Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op een andere manier de laptop te kunnen resetten. In hoger beroep bevestigt het Gerechtshof Amsterdam dat het wachtwoord moet worden afgegeven plus een schadevergoeding. Een ICT-faal, zoals men zegt in de reacties?

De vrouw was een goed half jaar in dienst bij het kdv, en had voor haar werk onder meer een bedrijfslaptop gekregen. Bij einde dienstverband leverde ze deze weer in, maar vervolgens bleek dat het gebruikersaccount voorzien was van een wachtwoord. Daardoor kon het kdv er geen nieuw account op zetten.

Navraag bij de vrouw gaf de op zich terechte reactie:

De administrator kan simpelweg een nieuwe account voor (…) aanmaken. Het afgeven van het wachtwoord zou betekenen dat anderen kunnen werken op mijn account. Dit zou betekenen dat men allerlei (ongewenste) activiteiten zou kunnen uitvoeren op mijn account zonder mijn in- en toestemming. (…)

Het kdv beschouwde daarop de laptop als onbruikbaar en hield de kosten van een nieuwe(!) in op haar laatste loonbetaling. Mede daarom kwam het voor de rechter. In eerste instantie oordeelde de kantonrechter dat een nieuwe laptop een tikje overdreven was, maar dat er wel schade was en die werd geschat op 500 euro.

In hoger beroep wordt dat bevestigd, met name omdat er geen inhoudelijk verweer was gevoerd tegen het verzoek. Enkel zeggen dat een administrator dat zou moeten kunnen oplossen is namelijk niet genoeg. Zeker als daar aantoonbaar tegenover staat dat er veel uren zijn gestoken in het proberen te ontgrendelen van de laptop. En ja, dan ga je nat als werknemer.

Natuurlijk, met een goede ict-infrastructuur was dit geen issue: laptop terug, standaard image erop en klaar. Of het schaduwaccount oproepen dat administrator-rechten heeft, het gebruikersaccount met data wissen en een nieuwe gebruiker aanmaken voor de opvolger. Of een van de vele andere oplossingen die een professioneel bedrijf zou kunnen inzetten om laptops te hergebruiken.

Alleen: dit is geen professioneel bedrijf met ict-afdeling of zelfs maar een fulltime ict’er. We hebben het hier over een kinderdagverblijf, waar professionele kinderverzorgenden rondlopen maar de ict-beheerskennis geen kerncompetentie is (of hoeft te zijn). Dan wordt er in de praktijk dus op een andere manier gewerkt met de ict-middelen, en het is die praktijk vanuit waar de rechtbank moet kijken hoe het geschil moet worden opgelost.

Ik kan me heel goed voorstellen dat een organisatie zoals een kdv niet in staat is een account op een laptop te wissen en dan een nieuw account in te richten. Met name als die laptop in een winkel gekocht is en bij de installatie alleen de standaardprocedure is doorlopen waarbij er één account wordt aangemaakt. Dan heb je als ict-leek best wel weinig opties behalve vanuit dat account inloggen en een nieuw account aanmaken of anderszins de boel resetten.

In die situatie snap ik best dat er weinig anders opzit. Dus zelfs als mevrouw een steviger verweer had gevoerd, had ik deze uitkomst wel verwacht. Ik zie dus niets in de argumentatie dat de rechters ict-prutsers zijn – dat zijn ze tegenwoordig zelden meer. Het is vooral dat er een knoop moet worden doorgehakt, hoe lelijk die oplossing ook is. Dus dan is alle mooie theorie over hoe het ook had gekund niet meer relevant.

Arnoud

Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

| AE 10210 | Ondernemingsvrijheid, Security | 19 reacties

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De kwetsbaarheden zitten in de processorchips die het hart vormen van veel moderne laptops, en het maakt dus niet uit of je Windows, Linux of MacOS draait. Aan oplossingen wordt gewerkt, maar ondertussen rijst dan de vraag: wie gaat opdraaien voor de kosten?

In zakelijke verkoopcontracten is het in principe volledig vrij onderhandelbaar wie welke kosten of schade voor zijn rekening neemt. Ik zou dus verwachten dat in een zakelijk leveringscontract voor die processorchips gewoon een uitsluiting voor aansprakelijkheid staat voor bugs als deze, zodat de koper daarvan met de gebakken peren zit nu en zelf op zoek moet gaan naar software-workarounds of nieuwe chips met alle kosten van vervanging van dien.

Bij consumenten kan dat anders liggen. Een consument heeft gewoon recht op een product conform de verwachtingen, en deze “wettelijke garantie” kan niet met kleine lettertjes worden ingeperkt. Als het product niet conform is, dan moet de winkelier (dus niet Intel of AMD maar de MediaMarkt of waar je de laptop maar kocht) het probleem herstellen of je een nieuwe laptop geven.

De vraag bij consumenten is dus, werd hier de verwachtingen geschonden? Of iets preciezer, de tekst uit artikel 7:17 BW:

Een zaak beantwoordt niet aan de overeenkomst indien zij, mede gelet op de aard van de zaak en de mededelingen die de verkoper over de zaak heeft gedaan, niet de eigenschappen bezit die de koper op grond van de overeenkomst mocht verwachten. De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Ik verwacht niet dat bij de aanschaf van een laptop iets gezegd is over de aan- of afwezigheid van dit soort diepe bugs in de processoren. Je mag al blij zijn als erbij staat welk processortype erin zit. We zullen het dus moeten hebben van het “eigenschappen voor normaal gebruik” criterium. Is het voor normaal consumentengebruik vereist dat de processor deze bugs niet vertoont? Zo ja, dan maakt de bug de laptop nonconform en moet de verkoper er dus nieuwe chips zónder de bug maar mét dezelfde performance in prikken.

De bug kan worden gebruikt om gevoelige informatie zoals persoonsgegevens of wachtwoorden te stelen. Hij vereist wel dat de stelende software al op je computer staat, en dat is een breder probleem dat bekend is bij consumenten. Daarvan weet (of moet weten) de consument dat hij maatregelen moet nemen, zoals antivirussoftware of een firewall – die ook vandaag de dag vaak standaard op laptops aanwezig is. Mét die maatregelen lijkt de impact van deze bugs voor consumenten me zeer beperkt. Daarom denk ik niet dat je een conformiteitsclaim kunt indienen.

De bug heeft meer impact bij clouddienstverleners, en consumenten maken daar ook vaak gebruik van. Daar is het dus een verhoogd risico: er kunnen nu gegevens worden gestolen of ontoegankelijk gemaakt – datalekken – en dat kan de consument raken. De conformiteitsregel geldt daarbij echter niet, omdat een dienst geen product is. Maar het is wel een wanprestatie van de dienstverlener, zodat je je schade hierdoor kunt verhalen. Mits je deze hard kunt maken natuurlijk.

Arnoud

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me:

Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de hand. Maar men bleek me te hebben opgespoord door ‘Absolute Software’ van het bedrijf LoJack/CompuTrace. Het bedrijf geeft te kennen dat het geen middelen schuwt om via een voorgeïnstalleerde backdoor informatie te vergaren betreffende het “gestolen” goed, waaronder: hard drive mining, keystrokes/typed data, screen images en position. Is dat wel legaal, zeker in mijn situatie?

Het kopen van gestolen goed heet normaal ‘heling’ en is strafbaar. Echter, de wet (art. 3:86 BW beschermt de consument die gestolen goed koopt bij een bedrijf of winkel. Deze wordt gewoon eigenaar van het goed, en kan niet worden vervolgd voor heling.

Steeds meer ICT-producten zoals laptops, tablets of telefoons worden voorzien van “phone home”-achtige software, waarmee de eigenaar op afstand kan zien waar het apparaat zich bevindt. Vaak is die software ook voorzien van aanvullende features, waarmee kan worden rondgekeken op de telefoon en waarmee de camera kan worden bediend om de huidige houder vast te leggen. (Zie deze mooie documentaire over wat er allemaal kan.)

Informatie achterhalen over je eigen laptop valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen. En hier gaat het niet om een dief maar om een gewone eerlijke burger die iets legaal kocht in een winkel. Hoezo mag diens privacy worden geschonden door de oude eigenaar van het apparaat? Dit is typisch zo’n balans uit het internetrecht waar niet meteen een eenduidig antwoord op is.

Voor mij zou denk ik uiteindelijk de doorslag geven hoe groot de kans is dat een gestolen laptop via een winkel terecht komt bij een particulier die te goeder trouw is. Als de overgrote meerderheid die laptop in strafbare hoedanigheid verwerft, dan zou ik weinig moeite hebben met de privacyaspecten van deze zaak. Zeker als de gegevens ook nog eens alleen voor aangifte en opsporing gebruikt worden, en niet voor eh documentaires of andere openbaarmakingen door het slachtoffer.

Arnoud

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Security | 23 reacties

Een lezer vroeg me: Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer? Als… Lees verder

Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

| AE 7452 | Security | 36 reacties

Lenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel. Stilletjes adware op… Lees verder

Maar hij staat dáár!

| AE 5427 | Security | 21 reacties

Diverse lezers wezen me op dit GeenStijlbericht over een gestolen laptop die de politie niet wilde terughalen. Op de bekende tendentieuze, ongefundeerde en nodeloos kwetsende wijze werd daar melding gemaakt van een poepdure hipstermachine die in 020-Gaza beneden zijn stand weg stond te kwijnen in het onrechtmatige bezit van werkschuw steeltuig. En de pliesie zat… Lees verder

Mag een winkel verwijzen naar de fabrikant voor de garantie?

| AE 2357 | Ondernemingsvrijheid | 28 reacties

Tentamenvraag: vindt dit verweer steun in het recht? [De winkel] heeft zich tegen de vorderingen verweerd met de stelling, dat niet hij, maar de fabrikant verantwoordelijk is voor het uitvoeren van de garantie en dus voor de reparatie van de computer. Antwoord: nee, natuurlijk niet. De verkoper die een computer aan een consument verkoopt, moet… Lees verder

Doorzoeken van een privélaptop mag ook niet zomaar

| AE 2308 | Privacy, Security | 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder