Tag: data

About data

Subscribe Feeds

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

Geplaatst op in Ondernemingsvrijheid, 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Moet ransomware apart strafbaar worden gesteld?

Geplaatst op in Security, 22 reacties

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataCalifornië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar?

Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt. Je kunt je afvragen of ransomware wel geweld of angst gebruikt om de betaling af te dwingen. Ransomware slaat je niet in elkaar en dreigt ook niet naar de pers te stappen als je niet snel betaalt. Dan ontstaat er dus een gaatje in de wet om te roepen dat het nog niet strafbaar is. Vandaar dit wetsvoorstel.

In Nederland hebben we twee wetsartikelen die ransomware strafbaar stellen. Het eerste artikel gaat eigenlijk over virussen en wormen (art. 350a Strafrecht). Het is strafbaar gegevens ter beschikking te stellen of verspreiden die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Maar ransomware wordt ook verspreid en richt óók schade aan. Vier jaar cel maximumstraf. Daarnaast is het strafbaar (twee jaar cel) om data te wissen of onbruikbaar te maken.

Het tweede artikel is verwant aan de eigenlijke afpersing (art. 317 Strafrecht). Het is strafbaar om

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld,

Hier staat dus “met geweld of dreiging met geweld” en je kunt je afvragen of een ransomware-auteur wel ‘geweld’ toepast of daarmee dreigt. Geweld is toch meer iets dat je tegen mensen zelf inzet. Misschien tegen hardware (“ik sloop je auto als je niet betaalt”) maar data is geen hardware en valt daar dan niet onder. (Het aanverwante chanteren, dreigen met smaad of onthulling van een geheim, staat in artikel 318).

Maar, lid 2:

2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

En dit is natuurlijk exact wat ransomware doet: dreigen dat gegevens voor altijd verloren zullen gaan tenzij er nu snel betaald wordt. Daarmee valt ransomware dus ‘gewoon’ onder afpersing, met een maximumstraf van maar liefst negen jaar cel.

Dus ja, een tikje gelegenheidswetgeving is het wel maar gezien de aard van het misdrijf toch niet onverstandig. De grote vraag natuurlijk blijft: hoe krijg je de plegers te pakken? Ransomware is een beetje de perfecte misdaad: via niet-traceerbare kanalen een dreiging uiten en via niet-traceerbare kanalen geld ontvangen.

Arnoud

Ben je nou eigenaar van je gekochte ebooks of niet?

Geplaatst op in Innovatie, 30 reacties

scanbook.pngJe bent geen eigenaar van je ebooks als er DRM op zit, las ik bij Gizmodo. Je krijgt slechts een tijdelijk leesprivilege. Dat concludeert men uit het staken van eboekenleverancier Nook. Hierdoor worden alle aangekochte boeken ontoegankelijk. Men “werkt aan een oplossing” en bladiebla, maar ondertussen zijn je boeken dus mooi weg. Kan dat zomaar, juridisch?

Het begint een mantra te worden hier, maar: data is niets. Data kun je niet kopen. Maar daar zit een nuance op. In Nederland gelden de regels over kopen uit het Burgerlijk Wetboek ook voor

de levering van digitale inhoud die niet op een materiële drager is geleverd, maar die wel is geïndividualiseerd en waarover feitelijke macht kan worden uitgeoefend,

Je kunt dus bij een niet-werkend ebook eisen dat dit wordt hersteld, want dat is een conformiteitsgebrek (art. 7:17 BW) net zoals bij een televisie die het niet doet. Echter, een belangrijke uitzondering op deze regel is dat bij koop van digitale inhoud er géén eigendomsoverdracht (art. 7:9 BW) plaatsvindt. Je koopt het dus wel maar je wordt geen eigenaar. Eh, ja, oké.

En daarmee zijn we dan toch weer terug bij mijn mantra. Een ebook is niets, het is gestolde dienstverlening en dienstverlening mag stoppen. Specifiek bij digitale inhoud (zoals boeken maar ook films of muziek) heb ik daar moeite mee, in ieder geval als er “kopen” bij staat.

Tegelijkertijd weet ik ook niet hoe je het dan wel moet doen als leverancier. Als mensen alles in de cloud willen hebben, dus ook hun boeken, dan moeten die boeken bij jou op je server staan. Maar het voelt niet redelijk te verlangen dat die servers dan levenslang aan blijven staan. Dienstverlening houdt een keertje op.

