Is Diginotar aansprakelijk voor de schade uit frauduleuze certificaten?

diginotar-subroot-digid.pngAuw. Iraans verkeer naar Gmail kon worden afgetapt dankzij een door Diginotar goedgekeurd certificaat, zo bleek deze week. Alle grote browsers revoceerden meteen het certificaat van Diginotar, hoewel Firefox later een uitzondering maakte voor DigiD. Na enig getreuzel kwam Diginotar-eigenaar Vasco met een verklaring dat men in juli was gehackt, waarna bleek dat in ieder geval de website al jaren kwetsbaar was. En daarna dook nieuws op dat er nog veel meer valse certificaten in omloop waren, waaronder voor anonimiteitsnetwerk Tor. Heeft Diginotar nu een probleem of niet?

Laten we eens doen of de publiciteit niet al genoeg is om het einde van Diginotar als merknaam in te luiden, en de juridische gevolgen bekijken van deze faal. De wet kent namelijk de nodige bepalingen over certificatiedienstverleners, oftewel personen of bedrijven die certificaten afgeven of andere diensten in verband met elektronische handtekeningen verleent, zoals de Telecommunicatiewet ze definieert.

Toen e-commerce een beetje populair begon te worden, ontstond behoefte aan het zetten van digitale handtekeningen. Waarom is mij volstrekt onduidelijk, handtekeningen zijn namelijk zelden tot nooit nodig in het handelsverkeer. Ja, als je een huis wilt kopen, maar dat is nu net een van de weinige dingen die je niet via een internetdienst kunt doen. Maar goed, er moesten digitale, pardon elektronische handtekeningen komen en daar moest dan een hele infrastructuur bij opgezet worden om te kunnen controleren wie die had gezet. Ik ben daar ooit op afgestudeerd maar ondertussen best wel cynisch over het nut van deze hele poppenkast. Waar is de infrastructuur voor analoge handtekeningen?

Afijn, die infrastructuur oftewel PKI is waar Diginotar een rol in speelde. De opzet van deze infrastructuur is hiërarchisch: we vertrouwen een partij met een certificaat omdat de uitgever van dat certificaat zegt dat dat klopt. En we vertrouwen die uitgever omdat ook hij een certificaat heeft waarvan de uitgever zegt dat het klopt. Enzovoorts, enzoverder tot we bij de wortel van deze hiërarchische boom zijn. (Terzijde: informatici tekenen zulke bomen met de wortel aan de bovenkant. Argh.) Diginotar heeft de positie van root CA, wat zo veel wil zeggen als dat wanneer Diginotar het zegt, het klopt. Gewoon, omdat het kanergens ophoudt. (Overigens geldt dit niet voor DigiD, daar is Diginotar ‘slechts’ sub-root onder de Staat der Nederlanden.)

diginotar-certificaat-faal-auw.pngVertrouwen is dus het fundament waar de dienstverlening van een certificatiedienstverleners op stoelt. Immers, een echt certificaat is op geen enkele wijze te onderscheiden van een per abuis of met kwade trouw uitgegeven certificaat. De enige controle is de elektronische handtekening die erbij staat, maar die zegt niets over de inhoud. Het certificaat waar het allemaal mee begon, vermeldde de sites van Google (*.google.com) maar was in gebruik bij een partij die niet Google was. Dat is fataal voor de goede werking van een PKI.

“Gekwalificeerde” certificaten mag je alleen uitgeven als je geregistreerd bent bij de OPTA (wat Diginotar ook keurig is). Een gekwalificeerd certificaat is een certificaat dat uitgegeven is door een geregistreerde partij die zich netjes aan de regels houdt over betrouwbaarheid, en dat aan een persoon gekoppeld is.

Aan een dienstverlener die dergelijke certificaten uitgeeft, worden zware eisen gesteld door de wet en het daarbij behorende besluit. Zo moet je ETSI TS 101 456 naleven en houdt OPTA toezicht. En de wet (art. 6:196b BW) verklaart de dienstverlener aansprakelijk voor alle schade door onjuist uitgegeven certificaten, tenzij zij kan bewijzen dat zij niet onzorgvuldig heeft gehandeld, of als het certificaat ingetrokken was voordat de schade ontstond, of als het certificaat voor een niet in het certificaat vermeld doel werd aangemerkt.

Alleen: de SSL-certificaten waar het om gaat, zijn geen gekwalificeerde certificaten. Daarmee is die bijzonder strenge aansprakelijkheidsregel niet van toepassing. En dan wordt het lastig, want dan is Diginotar juridisch gezien gewoon een club die iets zegt met een digitale handtekening eronder, en tsja, afgaan op wat mensen zeggen is geen reden om ze aansprakelijk te stellen als ze het fout hadden. Anders heb ik nog wel een leuke claim tegen Astro-TV. Voor aansprakelijkheid is meer nodig: je moet een wettelijke norm geschonden hebben (die in direct verband staat met de schade) of je moet maatschappelijk onzorgvuldig hebben gehandeld, oftewel “dit staat niet in de wet maar vinden we toch dusdanig onfatsoenlijk dat je alsnog schade moet vergoeden”.

Bij die onzorgvuldigheidsnorm wegen altijd de exacte omstandigheden van het geval zwaar. Zo zal bijvoorbeeld meewegen wat de oorzaak van de hack is waarmee deze certificaten gegenereerd konden worden. Was men nalatig in het sleutelbeheer? Of was dit een buitengewoon geavanceerde zero-day hack (à la de RSA phish) die niemand had kunnen opmerken? Heeft Diginotar na het ontdekken van de hack alles gedaan om de gevolgen tegen te gaan, of heeft ze juist zitten treuzelen?

Als blijkt dat ze te weinig hebben gedaan, dan kunnen getroffen Gmailende Iraniërs ze aansprakelijk stellen voor hun schade – alleen zal die lastig aan te tonen zijn. Maar ook andere partijen die getroffen zijn door de onjuist uitgegeven certificaten kunnen dit proberen. Zo zou een webwinkel die zijn SSL-certificaat ongeldig ziet worden omdat Mozilla of Microsoft Diginotar niet meer erkent, omzet kunnen mislopen omdat mensen niet meer durven te bestellen door de foutmeldingen die ze dan krijgen. Gemiste omzet is natuurlijk wel lastig om te onderbouwen, maar zoals uit een zaak tussen TROS Radar en een hondenfokker bleek, kan een deskundige worden opgeroepen die de boeken onderzoekt en inschat wat de omzet of winst zou zijn geweest. In de Radar-zaak werd die op een half miljoen euro geschat.

Arnoud

“Uw vordering rammelt aan alle kanten”

rb-maastricht-fileren.pngEen genoegen om te lezen: een rechter die genoeg heeft van prutswerk van grote bedrijven die menen nog geld te krijgen van consumentklanten. Een lezer wees me op één uitspraak, en enig googelen gaf me nog meer uitspraken van deze Maastrichtse rechter Staal, die allemaal in niet mis te verstane bewoordingen bedrijven fileren die met prutsvorderingen komen.

Incasso bij vermeende wanbetalers leidt veelvuldig tot procedures bij de kantonrechter. Nu is dat op zich terecht, maar je moet als bedrijf wel onderbouwen waar die incasso op gebaseerd is. Zomaar een bedrag roepen en een stapel facturen overleggen kan natuurlijk niet. En het lijkt erop dat dat wel gebeurt, als ik deze vonnissen lees.

Wellicht is dit omdat het lopendebandwerk is voor deze bedrijven, maar juist bij lopendbandwerk mag je verwachten dat alle dossiers gewoon op orde zijn. Zó moeilijk is een checklist met bij te leveren materialen en samenvatting van gebeurtenissen toch niet?

Je mag je als professionele procespartij dan ook diep schamen als een vonnis zo opent:

Als de vordering van ED al niet had moeten stranden op een volstrekt ontoereikend exploot, kan in ieder geval na het voortgezette debat geconcludeerd worden dat ED niet naar behoren gereageerd heeft op het inhoudelijke verweer van [gedaagde] en evenmin de procesrechtelijke en inhoudelijke gebreken die aan het exploot kleefden in de repliek opgeheven heeft.

Of zo:

Hoewel de wijze van procederen van CAK-BZ alleszins een totale afwijzing van haar vordering zou rechtvaardigen wegens evidente schending van artikelen 21 en 111 Rv

De vorderingen worden integraal afgewezen, en terecht. Bij zulke procedures is het bedrijf de ervaren partij, die ook nog eens alle bewijzen heeft (zoals meterstanden of logfiles) om vast te stellen of er contractsbepalingen geschonden zijn. Deze partij behoort dan ook dat adequaat te onderbouwen en aan te geven waar de schending zit.

Nog eentje:

Door het ontbreken van essentieel te achten documenten is de inhoud van de overeenkomst tot energielevering door ED aan [gedaagde] niet komen vast te staan, terwijl ter zake ook geen bewijs aangeboden is.

In een Ziggo-zaak laat “Ziggo volledig in het midden” waar rente en incassokosten op gebaseerd zijn:

De loutere stelling dat betrokkene ’tekort geschoten (is) in de nakoming van zijn verplichtingen”, is niet toereikend om tot ontbinding over te gaan (zoals Ziggo wel lijkt te veronderstellen), maar stellig ook niet om daarop een recht op rente en op vergoeding van kosten te baseren. Het vagelijk aanduiden van “vervaldata van de facturen” en ‘sommaties” evenmin, omdat daaraan noch concrete data als moment van intreden van verzuim verbonden zijn (het woord “verzuim komt in het hele exploot zelfs niet voor), noch de verbinding gelegd is met de verzuimgrond in concreto (per factuur of voor een reeks facturen).

Ook UPC krijgt ervan langs:

De vordering van UPC rammelt aan alle kanten, nog daargelaten het gedateerde karakter [uit 2006, AE] van de zaak dat op zijn minst enige uitleg van de kant van UPC gerechtvaardigd zou hebben.

De grootste rammel zit al meteen aan het begin: er is geen contract of schriftelijke afspraak in het geding gebracht. Tijdens de zitting switchte UPC ook nog eens van uitleg. De rechter ziet zich dan ook geconfronteerd met een niet-onderbouwde stapel facturen en oordeelt dat UPC daarmee echt onvoldoende heeft aangeleverd.

Update (25 maart 2012) nog eentje om het af te leren:

Het gevorderde ontbeert door niet-naleving van de op Ziggo rustende gemotiveerde stelplicht een toereikende feitelijke grondslag. Bewijsmogelijkheden heeft Ziggo bovendien tegenover de gemotiveerde tegenspraak van [gedaagde] niet genoemd en een bewijsaanbod is niet gedaan, zelfs niet in globale gedaante. Een herkansing bij repliek komt Ziggo niet toe. Zeker nu zij zich zelf als”repeatplayer” bij voorkeur aan een comparitie van partijen wenst te onttrekken, mogen hoge eisen gesteld worden aan de inhoudelijke kwaliteit van haar processtukken. Bij een zo evidente schending van procesregels door Ziggo zou [gedaagde] een feitelijke procesronde ontnomen worden als Ziggo zonder enige consequentie het werk mag (over)doen dat zij voorafgaand aan dagvaarding had moeten verrichten en in de inhoud van het exploot tot uitdrukking had moeten brengen.

Ik word vrolijk van zo’n lijst vonnissen, maar die vrolijkheid wordt al snel weer getemperd door het besef dat die bedrijven hier echt niet anders van gaan werken. In vrijwel alle gevallen leiden de uitspraken namelijk tot slechts afwijzing van de vordering (die allang afgeboekt is) of schadevergoeding van 100 à 200 euro (dikke boehoe). Daar schrikt een groot bedrijf als UPC of Ziggo echt niet van.

Een hogere prikkel is dan ook nodig, maar afgezien van een boete van de Consumentenautoriteit zie ik die zo niet. En ik vermoed dat de CA niet op korte termijn toekomt aan incassogedrag van bedrijven.

Arnoud

Het foutgetypte concurrentiebeding

fence-hek-bord-afscheiding-blokkade-concurrentie-beding-verbod.jpgWie in de IT werkt, heeft er eentje in zijn contract: een concurrentiebeding. Daarmee kan een werkgever verhinderen dat je bij een concurrent aan de slag gaat. Op zich zijn concurrentiebedingen rechtsgeldig, maar de rechter stelt wel grenzen aan wat er mag. Zo kan je niet worden verboden om jarenlang niet in dezelfde branche te werken. Omdat een concurrentiebeding sterk in het nadeel van de werknemer is, worden fouten en onduidelijkheden dan juist weer in het voordeel van die werknemer uitgelegd. Maar dat is niet altijd zo, zo blijkt uit een recent arrest over een rare verschrijving in een concurrentiebeding.

In deze zaak gingen werkgever en werknemer op basis van een vaststellingsovereenkomst uit elkaar. Daarin was een concurrentiebeding opgenomen, met een uitzondering voor de werknemer. Hij mocht niet gaan werken bij concurrenten, maar wél bij Fietsnet (een internetfietsenwinkel). Alleen, de ex-werknemer was gaan werken bij Netfiets (een rijwielgroothandel) en werd aangesproken op de schending van het concurrentiebeding. Daartegen kwam de werknemer in het geweer: dit was een typfout geweest, er was duidelijk Netfiets bedoeld al die tijd dus een schending kon dit niet zijn.

Nu is het in Nederland zo dat een contract niet alleen maar wordt bepaald door wat er letterlijk staat. De wederzijdse bedoelingen en achterliggende gedachte van het contract wegen zeker mee bij de uitleg van het contract. Juristen noemen dit Haviltexen, naar het Haviltex-arrest dat als eerste bepaalde dat het bij contractsuitleg aankomt op

[wat partijen] in de gegeven omstandigheden over en weer redelijkerwijs aan deze bepalingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten

Een typfout of onduidelijke omschrijving kan dus via de Haviltex-route alsnog gecorrigeerd of verduidelijkt worden. Als duidelijk is wat werd bedoeld (bv. op basis van de gebruikelijke betekenis van een term of hoe men eerder in de onderhandelingen de achtergrond had geschetst), dan beïnvloedt dat wat er staat.

Het Gerechtshof stelt voorop dat een schriftelijk onderhandeld en ondertekend beding dat op zichzelf genomen duidelijk is, in principe dwingend bewijs oplevert. Het is mogelijk om aan te tonen dat hier sprake is van een fout, maar dan zul je wel een héél goed verhaal moeten hebben. Het Gerechtshof gelooft daar niet echt in:

[De ex-werknemer heeft] zich tijdens de onderhandelingen over de beëindiging van het dienstverband laten bijstaan door een advocaat en deze advocaat in zijn (…) brief van 17 juni 2009 aan de advocaat van Odice (voorafgaand aan het moment waarop partijen de vaststellingsovereenkomst hebben getekend) tot twee keer toe uitdrukkelijk spreekt over Fietsnet.nl, als de op het concurrentieverbod geldende uitzondering, waar [de ex-werknemer] voornemens is te gaan werken.

Als je zó uitdrukkelijk die naam hebt gehanteerd, dan lijkt het me inderdaad nauwelijks nog verdedigbaar dat je eigenlijk een anderen naam had bedoeld. Dat het dan toch een fout is geweest, moet dan voor je eigen rekening komen.

Of beter gezegd: voor die van de advocaat, want dit lijkt me toch wel een erg domme fout voor een professional.

Arnoud

Frans Hof verklaart “trois strikes et vous etes out!” ongrondwettig

Half mei kwamen de eigenwijze Fransen met hun three strikes et vous etes out-concept, vlak nadat het Europees Parlement had aangegeven daar niets voor te voelen. En nu al is dit systeem weer ongeldig verklaard: het Grondwettelijk Hof (Conseil Constitutionnel) acht deze regeling in strijd met de Franse Grondwet. (Bedankt, Dolf!)

Het Hof ziet twee grote problemen:

  • De wet bepaalt dat de abonnee geacht wordt de schuldige te zijn, tenzij deze kan bewijzen dat een ander de verbinding gebruikte om auteursrechten te schenden. Dat is in strijd met het rechtsbeginsel dat je onschuldig bent tot de staat je schuld bewijst.
  • De wet wijst het Hadopi aan als bevoegde instantie om de sanctie van een jaar lang afsluiting op te leggen. Dat mag niet; alleen een onafhankelijke rechter mag strafrechtelijke sancties opleggen.

Een goede zaak, wat mij betreft. Afsluiten van internet is een volstrekt onaanvaardbare sanctie, zeker voor iets als auteursrechteninbreuk. Internettoegang is fundamenteel voor de westerse maatschappij, zo bepaalde de Raad van Europa enige tijd geleden.

Gelukkig lijken we in Nederland verstandiger. Hoewel? De laatste zin van Van Heemskerk over dit onderwerp zegt: ” In het bijzonder zal duidelijk moeten worden in welke gevallen men wel en in welke gevallen men geen rechterlijke tussenkomst wil voorschrijven.” In alle respectievelijk geen, zou ik zeggen.

Het heeft me overigens altijd verbaasd dat de Fransen iets wilden invoeren dat zo’n overduidelijk Anglicisme is.

Arnoud

Haal hyperlinks weg met het misbaksel dat ex parte beschikking heet

geenstijl-ex-parte.pngIk begin een steeds grotere hekel aan het misbaksel van de “ex parte beschikking” te krijgen. Het Algemeen Dagblad wist met deze bijzondere maatregelen shockblog GeenStijl te dwingen om een screenshot van enkele cijfers en een hyperlink naar een kopie van de jaarlijkse Misdaadmeter van de krant weg te halen. Deze waren te vroeg al online in te zien – het AD had ze pas vandaag willen publiceren maar deed iets doms waardoor anderen er al bij konden.

Normaal zet GS alles online waarmee men bedreigd of lastiggevallen wordt, maar net deze beschikking blijft offline. Jammer, want zo blijft het voor iedereen speculeren wat nu precies de achtergrond was. Maar gezien de inhoud van die Misdaadmeter moet het wel het databankenrecht zijn, nog zo’n gewéldig geslaagd juridisch instrument. Een beschermde databank geheel of gedeeltelijk overnemen mag niet zomaar. Maar wat heeft GeenStijl nu eigenlijk gedaan? Een screenshot gemaakt en een link naar een bron elders neergezet.

Bij Webwereld citeert men Solv-advocaat Menno Weij over het screenshot met

Dat is een klinkklare inbreuk van het databankenrecht. Of je het nou overtypt of er een foto van maakt, in beide gevallen hang je, want je maakt inbreuk op andermans database.

Ook Menno’s collega Douwe Linders ziet weinig kans voor GeenStijl, zelfs als ze deze beschikking aan zouden vechten. Solv is overigens het kantoor dat destijds hetzelfde middel inzette tegen 925.nl, en het verbaast me hogelijk dat Webwereld dat niet meldt.

Daar denk ik toch echt anders over. Het gaat hier om een zeer beperkt gedeelte van de databank, en dat mag gewoon. Pas wanneer je dit “herhaald en systematisch” doet, en je ook nog eens “ongerechtvaardigde schade toebrengt aan de rechtmatige belangen” van de producent, ligt dat anders. Eénmalige publicatie van een screenshot is herhaald noch systematisch.

Ok, het AD heeft er schade door (want ze is haar primeur kwijt) maar is dat ongerechtvaardigd? Nee. Het AD zat zelf fout door haar systemen niet goed af te stellen. En bovendien kan GeenStijl zich als persmedium beroepen op artikel 10 EVRM (informatievrijheid/vrije meningsuiting) op grond waarvan ze mag citeren uit bronnen in het kader van verslaggeving over actuele zaken. Dat is dan de rechtvaardiging waar de Databankenwet het over heeft.

En dan die link. Linken is geen openbaarmaking in het kader van het auteursrecht, en dus ook geen herpublicatie van de databank in de zin van de databankenwet. Zou het AD werkelijk hebben betoogd van wel? Sjonge, hoe kun je dat opschrijven als advocaat. (Iets waar Weij het bij Webwereld gelukkig met me eens lijkt te zijn.)

Daarnaast lijkt het me zeer sterk dat er überhaupt een databankrecht op deze Misdaadmeter zit. Deze is immers afgeleid uit openbare bronnen. Ik geloof er niets van dat het AD kan aantonen dat ze de vereiste substantiële investering hebben gedaan om het databankrecht te kunnen claimen.

Alles bij elkaar een zeer slechte zaak voor de persvrijheid. Ik hoop dat GS een advocaat inhuurt die een schadevergoeding weet los te peuteren van het AD voor deze evident onrechtmatige beschikking.

Arnoud<br/> (Op de foto de gewraakte ex parte beschikking, ziet u ook eens hoe zo’n ding eruit ziet; bron GeenStijl)