Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Security | 30 reacties

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

De harddisk van een op leeftijd zijnde powerbook

| AE 5002 | Ondernemingsvrijheid | 40 reacties

powerbookStel je werkt zes jaar op een laptop zónder backups te maken, en je gaat op een dag dan naar de winkel om ze te vragen je daarbij te helpen. Kun je ze dan aansprakelijk stellen als je data alsnog kwijt raakt? Dat was de vraag in een recent vonnis over een “op leeftijd zijnde powerbook”.

De klant was bezig met een boek, een vertaling van werk van Pffeier uit het Oud-duits. Dat deed hij dus op die Powerbook G4 uit 2004, welke je toch als “op leeftijd” mag betitelen inderdaad. In november 2010 besloot hij toch eens over backups na te denken, en hem werd aangeraden My Passport for Mac te nemen, een externe harde schijf. Dat deed hij, maar in februari 2011 ging hij terug want hij kreeg het niet aangesloten.

Terug in de winkel werd aangeboden dat men dit voor hem kon doen, en oh we kunnen meteen uw besturingssysteem upgraden van Tiger naar Leopard. Wordt u al zenuwachtig bij het idee van een OS upgrade zónder voorafgaande full backup? Deze klant in ieder geval wel, dus hij liet op het innamebewijs opnemen

Meneer wil graag Macosx Leopard geïnstalleerd hebben op de mac met behoud van de Data. Het is voor meneer belangrijk dat deze behouden blijft. Indien mogelijk ook een kopie van de data op de bijgeleverde externe hdd.

U voelt hem al aankomen: een maand later kon de laptop worden opgehaald, maar helaas was de harddisk gesneuveld en alle data kwijt. Onder verwijzing naar de disclaimer “[gedaagde] is niet verantwoordelijk voor eventueel verlies van data” werd de claim van €15.000 (de uren voor opnieuw de vertaling maken) van de klant afgewezen. Dus naar de rechter.

De rechter begint met vast te stellen dat die disclaimer hier niet relevant is. Dat is een waarschuwing voor de kans dat data per abuis verloren kan gaan – maar hier ging het niet om upgradewerk met enig kans op dataverlies, maar om een overeenkomst van opdracht die specifiek ging over het backuppen van data. En als dat specifiek je opdracht is, dan is “oeps, alles is weg” geen acceptabel antwoord.

Maar die powerbook was economisch al jaren afgeschreven, en ook technisch zo oud dat die harddisk spontaan de geest kan hebben gegeven, zult u wellicht tegenwerpen. Dat mag zo zijn, maar als je als winkel dan toch zo’n computer inneemt en een overeenkomst van opdracht aangaat, dan wordt die spontaniteit alsnog jouw risico. Je bent een professional, en die worden geacht hier vooraf over na te denken en desnoods de opdracht te weigeren.

Het was kennelijk in de visie van [gedaagde] nog zinvol om het besturingssysteem van de powerbook up te graden, ondanks de leeftijd van de powerbook en de daarin aanwezige harde schijf.

Men had bijvoorbeeld in de winkel kunnen aanbieden de klant te helpen het zelf te doen met een USB stick of de data laten mailen naar een snel even aangemaakt webmailaccount. In die situaties zou de klant zelf het risico van dataverlies hebben moeten dragen. Maar neem je de laptop in met de belofte “met behoud van de Data”, dan zit je daaraan vast.

Aansprakelijkheid van de winkel dus. Maar welk bedrag? Dat is bij consumentenzaken altijd een hele moeilijke, maar in dit geval had de klant een mooie vuistregel: al dat werk opnieuw doen zou hem 300 uur kosten, tegen een uurtarief van 50 euro, oftewel 15.000 euro plus nog 100 euro voor de kapotte harde schijf.

Het kapot gaan van die schijf is echter niet de fout van de winkel geweest, dus dat hoeven ze niet te vergoeden. Maar die 300 uur werk die nu opnieuw moet, dat is wél dankzij een tekortschieten van de winkel ontstaan. Betalen dus!

Oh nee, toch niet. Het recht kent het concept “eigen schuld”: wie zelf bijgedragen heeft aan (het groter worden van) schade die hij lijdt, moet die component eigen schuld zelf dragen ook als de oorzaak van de schade bij een ander lag.

Aan [eiser] kan namelijk worden toegerekend dat hij niet recenter en vaker een back-up van het boek heeft gemaakt. Hij had dit bijvoorbeeld kunnen doen door het boek op een cd-rom te branden, op een usb-stick te zetten of te mailen naar een web-mail account. Hij wist ook dat dit kon, aangezien hij – zoals in zijn conclusie van repliek is vermeld – al eens eerder een back up van het boek door zijn zoon heeft laten maken.

In hoeverre moet dit nu worden meegewogen? Ik zou ook geen flauw idee hebben, en de rechter houdt het dan ook maar bij een 50/50 verdeling. De winkel moet dus €7.500 plus wettelijke rente en iets van €1.200 aan proceskosten vergoeden.

Wat vinden jullie? Logisch bij zo’n toezegging over de dienst? Of gaat dit winkels alleen maar afschrikken om herstelwerk te doen bij bejaarde powerbooks?

Arnoud