Is een Synology Cloudstation juridisch gezien een backup? #zorgplichtdeelzoveel

| AE 13117 | Ondernemingsvrijheid | 13 reacties

Als je klant je vraagt een backupoplossing te installeren, en jij schuift een Synology Cloudstation naar binnen, heb je dan aan je zorgplicht voldaan? De rechtbank Noord-Holland oordeelde recent van wel in een zaak tussen een tandartspraktijk en een ICT support dienstverlener. Na dat configureren van de Cloudstation bleek er iets niet goed te zijn gegaan, en kon de tandarts zijn agenda niet terugvinden in de backup, pardon op de NAS, of nou ja daar ging het dus om. Waar sta je dan als ICT dienstverlener die beloofd had een backupsysteem te leveren?

De discussie wordt onder techneuten vaak gevoerd: is een network attached storage oftewel een netwerkschijf een backup? Natuurlijk, je kunt er een kopie neerzetten van belangrijke bestanden. Dan kun je er overal bij, ook als je lokale apparaten stuk zijn of geïnfecteerd door ransomware, of iets dergelijks. Maar dit is ook de zwakte: zulke ransomware kan gewoon de netwerkschijf benaderen en alle data daar infecteren. Verder ontbreekt versiebeheer: je hebt een kopie van je laatste bestand, maar niet van de vorige drie versies. Backupoplossingen doen dat wel. En zo kun je nog wel even doorgaan.

Ik kan me desondanks goed voorstellen dat bij een klein bedrijf zoals een tandartsenpraktijk een NAS wordt gezien als een redelijke backupoplossing. Vaak heb je daar bestanden die je eenmalig maakt (zoals facturen of röntgenfoto’s) en die je daarna nooit meer aanpast. Tegen “gewoon” uitval van de eigen harddisk is de kopie op de NAS dan een kosteneffectieve oplossing.

De kern van het probleem in deze zaak zat hem in een overstap van het ene tandartsenpraktijksysteem (Evolution) naar het andere (Exquise). Die nieuwe software viel niet onder het contract van de ICT dienstverlener, en dat was dus vervelend toen bleek dat er een berg afspraken uit de agenda weg waren:

Bij e-mail van 3 maart 2020 schrijft Microminder Nederland, de huidige IT-beheerder van [eiser] (hierna: Microminder), aan [eiser]: ‘(…) In oktober 2019 is Microminder benaderd (…) voor hulp omdat de praktijksoftware / database was gecrasht. Wij hebben dit proberen te herstellen door de NAS te onderzoeken, er zou hierop een back-up aanwezig moeten zijn. De bestanden die op de NAS aanwezig waren klopte niet met de laatste werkende versie, dit komt hoogstwaarschijnlijk omdat er een sync programma is gebruikt i.p.v. een back-up programma met de juiste retentie, op een of andere manier is dit niet goed gegaan, wij hebbend dit niet kunnen achterhalen.
“Sync” wil dus zeggen dat wat er lokaal gebeurt, ook op de NAS wordt uitgevoerd. Wis je dus lokaal iets, dan wordt dat op de NAS ook gewist. Dat is een reden om dit geen backup te noemen: die wil je ook hebben om bij een abusievelijke verwijdering wat achter de hand te hebben. Maar wat speelde hier, aldus de rechtbank die de ICT beheerder parafraseert:
Synology zorgde ervoor dat de bestanden in de Cloudstation-map altijd werden gesynchroniseerd. Evolution, waar het [eiser] om ging, stond gekoppeld aan Synology, zodat van die gegevens automatisch een back-up werd gemaakt. Op die manier werd er volgens [gedaagde 1] c.s. geborgd dat er altijd een actuele kopie was van Evolution op een andere computer, zodat een virusaanval geen of beperkte gevolgen zou hebben voor de bedrijfsvoering van [eiser]. Als [eiser] andere bestanden dan uit Evolution aan de back-up koppeling wilde toevoegen, moest zij dat handmatig op de D-schijf in de Cloudstation-map zetten. Het systeem is getest en succesvol opgeleverd, aldus [gedaagde 1] c.s.
Tussen de regels door lees ik dat het probleem dus was dat de database-bestanden van het nieuwe systeem (Exquise) niet aan de synchronisatie-lijst van de Cloudstation waren toegevoegd. Dan worden die inderdaad niet meegenomen, tenzij je dat apart configureert. En dat hoefde deze dienstverlener niet te doen, omdat de adoptie van het nieuwe systeem door een ander verricht zou worden. Buiten scope, dus geen aansprakelijkheid.

