Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

| AE 12031 | Ondernemingsvrijheid | Er zijn nog geen reacties

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar zorgplicht. En ja, dan gaan bepaalde advocaten warmdraaien en ontstaat enige paniek in de branche, want iederéén kent klanten die alleen wachtwoorden van drie tekens accepteren en een perfecte backup eisen voor 2,50 per maand. En die zouden dan van de rechter gelijk krijgen? Eh, nee dus.

Die zaak (overigens uit 2018 en ik heb géén idee waarom hij nu pas wordt gepubliceerd) ging over een automatiseerder die de zaak niet zo goed had aangepakt. Geen duidelijk contract, geen schriftelijke afspraken en zo te zien ook weinig vastgelegd over de communicatie. Dan creëer je onduidelijkheid als dienstverlener en dan wordt het ingewikkeld als er dan iets misgaat, want de rechter zal jou als professionele partij aankijken op de rommel.

Oh wacht, misschien weet ik toch waarom de zaak recent is gepubliceerd (quote FD):

‘Ik heb nu al tientallen vergelijkbare zaken in mijn praktijk gezien’, zegt advocaat Anne-Wil Duthler van First Lawyers. Het voormalig Eerste Kamerlid stond in 2018 het gehackte administratiebureau bij en wist met de tot voor kort niet gepubliceerde uitspraak al geregeld tot een schikking voor andere bedrijven te komen.

Bedrijven met een niet-gepubliceerd vonnis bangmaken en aandringen op schikkingen, dat is natuurlijk geen fijne praktijk. Dan zal er een bedrijf zijn geweest dat even de Rechtspraak belde en vroeg om publicatie – dat kan namelijk gewoon. Want dan krijgt het aandacht zonder dat jij specifiek in de picture komt bij de bangmakers.

Het is natuurlijk zwaar overdreven dat dit vonnis een zodanig principiële rechtsregel formuleerde dat je dús altijd aansprakelijk bent als IT-er als er wat misgaat met de beveiliging. Zelfs al was dit een arrest van de Hoge Raad. Maar dat vereist enige nuance en lezen wat er precies gezegd is. Advocaat Menno Weij zegt het precies raak: één zwaluw maakt geen zomer. Dat is eigenlijk nooit zo in het recht.

Natuurlijk is het een wake-up call voor IT-ers dat je even wat beter je best moet doen om dingen te documenteren. En dat je af en toe tegen een klant moet zeggen “nee, dat gaan we niet doen anders ben ik weg”. Of je algemene voorwaarden even afstoffen of daar een goed aansprakelijkheidsbeding in staat met afkadering van je zorgplicht. Maar het is echt onzin dat je nu ineens veel grotere risico’s loopt als automatiseerder.

Arnoud

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

| AE 11726 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me:

Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in de onderhandelingen. Ben ik strafbaar als ik dat doe, of kan mijn werk dan alsnog de boete van de rechthebbende op mij verhalen?

Als werknemer ben je niet privé aansprakelijk voor je handelen dat je in opdracht doet, of het moet wel héél ver buiten “gewoon je werk doen” treden. Je handelt immers als vertegenwoordiger van het bedrijf, dus wat jij doet wordt je werk aangerekend.

Als je specifiek en expliciet discussie hebt gevoerd dat de software illegaal gebruikt gaat worden, dan zie ik die grens wel in beeld komen. Ik kan me niet voorstellen dat je dan wegkomt met “ik kreeg de opdracht dus ik doe het gewoon”.

Vaak zie je dat het eerder iets is van, we hebben een tijdelijke licentie gebruik die maar, of je collega is parttime HBO docent dus we gebruiken de educatieve licentie. Daar kun je over twisten of dat legaal is maar daarbij heeft de werkgever dan het laatste woord. Dat zou hier op kunnen gaan, omdat de werkgever aangeeft dat dit een tijdelijke oplossing is die men gaat melden aan de licentiegever (en kennelijk denkt voordelig recht te kunnen breien). Ik denk dat je daar als werknemer wel in mee moet gaan.

Mijn advies zou desondanks zijn om expliciet in de mail op schrift te krijgen dat men de illegale versie wil, onder verwijzing naar het mondelinge gesprek en de gevolgen die jij ziet. Of je stuurt het door naar de bedrijfsjurist met de vraag hoe jij die licentieovereenkomst vervolgens moet sluiten.

