Ik heb een pakketje van de buren stukgemaakt, ben ik nu aansprakelijk?

| AE 12923 | Informatiemaatschappij | 31 reacties

Een lezer vroeg me:

Help! Ik ben zo stom geweest een pakketje voor mijn buren een paar huizen verderop aan te nemen. Natuurlijk zat er iets breekbaars in, natuurlijk heb ik het op z’n kant gezet en natuurlijk sprong de kat er tegenaan waardoor het stuk is (de “krák” van porselein was niet te missen). Ik leef niet zo goed met deze buren, dus hoe groot is mijn probleem nu?
We hebben het al vaker over pakketjes en boze buren gehad, en het blijft een lastige combinatie. Pakketjes niet aannemen tenzij je zéker weet dat je goed zit met je buren blijft mijn devies. Maar goed, je wil vriendelijk zijn, je wist even niet wat te zeggen toen je je eigen pakketje kreeg en “ach mag ik deze ook meteen even afgeven” erbij hoorde: kan gebeuren.

De hoofdregel uit de wet is natuurlijk dat de webwinkel moet zorgen dat het pakket bij de besteller (de buur dus) terecht komt. Dat is nu niet gelukt, dus de buur kan gaan klagen en de webwinkel kan het dan opnieuw sturen. Praktisch gezien zal de winkel zeggen: uw buurman van nummer 7 heeft het pakket, gaat u daar maar langs. Dat is dan geen fijn gesprek, maar ik zie geen juridische claim die de buur van verderop bij de buur van nummer 7 kan leggen.

Iets anders wordt het wanneer de buur bij de winkel meldt dat de buurman van nummer 12 het stukgemaakt heeft. In hun onderlinge relatie verandert dat niets: of het nou de postbode of de buurman was, is immers niet relevant. De webwinkel moet zorgen dat het pakket aankomt. Maar voor de webwinkel kan het interessant zijn om toch eens een aansprakelijkheidsstelling eruit te gooien (afhankelijk van waarde en wat z’n verzekeraar zegt, natuurlijk).

Waar ik dan even mee zit, is welke juridische hoedanigheid je precies hebt als buurman van nummer 12. Voor de hand ligt bewaarneming, je krijgt iets waar je op past totdat de eigenaar het weer wil hebben (art. 7:600 BW):

Bewaarneming is de overeenkomst waarbij de ene partij, de bewaarnemer, zich tegenover de andere partij, de bewaargever, verbindt, een zaak die de bewaargever hem toevertrouwt of zal toevertrouwen, te bewaren en terug te geven.
De bewaarnemer moet bij de bewaring de zorg van een goed bewaarder in acht nemen, staat dan in artikel 7:602. Schendt hij die zorgplicht, dan moet hij de schade vergoeden. Alleen: dit zou impliceren dat je als buurman een contract sluit met de webwinkel. Dat voelt wat gekunsteld, nog los van het feit dat je het artikel niet terug gaat geven aan de webwinkel maar aan de buur. Het past dus niet helemaal bij wat de wet zegt, maar het lijkt er best veel op – de postbode vraagt je namens de afzender om dit pakket aan te nemen zodat de ontvanger het kan ophalen.

In zo’n situatie zou ik dan zeker even met je eigen verzekeraar contact opnemen, want als de webwinkel zich echt meldt met een claim dan is dat een zakelijk geschil over aansprakelijkheid dat een consumentenverzekeraar gewoon kan oppakken. Maar de boze buur heeft niets te claimen bij jou.

Arnoud

Kun je een CISO persoonlijk aansprakelijk stellen voor prutserniveau beveiliging?

| AE 12861 | Ondernemingsvrijheid | 14 reacties

Courtany / Pixabay

Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen securityteam onder de CISO, geen documentatie) dan snap ik wel dat je die CISO meer wilt verwijten dan “wat jammer dat je gehackt bent”.

Het gaat hier om een rechtszaak door aandeelhouders. Die zagen de koers van hun aandelen omlaag duikelen na de hack, en zij menen dat dat onterecht is omdat zij mochten rekenen op een sterk securitybeleid uitgevoerd door een daadkrachtige CISO. Dat noemen we dan aandelenfraude: mensen misleiden over de kwaliteit van je bedrijf zodat ze je aandelen kopen (of niet verkopen). Everything is securities fraud, elk probleem met je bedrijf is ergens wel te herleiden tot “en daardoor gingen de aandelen ten onrechte omlaag en dat is misleiding”.

Hoe je het bedrijf daarvoor aansprakelijk stelt, dat zie ik wel. Prutswerk in je core business én daarover niet eerlijk zijn, dat is ergens wel misleidend of frauduleus te noemen. Prima. Maar om een bestuurslid persoonlijk aansprakelijk te stellen voor wanprestatie van het bedrijf, daar is wel meer voor nodig zou je zeggen.

En dat is ook zo, zowel in Nederland als in de VS. Bij ons is het criterium kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
In de praktijk gaat het dan meestal om bestuurders die verplichtingen aangaan waarvan ze weten dat het bedrijf die niet kan dragen, bijvoorbeeld door vlak voor een faillissement nog even dingen te kopen of schuldeisers onder druk zetten om te betalen (wetende dat er dan niet meer geleverd gaat worden vanwege dat faillissement). Dit heet de Beklamel-norm. Daarnaast zijn er meer mogelijkheden, zoals IE-inbreuk of het opzettelijk en willens en wetens aansturen op het schenden van contractuele afspraken:
Van een persoonlijk ernstig verwijt kan ook sprake zijn indien de bestuurder heeft bewerkstelligd of toegelaten dat de vennootschap haar wettelijke of contractuele verplichtingen niet nakomt (zie Hoge Raad 8 december 2006, HR:2006:AZ0758 (Ontvanger/Roelofsen) en Hoge Raad 18 februari 2000, NJ 2000/295 New Holland-arrest).
Hier gaat het echter niet om contractuele tekortkomingen of schendingen van specifieke rechten, maar om het verstrekken van misleidende informatie aan aandeelhouders. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

In de VS is er wellicht meer mogelijk, maar vaak zie je dat zulke claims worden gemaakt puur om het bedrijf meer onder druk te zetten. Als de CISO (en de CEO natuurlijk) hun eigen vermogen onder druk zien staan, dan zal men wellicht sneller aansturen op een schikking vanuit het bedrijf.

Arnoud

Grote kosten gemaakt voor werkgever, heb ik een probleem?

| AE 12362 | Ondernemingsvrijheid | 18 reacties

“Ik zat dit weekend nog eens te lezen maar kwam er toen achter dat deze api helemaal niet gratis is en dat elke call een paar centen kost. Nu zijn alle calls al gemaakt en heb ik berekend dat er ongeveer $40.000 in rekening gebracht zal worden… oeps”. Dat las ik bij Tweakers. Denk je een leuk testprogrammaatje te hebben gemaakt dat tegen een gratis API van Google aan praat, blijk je een paar cent per call gerekend te krijgen. Leuke rekening voor de werkgever. En leuke discussie natuurlijk, maar diverse mensen mailden me: moet deze persoon Koptelefoontje dit zelf betalen?

‘Koptelefoontje’ was als werknemer aan de slag gegaan om een aantal data zaken voor het werk te verbeteren. Zhij had daarvoor een gratis Google API gevonden, en ingezet in combinatie met een bestaand Google cloud account. Tabel aanmaken, script uitwerken en de boel lekker laten lopen. Voor wie het nu technisch duizelt: 100.000 bedrijfsadressen opvragen bij de KVK om te controleren of de eigen klantadministratie nog op orde is.

Alleen, die API (Google Places) bleek niet gratis maar enkele centen per aanroep. Dus dan zit je achteraf met een rekening van 40.000 dollar, hoewel dat na enig naspeuren ‘slechts’ 15.000 Euro bleek te zijn. Die dus niet goedgekeurd was door de werkgever maar wel binnenkort geïncasseerd zal worden door Google.

Een stevige fout dus, dat is duidelijk. Maar hoe veel pijn gaat dit doen bij de werknemer?

Om met het goede nieuws te beginnen, je hoeft je als werknemer geen zorgen te maken dat jij dit bedrag gekort krijgt op je salaris. Dat kan gewoon niet in het arbeidsrecht. De kosten van fouten bij het werk worden gedragen door de werkgeverwerknemer.

Het slechte nieuws is natuurlijk dat (een beetje afhankelijk van de omvang van het bedrijf) een fout van 15.000 euro arbeidsrechtelijk wel een forse is. Ontslag zal er niet in zitten, maar het riekt naar een stukje slecht inschatten van wat je mag en kan op het werk en dat kost je punten op je volgende beoordelingsgesprek. Bij een klein bedrijf kan ik me voorstellen dat je iemands contract dan niet verlengt.

Daar staat wel tegenover dat je ook als werkgever wel enige stappen moet nemen om zulke dingen te voorkomen. Zo kan een organisatie budgetten instellen bij Google’s clouddiensten, die werknemers dan niet kunnen overschrijden. Ook zou je de toegang tot die API’s kunnen beperken of loggen zodat je toezicht hebt op wie wat doet. Dat maakt dat ik het nogal cru zou vinden om dit zonder meer te zien als alleen maar een fout van de werknemer.

Ik kan niet zeggen zelf ooit zo’n dure fout te hebben gemaakt. Enkele duizenden euro’s uitgeven en dan concluderen dat iets niet werkt, dat wel. De verkeerde backup terugzetten op mijn home server, ja dat ook.

Arnoud

Franse politie arresteert café-uitbaters die wifidata niet bewaarden

| AE 12244 | Ondernemingsvrijheid | 6 reacties

In de Franse stad Grenoble zijn ten minste vijf uitbaters van cafés en restaurants opgepakt omdat ze een wifinetwerk in hun etablissement aanboden maar de logs niet minstens een jaar bewaarden. Dat meldde Tweakers maandag. Die bewaartermijn staat in de Franse wet, en is opmerkelijk gezien we in Europees verband dit juist hadden verboden. De… Lees verder

Mogen wij een appartementsnetwerk zonder identificatie opzetten?

| AE 9132 | Ondernemingsvrijheid | 9 reacties

Een lezer vroeg me: Wij (een groep netwerk engineers in een appartementencomplex) hebben een eigen netwerk gebouwd en gekoppeld aan internet via één provider. De kosten worden omgeslagen en via de VvE geïncasseerd. We loggen echter niets in verband met privacy. Nu krijgen wij wel eens abusemeldingen maar we weten dus niet om wie het… Lees verder

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

| AE 9038 | Intellectuele rechten, Ondernemingsvrijheid | 8 reacties

Een lezer vroeg me: Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag? Nee, een… Lees verder