Zou je zeggen. Want je zorgplicht als dienstverlener kan ver gaan:

De rechtbank is wel van oordeel dat het tot de zorgplicht van [gedaagde 1] c.s. als IT-dienstverlener behoorde dat zij, op het moment dat [gedaagde 1] c.s. ervan op de hoogte raakte dat [eiser] overstapte naar Exquise, [eiser] en/of Vertimart erop attendeerde dat daarvoor geen back-up koppeling bestond.
Dus als je klant iets doet dat buiten jouw contract valt, en jij ontdekt dat (dus niet “had moeten weten” maar “wíst”) dan zul je even moeten zeggen “ho ho, let op dat je de goede koppelingen maakt”. Wat hier ook was gebeurd:
Volgens [gedaagde 1] c.s. heeft zij Vertimart op 8 mei 2018 (de dag dat zij Exquise installeerde bij [eiser]) (a) geïnformeerd over de back-up koppeling van Evolution die op de D-schijf in de Cloudstation draaide, (b) laten zien hoe de Cloudstation werkt en (c) hoe Evolution daarop geïnstalleerd was. Vertimart gaf daarop aan ‘alles helemaal in orde te maken’, aldus [gedaagde 1] c.s. [eiser] heeft die stellingen onvoldoende gemotiveerd weersproken, zodat de rechtbank uitgaat van de juistheid daarvan.
Daarmee heeft de oude dienstverlener keurig gedaan wat van hem verwacht mocht worden. Waarom dan precies het database-bestand niet meegenomen is, vertelt het vonnis verder niet.

Arnoud

Wat moet je met privacygevoelige informatie bij een bedrijfsovername?

| AE 12735 | Ondernemingsvrijheid | 12 reacties

Een lezer vroeg me:

Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens.
De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende organisatie krijgt een nieuwe eigenaar, of de “assets” oftewel bezittingen et cetera die horen bij de organisatie krijgen een nieuwe eigenaar.

In het eerste geval blijft de organisatie bestaan maar komen de aandelen in nieuwe handen. Dat is juridisch dan heel simpel: dat verandert helemaal niets. Het bedrijf is er nog steeds, heeft dezelfde rechtsvorm en rechten en plichten. Alles gaat dan gewoon door zoals het was.

In het tweede geval is het juridisch een stuk ingewikkelder, omdat je dan al snel in ongeregeld gebied terechtkomt. Zo is het bijvoorbeeld niet zo dat als  je een computer verkoopt, de ontvanger eigenaar (of verwerkingsverantwoordelijke) wordt van de persoonsgegevens die daar op staan. Softwarelicenties of databases overdragen zijn nog weer ingewikkelder, en of personeel meegaat is ook weer een vraag.

Daarnaast moet je ook inderdaad backups en andere ‘extra’ kopieën van persoonsgegevens goed in de gaten houden. Een extreem geval hiervan zagen we in mei: in een kelder in Schiedam bleken cd’s met de gevoelige dossiers van duizenden cliënten van ggz-instelling Riagg Rijnmond opgeslagen te zijn. De curator die het faillissement afhandelt ging ervan uit dat Parnassia ook de verantwoordelijkheid over de dossiers van Riagg Rijnmond kreeg. De cd’s zijn daarbij over het hoofd gezien.

En als laatste is bij zo’n verkoop natuurlijk de vraag of de AVG dit überhaupt toestaat. Met name curatoren hebben er nog wel eens een handje van om klantenlijsten te verkopen aan de hoogste bieder, dat is eenvoudigweg niet mogelijk onder de AVG. Als je de garantiecontracten overdraagt, dan moeten de klantgegevens natuurlijk mee, dat is dan wel legaal.

Helaas kan ik dus geen algemeen antwoord geven dat verder gaat dan “dat hangt er vanaf, maar let heel goed op”. Ik merk wel dat het vaak een ondergeschoven kindje is of dat mensen vergeten de backups te controleren.

Arnoud

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft.Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backup strategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud

Ja, als ICT-dienstverlener moet je gewoon backups maken bij je klanten

| AE 9536 | Ondernemingsvrijheid | 21 reacties

Als ICT-dienstverlener heb je gewoon de plicht om backups te maken alvorens je dingen gaat doen waarbij dataverlies kan optreden. Dat maak ik op uit een recent vonnis over een huisartsenpraktijk waar een aardige database verloren ging door de afwezigheid van die backup. De ICT-dienstverlener krijgt dit voor de voeten geworpen. Wat precies de schade… Lees verder

Wanneer moet je als IT-dienstverlener backups maken bij je klant?

| AE 9207 | Ondernemingsvrijheid | 14 reacties

Backup, backup, backup. Het mantra voor veel IT-bedrijven en dienstverleners. Zeker als je bij klanten dingen gaat wijzigen of toevoegen, dan maak je altijd eerst een backup. Want als er dan iets misgaat en de klant is zijn data kwijt, dan heb je alsnog iets om op terug te vallen. Een stukje zorgplicht. In deze… Lees verder

Ik wil een kopie van mijn clouddata van de curator!

| AE 5207 | Informatiemaatschappij | 42 reacties

Een lezer vroeg me: Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil… Lees verder

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

| AE 6739 | Informatiemaatschappij | 18 reacties

Cloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via). De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage… Lees verder

Heel Hyves is gebackupt, mag dát eigenlijk wel?

| AE 6188 | Intellectuele rechten | 13 reacties

Soms voel ik me een beetje het CBR, met al die “mag dat” vragen. Het Archive Team heeft de krabbels, foto’s en filmpjes van alle accounts van het Nederlandse sociale netwerk gedownload, meldde Webwereld onlangs. De bedoeling is dat de Hyves-back-up uiteindelijk wordt gepubliceerd op Archive.org, de Amerikaanse non-profit webbibliotheek. Maar eh, privacy, auteursrechten, zelfbeschikkingsrecht,… Lees verder

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Security | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder