Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Beveiliging, Privacy, Software | 19 reacties

Een lezer vroeg me:

Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR?

Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer die software persoonsgegevens gaat verwerken. Dergelijke software moet immers veilig zijn en voldoen aan de beginselen van privacy by design en privacy by default.

Goede testdata is daarbij van belang, maar is vaak moeilijk te krijgen. Daarom zie je regelmatig dat er toch met productiedata wordt getest, dat is dan de enige bron van een grote hoeveelheid uiteenlopende data waarmee genoeg aspecten getest kunnen worden.

Handig, maar erg problematisch: je weet immers per definitie nog niet of de software veilig is en wel privacytechnisch dichtgetimmerd is. Daarmee neem je als bedrijf (de klant dus van de vraagsteller) een serieus risico op datalekken. Bovendien moet je met je wederpartij (zoals de vraagsteller dus) een verwerkersovereenkomst sluiten waarin je de omgang met deze data expliciet reguleert, en dat wordt vaak vergeten want “het is maar om te testen”.

Het ontwikkelbedrijf zou ik adviseren om expliciet in de overeenkomsten op te nemen dat er géén productiedata wordt geleverd en al helemaal niets waar persoonsgegevens in zit. Een anti-verwerkersovereenkomst, zeg maar. Stuurt de klant die dan toch, dan heb je in ieder geval een sterk argument dat dit niet de bedoeling was. Uiteraard moet je dat bij ontdekking wel melden en die data vervolgens meteen wissen.

Arnoud

Mag Destiny achteraf de inhoud van een game aanpassen?

| AE 10007 | Cloud, Software | 6 reacties

Onlinespelaanbieder Bungie heeft bepaalde spelelementen uit Destiny 2 vergrendeld voor bezitters van de game die niet de nieuwe Curse of Osiris downloadable content kopen, zo las ik bij Tweakers vorige week. Deze spelelementen waren origineel wel inbegrepen, maar wie de aanschaf van deze download weigerde, blijkt niet langer in staat om alle inhoud van het spel te kunnen spelen. Zo moeten spelers nu bijvoorbeeld een power level van 330 hebben om toegang te krijgen tot het onderdeel Prestige Nightfall, maar is zonder de aanschaf van Curse of Osiris is een level boven de 305 niet te halen.

Wanneer je iets koopt, heb je recht op conformiteit (“wettelijke garantie”). Het spel moet dus voldoen aan de redelijkerwijs gewekte verwachtingen, en het lijkt me dat daarbij hoort dat de verhaallijnen en onderdelen die er bij aanschaf in zitten, het gewoon blijven doen. Dat je nadien updates of uitbreidingen kunt kopen voor méér dingen staat daar natuurlijk los van.

En ja, deze regel geldt ook bij aangeschafte spellen. Al in 2012 bepaalde de Hoge Raad dat de regels uit het Burgerlijk Wetboek over koop van spullen ook gelden voor gekochte software. Wel moet het dan gaan om standaardsoftware die je tegen een vaste, eenmalige vergoeding krijgt voor onbepaalde tijd. Je hebt voor dergelijke software dus het recht op een goed product, net zoals bij een nieuwe koelkast.

Wanneer functionaliteit wijzigt bij de aanschaf van een uitbreiding, dan is dat ergens nog wel te billijken mits dat duidelijk bij de aanschaf gemeld werd. Je kiest er dan immers voor om die aanschaf te doen en dus ook om die wijziging voor lief te nemen. Bij deze dlc was daar geen sprake van.

Sterker nog, het probleem hier is niet dat mensen die de dlc kochten ineens minder kunnen, het treft juist mensen die de extra content niet hebben gekocht. Want met de release van deze extra content werden ook de algemene spelregels aangepast, waarmee dus die verhoogde power levels overal ingevoerd werden en je dus niet meer in staat bent het gehele spel te spelen. Dat zou in strijd zijn met die conformiteitseis.

Dit verhaal laat weer een zwakte zien van de recente ontwikkeling om van software een dienst te maken of deze te koppelen aan een online dienst. De koper van een product is stevig beschermd, maar wie een dienst afneemt staat eigenlijk heel erg zwak. Want dienstverleners mogen hun voorwaarden aanpassen, de inhoud van de dienst veranderen en de prijs verhogen als ze daar zin in hebben. En als afnemer kun je eigenlijk alleen opzeggen als je dat niet bevalt. Eisen dat de dienst blijft zoals je was beloofd, is niet juridisch mogelijk.

Arnoud

Moet alle oude software worden afgeschaft onder de Privacyverordening?

| AE 9721 | Privacy, Software | 16 reacties

Een lezer vroeg me:

De Algemene Verordening Gegevensbescherming (AVG of GDPR) stelt strenge eisen aan ICT-systemen, zoals privacy by design en beveiliging. Hebben wij nu een probleem met al onze legacy software?

Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG of GDPR) van kracht. Deze gaat een grote verandering opleveren bij alle bedrijven die iets doen met persoonlijke gegevens. Eén belangrijk aspect daarbij is de inrichting van ICT-systemen die dergelijke persoonsgegevens opslaan.

Gegevensbescherming door ontwerp, in het Engels privacy by design, houdt in dat de voor verwerking gebruikte mechanismen zo zijn ontworpen dat zij zo veel mogelijk rekening houden met de privacy van betrokkenen en de vereisten uit de AVG. Een systeem dat hieraan voldoet, zou dus bijvoorbeeld knoppen ingebouwd hebben waarmee betrokkenen inzage in hun persoonsgegevens kunnen krijgen. Ook andere maatregelen, gericht op bijvoorbeeld het minimaliseren van de hoeveelheid persoonsgegevens en het zo spoedig mogelijk pseudonimiseren van persoonsgegevens, vallen onder dit beginsel.

Meer algemeen moeten passende technische en organisatorische maatregelen worden genomen om te waarborgen (én te kunnen aantonen) dat verwerkingen in overeenstemming met de AVG worden uitgevoerd. ICT-systemen moeten dus aantoonbaar uitgevoerd zijn met dergelijke waarborgen.

De AVG kent geen uitzondering voor software die reeds in gebruik was voor de inwerkingtreding (25 mei 2016). Dat betekent dat ook bij die systemen moet worden voldaan aan de eisen van passende waarborgen en privacy by design. In zoverre heb je dus een probleem met dergelijke legacy software.

Echter, de AVG eist ook weer niet dat je hele infrastructuur volledig opnieuw moet worden opgebouwd. Randvoorwaarde is namelijk dat je rekening houdt met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.

Je moet dus een afweging maken welke problemen of beperkingen er zitten in je huidige infrastructuur, en hoe je daar een kosteneffectieve oplossing kunt treffen waarmee mensen hun rechten kunnen halen. Dat kan zijn een vervanging, maar een extra systeem er naast zou ook een legitieme oplossing kunnen zijn. Zolang je maar kunt aantonen dat je erover nagedacht hebt en dat deze oplossing uiteindelijk goed genoeg is.

Arnoud

Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

| AE 9521 | Aansprakelijkheid, Software | 25 reacties

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die… Lees verder

Ministers stelt ontwikkelaars aansprakelijk voor softwarefouten

| AE 9502 | Aansprakelijkheid, Software | 23 reacties

Demissionair staatssecretaris Klaas Dijkhoff heeft in een Kamerbrief gezegd zegt dat softwareontwikkelaars op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat. Dat las ik bij Tweakers. Juridisch gezien zegt hij weinig nieuws; de regels over conformiteit bij producten bevatten immers geen uitzondering voor de software-delen van producten. Nieuw is wel… Lees verder

Mag ik mensen certificeren als Agile scrum master?

| AE 9331 | Merken, Software | 22 reacties

Een lezer vroeg me: Mag je zomaar een certificaat ontwikkelen en uitgeven? Wij geven trainingen en workshops in Scrum, een vorm van Agile. Andere opleiders geven een certificering uit. De cursist is na het volgen certified scrum master, certified agile coach et cetera. Kan dit zomaar c.q. kunnen wij dit ook doen? De term ‘certificaat’… Lees verder

Moeten we echt elk jaar de copyrightvermelding in onze broncode updaten?

| AE 9248 | Software | 23 reacties

Een lezer vroeg me: Alle broncodes binnen ons bedrijf hebben een copyrightvermelding, als volgt: Copyright © 2016 $NAAM THIS SOURCE CODE IS THE UNPUBLISHED AND CONFIDENTIAL PROPERTY OF $NAAM< AND MAY NOT BE COPIED, MODIFIED OR DISTRIBUTED WITHOUT PRIOR WRITTEN AUTHORIZATION. (Iets ingekort in verband met leesbaarheid.) Nu moet ik al die notices aanpassen want... Lees verder

Google moet wél buitenlandse e-mails overdragen aan de FBI

| AE 9261 | Privacy, Software | 19 reacties

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse… Lees verder

Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Aansprakelijkheid, Software | 8 reacties

Een lezer vroeg me: Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je… Lees verder

Mag je licentie-incompatibele dependencies meeleveren met je software?

| AE 9144 | Open source, Software | 34 reacties

Een lezer vroeg me: Bij veel opensourcepakketten heb je allerlei extra software nodig, zogeheten dependencies. Soms is deze extra software meegeleverd met het pakket, maar vaak niet. Je moet dan maar hopen dat het via de repository van je Linux-distributie beschikbaar is. Ik had vernomen dat dat soms een juridische keuze is, hoe zit dat?… Lees verder