Heb ik een pentest waiver nodig naast mijn algemene voorwaarden als security onderzoeker?

| AE 10737 | Ondernemingsvrijheid | 10 reacties

Een lezer vroeg me:

Als IT-consultant werk ik al jaren met het systeem van contractje en algemene voorwaarden. Nu doe ik sinds een tijdje ook specifieke securityklussen, en collega’s in dit vakgebied wijzen me er nu op dat ik klanten dan een pentest waiver moet laten tekenen. Maar is gewoon een duidelijke opdracht niet genoeg?

Zowel algemene voorwaarden als een pentest waiver beschermen je als opdrachtnemer. Een pentest waiver heeft vooral het voordeel dat hij explicieter en concreter is over het specifieke onderwerp van securityonderzoek.

Als het goed is, staan in je algemene voorwaarden al de nodige bepalingen waar je je klanten aan kunt houden: ze moeten de benodigde informatie geven, ze moeten zorgen dat jij het werk ongestoord kunt doen en ze moeten je vrijwaren van claims van derden die door hun toedoen bij jou op je bordje komen. Dit is generiek genoeg om ook claims van bijvoorbeeld leveranciers te pareren, en met een beetje goede wil ook om ze te dwingen je strafrechtadvocaat te betalen om vrijgesproken te worden van computervredebreuk.

Generiek is bij juridische zaken gelijk aan twijfelachtig en daarmee gelijk aan vele dure uren van juridisch advies en gebakkelei. Een pentestwaiver heeft als voornaamste voordeel dat dit er allemaal expliciet staat, zodat er minder discussie kan ontstaan. (Discussie tot nul reduceren is bij juristen onmogelijk.)

Een typische pentestwaiver vermeldt bijvoorbeeld expliciet dat er toestemming is van alle betrokkenen om hun infrastructuur te mogen binnendringen, en dat geen aangifte zal worden gedaan van vernieling van gegevens wanneer het pentest onderzoek door onzorgvuldigheid tot gegevensverlies leidt. Zo’n harde toezegging is erg handig om een aangifte of civielrechtelijke procedure direct te laten stranden.

Zonder een pentestwaiver moet je dus terugvallen op generieke teksten uit je algemene voorwaarden, en misschien krijg je dan wel het risico dat de klant zegt die nooit gekregen of geaccepteerd te hebben. Of hij stelt dat “het werk ongestoord doen” betekent dat hij een bureau en stoel moest leveren, maar niet dat hij bij leveranciers moest melden dat jij de gehele infrastructuur ging proberen binnen te dringen. En dan heb je een fors probleem als het misgegaan is met je opdracht en er een boze hostingleverancier aangifte heeft gedaan en tachtig man personeel een schadeclaim indienen wegens AVG overtredingen.

Arnoud

Nu mag je ook al niet meer doodgaan van de algemene voorwaarden

| AE 10711 | Informatiemaatschappij | 5 reacties

De internetbetaaldienst PayPal heeft een vrouw die onlangs is overleden een brief gestuurd met de mededeling dat haar overlijden in strijd was met de regels. Dat meldde Nu.nl op gezag van de BBC. “You are in breach of condition 15.4(c) of your agreement with PayPal Credit as we have received notice that you are deceased… this breach is not capable of remedy.” meldde de brief. Nadat de weduwnaar de BBC had ingelicht, heeft Paypal de brief ingetrokken onder het maken van excuses. Maar wat krijgen we nou?

Het is me niet helemaal duidelijk welk artikel 15.4 precies wordt bedoeld. De voorwaarden van Paypal Credit zijn anders gestructureerd, en er is nergens een 15.4(c) te vinden. Gezien de context van de brief (een letter of default) gaat het waarschijnlijk om artikel 12, waar voorwaarden in staan waaronder je als klant in verzuim (default) wordt geacht te zijn. Paypal mag dan je krediet ineens opeisen en je account sluiten.