Arnoud

Ik wil mijn data van mijn kapotte mobiele telefoon!

Geplaatst op in Intellectuele rechten, 12 reacties

sms-belasting-telefoon.pngEen lezer vroeg me:

Mijn mobiele telefoon is kapot gegaan, een defect moederbord volgens de winkel. Dat wordt keurig opgelost onder de garantie, ik krijg een nieuw toestel. Alleen, ze willen de data die op de oude telefoon stond niet kopiëren naar de nieuwe want dat is te veel gedoe. Maar hoe krijg ik nu mijn data terug?

Dit is een lastige, ben ik bang. Juridisch gezien is data niets. Je kunt geen eigendom claimen op data, zoals je dat wel zou kunnen bij bijvoorbeeld het hoesje om je telefoon of de SD-kaart die er nog in zit. (Ook met het auteursrecht of databankrecht kom je er niet.)

In 2013 hadden we een zaak over een op leeftijd zijnde Powerbook, waarbij de reparateur de data op de interne harde schijf had gewist. Dat was toen een tekortkoming in de reparatieovereenkomst, omdat het daar deel van de kern van de dienst was om de data intact te laten.

Maar hier gaat het niet zozeer om het herstellen van een harddisk maar om een geheugenkaart, toch een ander soort reparatie lijkt me dan in die zaak. Je kunt dan twee kanten op: 1) er is niet specifiek gesproken over data en je wéét dat je backups moet maken, dus pech gehad, of 2) je mag als klant verwachten dat je je telefoon terugkrijgt met een nieuw moederbord maar de rest nog in originele toestand, dus mét data.

Ik zou denken dat je mag verwachten dat je opslagmedia onaangetast blijven als het moederbord wordt vervangen. Alleen, bij telefoons is het al snel goedkoper om een nieuwe telefoon te geven in plaats van een reparatie op onderdelen uit te voeren. En ook dat is volgens mij iets dat algemeen bekend is. Je neemt dus een risico als je dan je telefoon laat herstellen zonder een backup te hebben (hoewel dan wel weer zuur is dat je niet bij je data kúnt als het moederbord stuk is, voor de meeste mensen dan).

Juridisch gezien zie ik dus niet echt opties. Praktisch gezien is het handigste denk ik om vanaf nu alle data op een SD-kaartje te bewaren in plaats van op het interne geheugen, en/of regelmatig een backup te maken van de telefoondata naar een extern medium. Of weten jullie iets handigers?

Arnoud

Wie is eigenaar van de data van je Tesla-auto?

Geplaatst op in Innovatie, 13 reacties

tesla-app-data-eigendomElon, ik wil mijn data! Dat blogde ene Espen Andersen (via) naar aanleiding van zijn pogingen om inzage te krijgen in de data die het bedrijf Tesla centraal opslaat over het rij- en parkeergedrag van zijn auto. Je zou zeggen, zijn auto == zijn data, maar zo werkt het niet volgens Tesla: alleen met gerechtelijk bevel kan er inzage gekregen worden.

Data is op zich niets. Ook al verkrijgt een bedrijf data dankzij jouw input hulp, je kunt er niet zomaar een eigendomsrecht op claimen of een kopie van verlangen. (Heel misschien als de data jouw creatieve schepping is, dan zou je auteursrecht kunnen claimen.)

Hier gaat het echter om een specifiek soort data: persoonsgegevens. Data over waar je auto heen gereden is, zegt iets over jou. En wanneer data iets over een persoon zegt, is die data een persoonsgegeven. En dan zijn er meer mogelijkheden.

Iedereen die persoonsgegevens verwerkt, is verplicht daar inzage in te geven wanneer de betrokken persoon zich meldt. Dat staat in alle Europese privacywetten, waaronder onze Wbp in artikel 35:

1. … De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.
2. Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.

Dat van dat ‘schriftelijk’ is wat vervelend, maar op grond van artikel 37 mag je ook in andere vorm (dus elektronisch bijvoorbeeld) het overzicht verstrekken mits een “gewichtig belang” dat eist.

Formeel is er dus geen discussie: als meneer Andersen dat wil weten, dan moet Tesla hem inzage geven in wat ze weten en dat “volledig overzicht daarvan in begrijpelijke vorm” geven. Alleen – welk Tesla? De Noorse vestiging of het Amerikaanse bedrijf dat de servers opereert waar de data naartoe gaat? Ik denk dat als je de wet letterlijk leest, je vrij snel in Amerika uitkomt en het valt niet mee Amerikaanse bedrijven aan Europese wetten te houden.

In de Google-vergeetrechtzaak bepaalde het Hof van Justitie dat Google Spanje verantwoordelijk is voor zoekresultaten door Google Inc met als motivatie dat die Inc uit Californië zo moeilijk aan te pakken is. Daar zit wel wat in maar het voelt wat geconstrueerd. Diezelfde redenering zou je dan hier toepassen om Tesla Noorwegen te dwingen met die data over de brug te komen. Ik hoop dat meneer Andersen hier een punt van gaat maken.

Arnoud

Ik wil een kopie van mijn clouddata van de curator!

Geplaatst op in Informatiemaatschappij, 42 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil ook geen data afgeven. Wat kan ik doen? Die data is toch ons eigendom?

Nee, die data is niet je eigendom. Die data is juridisch helemaal niets en daarom valt er dus niets te eisen omtrent die data.

Het hosten van data is voor de wet een vorm van dienstverlening. Dat daarbij bits worden gemanipuleerd, is leuk maar juridisch niet relevant. Afgezien van specifiek virtuele objecten in digitale werelden is data niet iets dat voor eigendom in aanmerking komt, omdat het daar niet tastbaar genoeg voor is.

Afspraken maken dus. De dienstverlener moet “de zorg van een goed opdrachtnemer in acht nemen”, staat in de wet. Vandaag de dag mag je daar wel uit concluderen dat hij moet zorgen voor toegang tot data, bij voorkeur in een algemeen leesbaar formaat. Zo kun je backups maken van je data voor een eventuele migratie of calamiteit zoals faillissement. (Hoewel dit nog nooit bij de rechter bevestigd is en menig clouddienstverlener data opsluit in een eigen formaat waarna je er alleen via hun tools bij kunt.)

Alleen: bij faillissement houdt alles op wat je contractueel hebt afgesproken. De curator heeft maar één taak en dat is de schuldeisers tevreden stellen. Als hij daarbij wanprestatie moet plegen, dan is dat toegestaan. Een contractuele afspraak dat je bij faillissement gauw een kopie mag downloaden, is dus het papier niet waard waar deze op afgesproken is.

Met de hoster valt wellicht wat af te spreken. Die is niet failliet dus die zou een kopie van de data kunnen geven. Maar omdat je daar niet al een contract mee had, is hij daartoe niet verplicht en zou hij zijn kans schoon kunnen zien even wat verlies goed te maken. Beter is dus dit vooraf af te spreken, bijvoorbeeld via de stichting Continuïteit (waar ik bestuurslid van ben).

Wellicht heb je auteursrecht op de data. Ook dat gaat niet helpen: het is geen inbreuk op auteursrecht of databankrecht om te weigeren toegang tot een kopie van het werk te verschaffen. Dat weten we uit een rechtszaak in mei waarbij de toegang tot een databank werd geblokkeerd door de dienstverlener. “Geen toegang tot de gegevens” hebben is niet het soort schade waar deze intellectuele-eigendomswetten voor gemaakt zijn.

Een goede backupstrategie en/of afspraken met hoster en dienstverlener zijn dus de enige middelen om dit probleem op te lossen. En als je dat pas achteraf wilt regelen, dan gaat het een hele dure grap worden.

Arnoud

Mag ik hacken om mijn klant te migreren naar een nieuwe omgeving?

Geplaatst op in Security, 31 reacties

migrationEen lezer vroeg me:

Een nieuwe klant vroeg ons hen te migreren naar een nieuwe omgeving. Echter, er blijkt een geschil te zijn met de huidige ICT-leverancier en mijn klant heeft de benodigde wachtwoorden dan ook niet. De klant heeft me gevraagd de betreffende systemen te hacken omdat dat geschil nog wel even kan duren (er zijn al advocaten losgelaten). Mag ik dit doen?

Helaas komen dit soort situaties vaker voor. De klant heeft een dispuut met zijn ICT-leverancier, die blokkeert de dienst of weigert relevante wachtwoorden of data te verstrekken en dan zit je daar als klant. Of, omgekeerd: je hebt een dispuut met je klant, die wil dan boos weg (terwijl het contract nog gewoon loopt en de klant ongelijk heeft met z’n dispuut) en dan moet jij zeker gratis alles even aan laten staan zodat hij alles kan downloaden en migreren en daarna je facturen vrolijk niet betalen.

Hoe dan ook, als nieuwe leverancier heb je daar niets mee te maken. Laat je daar ook niet toe verleiden, want voor je het weet ben je partij en krijg je een deel van het ongenoegen over je heen.

De klant helpen met een migratie mag, ook als de migratie gebeurt vanaf een omgeving waar iemand anders iets over te zeggen heeft. Net zo goed als jij als verhuisbedrijf spullen mag weghalen bij een gehuurd pand waarvan huurder en verhuurder een dispuut hebben over achterstallige huurbedragen. Wat je echter niet mag, is in zo’n situatie de door de verhuurder afgesloten deur openbreken.

In de ICT-situatie betekent dat dus: je mag geen wachtwoorden kraken van servers die in eigendom zijn bij de verhuurder, pardon de leverancier. Ook mag je niet op zoek naar achterdeurtjes om daar data uit te halen. Ook niet als het gaat om klantdata. Het mag dan “klantdata” heten in het ICT-spraakgebruik, maar juridisch gezien is data niets. Er valt dus niets op te eisen, in tegenstelling tot bv. fysieke spullen die opgeslagen zijn bij de leverancier.

Wachtwoorden kunnen ook een rol spelen bij systemen van de klant zelf, zoals laptops of door hen zelf aangeschafte servers. Door de leverancier daarop ingestelde wachtwoorden mag je wél kraken of veranderen. De systemen zijn immers eigendom van de klant, en het is niet strafbaar om in opdracht van de eigenaar een beveiliging onklaar te maken.

Twijfel je over de legaliteit van wat je klant vraagt, dan kun je een garantie en vrijwaring van je klant verlangen dat je dit mag en dat zij alle boetes en schadeclaims die jij krijgt, moeten vergoeden. Dat werkt dan echter weer niet wanneer het evident is dat de klantvraag illegaal is. “Ze draaien een oude versie van PHP, kun jij ergens op zo’n hackersite iets vinden dat je binnen kunt komen en onze database kunt downloaden” is geen legitieme klantvraag. Ook niet als daar de enige plek is waar de klantdata staat.

Hebben jullie wel eens zulke disputen meegemaakt als derde? En hoe ging je daarmee om?

Arnoud

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

Geplaatst op in Security, 23 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Ik wil mijn data van mijn leverancier!

Geplaatst op in Informatiemaatschappij, 42 reacties

Een lezer vroeg me:

Als softwareleverancier lopen we tegen een probleem op bij de conversie van het IT-systeem van een klant. Dit systeem is door een andere softwareleverancier (onze concurrent dus) geleverd, en alle data blijkt in een of ander onbekend proprietary formaat te zitten waar wij niets mee kunnen. De klant heeft met zijn vorige leverancier gebeld maar die vraagt een bizar hoog uurtarief voor export naar een simpel formaat als XML of CSV. Kan dat zomaar? Heeft de klant niet recht op export van zijn data?

Het moeilijke bij dit soort helaas vaak voorkomende situaties is dat data geen “eigendom” kan zijn van iemand. Het zijn gewoon bits. En dan heb je dus niets te eisen als zogenaamde “eigenaar” van die data.

Juridisch gezien is hier sprake van dienstverlening: iemand heeft een dienst geleverd (bits in een bepaald formaat opgeslagen) en of daarbij ook het opnieuw opslaan in een ander formaat van die bits hoort, is een kwestie van contractsuitleg. Er is geen wettelijke regel die je hier recht op geeft.

Hopelijk vermeldt het contract dus ergens iets over data-formaten of een exitclausule met “Klant kan op verzoek een Excel-bestand met data ontvangen”, want anders dan houdt het heel snel op en zul je dat uurtarief moeten betalen.

Het is een buitengewoon ergerlijke praktijk om alles in gesloten geheime formaten te doen maar het is dus legaal.

Arnoud