Servers van iot-maker Insteon zijn zonder aankondiging offline gehaald, mag dat?

khaase / Pixabay

Smarthomeaanbieder Insteon heeft zijn servers offline gehaald, meldde Tweakers onlangs. Het bedrijf heeft dat niet aan klanten laten weten en medewerkers van het bedrijf lijken al hun online aanwezigheid te hebben verwijderd. Vervelend: zit je dan met je slimme huis, maar omdat alle communicatie via Insteon-servers moet gaan, kun je vrijwel niets meer. Gelukkig wordt het mooi weer de komende tijd.

Oké, dat laatste viel mee: je kunt lokaal (dus in huis zelf) alles nog wel bedienen, maar als je vanaf je werk de gordijnen wilt opendoen of de afwas alvast aanzetten, dan gaat dat niet. Maar nog steeds best vervelend dus.

Het is geen technisch probleem, maar een finance issue aldus de site:

In 2019, the onset of the global pandemic brought unforeseen disruption to the market, but the company continued to move forward. … [A] sale was expected to be realized in the March timeframe. Unfortunately, that sale did not materialize. Consequently, the company was assigned to a financial services firm in March to optimize the assets of the company.
In gewoon Nederlands, ja sorry we zijn failliet. En ja, dan houdt het wel een beetje op met je dienstverlening natuurlijk. Want SaaS en clouds, dat is juridisch gewoon dienstverlening met een stekker, en die kan er gewoon uit als er niet meer wordt betaald, als de dienstverlening stopt of als het bedrijf dat doet.

Zeker bij dat laatste is er natuurlijk geen juridisch redmiddel, het bedrijf zal verdwijnen en daarmee ook alle assets waarmee de dienst geleverd zou worden. Maar ook als men zou besluiten om een afgeslankte doorstart te maken, of gewoon deze dienst eruit te gooien om de boel gezond te krijgen, dan houdt het gewoon op. Dit is een gevolg van de gebrekkige regeling in de wet (niet alleen hier, maar ook in de VS) als het gaat om ict-dienstverlening: de regels zijn dezelfde als voor zeg schoonmakers of minstrelen, als ze geen zin meer hebben dan mogen ze stoppen, en jij moet maar een ander zoeken.

Arnoud

 

 

 

Nog even terugkomen op die zorgplicht voor ICT-dienstverleners

Recent blogde ik over dat roemruchte vonnis waarin een ICT-bedrijfje opdraaide voor de kosten van een datagijzeling, op grond van zijn zorgplicht als dienstverlener. Dat gaf de nodige heisa, wat ik al overdreven vond, maar nu vond ik recent nog een arrest van het Hof Amsterdam dat juist ómgekeerd naar de zorgplicht keek. Dus ik kom er nog even op terug: wat je afspreekt is superbelangrijk, net als de communicatie in het vervolgtraject. Oftewel, let op wat je zegt en dan gaat het gewoon goed.

Waarom het Amsterdamse vonnis uit 2018 anno 2020 alsnog werd gepubliceerd, is mij een raadsel, maar het sloeg in als een bom. Een administratiekantoor kon haar ict-dienstverlener aansprakelijk stellen voor de gevolgen van een ransomware-aanval, omdat deze zijn zorgplicht had geschonden door geen backups te maken of sterke wachtwoorden in te regelen. Dat de klant weigerde de aangeboden backupoplossingen in te zetten en sterke wachtwoorden maar stom vond, dat deed niet ter zake.

In de zaak uit 2020 betrof het een strafrechtadvocate die haar praktijk verhuisde. Zij wilde haar ict-diensten meenemen en ook thuis kunnen werken. Na de verhuizing stelt de advocate dat de overeengekomen werkzaamheden niet naar behoren zijn uitgevoerd omdat de dienstverlener de verhuizing niet (tijdig) heeft voorbereid als gevolg waarvan pas op de verhuisdag bleek dat de bestaande apparatuur ontoereikend was en het internet te traag en dat toen ad hoc maatregelen genomen moesten worden. Zo werd data snel in een cloudlocatie geplaatst om maar verder te kunnen werken. De juiste apparatuur bleek niet te zijn geselecteerd en de voorbereiding was te laat begonnen.