Dit artikel noemt enkele situaties die voor mij vrij standaard zijn, zoals niet tijdig betalen of failliet gaan, maar ook het doen van misleidende verklaringen of niet voldoen aan je informatieplichten. Oké, dat is ergens nog wel te begrijpen, maar dat doodgaan staat er dus ook tussen:

Pass away or become incompetent;

Ik vermoed dat de achterliggende gedachte is dat je iemands kredietovereenkomst op moet kunnen zeggen als die iemand overleden is, er is dan immers geen wederpartij meer. Het is dan ook logisch dat je al het geld terug wilt eisen.

De specifieke uitwerking in dit artikel 12 is een beetje een vieze hack, een soort operator overloading eigenlijk. Artikel 12 regelt wanneer jij iets doet dat niet mag, op grond waarvan Paypal dan mag opzeggen. Dat artikel wordt nu gebruikt om ook de situatie na overlijden te regelen, want de uitkomst is hetzelfde. Maar als side effect gaat er dan een ingebrekestelling uit met als grondslag dat je overleden bent, en dat is natuurlijk weer niet de bedoeling.

Daar is vrij zeker gewoon niet over nagedacht, ook niet toen iemand het sjabloon voor die brief samenstelde en “Pass away” las en daar “you are deceased” van maakte. Het zou me niets verbazen als die zinnen door iemand anders zijn gemaakt dan de persoon die het sjabloon maakte.

De uitkomst (en die brief dus) is complete onzin, maar hoe het kon gebeuren is volkomen logisch.

Arnoud

Hoe je 8% meer omzet haalt dankzij één juridisch foefje

| AE 10696 | Ondernemingsvrijheid | 23 reacties

Iedere ondernemer zoekt continu naar meer omzet. Meer klanten en meer verkopen aan bestaande klanten zijn de meest voor de hand liggende strategieën. Juridische zaken zoals je algemene voorwaarden lijken daarbij irrelevant en dat zijn ze natuurlijk ook. Maar er is een foefje dat je uit kunt halen met je algemene voorwaarden waardoor je toch net wat meer mensen over de streep trekt.

Geen mens die algemene voorwaarden leest, zul je denken. Of je nu een webshop met dierenvoer drijft of via je webwinkel juist boeken aanbiedt, je hebt voorwaarden nodig maar je wilt er natuurlijk niet te lang bij stil staan. Vaak is het ook een verplicht nummer, zeker als je consumenten producten verkoopt.

Algemene voorwaarden zijn wel erg handig. Je kunt er je retourregeling in opnemen, bepalen hoe het werkt met achterafbetalen en incassokosten en op welke manier mensen moeten klagen als er wat mis is. Ik zeg dan ook zeker niet dat je geen algemene voorwaarden moet hanteren. Maar het is wel gedoe om ze elke keer aan te bieden, dat erken ik onmiddellijk.

Maar het is precies dat aanbieden waar je je omzetstijging kunt halen. Want dat doe je in het bestelproces, en het is algemeen bekend dat iedere hindernis in het bestelproces tot afhakers leidt. En wat is de grote hindernis bij algemene voorwaarden? Precies, dat je er akkoord mee moet gaan met zo’n vinkje. En dat vergeten mensen dan, en dan zegt je webshopsoftware “Een verplicht veld is vergeten” en dan haken mensen af. Weg dus met dat vinkje.

En nee, dat vinkje is helemaal niet verplicht. Ik weet ook niet waarom iedereen dat zo doet. Of nou ja, dat weet ik wel: omdat in 1982 een Amerikaanse advocaat bedacht dat het nodig was bij online verkoop, en iedereen dat slaafs nabootst want het ziet er juridisch uit. Onze wet (noch de Amerikaanse, overigens) zegt helemaal niet dat dat moet. Ja, je moet mensen erop wijzen dat de voorwaarden van toepassing zijn, maar dat is het. Dus de korte versie: weg met dat vinkje, nergens voor nodig.

