Is een site aansprakelijk voor besmette advertenties?

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het platform of die sites aansprakelijk kunnen stellen voor je schade?

Het verspreiden van virussen is natuurlijk strabaar (art. 350a Strafrecht):

Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Met de term “bestemd om schade aan te richten” worden dus virussen, Trojans en andere vormen van malware gedekt. Vroeger stond daar nog wat bij over “zichzelf vermenigvuldigen in een geautomatiseerd werk” zodat je je kon afvragen of een zuivere Trojan er ook onder zou vallen.

Met dit wetsartikel zijn de virusverspreiders dus aan te pakken. En natuurlijk zijn ze ook voor computervredebreuk te vervolgen – ze hebben immers een technische ingreep op de OpenX server van Adfactor gepleegd om deze zo iets te laten doen waar ze niet toe bevoegd waren. Maar ja, vind ze maar eens.

Wat veel mensen echter niet weten, is dat er naast artikel 350a ook nog een artikel 350b Strafrecht is dat over virusverspreiding gaat. En dát artikel biedt een optie om ook eens met gefronste strafrechtwenkbrauwen te kijken naar Adfactor of de sites die via dat netwerk advertenties laten zien:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Het verschil zit hem in “wiens schuld te wijten” versus “wie verspreidt”. Wie verspreidt, kiest daar actief voor. Wie schuld heeft, heeft dat niet actief gekozen maar was wel een beetje dom bezig, zeg maar. Lichtzinnigheid (“dat valt wel mee, gebeurt toch niet”) of niet genoeg nadenken terwijl dat wel had gemoeten. Beiden zijn vormen van nalatigheid.

En dat biedt dan perspectieven: kun je een advertentienetwerk zulke nalatigheid verwijten? Hoe hard moet je je servers en software controleren, welke mate van nadenken mag je verwachten van zo’n platformbeheerder of van de site waar de advertenties op komen te staan?

Ik ben geneigd te zeggen, dit mag gewoon niet gebeuren klaar – maar dat is onrealistisch, er kan altijd een zeer geavanceerde hack langskomen waar gewoon écht niets aan te doen is. Plus, het blijft mensenwerk dus fouten kunnen altijd gebeuren. Een fout betekent niet automatisch nalatigheid. Maar waar leg je dan de grens? Hebben jullie een suggestie?

Arnoud

Mag je een server met een welkombanner hacken?

Een lezer vroeg me:

Bij een loginprompt zie je vaak “Verboden toegang voor onbevoegden” of iets dergelijks. Nu hoorde ik dat als je daar “Welkom” neerzet, het legaal zou zijn om bv. via wachtwoord raden binnen te dringen. Immers wie welkom geheten wordt, gaat niet wederrechtelijk naar binnen. Klopt dat?

Nee, dat klopt niet. Een deurmat met “Welkom” geeft inbrekers ook geen bevoegdheid mijn deur open te breken met een koevoet.

Als de deur ópen zou staan en er hangt een bordje “Welkom”, ja dan zou je misschien kunnen denken dat iedereen uitgenodigd is op een buurtfeestje of open barbecue. Het digitale equivalent daarvan zou dan een “Welkom”-banner zijn met een gast/gast logincombinatie. Als dát account zou werken (ook als het onaangekondigd is) dan lijkt het me nauwelijks nog verdedigbaar dat iemand inbrak.

De wet stelt ‘binnendringen’ in een computersysteem strafbaar. Het is daarbij nodig dat op een of andere manier blijkt dat je op verboden terrein bent. (Vroegâh had je zelfs een beveiliging nodig die moest worden doorbroken, nu niet meer.) Zo’n loginbanner of MOTD is dus het digitale equivalent van het art. 461 Strafrecht-bordje. Meer dan “verboden toegang voor onbevoegden”* als tekst zou niet nodig moeten zijn.

Is er een gastaccount, dan ben je niet onbevoegd als je daarop inlogt. Misschien als er duidelijk is gezegd wíe er als gast naar binnen mag, maar dat heb ik eerlijk gezegd nog nooit gezien. Een beetje beheerder timmert een gastaccount ook zodanig dicht dat een ongewenste gast toch niets geks uit kan halen, dus waarom zou je ook?

  • En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen. Vlakbij mijn kantoor staat een geel verkeersbord met de tekst “Te hard rijden is verboden”. Joh.

Arnoud

Wanneer is een Message of the Day rechtsgeldig?

login-warningEen lezer vroeg me:

Bij sommige diensten binnen ons bedrijf moet je inloggen. Daarbij krijg je een bannertekst te zien, ook wel “message of the day” (MOTD) geheten. Daarin staat onder meer dat je persoonlijk aansprakelijk bent voor misbruik, dat privégebruik verboden is en dat men je te allen tijde in de gaten mag houden. Is dat juridisch houdbaar? En hoe ver mag je gaan met zo’n banner of motd?

Of je het nu MOTD, banner, disclaimer, terms of service, EULA of wat dan ook noemt, naar Nederlands recht zijn bepalingen die voor meerdere gebruikers hetzelfde zijn “algemene voorwaarden”. Algemene voorwaarden zijn immers per definitie (art. 6:231 BW) voorwaarden die bestemd zijn om in meerdere overeenkomsten op gelijke wijze gebruikt te worden.

Algemene voorwaarden zijn snel bindend; ook als je ze niet gelezen hebt en ook als je geen vinkje hebt geplaatst zit je eraan vast als vóór contractsluiting is gemeld dat ze gelden. Het idee hierachter is dat toch geen hond die voorwaarden leest. Maar daar tegenover staat dat je als wederpartij algemene voorwaarden sneller kunt aanvechten dan voorwaarden die wél specifiek onderhandeld zijn. Zodra algemene voorwaarden ‘onredelijk bezwarend’ zijn, kun je ze vernietigd krijgen. Een motd of banner of EULA is dus in principe rechtsgeldig.

Een loginbanner wordt echter pas bij het inloggen getoond, en een motd pas ná dat inloggen. Beiden zijn te laat. In de meeste gevallen sluit je het contract met het bedrijf achter de dienst immers bij registratie of bestelling en niet bij inloggen.

In de context van werknemers die inloggen ligt het iets anders. Een werknemer sluit natuurlijk geen contract met zijn werkgever elke keer als hij inlogt. Meldingen als deze zijn in dat kader dus geen algemene voorwaarden maar moeten onder het kopje “instructies betreffende de arbeid” (art. 7:660 BW) worden gerekend. De werkgever mag zulke instructies geven, mits ze redelijk zijn, maar hij hoeft ze niet apart in een ICT-reglement of het arbeidscontract vast te leggen. En hij mag ze dus ook na het sluiten van het arbeidscontract stellen. Een werkgever kan dus prima via een motd of banner voorwaarden stellen aan het gebruik van de ICT-faciliteiten.

Natuurlijk mogen die voorwaarden op zich niet ingaan tegen de wet, dus een voorwaarde die zomaar de privacy opzij zet kan niet door de beugel. Hiervoor gelden dezelfde regels als bij ICT-reglementen in het algemeen: de privacy staat voorop, en de werkgever mag daar alleen doorheen als dat noodzakelijk is voor een eigen legitiem belang, er geen andere keuze is die de privacy niet of slechts in beperktere mate schendt én de maatregel proportioneel is gezien het doel. Op een bedrijfskritische server alles loggen lijkt me daar net wel in te passen. Persoonlijke aansprakelijkheid is echt volstrekte onzin, je bent als werknemer eigenlijk nooit persoonlijk aansprakelijk (art. 6:170 BW) voor wat je doet met je werknemerspet op. Maar mogelijk staat dat er alleen om mensen schrik aan te jagen.

Meelezende systeembeheerders: hoe komen jullie aan je banner- dan wel motdteksten? Zijn die opgesteld door de bedrijfsjurist, ergens van internet geplukt, bij de installatie meegekomen of hebben jullie er zelf over nagedacht?

En wat stáát er in jullie banners?

Arnoud