Webshop die geen back-ups maakte verliest rechtszaak van softwareleverancier

| AE 12971 | Ondernemingsvrijheid | 9 reacties

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. Dat meldde Security.nl vorige week. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop geen back-ups maakte en heeft de softwareleverancier met recht aangevoerd dat de webshop zelf verantwoordelijk is voor het regelmatig maken van back-ups. “Dat zij dat achterwege heeft gelaten, terwijl het wel mogelijk was, is dan ook een omstandigheid die haar valt toe te rekenen”, aldus het hof.

Het gaat concreet om een koppeling tussen het bekende webshoppakket Magento en Exact Online, waardoor de transacties van de Magento webshop worden doorgestuurd naar de boekhoudsoftware van Exact. Meelezende QA specialisten mogen even wegkijken, voor de rest:

Het boekhoudprogramma maakt gebruik van een tabel van nummering waarbij voor debiteuren en crediteuren dezelfde tabel wordt gebruikt. Beide groepen krijgen om die reden een verschillend startnummer. Voor debiteuren (klanten met een account en gastklanten zonder een account) is in dit geval gekozen voor een nummer beginnend met 3.000 respectievelijk 7.000 en voor crediteuren beginnend met 1-2.999 en vanaf 15.000. De crediteuren moeten handmatig worden ingevoerd, de debiteuren (zowel de bestellingen van klanten met een account als die van gastklanten) worden door de koppeling automatisch in het boekhoudprogramma ingevoerd.
Deze wijze van scheiden van relaties staat onder programmeurs ook wel bekend als een WTF want op deze manier is het natuurlijk mogelijk dat het aantal aankopen zo oploopt dat je de 15.000 aantikt en dat je debiteur dan een crediteur is. En dat gebeurde ook, omdat er een foutje zat in het toekennen van nummers bij klanten die als gast bestellen:
Hallo … De gast accounts beginnen bij 7000. Inmiddels hebben we al meer dan 8000 gast accounts, waardoor je dus uit komt op de nummering van de crediteuren.
Dit hoort natuurlijk niet te gebeuren, en pijnlijk voor de webshop was vervolgens dat men geen backup had van de relevante tabellen zodat het een berg werk was om alle debiteuren en crediteuren weer in ere te herstellen. Is dit nu het soort fout waar je voor aansprakelijk bent vanuit je zorgplicht als ICT-er? Helaas komt het Hof niet aan die vraag toe, maar ze bevestigt wel dat we zoiets best “eigen schuld” kunnen noemen.

Iedereen die met digitale gegevens werkt in de bedrijfsvoering, moet daar gewoon backups van hebben. Want of het nou gaat om ransomware, dikke vingers of een API koppeling die debiteuren moet invoeren maar die soms als crediteur aanmerkt, als je die data kwijt bent dan heb je een enórm probleem.

Juridisch gezien kom je dan uit bij “eigen schuld” (art. 6:101 BW): weliswaar ontslaat dat de leverancier niet van aansprakelijkheid, maar hij hoeft minder van de schade te vergoeden omdat de gevolgen mede aan de webwinkel te wijten zijn.

Het is aannemelijk dat geen handmatig herstel met de gevorderde kosten nodig was geweest als de door [de webwinkel] gestelde tekortkoming achterwege zou zijn gebleven (zo die na bewijslevering zou komen vast te staan). Maar dat geldt ook indien [de webwinkel] zelf de nodige zorgvuldigheid zou hebben betracht door een back-up te maken. De kosten van de advocaat in verband met het verhaal van herstelkosten bij [de leverancier] zouden ook niet gemaakt zijn.

Je kunt je natuurlijk afvragen of de leverancier niet meer had moeten doen. Nee, niet in dit geval:
Het hof betrekt daar ook bij (i) dat het ging om een standaardkoppeling tegen een lage prijs zonder abonnement, (ii) dat de koppeling als zodanig jarenlang goed heeft gefunctioneerd, (iii) dat [de webwinkel] zelf voor Exact Online heeft gekozen, (iv) dat zij zich in de werking en de beperkingen daarvan kennelijk niet voldoende heeft verdiept, (v) dat de koppeling is hersteld en (vi) dat [de webwinkel] niet onderbouwd heeft gesteld dat zij door het tijdelijk kwijtraken van enkele gegevens van crediteuren (andere financiële) problemen heeft ondervonden.
Met name dat laatste geeft voor mij de doorslag: er zijn geen daadwerkelijke problemen, alleen maar rotzooi die opgeruimd moest worden omdat er geen backup was. Heel vervelend, maar dát is dan het gevolg van je eigen schuld.

Ondertussen blijft wel open de vraag of de leverancier beter had moeten programmeren, bijvoorbeeld een check dat het debiteurennummer altijd kleiner dan 15.000 had moeten zijn. Als je een koppeling met Exact verkoopt, en die heeft deze rare constructie in haar database-tabellen, dan moet je zulke dingen wel doen lijkt me. Maar kennelijk komt het weinig voor dat Exact Online-gebruikers meer dan 8000 klanten zonder registratie hebben?

