ChatGPT gebruik je dus niet om bronnenonderzoek mee te doen. Er zijn systemen die een tekstgeneratie loslaten op zoekresultaten (zoals Bing of Bard), maar dat vereist dus een extra laag in het systeem. ChatGPT gebruik je om tekstanalyse te doen, of de opzet van een tekst te maken zodat je er zelf mee verder kunt. In advocatentaal: het is een student-stagiair, behandel het ding ook als zodanig.

Leren wat je wél kunt vragen? In september geef ik drie keer een masterclass “GPT in de juridische praktijk“. Wat kun je vragen, hoe vraag je dat en hoe weet je of je relevante antwoorden hebt. Schrijf je snel in!

Arnoud

Rechter: IT-bedrijf is niet verantwoordelijk voor cyberaanval Hof van Twente

Geplaatst op in Security, 1 reacties

De rechtbank Overijssel heeft geoordeeld dat IT-bedrijf Switch niet de schadevergoeding van 4 miljoen hoeft te betalen die Hof van Twente geëist heeft in verband met de ransomwareaanval in 2020. Dat las ik bij Tweakers. Weer eentje in de categorie zorgplicht, maar in dit geval had Switch het prima geregeld – en dat het RDP-wachtwoord ‘Welkom2020’ was, was toch echt de keuze van de gemeente zelf.

In december 2020 voerde een ransomwarebende via een bruteforceaanval een gijzeling uit op de systemen van de gemeente, en eiste 750.000 euro losgeld. De gemeente betaalde niet, maar moest dus alles opnieuw bouwen. Dat was niet gebeurd als de IT-leverancier “haar kasteel (netwerk) had voorzien van een slotgracht, muren en bewakers zodat het niet kon worden binnengevallen.” Aldus de beeldspraak van de advocaat van de gemeente. Even nuchter vat de rechtbank het samen met

De rechtbank is van oordeel dat [Switch], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen.
Altijd leuk die analogieën, maar wat was er nu echt gebeurd? Daarvoor pakken we het zeer gedegen onderzoeksrapport van het NFIR erbij. De korte maar recht voor z’n raap samenvatting is dit:
De aanvallers hebben toegang verkregen tot het netwerk van de gemeente via het Remote Desktop Protocol (RDP). Via RDP kan een server op afstand, via het internet, beheerd worden.  De server FTP-server was voor iedereen op het internet via RDP benaderbaar. Het eerste moment van ongeautoriseerde toegang heeft plaatsgevonden met het account “testadmin”. Het wachtwoord van het “testadmin”-account was op 15 oktober 2020 gewijzigd naar “Welkom2020”.
(Dat geluid op de achtergrond is de collectieve facepalm van alle meelezende securitymensen.) Dit is in juridische taal een niet echt adequate beveiliging, en dat is relevant want als we het gaan hebben over zorgplichten niet nakomen dan is dat wel zo’n beetje de standaard. En voor juristen zonder technische kennis is dit dus de brug die open staat en letterlijk het woord waarmee de wacht je doorlaat.

Wie valt deze tekortkoming te verwijten? Er was natuurlijk een héél pak papier want dit was een aanbesteedde ict-opdracht. De rechter begint met opmerken dat je die stukken zo moet lezen dat de bewoordingen leidend zijn (en dus niet de bedoeling, dit is de cao-norm en niet de Haviltex-norm). Inderdaad zoals bij die verzekeraar van laatst. Vervolgens volgt een trits eisen, waarbij voor mij eruit springt dat

• de informatieveiligheid van de data en de opslagdienst in het algemeen dient geborgd te zijn, zodanig dat voldaan wordt aan de eisen die vanuit het informatiebeveiligingsbeleid van de gemeente hieraan worden gesteld, welk beleid is gebaseerd op de Baseline Informatie-beveiliging Nederlandse Gemeenten (BIG);
Hoewel een algemene monitoringplicht deel was van de afspraken, was er geen expliciete securitymonitoring overeengekomen. Switch hoefde dus pas aan de bel te trekken als uit algemene monitoring een securityincident zou blijken. Wel hoorde bij haar taken het verzorgen van adequate backups. Switch had dat ook serieus onderzocht, en onder meer de back-up server en NAS te isoleren en de back-up server buiten het Active Directory domein te plaatsen. Daar had de gemeente nee op gezegd.

