Nee, geheimhouding bij ethical bug reporting is niet bindend

| AE 12954 | Security, Uitingsvrijheid | 13 reacties

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Ja, ook juristen hebben die neiging nieuwe standaarden te maken om oude te vervangen (en ik ken de xkcd, dank je)

| AE 12920 | Ondernemingsvrijheid | 12 reacties

Consultancybedrijf PwC is de eerste grote firma in het VK die de oneNDA standaard-geheimhoudingsovereenkomst gaat voeren, meldde Artificial Lawyer onlangs. Een verrassing is dat niet, omdat PwC een van de drijvende krachten achter dit project is. OneNDA is een recent initiatief dat een universeel geheimhoudingscontract wil promoten ter vervanging van al die zelfgebrouwen misbaksels die iedere organisatie heeft. Als reviewer van 14.000 NDA’s voor mijn NDA-robot zeg ik: goed idee, heb ‘m gelijk toegevoegd. Maar of het werkelijk de juridische wereld gaat redden?

OneNDA heeft vooral in de Angelsaksische landen aandacht gekregen. In de kern is het een loffelijk initiatief: ieder bedrijf krijgt vele, vele NDA’s toegezonden en moet daar elke keer juridische tijd en energie aan verspillen. Of de inkoper/sales/CEO leest het zelf en denkt “het zal wel” met alle risico’s van dien. Dit was de reden voor mij om die robot te ontwikkelen, en die doet het best goed. Duizenden NDA’s gereviewd, inclusief aanpassingen en commentaar zodat je direct verder kunt.

Toevallig zag ik vanochtend iemand die een NDA die was aangepast door Lynn er nog een keer doorheen gehaald had, maar dan natuurlijk vanuit het andere perspectief (de informatieverstrekker). Toen ging Lynn dus ruzie met zichzelf maken, wat je altijd krijgt als je een jurist vertelt “en nu vanuit het perspectief van de wederpartij”. Maar dat is dus een feature. Desondanks blijf je zitten met een enorme berg NDA’s en elke keer tijd en moeite om ze te reviewen.

Zoals ze toen bij oneNDA zeiden: “In fact, in 2020, we discovered that reviewing NDAs for our clients represented 63% of our workload but only 7% of our revenue.” Dus dat moest anders. (Bedenk even hoe dat voelt als je 63% van je tijd, dus drie werkdagen, alléén maar NDA’s reviewt.) Men maakt één NDA, en iedereen gebruikt die. Niet eens met opties (zoals bijvoorbeeld Creative Commons) maar gewoon één tekst, je vult alleen partijnamen in en dat was het dan. Oh en doel, vertrouwelijkheidsperiode en toepasselijk recht. Maar van de inhoudelijke tekst (scope, need to know, notificatie, security, opzegging, notices, blabla) blijf je in het geheel af. Anders krijgen we straks wéér tig standaarden.

Toch ben ik een tikje sceptisch of dit er werkelijk van gaat komen. Ik denk dat iedere bedrijfsjurist of advocaat dit zo in het algemeen een goed idee vindt, maar op het moment zelf toch ergens een zinnetje vindt dat nét wat mooier kan of een favoriete clausule voor de zekerheid toe wil voegen. Om er eentje te noemen, er staat geen boetebeding in (wat in Angelsaksische landen eigenlijk ook niet kan), en continentale juristen gaan daar natuurlijk een punt van maken. Ik ben erg benieuwd hoe we over die weerstand heen gaan komen.

(ObXKCD)

Arnoud

Hoe bescherm ik mijn idee voordat ik het ga vertellen?

| AE 11988 | Intellectuele rechten | 7 reacties

Een lezer vroeg me:

Ik heb een innovatief idee uitgewerkt om contactloos pinbetalen tegen afluisteren en dergelijke te beveiligen. Ik wil dat nu aan een paar banken voor gaan stellen, maar ik wil natuurlijk niet dat ze er met mijn idee vandoor gaan zonder mij te betalen. Hoe doe ik dat het veiligste? Is een i-depot nodig, kan ik een goed geheimhoudingscontract gebruiken of moet ik auteursrecht aanvragen?

Algemeen geldt: als je een idee hebt, dan kunnen en mogen anderen daarmee vandoor. Het is juridisch eigenlijk niet mogelijk een idee te beschermen tegen overname of afkijken, en wie adverteert dat het bij zijn dienst wel zo werkt, is een oplichter.

De enige juridische remedies tegen ongewenst overnemen zijn het idee onder een IE-recht beschermen of een contractuele afspraak te maken. Of beschermen mogelijk is, hangt helemaal af van het soort idee. Een technisch protocol (wat hier lijkt te spelen) kun je met een octrooi oftewel patent beschermen; anderen mogen dat protocol dan niet ook implementeren. Een auteursrecht beschermt tegen kopiëren of namaken van een tekst, foto of video – maar alleen de concrete uitwerking daarvan niet het onderliggende idee.

Een contractuele afspraak doe je meestal met een geheimhoudingscontract oftewel NDA (non-disclosure agreement). Daarin belooft de ontvanger om de verkregen informatie nergens voor te gebruiken, vaak op straffe van een contractuele boete. Het is toegestaan dat je jezelf een beperking oplegt die de wet niet kent, dus zo’n contract is legaal. Alleen: waarom zou je dat tekenen als ontvanger? Welk voordeel haal je eruit?

Ik zou zelf alleen adviseren om met een idee-leverancier in zee te gaan als deze concrete technologie heeft om in licentie te nemen. Dan weet je waar je voor tekent: snelle toegang tot iets dat werkt. Dat scheelt ontwikkelkosten bij jou, dus prima dat dat wat kost. Maar betalen voor enkel een idee dat je zelf nog moet uitwerken? Nee, vergeet het maar.

Een ander probleem met een NDA tekenen is dat je wellicht als ontvanger al met iets dergelijks bezig was. Toevallig las ik recent deze zaak waarin een man de Rabobank had benaderd met een anti-skimming idee. Naast dat er discussie was of überhaupt geheimhouding was overeengekomen, bleek de bank er al geruime tijd zelf mee bezig te zijn. Dan is het natuurlijk wel héél raar om te zeggen dat het jouw idee is.

Arnoud

Verklap je iets over Koningsdag in Amersfoort? 25.000 euro boete

| AE 11213 | Informatiemaatschappij | 16 reacties

Mensen die op wat voor manier dan ook betrokken zijn bij de voorbereiding van Koningsdag hebben van de gemeente moeten tekenen voor geheimhouding. Als ze toch iets vertellen over de voorbereidingen, kan dat een boete opleveren van 25.000 euro. Dat las ik en als contractsjurist viel ik van mijn stoel. Zo’n dwangsom mag helemaal niet,… Lees verder

Hoe een Tweet een voorgenomen overname ongeldig maakte

| AE 9443 | Informatiemaatschappij | 6 reacties

Een deal van energiebedrijf Eneco met Nigeria ketste af vanwege een tweet, las ik in het Financieele Dagblad. De onderhandelingen over de verkoop mislukten doordat het kopende bedrijf, 3D Hi Tech Systems, een tweet stuurde over de deal voordat deze was beklonken. Eneco wilde haar Enecogen-energiecentrale verkopen. Uit het vonnis blijkt dat 3D Hi Tech… Lees verder

Als werknemer op persoonlijke titel een geheimhoudingsovereenkomst tekenen, kan dat?

| AE 6200 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me: Ik ben gedetacheerd bij een opdrachtgever (A) die me een geheimhoudingsverklaring liet tekenen. Mijn formele werkgever (B) heeft sinds kort een algemene back-upoplossing, waarmee ook data van opdrachtgever A wordt geback-upt omdat die nu eenmaal op mijn laptop staat. Ben ik nu in overtreding van die geheimhoudingsverklaring? Het gebeurt vaak dat… Lees verder

Nieuw op Iusmentis: Legal protection of trade secrets and know-how (in Innovation @ iusmentis.com)

Eindelijk weer eens iets in het Engels: Trade secret law protects information or know-how that is valuable because of its secrecy. The owner of a trade secret must take reasonable steps to keep it a secret. Misappropriation of trade secrets, including violation of a non-disclosure agreement (NDA) is a tort and sometimes even a criminal… Lees verder