Wanneer mag ik websites van wanbetalers weggooien?

| AE 9182 | Contracten, Domeinnamen | 17 reacties

Een lezer vroeg me:

Wij zijn een hostingbedrijf en beginnen steeds verder te groeien. Nu lopen we af en toe tegen de situatie aan dat klanten niet meer reageren bij een verlenging en dus ook geen factuur betalen. Wij houden de boel dan netjes in de lucht, maar dat wordt steeds meer gedoe, zeker als er ook domeinnamen bij betrokken zijn. Wanneer mogen wij deze data en/of domeinnamen offline halen? En mogen ze worden gewist/opgeheven?

Wettelijk sta je als hoster in je recht als je na beëindiging contract (ook bij wanprestatie/wanbetaling) de data meteen wist. Natuurlijk moet je wel eerst het contract opzeggen (ontbinden) wegens de wanbetaling. In de praktijk moet er dus minstens een aanmaning de deur uit zijn gegaan (op papier) en moet de daarin genoemde termijn zijn verstreken.

Data bewaren na zo’n opzegging is erg netjes, maar je bent er dus niet toe verplicht. Doe je het wel, dan sta je in je recht als je een vergoeding vraagt voordat de klant die data krijgt. Ik zou wel aanraden de procedure daarover in de algemene voorwaarden op te nemen.

De domeinnaam nog een jaar aanhouden lijkt me een ander verhaal. Daar zitten voor de ondernemer kosten aan en dat kan oplopen als je groeit. Op zich kan het wel (met een vergelijkbare procedure in de algemene voorwaarden) maar het lijkt me hier net zo prima om deze gewoon te laten verlopen. De domeinnaam komt dan in quarantaine, waar de klant deze tegen een meerprijs uit kan halen. Dat is de geaccepteerde gang van zaken, en mensen moeten hem dan maar daaruit halen als ze zich bedenken en/of alsnog geld vinden.

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Beveiliging | 37 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel kleine ondernemers als klant die hier écht steken laten vallen en ik wil ze tegen zichzelf beschermen.

Ik denk dat dit in principe wel kan. Je kunt in je algemene voorwaarden opnemen dat je verlangt dat klanten hun websites en software goed beveiligen, en dat jij maatregelen mag nemen, zoals SSL/TLS beveiligde verbindingen, om dat af te dwingen.

Dit is wel een tikje ongebruikelijk (helaas) dus je moet de klant daar wel expliciet over informeren. Ik zou zelf dat heel proactief willen zien: stuur ze een mail dat er wat mis is, vraag of ze dat binnen 14 dagen willen herstellen en anders doe jij het. Aangenomen dat dit geen nadelige effecten heeft voor de site, zie ik dan het probleem niet.

Maak je dingen wél stuk, dan komt dat op jouw bordje te liggen. En natuurlijk heb je als hoster in je algemene voorwaarden je aansprakelijkheid beperkt, maar bij dit soort handelen gaat dat niet zomaar op. Voor opzettelijk handelen ben je altijd volledig aansprakelijk, en dit neigt daar toch wel een tikje naar. Een hoster zou er dan ook voor kunnen kiezen om te zeggen, binnen 14 dagen herstellen en anders de site in een sandbox of op zwart. (Ja, de wet vindt het erger dat je iets half doet dan wanneer je iemand op zwart zet.)

Arnoud

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Beveiliging | 23 reacties

Een lezer vroeg me: Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn… Lees verder

“Komt u maar terug met een gerechtelijk bevel”

| AE 5253 | Aansprakelijkheid | 34 reacties

Het klinkt ontzettend stoer: “In verband met de privacy/vrije meningsuiting van onze klant/onze positie als neutrale tussenpersoon geven wij geen gehoor aan uw verzoek tot weghalen/afgifte NAW gegevens. U dient een gerechtelijk bevel te overleggen.” Maar juridisch houdbaar is het niet. Ook private partijen kunnen gegevens opeisen of dingen laten weghalen zonder dat een rechter… Lees verder

Wat mag een webhoster doen bij overlast door een klant?

| AE 2956 | Aansprakelijkheid | 21 reacties

Een lezer vroeg me: Als webhoster merk ik regelmatig dat sites van mijn klanten overlast veroorzaken. Mensen versturen (bedoeld of onbedoeld) spam, hun websites worden gehackt met spamscripts of Trojans die drive-by-downloads met malware inzetten. Of er staat ineens een proxy of IRC-botje op dat allerlei ongewenst verkeer veroorzaakt. Nu kan ik natuurlijk het account… Lees verder

Nieuw boek: Hosting: Deskundig en praktisch juridisch advies

| AE 2440 | Iusmentis | 3 reacties

In januari aangekondigd, nu verkrijgbaar: Hosting: Deskundig en praktisch juridisch advies van mijn adviesbureau ICTRecht. Op een praktische manier leggen we uit aan welke eisen een hoster moet voldoen en met welke wetgeving hij te maken krijgt. Bent u bijvoorbeeld aansprakelijk voor downtime, en tot welk bedrag? Kunt u verantwoordelijk worden gehouden als uw klanten… Lees verder

De juridische betekenis van minimumeisen van software

| AE 1926 | Contracten | 17 reacties

Een lezer vroeg me: Ik heb een virtuele server afgenomen en daarbij is CentOS geïnstalleerd. Alleen werkt het systeem bijzonder traag. Na enig onderzoeken kwam ik erachter dat CentOS minimaal 512MB geheugen vereist, terwijl het pakket dat ik had afgenomen maar 256MB geheugen heeft. Als klant zou je er toch vanuit moeten kunnen gaan dat… Lees verder