Wat security betreft, waren er dus enkele specifieke afspraken maar zeker geen overkoepelende verplichtingen. Althans, niet in de overeenkomst zelf. Als je de onderliggende algemene inkoopvoorwaarden (de GIBIT) erbij pakte en klantvriendelijk las, dan had je vrij snel een stevige en brede algemene securityplicht gevonden – onder meer die Baseline Informatiebeveiliging Nederlandse Gemeente (BIG) was deel van de overeenkomst. Maar de rechter vindt niet dat je zó makkelijk een zwik verplichtingen kunt importeren:

Ten slotte geldt dat de informatiebeveiliging een kernverplichting van [bedrijf 1] betreft in het kader van de overeenkomst: aan een dergelijke kernverplichting kan niet via algemene voorwaarden zoals de GIBIT-voorwaarden een andere en veel ruimere strekking worden gegeven dan specifiek overeengekomen. Dat zou zich ook niet verdragen met het hiervoor genoemde transparantiebeginsel.
Switch moest het netwerk kwalitatief monitoren, en de gemeente wilde de mogelijkheid hebben om bepaalde acties zelf uit te kunnen voeren zonder “gezeur van de IT” (noem ik het maar even). En dat kregen ze. Daar achteraf dan van maken “jij had de security moeten monitoren en moeten piepen als wij iets geks deden” is niet echt de bedoeling. Dit is waar rechters voor zijn: die kunnen geen RDP configuratiebestanden lezen, maar wel bepalen dat iemand achteraf zit te draaien om een ander de schuld te geven van z’n eigen fouten. Dit soort dingen:
[bedrijf 1] heeft de gemeente er medio 2020 nog op gewezen dat het gelet op de veiligheid beter was leveranciers alleen via de Kaseya-tool toegang te geven, maar voor de gemeente is dat geen aanleiding geweest gebruik te gaan maken van die tools op haar eigen account.
Een RDP poort open zetten heeft an sich geen directe impact op de kwaliteit van de IT-dienstverlening, dus dat is ook niet iets waar Switch wat van had moeten zeggen. En als er vervolgens een zwak wachtwoord wordt ingesteld dat tegelijkertijd wél aan de wachtwoordeisen voldeed, dan is er ook vanuit dat oogpunt weinig te detecteren.
Wat er ook zij van de discussie of deze door [bedrijf 1] voorgestelde maatregelen voldoende zouden zijn geweest om de cyberaanval te voorkomen of de gevolgen ervan te beperken (NFIR meende eerst van ‘wel’ en later van ‘niet’), is, bezien in het licht van het gegeven dat het gehackte account door de gemeente werd beheerd, daaraan de hoogste rechten waren verbonden en een zwak wachtwoord was ingesteld, een feit dat de gemeente (kennelijk uit kostenoverwegingen) niet is ingegaan op [bedrijf 1] voorstel. Daardoor heeft zij [bedrijf 1] de mogelijkheid onthouden om de veiligheid van de back-up te verbeteren, hetgeen voor haar rekening en risico komt.
Je zorgplicht als ict-leverancier houdt dus op als je het expliciet op tafel hebt gelegd, de risico’s hebt aangegeven en je dan een duidelijk “nee, gaan we niet doen” krijgen. Hier, deze mag u uitprinten en inlijsten:
De zorgplicht van een ICT-beheerder gaat niet zover dat waar functionele monitoring is overeengekomen, security monitoring daar (kennelijk gratis) onderdeel van uitmaakt.
Er is géén eis dat je dan hoger escaleert bij de klant, zoals de gemeente had gesuggereerd: jij onderhandelt met iemand, als die partij zegt “nee, gaan we niet doen” dan is dat de einduitkomst en dat de CISO van de gemeente of de wethouder IT-zaken wellicht anders had besloten, is niet jouw probleem. Zuur voor de gemeente, maar juridisch gezien was het toch echt haar eigen schuld.

Arnoud

Hoe een versleuteld bericht toch bewijs kan zijn van schending geheimhouding

Geplaatst op in Ondernemingsvrijheid, Security, 16 reacties

Een oud-werknemer moet een boete van ruim 15.000 euro betalen omdat hij een overeengekomen geheimhoudingsbeding en een beding over bedrijfseigendommen had geschonden door een bestand met bedrijfsgegevens naar zijn privé e-mail adres te sturen. Dat is de samenvatting van een recent Amsterdams vonnis in een arbeidszaak met een ict-tintje: het bestand was namelijk versleuteld, en hij was het wachtwoord vergeten dan wel gebruikte het dagelijks, waarom hij het niet wilde geven. Eh ja. Hoe kan dat leiden tot bewijs van een schending van je contractuele geheimhoudingsplicht?

De man was in dienst op basis van een tijdelijk arbeidscontract. Dat had een geheimhoudingsbeding, waarin was bepaald dat het sturen van vertrouwelijke informatie door de werknemer naar een privé e-mailadres wordt beschouwd als een schending van het geheimhoudingsbeding. Op overtreding ervan was een boete gesteld van grofweg vijf bruto maandsalarissen. En ja, dat mag: geheimhouding schenden is een ding waar rechters weinig sympathie voor hebben (tenzij je heel duidelijk aan het klokkenluiden bent natuurlijk). Concurrentie- en relatiebedingen krijg je nog wel omver, maar dit is echt andere koek.

Op 23 maart 2022 heeft [werkgever], na onderzoek van haar IT-afdeling, geconstateerd dat [gedaagde] op 17 maart 2022 een Excelbestand genaamd “ListeRenewableEnergyxVCMxBioMethane” heeft hernoemd tot “Stuff tot do”, dit heeft beveiligd met een wachtwoord en verzonden naar een van zijn privé emailadressen. Ook heeft [werkgever] geconstateerd dat [gedaagde] op 20 maart 2022 nog een e-mail met eveneens het beveiligde Excelbestand genaamd “Stuff to do” heeft verzonden naar een ander privé e-mailadres. [werkgever] heeft de beschikking over de laatste versie van het bestand “Stuff to do” voordat dit door [gedaagde] is versleuteld.
Wat was hier aan de hand? De werknemer legde uit:
Het was slechts een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden. Hij was van plan om in dit rekenblad ook informatie over (potentiële) klanten van [werkgever] op te nemen, om zo te komen tot een lijst met potentiële klanten waarmee hij na zijn carrière bij [werkgever] zonder risico zou kunnen werken. Zover is het echter niet gekomen omdat dit te bewerkelijk werd. Met de lijst van klanten van [werkgever] die hij had gevonden in het CRM systeem van [werkgever] heeft hij dus niets gedaan.
De sleutel wilde hij echter niet geven, en dat wekte wat wrevel op bij de rechter:
Verder valt op dat [gedaagde] weinig coöperatief is geweest tijdens de gesprekken met [werkgever], bedoeld om [werkgever] duidelijkheid te verschaffen over de inhoud van het door [gedaagde] verstuurde bestand. Zo blijkt uit een niet betwiste transcriptie van een op 28 maart 2022 gevoerd telefoongesprek (productie 25 [werkgever]) dat hij tijdens dat gesprek heeft verklaard het wachtwoord niet te willen geven omdat hij dit dagelijks gebruikt, terwijl hij op de mondelinge behandeling heeft verklaard het wachtwoord niet meer te weten. Voorts heeft [gedaagde] verklaard het bestand te hebben weggegooid.
Ik zou dit ook een ietwat irritante houding geven. Maar enkel irritant doen is natuurlijk geen reden om je een rechtszaak te laten verliezen. Dat kan wel als je de bewijslast omkeert, en de rechter ziet daar – naast bovengenoemde houding – genoeg inhoudelijke gronden voor:
[Gedaagde] heeft daarbij gewezen op de door [werkgever] overgelegde nog niet met een wachtwoord beveiligde versie, waarvan als niet (voldoende) betwist vaststaat dat die versie geen vertrouwelijke bedrijfsinformatie van [werkgever] bevat. Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen. Dat valt temeer niet uit te sluiten nu [gedaagde] niet (voldoende) heeft betwist dat de betreffende Excel sheet, gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van [werkgever] te worden gevuld. Daarbij staat onbetwist vast dat [gedaagde] voorafgaand aan de verzending van het bestand gegevens heeft gedownload uit het zg. CRM systeem van [werkgever]. Bovendien valt niet goed te begrijpen waarom [gedaagde] een bestand met – zoals hij zelf stelt – slechts openbaar toegankelijke informatie überhaupt met een wachtwoord zou moeten beveiligen.
Het is inderdaad voorstelbaar dat je aan een bestaand Excel-bestand een extra tab toevoegt met wel vertrouwelijke informatie, zeker in de context waarin je ziet dat iemand wat eerder nog vertrouwelijke gegevens heeft gedownload. En als kers op de taart dan de vraag wáárom je zo’n bestand versleutelt als er niets bijzonders in staat. Natuurlijk, daar zijn weer logische antwoorden op te verzinnen (“dat doe ik altijd”), maar dat moet je dan wel zeggen en het moet natuurlijk wel kloppen. Alles bij elkaar vindt de rechter dat het verhaal aan de kant van werknemer te zeer rammelt, en draait hij de bewijslast om. Dat mag van de wet, art. 150 Rechtsvordering:
De partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, draagt de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.
De hoofdregel is dus “wie stelt, bewijst”, maar dan iets preciezer geformuleerd: wie wil profiteren van het gevolg van een stelling, moet deze bewijzen. De werkgever wil de boete incasseren, dus moet de werkgever bewijzen dat het beding geschonden is. Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild.

Dan zijn we snel klaar, want de werknemer had verklaard het wachtwoord niet meer te weten en het bestand te hebben weggegooid. Daarmee is het bewijs dus geleverd dat hij het beding heeft overtreden, zodat hij de boete moet betalen. Deze wordt wel gematigd, omdat de berekening van de werkgever meerdere keren hetzelfde feit betrof.

Merk op dat we het niet een keer hebben gehad over de gebruikte encryptietechniek of de mogelijkheden van vervalsen van berichten, deniable encryptie en ga zo maar door. Deze rechter deed precies wat rechters moeten doen: de argumentatie van partijen aanhoren en afwegen, en dan een beslissing nemen. Hoe iets technisch werkt en wat er zou kunnen is dan minder van belang dan wat er in dit specifieke geval is gebeurd. Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.

Arnoud

Boekhouder die illegaal inlogde op server kan zich niet beroepen op noodtoestand

Geplaatst op in Regulering, Security, 14 reacties

Een boekhouder die illegaal inlogde op de server van het bedrijf waarvoor hij de boekhouding verzorgde, om zo gevoelige informatie te verzamelen voor de ontslagprocedure van een collega, kan zich niet beroepen op een noodtoestand, zo las ik bij Security.nl. Wacht, een noodtoestand in het strafrecht, is dat een ding? Jazeker. De Hoge Raad oordeelt alleen helaas voor de boekhouder dat die situatie niet opgaat, en veroordeelt hem gewoon voor computervredebreuk.

Tijdens het ontslagproces van een medewerker van het bedrijf werd ontdekt dat die over vertrouwelijke informatie beschikte, waaronder financiële stukken, offertes, correspondentie, privé mails en zeer geheime stukken. Dat bleek (zoals ik uit het arrest haal) te herleiden tot deze boekhouder, die maar liefst 45 keer had ingelogd op de server en daar informatie had opgehaald die niets met zijn eigenlijke werk te maken had. Weliswaar mocht hij op die server zijn, maar zeker niet bij die bestanden.

Het verweer van de boekhouder was opmerkelijk:

Toegespitst op deze gedragingen, is het beroep op overmacht in de zin van noodtoestand, als volgt nader toegelicht: de verdachte bevond zich tussen conflicterende belangen; hij voelde dat hij de maatschappelijke plicht had om de waarheid van de feiten in de ontslagprocedure van [betrokkene 1] in te doen brengen; [betrokkene 1] had hem hier om verzocht; de verdachte stelt dat [het bedrijf] de financiële positie van het bedrijf doelbewust en valselijk te negatief aan de kantonrechter had gepresenteerd om zo een zo laag mogelijke ontslagvergoeding te moeten betalen; dit moest in hoger beroep worden rechtgezet.
Heel erg meedenkend in de richting van de boekhouder: als je ziet dat een collega bij een ontslagprocedure een te lage vergoeding krijgt op basis van bedrijfsomzetgegevens waarvan jij (als boekhouder dus) weet dat ze niet kloppen, dan snap ik best dat je daar boos om wordt en dat onrecht wilt corrigeren. En ja, het is juridisch erkend dat je vanuit een toestand van nood kunt handelen en dat je dan straffeloos bent:
“uitzonderlijke gevallen kunnen meebrengen dat gedragingen die door de wetgever strafbaar zijn gesteld, niettemin gerechtvaardigd kunnen worden geacht, onder meer indien moet worden aangenomen dat daarbij is gehandeld in noodtoestand, dat wil zeggen -in het algemeen gesproken- dat de pleger van het feit, staande voor de noodzaak te kiezen uit onderling strijdige plichten en belangen, de zwaarstwegende heeft laten prevaleren”. [HR 23 juli 2011, ECLI:NL:HR:2011:BP5967]
De lat ligt alleen wel heel erg hoog, er moet echt op dat moment geen andere optie zijn. Meelezende juristen moeten nu wellicht denken aan het opticien-arrest, waarin een opticien niet strafbaar was door na openingstijd een zeer slechtziende man een bril te verkopen. Die persoon had zó zeer op dat moment een bril nodig, dat het (geringe) belang van de Winkelsluitingswet moet wijken. Maar omdat het hier om een langere periode aan gedragingen ging, ziet de HR dat niet van toepassing:
Het gestelde rechtvaardigheidsgevoel is in deze niet voldoende dwingend, en wordt overigens ook vertroebeld met hetgeen de verdachte zelf bij de politie heeft verklaard: “voor mij geldt het motto: Het doel heiligt de middelen” en “eigen schuld dikke bult”. Daar komt bij dat de omstandigheden die zouden hebben genoopt tot wetsovertreding al geruime tijd speelden. Gesteld noch gebleken is dat niet-strafbare alternatieven om het beoogd doel te bereiken voldoende zijn onderzocht en kennelijk volkomen ineffectief zouden zijn geweest. Van enige geestelijke “worsteling” leidende tot een kennelijk onvermijdelijke wetsovertreding is niet gebleken.
Ik moet zelf wel zeggen dat ik niet meteen weet wat dan die niet-strafbare alternatieven zouden moeten zijn. Het lijkt me erg moeilijk om als buitenstaander informatie aan te dragen over de financiële positie van een bedrijf, dus daarmee kun je die ontslagen medewerker niet echt helpen.

Arnoud

 

Britse politie komt duizenden cybercriminelen op het spoor via loksites, mag dat bij ons ook?

Geplaatst op in Regulering, Security, nog geen reacties

Britse rechercheurs hebben meerdere sites opgezet waar cybercriminelen zogenaamd ddos-aanvallen konden bestellen. Dat meldde Nu.nl onlangs. De politie kon zo duizenden aanvragers noteren en gaat ze allemaal een bezoekje brengen. Het riep bij een paar lezers de vraag op: is dat geen uitlokking, zou dat ook mogen naar Nederlands recht?

DDOS-bestelsites, in het jargon booter sites, zijn Justitie al lang een doorn in het oog. Europol haalde  in 2022 vijftig ddos-booters offline, mede dankzij de inzet van de Nederlandse politie. Zoals ik toen blogde:

Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets.
Anders gezegd, er lopen dus veel mensen rond die graag geld uitgeven om een DDoS-aanval uit te laten voeren die in strijd is met de wet. Die mensen eruit pikken voor ze écht schade hebben aangericht, is een legitiem doel van de politie. Alleen kom je dan snel terecht in de discussie over ‘uitlokking’.

De discussie over uitlokking speelde in 2013 bij een nepvuurwerkwinkel, opgezet door de politie met als doel mensen waarschuwingen te geven die daar illegaal vuurwerk meenden te bestellen.

Van uitlokking is in ons strafrecht sprake als je iemand op andere gedachten brengt, hem overhaalt het strafbare feit te plegen terwijl hij dat zelf niet van plan was. In het lokfiets-arrest bepaalde de Hoge Raad dat je iemand niet uitlokt door een onafgesloten fiets neer te zetten op een plek waar vaak fietsen steelt. Een fiets is een fiets, en de dief kiest er nog altijd zelf voor om die te stelen. Zou een agent na het plaatsen naar een stel junks toegaan en zeggen “hee daar staat me een mooie fiets, en onafgesloten ook nog”, dan wordt het al twijfelachtiger.
Ik had er toen een kléin beetje moeite mee, omdat een winkel naar zijn aard producten promoot. Iemand die toevallig aan komt waaien en dan de strijkers, Bengaals vuur en mortierbommen in het gezicht geduwd krijgt, die kan denk ik goed verdedigen op andere gedachten gebracht te zijn door die reclame: hij kwam alleen voor legaal vuurwerk en werd door de reclame effectief overtuigd deze te kopen.

Bij DDoS-aanvallen zie ik dat niet. Natuurlijk, het standaardexcuus van die sites is dat ze zich richten op mensen die hun eigen netwerk willen testen. Maar hier worden de kopers van de diensten aangesproken. En die hebben geen mooi CRA-compliant bedrijfsnetwerk, laat staan dat het opgegeven target IP-adres behoort tot hun eigen serverpark. Dus daar is geen enkel excuus.

Het volgende argument zou zijn dat de koper-in-spe eigenlijk nooit van plan was een DDoS-aanval te bestellen, maar door de site werd overgehaald: het is makkelijk, niet duur, ze zeggen hier “niet te traceren” en dergelijke aanprijzingen. Zonder de precieze site te zien is het lastig te zeggen hoe hard de website mensen probeerde over te halen.

Maar ik zou zeggen: als men de site niet actief adverteerde bij derden, maar ‘gewoon’ als een beschikbare dienst neerzette, dan wordt er niemand op andere gedachten gebracht. Het is immers een bestaande site die de politie overnam, dus eventuele reclame of bekendheid moet je de vorige eigenaar toerekenen. Ik zie er daarom dus juridisch geen uitlokking in.

Arnoud

Nebu moet van rechter informatie over groot datalek verstrekken

Geplaatst op in Privacy, Security, 6 reacties

Softwareleverancier Nebu moet marktonderzoeker Blauw informatie verstrekken over de inbraak op de eigen systemen en de diefstal van data die daarbij plaatsvond. Dat meldde Security.nl gisteren. Dit is het oordeel van de rechtbank Rotterdam in het spoedkortgeding over dat enorme datalek met miljoenen slachtoffers, waarbij het onderzoeksbureau Blauw onduidelijk was wat er nu precies gelekt was en hoe.

