Mag mijn webhoster ons cms schrappen volgend jaar?

| AE 12249 | Ondernemingsvrijheid | 23 reacties

Een lezer vroeg me:

Onze websitebouwer en hosting bedrijf stapt over op een ander (en volgens hun veiliger) cms systeem. Het cms dat we nu gebruiken zal per 1 juli bevroren worden en per 1 januari daarna offline gehaald worden. Kunnen zij dat eenzijdig zeggen? Dit geeft ons enorme kosten, onder meer 5000 euro voor de migratie van alle content en verdubbeling van de maandelijkse kosten.
Het voelt natuurlijk nogal vervelend om over te moeten naar een nieuw systeem terwijl het huidige nog prima lijkt te werken. Maar onderhoud van software is duur, met name als de software steeds ouder wordt. Ik begrijp de stap van de websitebouwer/hoster dus wel.

Ik moet zeggen dat ik in dit geval de gegunde termijnen (een dik half jaar nog alles kunnen doen en daarna nog zes maanden gebruiken zonder aanpassingen in het cms) best schappelijk vind. Ik krijg deze vraag vaker maar dan zijn de termijnen eerder in weken uitgedrukt. Een periode van dik een jaar om te migreren naar een andere leverancier voelt best redelijk, en dat maakt dat ik eigenlijk geen juridisch argument tegen kan bedenken.

Ja, als er in de voorwaarden of SLA zou staan dat de software nog een aantal jaren mee moet kunnen natuurlijk. Maar ik ken geen leverancier die zichzelf zo hard vast gaat pinnen zonder behoorlijke vergoeding. Of als heel recent het contract is vernieuwd voor een paar jaar en het cms een belangrijk deel van de dienst is. Maar dat is vrij uitzonderlijk.

Arnoud

Mag ik hacken om mijn klant te migreren naar een nieuwe omgeving?

| AE 6478 | Security | 31 reacties

migrationEen lezer vroeg me:

Een nieuwe klant vroeg ons hen te migreren naar een nieuwe omgeving. Echter, er blijkt een geschil te zijn met de huidige ICT-leverancier en mijn klant heeft de benodigde wachtwoorden dan ook niet. De klant heeft me gevraagd de betreffende systemen te hacken omdat dat geschil nog wel even kan duren (er zijn al advocaten losgelaten). Mag ik dit doen?

Helaas komen dit soort situaties vaker voor. De klant heeft een dispuut met zijn ICT-leverancier, die blokkeert de dienst of weigert relevante wachtwoorden of data te verstrekken en dan zit je daar als klant. Of, omgekeerd: je hebt een dispuut met je klant, die wil dan boos weg (terwijl het contract nog gewoon loopt en de klant ongelijk heeft met z’n dispuut) en dan moet jij zeker gratis alles even aan laten staan zodat hij alles kan downloaden en migreren en daarna je facturen vrolijk niet betalen.

Hoe dan ook, als nieuwe leverancier heb je daar niets mee te maken. Laat je daar ook niet toe verleiden, want voor je het weet ben je partij en krijg je een deel van het ongenoegen over je heen.

De klant helpen met een migratie mag, ook als de migratie gebeurt vanaf een omgeving waar iemand anders iets over te zeggen heeft. Net zo goed als jij als verhuisbedrijf spullen mag weghalen bij een gehuurd pand waarvan huurder en verhuurder een dispuut hebben over achterstallige huurbedragen. Wat je echter niet mag, is in zo’n situatie de door de verhuurder afgesloten deur openbreken.

In de ICT-situatie betekent dat dus: je mag geen wachtwoorden kraken van servers die in eigendom zijn bij de verhuurder, pardon de leverancier. Ook mag je niet op zoek naar achterdeurtjes om daar data uit te halen. Ook niet als het gaat om klantdata. Het mag dan “klantdata” heten in het ICT-spraakgebruik, maar juridisch gezien is data niets. Er valt dus niets op te eisen, in tegenstelling tot bv. fysieke spullen die opgeslagen zijn bij de leverancier.

Wachtwoorden kunnen ook een rol spelen bij systemen van de klant zelf, zoals laptops of door hen zelf aangeschafte servers. Door de leverancier daarop ingestelde wachtwoorden mag je wél kraken of veranderen. De systemen zijn immers eigendom van de klant, en het is niet strafbaar om in opdracht van de eigenaar een beveiliging onklaar te maken.

Twijfel je over de legaliteit van wat je klant vraagt, dan kun je een garantie en vrijwaring van je klant verlangen dat je dit mag en dat zij alle boetes en schadeclaims die jij krijgt, moeten vergoeden. Dat werkt dan echter weer niet wanneer het evident is dat de klantvraag illegaal is. “Ze draaien een oude versie van PHP, kun jij ergens op zo’n hackersite iets vinden dat je binnen kunt komen en onze database kunt downloaden” is geen legitieme klantvraag. Ook niet als daar de enige plek is waar de klantdata staat.

Hebben jullie wel eens zulke disputen meegemaakt als derde? En hoe ging je daarmee om?

Arnoud