Internetrecht door Arnoud Engelfriet

Cryptoplatform Bitcoin Meester hoeft veertien transacties van een klant die daarmee vierduizend procent winst maakte maar wegens een systeemfout werden teruggedraaid niet te vergoeden, las ik bij Security.nl. Ook hoeft men geen ruim 42.000 euro schadevergoeding te betalen vanwege misgelopen winst. Dit alles op gezag van de rechtbank Amsterdam die aldus vonniste nadat de klant erg boos was over de misgelopen gelden.

Op 26 februari vorig jaar verkocht de klant de cryptovaluta Hedera aan Bitcoin Meester om daarmee de cryptovaluta Aion te verkrijgen. Vervolgens verkocht de klant de verkregen Aion weer aan Bitcoin Meester voor Hedera. Dat kan, daar is zo’n platform voor.

Alleen, de prijs waarvoor Bitcoin Meester de Hedera van de klant kocht lag 2,5 tot 25 hoger dan de prijs waartegen die vrijwel tegelijkertijd diezelfde Hedera van Bitcoin Meester kocht. Hierdoor kon de klant binnen een tijdsbestek van ongeveer 12 minuten met 14 transacties een winst maken van ruim 4.000%. Doordat deze 14 transacties opvielen maakte een bot in het systeem van Bitcoin Meester melding van de transacties en werd [eiser] uitgelogd uit zijn account. Na opnieuw inloggen bleken de transacties te zijn teruggedraaid.

Zo te lezen had de klant een bug ontdekt in het systeem van Bitcoin Meester:

Bitcoin Meester heeft overtuigend aangetoond dat er een fout in haar systeem zat waardoor zij aan [eiser] een hogere inkoopprijs voor Hedera betaalde dan zij van [eiser] ontving voor diezelfde Hedera. Op zitting heeft Bitcoin Meester uitgelegd dat zij als broker fungeert en zelf pas een transactie uitvoert nadat een klant een cryptovaluta heeft ge- of verkocht. Door de fout in het systeem lag er voor haar geen reële transactie onder de door [eiser] opgedragen transactie, want Bitcoin Meester kon door de foutieve prijs de transactie van [eiser] immers niet uitvoeren op de cryptovalutamarkt.

[M]ocht [eiser] er op vertrouwen dat Bitcoin Meester de Hedera keer op keer voor een beduidend hogere prijs van hem wilde terugkopen dan waarvoor zij deze even tevoren aan hem had verkocht?

Omdat er geen overeenkomst is, kan de klant Bitcoin Meester niet verwijten de transacties te hebben gewist en de gemaakte winst niet te vergoeden. Wel werd de klant veroordeeld tot het betalen van de proceskosten van Bitcoin Meester die bijna 2900 euro bedragen.

Arnoud

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die al tijden bij de NSA bekend zou zijn maar nooit gemeld is. Is er nu enige mogelijkheid Microsoft aansprakelijk te stellen voor de schade van zulke downtime?

Het makkelijke antwoord is natuurlijk nee, want in de voorwaarden van Microsoft staat gewoon dat ze niet aansprakelijk zijn voor de gevolgen van fouten in hun software. En ja, dat is rechtsgeldig bij grote partijen zoals de Rotterdamse Haven. Bij consumenten in principe niet, tenzij er heel bijzondere omstandigheden zijn (zoals, blijf ik volhouden, wanneer de software gratis beschikbaar werd gesteld).

Maar goed, wat in het hypothetische geval dat er geen rechtsgeldige beperking van aansprakelijkheid was. Dan zou het kunnen. Wel moet er dan aan een aantal eisen zijn voldaan. Kort gezegd is de belangrijkste vraag of Microsoft deze fout had moeten voorkomen, vanuit hun zorgplicht als dienstverlener. Of iets anders geformuleerd, of je het Microsoft kunt aanrekenen dat die fout erin zat (toerekenbare tekortkoming).

Ik denk dat je daar in het algemeen niet meteen van kunt spreken, tenzij men de fout kende en deze dan onnodig lang liet liggen. Alle software heeft fouten, zeker zulke grote en complexe software als Windows. Het is onvermijdelijk dat er dan van tijd tot tijd een exploit opduikt die mensen schade berokkent.

Verder, zelfs als je uitkomt bij een toerekenbare tekortkoming of verzaken van de zorgplicht, dan nog heb je altijd het verweer “waarom had je geen backup” of andere maatregelen ter beperking van de schade. Want anno 2017 behoort iedereen te weten dat je je systeem goed moet afschermen voor onheil van buitenaf, en dat je je data moet backuppen om terug te kunnen na een geslaagde aanval. Het voelt weinig redelijk om je bedrijfsdata kwijt te spelen door een aanval en dan Microsoft de rekening te geven.

Bij consumenten blijf je zitten met het probleem dat zij juridisch gezien meestal geen schade hebben. Zet maar eens een geldbedrag op het gegijzeld hebben van je vakantiefoto’s of persoonlijke administratie. En zonder schade geen claim.

Arnoud

Een lezer vroeg me:

Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag?

Nee, een gekke vraag is dit niet. Maar ik kan me de verbazing ook wel weer een beetje voorstellen.

Aansprakelijkheid en intellectueel eigendom staan in principe los van elkaar. Aansprakelijk ben je als je een fout maakt in de opdracht, en dat heeft niets te maken met wie eigenaar wordt van de auteursrechten op het resultaat.

De verwarring hier gaat volgens mij over fouten die de opdrachtgever aanbrengt nadat de software klaar is. Wie het auteursrecht verwerft, mag ook zelf gaan knutselen in het geleverde. Maar het is natuurlijk evident dat je de leverancier niet aansprakelijk kunt houden voor je eigen fouten. Dit heeft niets te maken met eigendom op het werk. Als ik een huis laat bouwen, is de aannemer aansprakelijk voor fouten terwijl ik er eigenaar van ben. Hetzelfde gebeurt bij auteursrechten.

Het lijkt me wel verstandig dit even uit te werken in het contract, om bewijsproblematiek te verkleinen. Je zegt dan bijvoorbeeld dat iets alleen een fout is als het ook zit in de code zoals overgedragen. Je hebt dan een manier nodig om vast te leggen exact welke code dat is. Denk aan een hash, een lijst bestandsnamen met datum en grootte of het nummer van een github-repository.

Arnoud

Een lezer vroeg me: Vaak zie ik in softwarelicenties iets als dit: “Leverancier garandeert dat de Software geen virussen, achterdeuren, logische bommen of andere kwaadaardige routines bevat.” Waarom doen juristen dat? Het is toch raar dat een leverancier zou zeggen “onze software bevat een virus”? Voor mijn gevoel is de clausule vandaag de dag een… Lees verder

Een lezer vroeg me: Is mijn Internet Service Provider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen PC qua veiligheid op orde is. Wie een product levert, moet zorgen dat die aan de… Lees verder

Een lezer vroeg me: Ik las op Tweakers dat mijn oude router een backdoor bevat. Dat is natuurlijk niet wat ik mocht verwachten, dus kan ik nu bij de winkel mijn geld terug vragen? Een product zoals een router moet aan de redelijkerwijs gewekte verwachtingen voldoen. Dat heet de conformiteitseis, soms ook wel de wettelijke… Lees verder

Een lezer vroeg me: Ik heb als freelancer een stukje software gemaakt voor een groot bedrijf. Nu melden ze me dat er een bug in zit waardoor ze maanden aan data kwijt zijn, en ze willen mij aansprakelijk stellen voor de schade! Ik werk eigenlijk altijd zonder algemene voorwaarden, omdat ik niet houd van dat… Lees verder

Een lezer vroeg me: Ik werk sinds kort bij een bedrijf dat webapplicaties bouwt in PHP. Helaas moet ik constateren dat meer dan de helft van mijn collega’s echt te weinig verstand van zaken heeft. Men gebruikt procedureel PHP alsof het 1997 is (in plaats van het veel veiligere object-georiënteerde), men heeft geen enkel benul… Lees verder

Een lezer vroeg me: In januari is mijn (zakelijke) website gehackt. Diegene heeft vervolgens heel veel dataverkeer veroorzaakt, o.a. door spam te versturen vanaf de site. De hoster heeft dit na een paar dagen gemerkt en het lek gerepareerd. Hij meldde me dat dit door een bug in het controlepanel van de site (Directadmin) was… Lees verder