Arnoud

Je Amazon Echo en Alexa nodigen straks zelf de buren uit

| AE 12708 | Innovatie | 15 reacties

Amazon start op 8 juni met Amazon Sidewalk, een mesh-dienstverlening die alle apparaten van Amazon in staat stelt ook het netwerk van de buren te gebruiken. Dat las ik bij AG Connect. De nieuwe functie is er vooralsnog alleen in de VS maar staat standaard aan op alle Amazon-apparatuur, hoewel er een opt-out is. Het idee is dat wanneer de internetverbinding bij de een uitvalt, de Amazon-services toch nog gebruikt kunnen worden door de ander en vice versa. Maar er hoeft natuurlijk maar iets mis te zijn in de firmware van die apparaten en alle thuisnetwerken van alle klanten liggen open en bloot voor inbrekers. Mag dat dan zomaar?

In een whitepaper beschrijft Amazon hoe de dienst werkt. De kern is dat er een groot mesh network opgebouwd wordt, waarbij alle apparaten verbinding met elkaar leggen en zo ook elkaars internettoegang delen. Als mijn systeem dus even niet internet op kan, dan wordt er desnoods tot in het dorp hiernaast gehopt tot er iemand wél internet heeft. Snel zal het niet zijn, maar voor bijvoorbeeld het synchroniseren van profielgegevens of het downloaden van komt-wel-een-keer updates is dat niet erg.

Dat klinkt leuk en hip maar het betekent wel dat je dus je internetverbinding beschikbaar stelt voor iedereen in het land (in theorie zelfs ter wereld) die ook Amazon-diensten afneemt. Er wordt niet van alles gedownload en getorrend, dus echt bang voor claims van derden hoef je niet te zijn. Gemiste kans in zoverre dat ik Tim Kuik wel wil zien kijken als ik “ja sorry dat moet de koelkast van de buren geweest zijn” zeg.

Verder komt men bij Wired nog met de berekening:

What’s more, Amazon promises never to use more than 500 MB of data in a month, which is the same as streaming about 10 minutes of high definition data.
Nou is 10 minuten HD video niet echt ontzettend veel maar verwaarloosbaar kan ik het ook niet noemen. Plus, er gebeurt niet als die belofte niet wordt gehaald, behalve dat je een meelbal van een marketeer krijgt.

Ik kan er niet direct een juridisch verbod op aanwijzen maar het voelt onprettig, opgedrongen en net te veel gevraagd. Ik weet dat heul heul vroeger de PTT ook ongevraagd stroom afnam om je telefoon te laten rinkelen, maar dit lijkt meer op een cryptominer in je router.

Ik snap denk ik vooral niet waarom Amazon denkt dat ik dit een goed idee zou vinden?

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Niks stortvloed aan claims vanwege dat ene ransomware-zorgplicht-vonnis

| AE 12031 | Ondernemingsvrijheid | Er zijn nog geen reacties

Automatiseerders wacht stortvloed aan claims om schade door hackers, kopte het FD onlangs. Leg aansprakelijkheid bij hack vast, reageerde ICT Waarborg meteen. Allemaal vanwege dat ene vonnis over de zorgplicht als IT-bedrijf: een automatiseerder draaide op voor de schade van ransomware omdat ze de klant een lakse beveiliging had laten hebben, in strijd met haar… Lees verder

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

| AE 11726 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me: Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in… Lees verder

Een rechtbank mag providers (en dus ook Facebook) tot notice en *stay* down verplichten

| AE 11534 | Ondernemingsvrijheid, Uitingsvrijheid | 8 reacties

Het Hof van Justitie in Luxemburg heeft bepaald dat er geen EU-regels zijn die zich verzetten tegen een verplichting voor hostingproviders als Facebook om commentaren te verwijderen die sterk gerelateerd zijn aan eerdere onwettig verklaarde commentaren. Dat las ik bij Tweakers. Nogal een omweg om te zeggen dat rechters providers kunnen verplichten om onrechtmatig verklaarde… Lees verder

Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me: Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade? Wanneer je in Nederland… Lees verder

Ik mag mijn Android-telefoon niet updaten van mijn insuline-app leverancier!

| AE 11424 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me: Een leverancier van een bloedglucose sensor (gebruikt door diabetici) heeft de mogelijkheid om een sensor uit te lezen via een app op een mobiele telefoon. Nu stelt deze leverancier dat, zodra er een update van de softwareversie van de mobiele telefoon beschikbaar is je dient te wachten met updaten tot zij… Lees verder

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien…. Lees verder

Deze ondernemer verhoogde zijn aansprakelijkheid. Wat er toen gebeurde, zal je verbazen.

| AE 10647 | Ondernemingsvrijheid | 8 reacties

Voor veel ondernemers is het een reflex om beperkt aansprakelijk te willen zijn. Aansprakelijkheid kan immers tot grote claims leiden, en dat kan het faillissement van je bedrijf inluiden. Zeker in de ICT, waar het lange tijd erg moeilijk was om je activiteiten te verzekeren. Je ziet dan ook juist in de ICT altijd zeer… Lees verder