Een en ander verliep dus nogal rommelig, en de advocate stelde daarop dat de dienstverlener in zijn zorgplicht te kort geschoten was. Dat ziet het Hof anders. Eerst moet men kijken wat precies de overeenkomst was, en pas dan kan worden bepaald waar de zorgplicht op toezag. Een belangrijke factor daarbij was dat de werkzaamheden van deze leverancier eerder incidenteel waren dan permanent ontzorgen, en dat de instructies van de advocate kort maar duidelijk waren. Er was dan ook geen aanleiding tot nader onderzoek. Dat dingen dan later tegen blijken te vallen, is geen schending van de zorgplicht.

Specifiek over backups is het Hof ook snel klaar: uit geen van de stukken blijkt dat overeengekomen is dat de dienstverlener backups zou maken, dus daar is hij ook niet in tekort geschoten.

Hoe deze uitspraken nu met elkaar te verenigen? De meest logische verklaring is dat in de eerste zaak de dienstverlener zich had gepresenteerd als totaaloplosser, terwijl in de tweede zaak de dienstverlener veel ‘lager’ ingestoken had met de dienstverlener. Af en toe hand- en spandiensten leveren tegen betaling is heel wat anders dan op abonnementsbasis iemand permanent ontzorgen. Wie dat laatste toezegt, krijgt een veel hogere zorgplicht op zich gelegd. Dat is ook logisch want de belofte is veel hoger, men mag op meer rekenen.

Ook van groot belang blijkt hoe uitgebreid men opdrachten vastlegt. In de eerste zaak blijkt er weinig tot niets vastgelegd te zijn over te verrichten werk, dat is wel iets dat de dienstverlener kan worden aangerekend. En ook wanneer risico’s langskomen, moet men daarover discussiëren tot consensus is bereikt over hoe verder. Dus wat je niet afbakent, kan zomaar als deel van de opdracht gezien worden.

De belangrijkste les voor mij blijft dan ook: zorg dat je blijft communiceren met je klant en dat je daarin de risico’s ook écht duidelijk maakt. In taal die de klant snapt, met waarschuwingen die er niet om liegen en blijf aandringen op een bevestiging van de vorm “ik snap de risico’s en ik wil het tóch zo”. Dat doe je in de conversatie, niet verstopt in je voorwaarden en niet met een bulletpoint in je offerte. En die conversatie die log je en je komt erop terug als de situatie rijp lijkt voor verbetering. Dat is hoe een goed IT-er zorgt voor zijn klanten.

Arnoud

 

Hoe moeten wij omgaan als ICT-bedrijf met AVG-schendende opdrachten van klanten?

Een lezer vroeg me:

Wij staan als ICT leverancier vaak tussen de werkgever (onze klant) en hun werknemers in. Als bijvoorbeeld een werkgever toegang tot meerdere inboxen wil van werknemers, dan doen wij dit niet zomaar. We krijgen dan een beetje een adviserende rol. Maar tot hoever gaan we? Is het genoeg om een klant schriftelijk te adviseren eerst toestemming te vragen of een acceptable use policy op te stellen?

De beste manier om hiermee om te gaan, is voor jezelf duidelijke regels te maken: hoe willen jullie werken, waar voel je je nog prettig bij en wanneer wordt het echt onacceptabel voor jullie als dienstverlener? Bedrijfsculturen kunnen verschillen natuurlijk, en soms is er gewoon een noodzaak om bij berichten te kunnen.

Dat protocol maak je onderdeel van de opdrachten met de klant, bijvoorbeeld als bijlage bij de SLA of als annex aan je verwerkersovereenkomst. (Je hébt toch een verwerkersovereenkomst met al je klanten? Dat ben je verplicht sinds de AVG gezien het soort dienstverlening.)

Vervolgens zeg je, wij hebben een zorgplicht en afspraken in het protocol en daar werken we onder. Je doet wat er is afgesproken, maar afspraken mogen niet tegen de AVG zijn. De AVG zegt, heb je gerede twijfel dan leg je het werk neer totdat het is opgehelderd. En “volgens ons is het legaal, doe het!!1!” is daarbij niet genoeg, er moet een inhoudelijke argumentatie komen.

Dat protocol mededelen doe je aan de klant, de werkgever in dit geval dus. Die heeft vervolgens de taak om het aan zijn personeel uit te leggen. Jullie hoeven dus niet de werknemers van de klant uit te leggen wat jullie precies wel of niet doen en waarom. En je hoeft al helemaal niet de werknemers akkoord te laten gaan met jullie privacy policies, acceptable use policies en ga zo maar door. Je sluit contracten met je klanten, niet met hun personeel.

Arnoud