Arnoud

Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

| AE 11534 | Ondernemingsvrijheid, Uitingsvrijheid | 8 reacties

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde inhoud ook werkelijk down te hóuden, bijvoorbeeld door met filters te herkennen dat iets vrij sterk lijkt op eerder, geweerd commentaar. Maar ze moesten wel, want er is geen EU-regel die letterlijk zegt dat rechters dit mogen doen. Daarmee is eindelijk een grondslag gekomen voor wat in het jargon notice and stay down heet; je hoeft niet apart een procedure te voeren over iedere repost met een toegevoegde komma of een zin “hear hear” er boven geplakt.

Wanneer iemand een onrechtmatige uiting plaatst op een platform zoals een website of een Facebookpagina, kun je een klacht indienen bij de beheerder. Die moet dan (als de klacht evident juist is) de uiting weghalen. Dat is notice & takedown zoals we dat al bijna 20 jaar kennen. Maar vaak speelt dan het probleem dat die content dan weer opnieuw wordt geplaatst door een ander, eventueel met kleine aanpassingen zodat het niet direct opvalt. Dan moet je als klager dus wéér aan de bak en die hele notice&takedown procedure doorlopen.

In een Oostenrijkse zaak had de eisende partij (dus de klager) tegen Facebook geëist dat deze stay down maatregelen zou nemen om een smadelijk bericht blijvend offline te houden. De rechter aldaar vond het belangrijk genoeg om dit aan het Hof van Justitie voor te leggen, dat dus niet alleen bevestigt dat die maatregelen er moeten komen maar ook dat de rechtbank mag vonnissen dat dat wereldwijd gevolg moet hebben.

En dus dat het ook moet gelden voor inhoudelijk grofweg dezelfde teksten. Dit omdat je anders nog steeds aan de gang blijft; iedere trol weet dat je een komma weg kunt halen of een zin toevoegen en dan een simpel algoritme kunt omzeilen. Het gaat alleen niet zo ver dat ieder bericht van gelijke strekking automatisch geweerd moet worden, ik denk echt dat het beperkt is tot tekstuele aanpassingen op het bericht, zeg maar even als we het plagiaat zouden noemen. Dit omdat de reden achter deze uitspraak is dat een verbod op herpublicatie niet te eenvoudig omzeild moet worden. Een volledig nieuwe tekst valt sowieso niet onder dat verbod, immers.

Bijzonder is nog dat het Hof expliciet zegt dat de rechter zo’n verbod ook wereldwijd mag opleggen. Althans, dat niets in het Europese recht zegt dat dat niet mag. Een paar weken terug zei het Hof nog wat anders bij het vergeetrecht. Maar het verschil is dat in die zaak de Europese wetgever vrij duidelijk niet aangedurfd had om een wereldwijd vergeetrecht aan te nemen. Bij dit soort klachten is er überhaupt weinig Europees recht, landen mogen dus zelf uitzoeken of zo’n vonnis wereldwijde werking mag hebben. Daarom kan de Europese rechter daar geen uitspraak over doen.

Arnoud

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me: Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade? Wanneer je in Nederland… Lees verder

Ik mag mijn Android-telefoon niet updaten van mijn insuline-app leverancier!

| AE 11424 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me: Een leverancier van een bloedglucose sensor (gebruikt door diabetici) heeft de mogelijkheid om een sensor uit te lezen via een app op een mobiele telefoon. Nu stelt deze leverancier dat, zodra er een update van de softwareversie van de mobiele telefoon beschikbaar is je dient te wachten met updaten tot zij… Lees verder

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien…. Lees verder

Deze ondernemer verhoogde zijn aansprakelijkheid. Wat er toen gebeurde, zal je verbazen.

| AE 10647 | Ondernemingsvrijheid | 8 reacties

Voor veel ondernemers is het een reflex om beperkt aansprakelijk te willen zijn. Aansprakelijkheid kan immers tot grote claims leiden, en dat kan het faillissement van je bedrijf inluiden. Zeker in de ICT, waar het lange tijd erg moeilijk was om je activiteiten te verzekeren. Je ziet dan ook juist in de ICT altijd zeer… Lees verder

Hoe aansprakelijk is die Uber-auto voor die dodelijke aanrijding?

| AE 10468 | Innovatie | 60 reacties

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk… Lees verder

‘Dikke problemen’ voor grappenmaker die Trump van Twitter haalde

| AE 9783 | Ondernemingsvrijheid | 14 reacties

Op zijn laatste werkdag haalde een medewerker van Twitter het account van Donald Trump offline, las ik bij RTL. Elf minuten was @realDonaldTrump onbereikbaar voor de 41 miljoen Twittervolgers. Ondanks die beperkte tijd toch pijnlijk natuurlijk, en het zal zeker dan ook gevolgen hebben voor de ex-medewerker. Maar zou Trump zelf ook wat te claimen… Lees verder

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Ondernemingsvrijheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder