Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Wanneer is een bericht per contactformulier aangekomen?

| AE 8732 | Privacy | 21 reacties

mail-to-cc-bccEen lezer vroeg me:

Op 20 juni stuurde ik een opzegbericht via het contactformulier bij een betaalwebsite. Pas drie dagen later kreeg ik een reactie, waarbij ze meteen meldden dat ik te laat was. Maar 20 juni was de laatste dag, dus ik was wél op tijd. Ik kan met een screenshot bewijzen dat ik het formulier heb ingevuld en dat de site daarop meldde dat het bericht is ontvangen. Is dat genoeg bewijslast?

De wet zegt dat wie een bericht verstuurt, moet bewijzen dat het aangekomen is bij de beoogde ontvanger. Bewijzen dat het verzonden is, is daarbij niet genoeg. Zelfs niet bij aangetekende post.

Bij e-mail is bewijs van ontvangst best ingewikkeld. Ik ken eigenlijk maar één manier en dat is dat de ontvanger terugmailt dat hij het heeft gehad. Ja, of je moet met portalen gaan werken waar een derde logt of en zo ja hoe laat het bericht is ingezien door de ontvanger.

Bij een contactformulier is de regel hetzelfde. Maar het bewijs is volgens mij iets makkelijker: vrijwel elk formulier zegt na insturen iets van “Dank u, uw bericht is ontvangen en wij reageren binnen X werkdagen”. Daaruit mag je concluderen dat het bericht ook echt binnengenkomen is. Natuurlijk gaat het bericht vervolgens per mail naar de persoon die er wat mee moet, en die mail kan net zo hard kwijtraken als jouw mail naar info@, maar dat doet er dan niet meer toe. Vanaf ontvangst door het bedrijf is alle vervolgdoorzending hun risico.

Lastig is dan weer wel bewijzen wát er is ontvangen. Want (grote ergernis) je kunt zelden tot nooit vragen om een kopietje naar je eigen mailbox, en “Uw bericht zoals ontvangen staat hieronder” zie je ook vrijwel nooit. Je kunt dan eigenlijk alleen screenshotten (of een filmpje maken) wat je invult en wat het bevestigingsscherm was, en dan moet je maar hopen dat de wederpartij niet gaat roepen dat je die vervalst hebt. Oh, en het filmpje ergens online neerzetten zodat er een onafhankelijke datering is van de inhoud.

Dat gezegd hebbende vind ik het altijd wel heel verstandig om bij zo’n late opzegging er zelf extra bovenop te gaan zitten. Even namailen, drie keer dat formulier insturen of bellen. Want het gedoe om het achteraf recht te trekken is altijd meer dan het gedoe van dat ene telefoontje.

(Terzijde: bewijslast gaat over wie bewijs moet leveren, niet de hoeveelheid bewijs die nodig is.)

Arnoud

Mag ik mijn werk automatiseren?

| AE 2677 | Intellectuele rechten, Ondernemingsvrijheid | 50 reacties

Een lezer vroeg me:

Voor mijn werk moet ik allerlei vragenlijsten invullen die we alleen op papier hebben. Met deze lijsten doorlopen we de workflow, zodat ik weet welke acties ik moet nemen en wat waar geadministreerd moet worden. Nu heb ik als hobby programmeren, dus ik ben op een zaterdagmiddag er eens voor gaan zitten en een applicatie gebouwd die me helpt de lijsten te doorlopen. Nu vroeg ik me af, kan ik deze applicatie nu gaan verkopen aan andere bedrijven in onze branche? Er is vast markt voor, want iedereen werkt met die papieren vragenlijsten.

Ok, dat was niet één specifieke lezer maar diverse: ik krijg zo ongeveer elke drie maanden een vraag van deze aard. Vandaar het gebrek aan specificiteit in wat de vragenlijsten doen en welke acties men onderneemt.

De eerste kwestie waar je tegenaan loopt, is of je wel het auteursrecht kunt claimen op deze software. Wat je maakt in het kader van je dienstverband is volgens de Auteurswet het eigendom van je werkgever. Daarbij maakt het niet uit of je onder werktijd werkt of in het weekend, of dat je een eigen PC gebruikt in plaats van de bedrijfslaptop.

De discussie zal hier dus alleen gaan over de vraag of het deel van je werk was om die applicatie te bouwen. Daarbij geldt als toets: had je werkgever je kunnen verplichten dit te doen? Of zou dat zó ver van je normale werk afliggen dat je dat redelijkerwijs had mogen weigeren? De functie van de werknemer lijkt me daarbij zeer belangrijk.

Een vrachtwagenchauffeur die zo de vrachtbrieven digitaal kan verwerken, kan denk ik zelf wel de rechten claimen. Een programmeur die de intake van nieuwe feature requests stroomlijnt met zo’n programma, zal geen eigen rechten kunnen claimen. Bij een administratief medewerker zit je in een grijs gebied: is verbeteren van de administratieve workflow niet deel van zijn werk?

Sommige vraagstellers hebben dit werk losgelaten op lijsten die van een derde zijn, bijvoorbeeld een leverancier of uitgever. In dat geval kan de applicatie tegen auteursrechten van die derde aanlopen. Daarbij zal het afhangen van wát je gebruikt: alleen de feiten die de leverancier ook gebruikt, of ook de systematiek of opbouw van het formulier? In het laatste geval kan de leverancier namelijk een auteursrecht claimen op die opbouw. Immers, het idee van “als het antwoord JA is, ga naar 5, ga anders naar 4” is een creatieve invulling. Die opbouw mag je dus niet overnemen.

Arnoud

Executiegeschil over al of niet gemaild domeinnaamverhuisformulier

| AE 2155 | Intellectuele rechten | 18 reacties

Executiegeschillen. Het klinkt pijnlijker dan het is, hoewel je er als rechter liever niet te veel mee te maken krijgt. Dit zijn geschillen over de tenuitvoerligging of executie van een eerder vonnis. Oftewel: doet hij wel op tijd wat hij moest, en zo niet heb ik dan recht op dwangsommen? Afhankelijk van hoe het vonnis… Lees verder