Hoe verander je van huisregels als forum?

| AE 9644 | Cloud, Contracten | 5 reacties

Regelmatig krijg ik vragen van forums en andere sites waar mensen dingen mogen posten: ze willen nieuwe voorwaarden, maar hoe voer je dat in? Kun je ze gewoon op je website zetten, of moet je iedereen apart akkoord laten gaan en wat doe als mensen dan bezwaar maken?

Nieuwe gebruiksvoorwaarden maken is inderdaad niet zo moeilijk, maar je moet ze vervolgens ook invoeren. En dat kan misgaan wanneer je mensen al onder bestaande voorwaarden op je site hebt. Die mensen hebben juridisch gezien een contract met je, en de voorwaarden uit zo’n contract moeten worden nageleefd. Door hen – maar ook door jou.

De eerste stap is dus in je huidige voorwaarden nakijken wat deze zeggen over het wijzigen daarvan en hoe dat procedureel moet gebeuren. Vaak staat er dat dit zomaar mag, maar dat je het een maand of zo van tevoren moet melden. Dat is dan dus hoe het zal moeten.

Staat er niets over het mogen wijzigen, dan heb je tóch dat recht. Bij langlopende diensten is het namelijk sowieso toegestaan om deze op te zeggen als dienstverlener (leuk man, die informatiesamenleving), en als je mag opzeggen dan mag je ook wijzigen. Natuurlijk mag de gebruiker dan ook weer opzeggen, die hoeft geen genoegen te nemen met gewijzigde voorwaarden. Maar in de praktijk heb je daar weinig aan natuurlijk, want je wilt meestal niet weg bij zo’n dienst.

Staat er niets over een termijn, dan zul je zelf een redelijke termijn moeten geven waarbinnen je het gaat melden voordat ze in werking treden. Het is niet toegestaan om gewijzigde voorwaarden per direct in te laten gaan, dat is niet redelijk. Een week bij een gratis forumdienst lijkt mij redelijk. Bij een betaaldienst zou ik eerder één of twee maanden aanhouden.

Het aankondigen van de wijzigingen gebeurt zoals gemeld in de oude voorwaarden. Staat er niets, dan moet je wederom op zoek naar een redelijke invulling. Ik vind zelf het netst om iedereen bij de eerstvolgende inlog een bericht te sturen dat de voorwaarden gewijzigd zijn en wanneer ze in werking treden. Men kan die dan rustig lezen en besluiten al dan niet weg te gaan. Een akkoord afdwingen mag ook via dat kanaal, maar pas nadat die redelijke termijn is afgelopen natuurlijk.

Voor de privacyverklaring ligt het eigenlijk eenvoudiger. Die tekst moet namelijk gewoon uitleggen wat je doet met mensen hun privacy. Akkoord daarop is niet nodig, en ze mogen dus ook op ieder moment wijzigen.

En nee, dat betekent niet dat je dus zomaar jezelf nieuwe dingen kunt toestaan door ze in de privacyverklaring te noemen. De privacyverklaring is documentatie, een bijsluiter. Je zult nog steeds netjes toestemming moeten vragen om bijvoorbeeld je gebruikers nieuwsbrieven te sturen of hen te tracken met een prachtige nieuwe tool. Maar regel je dat die toestemming gevraagd wordt, dan kun je zonder nadere mededeling de privacyverklaring uitbreiden met uitleg over die nieuwsbrief of tool.

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me:

Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren?

Ja, dat mag men zo weigeren en er is geen grond om die data op te eisen bij de huidige dienstverlener.

Ik blijf het zeggen: juridisch is data helemaal niets, het bestaat niet en je kunt er dus ook geen aanspraak op maken tenzij contractueel is afgesproken van wel. Heel heel soms zou je kunnen beredeneren dat dit impliciet is afgesproken, maar je zult van goeden huize moeten komen en er is geen jurisprudentie hierover.

DNS-data is best cruciaal. Steeds meer diensten autoriseren verzoeken door naar informatie in DNS te kijken. Het bekendste voorbeeld is SPF, een protocol om mailberichten te authenticeren. Wanneer iemand een mailtje verstuurt, wordt dan in de DNS op het afzender-domein gekeken of daar een record is dat toestemming geeft aan deze afzender. Als je die informatie dus niet meeverhuist, dan kun je ineens niet meer mailen naar SPF-gebruikers.

Er is niets wettelijk geregeld voor DNS data, dus zonder afspraak kun je die niet opeisen.

Ook met auteursrecht of databankrecht kom je er niet. Allereerst zit er op dit soort feitelijke informatie geen IE-recht, en ten tweede zijn dergelijke rechten verbodsrechten. Dat wil zeggen dat je de hoster zou kunnen verbieden deze informatie nog te hebben, maar niet dat hij je een kopie moet geven. Auteursrecht is geen eigendom.

De beste manier – maar dat is achteraf – is in het contract of de SLA dus opnemen dat een kopie van de data zal worden verstrekt in een bruikbaar formaat. Heb je dat niet, dan zit er dus weinig anders op dan de data reconstrueren op basis van externe bronnen, in dit geval de openbare DNS. Maar dat kan een heleboel werk zijn, zeker met subdomeinen.

Arnoud

Wie is aansprakelijk voor dat #cloudbleed-lek van Cloudflare?

| AE 9280 | Cloud, Privacy | 11 reacties

Door een bug in de html-parser van CloudFlare konden gevoelige gegevens van klanten van het bedrijf lekken en stond data in de cache van zoekmachines. Na een melding van Google heeft de dienst voor optimilisatie van websites het lek in zeven uur gedicht. Dat meldde Tweakers, met meer details in The Register. De clouddienst had een klassieke buffer overflow-fout, waardoor willekeurige data van andere websites of databases meegestuurd kon worden bij een opvraging van een webpagina. En via Twitter de vraag (dank, Sven): “Is CF responsible for ‘breaches’ at each of those exposed companies?”

Volgens Tweakers zou er geen misbruik zijn gemaakt van de bug, die ontdekt werd door Google’s anti-zerodayproject Project Zero. Maar het lijkt mij nogal ernstig: de bug zorgde voor een abusievelijke opname van data in webpagina’s, maar onzichtbaar voor gewone gebruikers. De data kon echter van alles bevatten, van wachtwoorden tot persoonsgegevens. En dat wordt dan ook nog gecrawled door Google en collega’s, dus in caches overal zit nog dergelijke data. Auw. Wie gaat dat vergoeden?

In het algemeen is er geen wettelijke regeling wie aansprakelijk is voor het lekken van vertrouwelijke informatie. Dit wordt dan ook eigenlijk altijd contractueel geregeld: klant en leverancier spreken af welke data vertrouwelijk moet worden behandeld, welke schade of boete mag worden geclaimd en wanneer sprake is van een overtreding (dan wel overmacht of andere situatie zonder aansprakelijkheid). Dat kan gaan van “leverancier vergoedt elke cent van elke gelekte byte” tot “leverancier is nooit aansprakelijk, hooguit bij opzettelijk lekken”. Of klanten Cloudflare kunnen aanspreken, is dus een kwestie van in de contracten duiken.

Specifiek voor persoonsgegevens ligt dat iets anders in Europa. Daar zegt de wet (de Wbp, en straks de Privacyverordening) dat de aansprakelijkheid voor schade door datalekken ligt bij de (verwerkings-)verantwoordelijke, oftewel de partij die bepaalt waarom die gegevens zijn verzameld en wat daarmee gebeurt (juridisch: die doel en middelen vaststelt van de verwerking). Dat is dus in principe de partij die zaken doet met de personen, bijvoorbeeld een webwinkel of forum die klant- of gebruikersgegevens krijgt.

Alle partijen die die gegevens vervolgens opslaan of gebruiken in opdracht van die verantwoordelijke, heten bewerkers en zijn naar de betrokkenen toe op dit mnoment niet direct aan te spreken. Het is de verantwoordelijke die de claims krijgt – maar hij kan ze wel verhalen natuurlijk op die bewerkers. Daarvoor wordt het juridisch instrument van de bewerkersovereenkomst gehanteerd, een aanvulling op het ICT-contract die specifieke afspraken over persoonsgegevens bevat. Als klant moet je je dus melden bij je webwinkel, forum et cetera met je schadeclaim, en zij kunnen het dan bij hun hoster verhalen die het weer bij Cloudflare gaat halen.

Onder de Privacyverordening wordt dat strenger, dan kun je ook bij verwerkers (zoals ze dan gaan heten) direct een schadeclaim indienen als benadeelde partij. Dan mag je dus als klant of gebruiker van een internetdienst die bij Cloudflare zit, direct bij Cloudflare je schade gaan halen. En ja, Cloudflare valt onder de Privacyverordening ook al zitten ze nog zo hard in de VS.

Het blijft bij privacyclaims echter altijd een hele lastige wat die schade dan precies is, in geld uitgedrukt. Daar zijn ook onder de Verordening geen concrete handvatten over. Ik blijf het herhalen: het wordt tijd voor een staffel met forfaitaire schadebedragen, van zeg 50 euro voor lekken NAW gegevens tot 2.500 voor lekken medisch dossier.

Arnoud

Wetsvoorstel moet digitaal leren met nepnaam veiliger maken

| AE 9265 | Cloud, Privacy | 21 reacties

Kinderen die op school met digitale lesmethoden werken, hoeven niet meer hun eigen naam in te vullen. Dat stond in het papieren AD afgelopen weekend. De ministerraad heeft namelijk ingestemd met een wetsvoorstel van die strekking, hoewel exacte details nog ontbreken. Kort gezegd komt het erop neer dat bij gebruik van clouddiensten door scholen moet… Lees verder