Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Wanneer is een bericht per contactformulier aangekomen?

mail-to-cc-bccEen lezer vroeg me:

Op 20 juni stuurde ik een opzegbericht via het contactformulier bij een betaalwebsite. Pas drie dagen later kreeg ik een reactie, waarbij ze meteen meldden dat ik te laat was. Maar 20 juni was de laatste dag, dus ik was wél op tijd. Ik kan met een screenshot bewijzen dat ik het formulier heb ingevuld en dat de site daarop meldde dat het bericht is ontvangen. Is dat genoeg bewijslast?

De wet zegt dat wie een bericht verstuurt, moet bewijzen dat het aangekomen is bij de beoogde ontvanger. Bewijzen dat het verzonden is, is daarbij niet genoeg. Zelfs niet bij aangetekende post.

Bij e-mail is bewijs van ontvangst best ingewikkeld. Ik ken eigenlijk maar één manier en dat is dat de ontvanger terugmailt dat hij het heeft gehad. Ja, of je moet met portalen gaan werken waar een derde logt of en zo ja hoe laat het bericht is ingezien door de ontvanger.

Bij een contactformulier is de regel hetzelfde. Maar het bewijs is volgens mij iets makkelijker: vrijwel elk formulier zegt na insturen iets van “Dank u, uw bericht is ontvangen en wij reageren binnen X werkdagen”. Daaruit mag je concluderen dat het bericht ook echt binnengenkomen is. Natuurlijk gaat het bericht vervolgens per mail naar de persoon die er wat mee moet, en die mail kan net zo hard kwijtraken als jouw mail naar info@, maar dat doet er dan niet meer toe. Vanaf ontvangst door het bedrijf is alle vervolgdoorzending hun risico.

Lastig is dan weer wel bewijzen wát er is ontvangen. Want (grote ergernis) je kunt zelden tot nooit vragen om een kopietje naar je eigen mailbox, en “Uw bericht zoals ontvangen staat hieronder” zie je ook vrijwel nooit. Je kunt dan eigenlijk alleen screenshotten (of een filmpje maken) wat je invult en wat het bevestigingsscherm was, en dan moet je maar hopen dat de wederpartij niet gaat roepen dat je die vervalst hebt. Oh, en het filmpje ergens online neerzetten zodat er een onafhankelijke datering is van de inhoud.

Dat gezegd hebbende vind ik het altijd wel heel verstandig om bij zo’n late opzegging er zelf extra bovenop te gaan zitten. Even namailen, drie keer dat formulier insturen of bellen. Want het gedoe om het achteraf recht te trekken is altijd meer dan het gedoe van dat ene telefoontje.

(Terzijde: bewijslast gaat over wie bewijs moet leveren, niet de hoeveelheid bewijs die nodig is.)

Arnoud

Mag ik mijn werk automatiseren?

Een lezer vroeg me:

Voor mijn werk moet ik allerlei vragenlijsten invullen die we alleen op papier hebben. Met deze lijsten doorlopen we de workflow, zodat ik weet welke acties ik moet nemen en wat waar geadministreerd moet worden. Nu heb ik als hobby programmeren, dus ik ben op een zaterdagmiddag er eens voor gaan zitten en een applicatie gebouwd die me helpt de lijsten te doorlopen. Nu vroeg ik me af, kan ik deze applicatie nu gaan verkopen aan andere bedrijven in onze branche? Er is vast markt voor, want iedereen werkt met die papieren vragenlijsten.

Ok, dat was niet één specifieke lezer maar diverse: ik krijg zo ongeveer elke drie maanden een vraag van deze aard. Vandaar het gebrek aan specificiteit in wat de vragenlijsten doen en welke acties men onderneemt.

De eerste kwestie waar je tegenaan loopt, is of je wel het auteursrecht kunt claimen op deze software. Wat je maakt in het kader van je dienstverband is volgens de Auteurswet het eigendom van je werkgever. Daarbij maakt het niet uit of je onder werktijd werkt of in het weekend, of dat je een eigen PC gebruikt in plaats van de bedrijfslaptop.

De discussie zal hier dus alleen gaan over de vraag of het deel van je werk was om die applicatie te bouwen. Daarbij geldt als toets: had je werkgever je kunnen verplichten dit te doen? Of zou dat zó ver van je normale werk afliggen dat je dat redelijkerwijs had mogen weigeren? De functie van de werknemer lijkt me daarbij zeer belangrijk.

Een vrachtwagenchauffeur die zo de vrachtbrieven digitaal kan verwerken, kan denk ik zelf wel de rechten claimen. Een programmeur die de intake van nieuwe feature requests stroomlijnt met zo’n programma, zal geen eigen rechten kunnen claimen. Bij een administratief medewerker zit je in een grijs gebied: is verbeteren van de administratieve workflow niet deel van zijn werk?

