Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 23 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

Deze ondernemer verhoogde zijn aansprakelijkheid. Wat er toen gebeurde, zal je verbazen.

| AE 10647 | Ondernemingsvrijheid | 8 reacties

Voor veel ondernemers is het een reflex om beperkt aansprakelijk te willen zijn. Aansprakelijkheid kan immers tot grote claims leiden, en dat kan het faillissement van je bedrijf inluiden. Zeker in de ICT, waar het lange tijd erg moeilijk was om je activiteiten te verzekeren. Je ziet dan ook juist in de ICT altijd zeer beperkte aansprakelijkheden, soms zelfs tot nul aan toe. Maar heb je al eens overwogen wat er écht zou gebeuren als je je aansprakelijkheid verhoogde?

Het is natuurlijk goed vanuit risicomanagement om je aansprakelijkheid zo laag mogelijk te zetten. Komt er dan onverhoopt een claim, dan is de impact daarvan beperkt. Maar hoe zou jij je voelen als je ergens een dienst inkoopt (voor een forse prijs) en je leest dat men nergens voor aansprakelijk is, of hooguit voor honderd euro per geval? Precies.

Recent had ik precies deze discussie met een ondernemer die ook zo bezorgd was over zijn aansprakelijkheid. We hebben toen besloten die aansprakelijkheid eens fors omhoog te gooien: geen drie maanden facturen maar 24, en óók gederfde winst en omzetverlies. Daar stond wel een evenzo forse prijsverhoging tegenover. Tot zijn stomme verbazing gingen zijn klanten vrijwel allemaal direct akkoord.

Natuurlijk, hij heeft nu een hoger risico dan eerst. Maar uit de extra omzet was een goede reservering voor eventuele problemen te maken – en hij had nu ook de financiële armslag om een extra investering te doen om zijn software beter te beveiligen en betrouwbaarder te maken. Daarmee verlaag je de kans op het risico behoorlijk. Dit nog los van de vraag hoe een klant in de praktijk bewijst dát hij omzet is misgelopen en dat dat allemaal door jou komt.

En zeker als je het combineert met een goede verzekering (en geloof me, die zijn tegenwoordig echt wel te krijgen tegen een normale prijs), dan is het risico in de praktijk echt een heel eind naar de nul te duwen. Vraag je dus altijd af of je écht bang moet zijn voor risico’s, of (met excuses voor de vreselijke consultanttaal) je het als een kans op meer omzet moet zien.

Arnoud

Hoe aansprakelijk is die Uber-auto voor die dodelijke aanrijding?

| AE 10468 | Innovatie | 60 reacties

Uber stopt in alle steden met zijn testen met zelfrijdende auto’s na een dodelijk ongeval, las ik bij Nu.nl. Een zelfrijdende auto van het bedrijf heeft in Arizona een vrouw aangereden, waarna zij overleed. Uit het voorlopige onderzoek bleek dat de aanrijding waarschijnlijk overmacht was vanwege beperkt zicht, maar het is natuurlijk mogelijk dat uiteindelijk blijkt dat de auto of haar bestuurder toch meer te verwijten valt. En meer algemeen, wat doen we met de aansprakelijkheid van zelfrijdende voertuigen?

Het ongeval van afgelopen maandag lijkt een lastig te voorkomen incident geweest te zijn. Een vrouw stak op een onverwacht moment plotseling over met een fiets waar een hoop tassen aan hingen. De auto remde niet (en bleek iets te hard te rijden). “Het is duidelijk dat het moeilijk was geweest om een aanrijding te voorkomen, afgaand op de manier waarop het slachtoffer uit de schaduw de weg op liep.” Aldus de voorlopige conclusie van de politie.

In die omstandigheden zou denk ik in Nederland voor een gewone auto met bestuurder denk ik toch wel aansprakelijkheid ontstaan. De lat ligt namelijk erg hoog, en je moet altijd rekening houden met onverwachte zaken zoals overstekende personen. Een strafrechtelijke vervolging lijkt me uitgesloten maar de schade zul je (via de verzekering) toch denk ik wel moeten betalen.

Hoe een autonome auto precies in dat plaatje past, is nog niet echt duidelijk. Onze wetgeving kent het concept niet van een auto die zelf rijdt, maar gaat er vanuit dat er altijd een mens het stuur vasthoudt en de pedalen bedient (behalve indien relevante ontheffingen zijn verleend bij gehandicapte bestuurders). Het zou dus geen argument zijn dat de auto zelf besloot te remmen of juist door te rijden.

Ik ben er nog niet uit wat voor wetswijziging nodig zou zijn om dit op te lossen. Het voelt raar dat we een autonome auto aansprakelijkheidstechnisch anders behandelen dan een mensenbestuurde auto. Maar ze hetzelfde behandelen voelt óók gek want de werking is wezenlijk anders.

Misschien moeten we gewoon de hele vraag van aansprakelijkheid loslaten. We eisen dat auto’s zorgvuldig geprogrammeerd zijn maar verklaren auto-ongelukken te allen tijde als overmacht, waarbij de schade wordt betaald uit een fonds waar iedereen verplicht aan meebetaalt. Dan ben je de hele discussie kwijt én is iedereen zeker van zorg en vergoeding bij schade.

Arnoud

‘Dikke problemen’ voor grappenmaker die Trump van Twitter haalde

| AE 9783 | Ondernemingsvrijheid | 14 reacties

Op zijn laatste werkdag haalde een medewerker van Twitter het account van Donald Trump offline, las ik bij RTL. Elf minuten was @realDonaldTrump onbereikbaar voor de 41 miljoen Twittervolgers. Ondanks die beperkte tijd toch pijnlijk natuurlijk, en het zal zeker dan ook gevolgen hebben voor de ex-medewerker. Maar zou Trump zelf ook wat te claimen… Lees verder

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Ondernemingsvrijheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder

‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Ondernemingsvrijheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt… Lees verder

Overnemen van een disclaimer als auteursrechtinbreuk

| AE 9284 | Intellectuele rechten | 13 reacties

Kan het overnemen van een “free disclaimer” inbreuk op het auteursrecht van de disclaimermaker zijn? Een recent vonnis stelt die kwestie weer ter discussie (via Menno Weij). Kort gezegd: ja dat is inbreuk, maar de wijze van presenteren maakt dat de schadeclaim fors omlaag gaat. De disclaimer in kwestie werd overgenomen van www.freedisclaimer.eu. Het is… Lees verder

Hoe disclaim ik aansprakelijkheid voor mijn gebruikers?

| AE 9243 | Ondernemingsvrijheid | 15 reacties

Een lezer vroeg me: Heb jij een standaardtekst voor me waarmee ik mijn aansprakelijkheid voor mijn gebruikers even netjes disclaim? Ik run een groot forum en heb geen zin in claims van fotografen en andere grapjassen. Die wil ik bij mijn gebruikers neer kunnen leggen. Er is geen toverformule waarmee je aansprakelijkheid voor handelen van… Lees verder

Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Intellectuele rechten, Ondernemingsvrijheid | 8 reacties

Een lezer vroeg me: Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je… Lees verder

Waarom gaat die fotograaf achter mij aan en niet mijn gebruiker?

| AE 9116 | Intellectuele rechten, Ondernemingsvrijheid | 29 reacties

Een lezer vroeg me: Recent kregen wij een claim van een fotograaf vanwege een foto geplaatst door een lid van ons forum. In onze forumvoorwaarden staat duidelijk dat de gebruiker zelf verantwoordelijk is, ook bij schade door dit soort claims. Gebruikers vrijwaren ons van elke vorm van aansprakelijkheid. Maar die fotograaf stelt dat hij daar… Lees verder