Natuurlijk moet je mensen wel expliciet wijzen op je voorwaarden. Enkel ze onderin je voetertekst opnemen is niet genoeg. Zorg er dus voor dat er direct onder of boven de bestelknop een tekst komt zoals “Door te bestellen gaat u akkoord met de algemene voorwaarden”, waarbij je die laatste twee woorden een hyperlink maakt naar een PDF-bestand met de voorwaarden. Dat is alles.

Wij hebben dit voor een hoop klanten zo uitgevoerd, en die zien allemaal leuke omzetstijgingen, dat wel tot acht procent of meer kan zijn. Dus waar wacht je nog op?

Arnoud

Hoe je zonder enige moeite 18 euro per jaar bespaart met je nieuwe algemene voorwaarden

| AE 10608 | Informatiemaatschappij | 6 reacties

Oké, dus je hebt algemene voorwaarden en die heb je laten aanpassen. Je klanten zijn er mopperend mee akkoord gegaan, en je wilt weer verder met waar je eigenlijk plezier in hebt. Dan is er nog één detail, en dat is dat je je voorwaarden nog even bij de Kamer van Koophandel gaat deponeren. Dat… Lees verder

Mogen de Olympische Spelen de auteursrechten op je filmpjes opeisen?

| AE 10419 | Intellectuele rechten | 10 reacties

Een lezer wees me op de Terms and Conditions of Ticket Purchase, Possession and Use van de Olympische Spelen in Pyeongchang, met daarin deze opmerkelijke clausule: 5.3. Ticket Holders may take or record still and moving images and/or sounds within Venues and agree that the IOC shall be sole owner of any intellectual property rights… Lees verder

Kun je op een inschrijfformulier verwijzen naar de website voor de voorwaarden?

| AE 9697 | Informatiemaatschappij | 13 reacties

Een lezer vroeg me: Vorig jaar had ik me in het buurthuis opgegeven voor muzieklessen, gewoon met papieren formulier. Na een aantal lessen bleek het niets voor mij en ik heb het laten gaan. Nu krijg ik ineens een factuur voor de verlenging van mijn abonnement(?), dit op grond van de algemene voorwaarden. Ik heb… Lees verder

Is een internetdienst verplicht haar voorwaarden na te komen?

| AE 9604 | Informatiemaatschappij | 9 reacties

De discussie van vorige week over Trumps militaire tweet gaf aanleiding voor een interessante vraag: zijn sociale netwerken zoals Twitter verplicht hun eigen voorwaarden na te komen? Het lijkt er immers op dat Twitter wat eenzijdig met de TOS omgaat, als ze sommige mensen wel en andere mensen niet verbannen wanneer beiden dezelfde overtreding begaan…. Lees verder

Mag een webshop je bij registratie akkoord laten gaan met de verkoopvoorwaarden?

| AE 9549 | Ondernemingsvrijheid | 9 reacties

Een lezer vroeg me: Bij een webshop waar ik laatst bestelde, moest ik een account maken. Oké, maar daarbij moest ik ook akkoord gaan met de verkoopvoorwaarden. Daarin bleek te staan dat deze op ieder moment konden wijzigen en dat ik maar bij elke bestelling moest controleren of ik nog akkoord was. Een beetje slinkse… Lees verder

Wat kun je nog als alle leveranciers naar dezelfde voorwaarden gaan?

| AE 9428 | Informatiemaatschappij | 13 reacties

Een lezer vroeg me: Onlangs meldde mijn energieleverancier me dat ze nieuwe leveringsvoorwaarden hebben per 1 april, en dat ik nu het recht heb om op te zeggen. Alleen: er staat bij dat alle leveranciers diezelfde voorwaarden gaan hanteren, dus naar wie kan ik dan toe? Dit is toch een beetje raar zo? Het doet… Lees verder