Sommige vraagstellers hebben dit werk losgelaten op lijsten die van een derde zijn, bijvoorbeeld een leverancier of uitgever. In dat geval kan de applicatie tegen auteursrechten van die derde aanlopen. Daarbij zal het afhangen van wát je gebruikt: alleen de feiten die de leverancier ook gebruikt, of ook de systematiek of opbouw van het formulier? In het laatste geval kan de leverancier namelijk een auteursrecht claimen op die opbouw. Immers, het idee van “als het antwoord JA is, ga naar 5, ga anders naar 4” is een creatieve invulling. Die opbouw mag je dus niet overnemen.

Arnoud

Executiegeschil over al of niet gemaild domeinnaamverhuisformulier

Executiegeschillen. Het klinkt pijnlijker dan het is, hoewel je er als rechter liever niet te veel mee te maken krijgt. Dit zijn geschillen over de tenuitvoerligging of executie van een eerder vonnis. Oftewel: doet hij wel op tijd wat hij moest, en zo niet heb ik dan recht op dwangsommen? Afhankelijk van hoe het vonnis is geformuleerd en hoe hard Murphy toesloeg bij de uitvoering, kan dat tot heel complexe situaties leiden. Maar soms doen partijen zelf ook nodeloos moeilijk, zoals ik tussen de regels opmaak in dit vonnis over de overdracht van een domeinnaam.

In de eerdere zaak (zo te zien niet gepubliceerd – grom) was de eigenaar van een domeinnaam veroordeeld om de domeinnaam naar de andere partij over te dragen. Of, beter gezegd: “binnen 24 uur na betekening van dit arrest al datgene te doen wat nodig is om [nieuwe eigenaar] bij SIDN als enige rechthebbende geregistreerd te laten zijn”. Het arrest was van 9 maart, en op 10 maart stuurde de domeinnaamhouder een mail naar de andere partij met het door hem ingevulde SIDN-formulier voor de houderwijziging. Even tekenen en dan kon dat door naar SIDN. Alleen: daar kwam geen reactie op. Op 16 maart werd nagebeld, en de mail bleek niet te zijn aangekomen.

Vervolgens ontstond er enige discussie over of dat formulier nog wel gebruikt kon worden, want er stond immers 10 maart onder de handtekening en dat zou 16 maart moeten zijn. (“Antedateren” schijnt iets heel stouts te zijn maar in deze context zie ik het probleem niet – en de rechter ook niet trouwens: “Voor zover [nieuwe eigenaar] vreesde zich schuldig te maken aan antedatering, had zij dit immers eenvoudig kunnen oplossen door op het formulier bij haar ondertekening de datum 16 maart 2010 te noteren.”)

Uiteindelijk loste de domeinnaamhouder het zelf op met een ’truc’: hij deed zich zich via een derde-provider voor als de verkrijger van de domeinnaam en autoriseerde zo de overdracht. Niet netjes maar de domeinnaam was nu wel over. Opgelost dus, zou je zeggen. Maar dit is een executiegeschil, en dus ging de andere partij moeilijk doen: dit duurde allemaal te lang dus graag de dwangsommen uitgekeerd.

Daarbij krijgen beide partijen ongelijk. Allereerst oordeelt de rechter dat de domeinnaamhouder genoeg gedaan heeft door dat formulier in te vullen en op te sturen. Andere manieren, met name die truc, kunnen dan niet geëist worden:

Gegeven het feit dat SIDN een speciaal formulier hanteert voor het doorgeven van een wijziging in de domeinnaamhouder, lag het immers zozeer voor de hand de overdracht langs die weg te bewerkstelligen dat van [de domeinnaamhouder] redelijkerwijs niet kon worden verlangd dat hij (daarnaast ook) andere wegen zou bewandelen.

Vervolgens gaat de domeinnaamhouder toch nog onderuit, want op 10 maart mailen en pas op 16 maart nabellen was in deze context veel te traag. Hij was verplicht “alles” te doen om te zorgen dat die domeinnaam over ging, en daaronder valt dan ook dat je er bovenop zit en reageert als er niet meteen een reactie komt:

Onder die omstandigheden kon [domeinnaamhouder] er niet mee volstaan het formulier per e-mail aan [nieuwe eigenaar] toe te sturen zonder rekening te houden met de mogelijkheid dat het bericht door wat voor oorzaak ook niet was aangekomen of in het ongerede was geraakt. [domeinnaamhouder] had zich tijdig ervan moeten vergewissen dat het formulier in goede orde door [nieuwe eigenaar] was ontvangen en van de inhoud kennis was genomen. Nu hij dit heeft nagelaten en [nieuwe eigenaar] stelt dat zij het mailbericht van 10 maart 2010 niet heeft ontvangen en het SIDN formulier pas op 16 maart 2010 in haar bezit heeft gekregen, kan niet worden gezegd dat [domeinnaamhouder] reeds op 10 maart 2010 aan de veroordeling van het gerechtshof ” om al datgene te doen wat nodig is ” heeft voldaan.

De domeinnaamhouder mocht dan ook 12.000 euro aan dwangsommen overmaken. En ja, dat is een consequentie van mail gebruiken: als de wederpartij zegt niks gehad te hebben, heb je een levensgroot bewijsprobleem.

Overigens perfect getimed: op 10 maart meldde de SIDN de formulieren afgeschaft te hebben.

Arnoud