Nebu is in dit verband een SaaS-dienstverlener, die een platform aanbiedt waarop partijen als Blauw marktonderzoeken kunnen uitvoeren. Blauw doet dat dan weer in opdracht van partijen zoals de NS, VodafoneZiggo, zorgverzekeraar CZ of de Rijksdienst voor Ondernemend Nederland. De rechtbank laat in het midden of Blauw dan verwerker is of niet (want niet relevant nu), maar is het met Blauw eens dat Nebu in ieder geval een verwerker is. En dan moet er dus een verwerkersovereenkomst zijn, of zoals de rechtbank het juridisch correct noemt een verwerkingsovereenkomst. Daarin staat deze vrij standaard bepaling:

[Nebu] immediately notifies [Blauw] of any incident in relation to the processing of personal data. In the event of an incident, [Nebu] will fully cooperate with [Blauw] and follow the instructions issued by [Blauw] in respect of this incident. This will enable [Blauw] to carry out a proper investigation into the incident, to formulate a correct response and to take appropriate follow-up steps in respect of the incident. If an immediate notification is not possible, [Nebu] will notify [Blauw] at least within 24 hours after an incident occurring.
Deze clausule is een vrij standaard herformulering van de verplichtingen van de verwerker uit artikel 28 lid 3 AVG, meer specifiek subleden f en h die over de bijstands- en informatieplichten gaan. Echter, nadat het datalek openbaar werd, bleek er niet bijster veel informatie te worden gedeeld door Nebu:
Op 13 maart 2023 meldde Nebu aan Blauw en andere klanten van Nebu dat er sprake is van een storing in haar dienstverlening waardoor haar diensten offline gehaald zijn. Ook stuurde zij die dag meerdere updates. Daarin werd nog niet gemeld dat er sprake was van een cyberaanval of een (mogelijk) datalek.

Op 14 maart 2023, 23:13 uur, heeft Nebu Blauw en andere klanten van Nebu bericht dat op vrijdag 10 maart 2023 een cyberaanval heeft plaatsgevonden op de productieomgeving van Nebu in Nederland en dat de diensten daardoor niet beschikbaar waren. Nebu kondigde daarbij een forensisch onderzoek aan.

Nebu zond op 20 maart 2023 een update aan Blauw en andere klanten van Nebu over de herstart van haar RDP (remote desktop protocol) dienstverlening. De update bevat geen informatie over de cyberaanval. Op 21 maart 2023 schreef Nebu aan Blauw dat zij op dit moment geen andere informatie had om te verstrekken dan de informatie uit de update.

Dit is nogal mager inderdaad, zeker als je dat ziet in het licht van de enorme omvang van het datalek zoals die inmiddels openbaar is geworden. De rechter is er dan ook snel klaar mee:
Het instructierecht van Blauw is bedoeld, zo blijkt uit de tekst van artikel 5.1, om Blauw in staat te stellen een incident met persoonsgegevens op behoorlijke wijze te onderzoeken, haar reactie daarop te bepalen en om zo nodig gepaste stappen te kunnen nemen. Daaraan moet Nebu dus meewerken en dat moet zij op loyale en royale wijze doen.
De exacte juridische kwalificatie van “loyale en royale wijze” van nakoming van een verbintenis is wellicht een novum, maar de strekking is duidelijk: je had je niet zo in stilzwijgen mogen hullen en volstaan met generieke uitspraken dat er iets mis is gegaan. Je telefoonnummer van je site halen is ook niet handig voor de beeldvorming, maar belangrijker was niet laten zien dat je meteen serieus op onderzoek uitging.
Bij het voorgaande heeft de voorzieningenrechter meegewogen dat er tot dus ver geen onafhankelijk forensisch onderzoek heeft plaatsgevonden of zelfs maar is gestart. Dit maakt het eerder redelijk dat Blauw informatie wil hebben dan in de situatie dat Nebu direct een onafhankelijk onderzoek had gelast. Dat hierdoor mogelijk bedrijfsvertrouwelijke informatie van Nebu in het bezit van Blauw komt, is het onvermijdelijke gevolg. De voorzieningenrechter gaat er overigens vanuit dat Blauw op prudente manier zal omgaan met de informatie die zij als gevolg van dit vonnis zal verkrijgen.
Dat van die onderzoeker is opmerkelijk. Inderdaad zijn we al een paar weken sinds de ontdekking van het datalek, en kennelijk is er bij Nebu niets gebeurd qua diepgravend onderzoek. In die situatie ziet de rechter het als een redelijke instructie van Blauw aan Nebu dat die laatste een onderzoek laat uitvoeren:
Nebu heeft ter zitting verklaard dat zij nog niet kan aangeven of data van (de klanten van) Blauw is geëxfiltreerd. Dit betekent dat het Nebu in een termijn van enkele weken niet is gelukt om dit zelf te achterhalen. Onder deze omstandigheid, gelet ook op het grote aantal persoonsgegevens waar het in deze kwestie om gaat en in het licht van de aanvankelijk beperkte informatie die Nebu aan Blauw heeft verstrekt, schaart de voorzieningenrechter de vordering tot benoeming van een forensisch onderzoeker onder het instructierecht van Blauw op grond van artikel 5.1 van de DPA.
Nebu krijgt vijf werkdagen (het is Paasweekend, jaja) om een extern forensisch bedrijf te contracteren en binnen vier weken een rapport te laten leveren. De overige gevraagde informatie die Blauw wil hebben moet ook worden verstrekt, mits dat beperkt blijft tot informatie die voor Blauw zelf relevant is en geen juridisch advies aan Nebu betreft.

De gevolgen van dit specifieke lek zullen nog wel even doorlopen. Maar de uitspraak laat mooi zien dat de brede bewoordingen van de AVG en de verwerkersovereenkomst dus inderdaad zo breed toegepast kunnen worden. Vaak wordt daar niet bij stilgestaan omdat men ‘gewoon’ de wet over denkt te schrijven.

Arnoud

Organisaties informeren consumenten onvoldoende over datalekken, hoe moet het dan wel?

Geplaatst op in Privacy, Regulering, Security, 7 reacties

De Nederlandse Consumentenbond concludeert op basis van een steekproef dat veel organisaties consumenten niet goed genoeg informeren bij datalekken. Dat meldde Tweakers onlangs. In de steekproef bleken 37 van de 69 onderzochte waarschuwingen voor datalekken onduidelijk: er staat te weinig concrete informatie in, en vaak ontbraken ook de stappen die je zelf kunt nemen om de schade te beperken. Het riep de vraag op: hoe zou het dan wel moeten, nog meer informatie?

Ik kreeg even juridische jeuk van de passage over modebedrijf Livera, die ik jullie dan ook niet wil onthouden:

In het bericht met de kop ‘Bescherming van persoonsgegevens bij Livera hoogste prioriteit’ wordt eerst de bedrijfsstructuur en de aandacht van Livera voor gegevensbescherming beschreven; pas in de derde alinea wordt vermeld dat het moederbedrijf is gehackt en dat persoonsgegevens van klanten mogelijk zijn ingezien.
Deze is wel erg cru, maar berichten met koppen als “Mededeling naar aanleiding van publiciteit” zie ik ook met enige regelmaat voorbij komen. Gelukkig zijn er ook bedrijven die mensen wel adequaat informeren, door een keurig bericht met uitleg wat er is gelekt, welke stappen men nu heeft genomen en op welke risico’s je nu in het bijzonder zou kunnen letten. Een mooi voorbeeld blijft voor mij het datalek bij de Philips-personeelsadministratie, waarbij men zowaar een dark net monitoring service inhuurde om in de gaten te houden of NAW+bsn gegevens werden verhandeld op het nietdoorzoekbareweb.

Het achterliggende punt blijft natuurlijk: wat zou je nog meer, of nog anders moeten doen? Dan kom je al snel uit bij een schadevergoeding, wat juridisch lastig ligt omdat de schade moeilijk te kwantificeren is. Als de Shell diesel verkoopt vanuit de benzine-pomp, dan kun je vrij eenvoudig je factuur voor het reinigen van je injectiesysteem bij de pomp indienen. Maar bij persoonsgegevens? Ja, je bent kwetsbaarder voor phishing en er zal vast een AI op je profiel worden getraind, maar welk bedrag zet je daar op?

Er zijn vele stichtingen bezig met allerlei massaclaims, waarbij vaak 500 euro opduikt omdat dat eenmalig is toegekend (bij een concreet lek van medische gegevens). Het voelt ergens wat hoog, want is een datalek bij een klanttevredenheidsenqueteur nu dat echt waard? Ook is er altijd die weerstand dat die stichting dan “al dat geld pakt” terwijl het gaat om vergoeding van andermans schade. Maar als de wetgever de bal laat liggen, dan springen particuliere partijen in het gat.

Ik blijf erbij: er moet een staatje komen, het liefst door de AP, net zoals we bij letselschade al lange tijd het Smartengeldboek hebben. Want zelfs als daarin 5 euro had gestaan per betrokkene, dan had de NS nu dus een half miljoen moeten uitkeren en dát maakt niveautje-dassenburcht indruk in de Boardroom.

Arnoud PS: Vergeet je niet in te tekenen voor mijn boek? Zie onder!

Mag een bedrijf van de AVG mijn inzage-data wel via de mail sturen?

Geplaatst op in Privacy, Security, 23 reacties
jarmoluk / Pixabay

Een lezer vroeg me:

Als je data opvraagt waar je volgens de AVG recht op hebt, dan is de organisatie verantwoordelijk voor het veilig versturen van deze data. Wat nu als een organisatie deze via e-mail stuurt? Ze kunnen dan wel TLS gebruiken, maar dat beschermt de data niet als deze eenmaal in mijn mailbox zit.
Inderdaad, een verwerkingsverantwoordelijke (zoals zo’n organisatie) moet zorgen voor een goede beveiliging van die persoonsgegevens. Dat speelt ook bij het afhandelen van een inzageverzoek.

Het gebruik van TLS bij het verzenden van e-mail lijkt me een voor de hand liggende beveiligingsmaatregel tegen meelezen in transit. Ik zou niet weten waarom je anno 2023 als organisatie mail verstuurt zonder TLS naar de ontvangende mailserver.

Natuurlijk beveiligt TLS niet tegen een inbraak in de mailbox bij de ontvanger. Maar op het moment dat de mail bij de (organisatie of isp van de) ontvanger is aangekomen, is de ontvanger zélf verwerkingsverantwoordelijke van die gegevens geworden. Daarmee houdt op dat moment de zorgplicht van de verstrekkende organisatie gewoon op.

Een organisatie zou de gegevens ook anders kunnen verstrekken, zoals een download vanuit een beveiligde site of de bijlage voorzien van een wachtwoord dat via apart kanaal wordt verstrekt. Maar ik zie het wezenlijk verschil niet: zodra ik de download binnen heb of de bijlage ontvang, is de data nog steeds mijn verantwoordelijkheid.

Heel misschien is verdedigbaar dat je mag verwachten dat veel ontvangers niet goed zijn in security, en dat je ze dus een beetje moet helpen. Bijvoorbeeld dus door een wachtwoordbeveiliging met het wachtwoord apart verstuurd. Maar nog los van de vraag of je bij zo’n inzageverzoek wel een tweede communicatiekanaal hébt, ik weet geen artikel in de AVG waaruit zo’n vergaande zorgplicht dwingend zou volgen.

Arnoud

Datalek Nederlandse bedrijven steeds groter: zeker 2 miljoen klanten getroffen

Geplaatst op in Security, 14 reacties

Zeker 2 miljoen Nederlandse klantgegevens blijken betrokken bij een groot Nederlands datalek, las ik bij de NOS. Meerdere marktonderzoekers hebben aan de NOS bevestigd slachtoffer te zijn, en wijzen naar softwareleverancier Nebu. Marktonderzoeker Blauw heeft samen met collega’s al een civiele procedure aangekondigd om Nebu te dwingen meer informatie te verstrekken. Het riep onder meer de vraag op: hoe zit dat met aansprakelijkheid onder de AVG bij zo’n datalek?

Dinsdag wordt er gedagvaard, zo te lezen:

Volgens [Blauw-topman Jos] Vink wil Blauw van Nebu weten welke persoonsgegevens precies zijn weggehaald bij Blauw en hoe het heeft kunnen gebeuren. Als de softwareleverancier voor dinsdag duidelijkheid verschaft, trekt Blauw het kort geding volgens Vink in. “Sinds het datalek is het contact matig en krijgen we niemand te spreken”, zegt hij. Blauw heeft ook een advocaat genomen voor juridisch advies over wat het marktbureau het beste kan doen en hoe het klanten zo goed mogelijk kan informeren.
Een datalek van deze omvang is natuurlijk een AVG-probleem, en het verbaast dan ook niet dat de AP een onderzoek is gestart. Dat zal primair gericht zijn tegen de verwerkingsverantwoordelijken, dus de bedrijven die de marktonderzoeksbureaus inschakelden, zoals de NS, VodafoneZiggo, zorgverzekeraar CZ, de Vrienden van Amstel Live, de Rijksdienst voor Ondernemend Nederland en woningcorporatie Stadgenoot. Maar zowel een verantwoordelijke als een verwerker zijn apart aan te spreken door de AP voor het niet hebben van een adequate beveiliging (art. 32 AVG). De vraag is dus nogal prangend wat er precies gebeurd is, hoe kon de data worden buitgemaakt en had dat redelijkerwijs voorkomen kunnen worden?

Blauw is een marktonderzoeksbureau, dat gebruik maakt van de softwaredienst van Nebu, een ISO27001 gecertificeerd bedrijf dat “[offers] 25 years of experience in building and delivering software solutions for Market Research.” Maar toch ging dat niet helemaal zoals verwacht kennelijk. De collega’s bij marktbureau USP weten meer:

[Directeur Jan Paul Schop van marktonderzoeker USP] zegt dat USP voorlopig blijft samenwerken met Nebu. “We werken al meer dan 15 jaar met Nebu samen en we hebben niet eerder problemen op dit vlak gehad. Feitelijk is Nebu zelf niet gehacked, maar is de moedermaatschappij in Canada gehacked. Via dat kanaal is men bij Nebu binnengekomen”, aldus Schop.
Onder de AVG kan een verwerkingsverantwoordelijke een verwerker aanspreken voor de gevolgen van een inadequate beveiliging (art. 82 AVG). Bij een softwareleverancier kun je niets verhalen, tenzij je dat contractueel zo geregeld hebt. Het is dus even de vraag wat Nebu precies is: leveren die alleen software, of zit er ook dienstverlening bij waarbij persoonsgegevens de database van Nebu in lopen? Want dan zou Nebu een subverwerker zijn, en daarvoor geldt dan dezelfde regel.

Arnoud