Een NDA in je bug bounty stoppen is een heel slecht idee, ook voor Uber

OpenClipart-Vectors / Pixabay

Het hoofd security van Uber hangt strafvervolging boven het hoofd voor de manier waarop hij een datalek wilde verstoppen, las ik bij Ars Technica. Dat deed hij namelijk door de hackers een ton in bitcoins te geven en ze een bug bounty contract met geheimhoudingscontract (NDA) te laten tekenen, waarna hij in het openbaar verwees naar het lek als een “geplande securitytest”. En dat is dan net nadat ik twee bedrijven (zakelijk) heb moeten overtuigen dat je ethical hackers géén NDA moet voorleggen als ze je ongevraagd een potentieel datalek komen melden.

In 2016 liet Uber een fors datalek gebeuren, met kort daarna nog eentje. (Ik vind “was hit by a data breach” geen gepaste tekst, het is geen meteoor maar nalatigheid, kom nou.) Bij die laatste wilden de hackers een ton aan losgeld, anders zouden ze de data op internet zetten. “Information is extremely sensitive and we need to keep this tightly controlled,” zo besloot men intern. Toenmalig Uber security chief Joe Sullivan handelde ook daarnaar: hij onderhandelde met de hackers en liet ze een bug bounty contract tekenen, in ruil voor een ton die in bitcoin werd betaald.

Dat was in zoverre onhandig dat de FTC na dat eerste datalek een onderzoek had ingesteld en van plan was Uber met een schikking weg te laten komen. Toen dat tweede datalek een jaar later alsnog uitkwam, kwam daar natuurlijk weinig meer van terecht.

Nu kan het natuurlijk gebeuren dat iemand een datalek ontdekt en dat meldt, om aanspraak te maken op de financiële beloning – bug bounties – die een bedrijf uitlooft. Ook Uber doet dat: tot tienduizend dollar kun je verdienen met je tip over een datalek. Maar daar is een aparte website en procedure voor, en je krijgt het geld dan ook gewoon overgemaakt. Deze manier van afhandelen riekt dan dus ook niet naar een gewone bountyclaim.

Het blijkt echter wel staande praktijk om tipgevers aan een dikke geheimhouding te binden, en ik vind dat dus raar. Ja, als je iemand inhuurt dan kun je voorwaarden onderhandelen en geheimhouding is dan een prima onderhandelpunt. Maar wanneer iemand van buitenaf komt aanwaaien, dan moet dat zeker geen voorwaarde zijn. (Een tijdelijke, redelijke periode zodat je het lek kunt dichten is natuurlijk wél prima.) Het schrikt mensen af, ondanks dat het niet bindend is, en het laatste wat je zou moeten willen als organisatie is dat een tipgever liever de pers belt dan jouw organisatie.

Arnoud

Nee, geheimhouding bij ethical bug reporting is niet bindend

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Ja, ook juristen hebben die neiging nieuwe standaarden te maken om oude te vervangen (en ik ken de xkcd, dank je)

Consultancybedrijf PwC is de eerste grote firma in het VK die de oneNDA standaard-geheimhoudingsovereenkomst gaat voeren, meldde Artificial Lawyer onlangs. Een verrassing is dat niet, omdat PwC een van de drijvende krachten achter dit project is. OneNDA is een recent initiatief dat een universeel geheimhoudingscontract wil promoten ter vervanging van al die zelfgebrouwen misbaksels die iedere organisatie heeft. Als reviewer van 14.000 NDA’s voor mijn NDA-robot zeg ik: goed idee, heb ‘m gelijk toegevoegd. Maar of het werkelijk de juridische wereld gaat redden?

OneNDA heeft vooral in de Angelsaksische landen aandacht gekregen. In de kern is het een loffelijk initiatief: ieder bedrijf krijgt vele, vele NDA’s toegezonden en moet daar elke keer juridische tijd en energie aan verspillen. Of de inkoper/sales/CEO leest het zelf en denkt “het zal wel” met alle risico’s van dien. Dit was de reden voor mij om die robot te ontwikkelen, en die doet het best goed. Duizenden NDA’s gereviewd, inclusief aanpassingen en commentaar zodat je direct verder kunt.

Toevallig zag ik vanochtend iemand die een NDA die was aangepast door Lynn er nog een keer doorheen gehaald had, maar dan natuurlijk vanuit het andere perspectief (de informatieverstrekker). Toen ging Lynn dus ruzie met zichzelf maken, wat je altijd krijgt als je een jurist vertelt “en nu vanuit het perspectief van de wederpartij”. Maar dat is dus een feature. Desondanks blijf je zitten met een enorme berg NDA’s en elke keer tijd en moeite om ze te reviewen.

Zoals ze toen bij oneNDA zeiden: “In fact, in 2020, we discovered that reviewing NDAs for our clients represented 63% of our workload but only 7% of our revenue.” Dus dat moest anders. (Bedenk even hoe dat voelt als je 63% van je tijd, dus drie werkdagen, alléén maar NDA’s reviewt.) Men maakt één NDA, en iedereen gebruikt die. Niet eens met opties (zoals bijvoorbeeld Creative Commons) maar gewoon één tekst, je vult alleen partijnamen in en dat was het dan. Oh en doel, vertrouwelijkheidsperiode en toepasselijk recht. Maar van de inhoudelijke tekst (scope, need to know, notificatie, security, opzegging, notices, blabla) blijf je in het geheel af. Anders krijgen we straks wéér tig standaarden.

Toch ben ik een tikje sceptisch of dit er werkelijk van gaat komen. Ik denk dat iedere bedrijfsjurist of advocaat dit zo in het algemeen een goed idee vindt, maar op het moment zelf toch ergens een zinnetje vindt dat nét wat mooier kan of een favoriete clausule voor de zekerheid toe wil voegen. Om er eentje te noemen, er staat geen boetebeding in (wat in Angelsaksische landen eigenlijk ook niet kan), en continentale juristen gaan daar natuurlijk een punt van maken. Ik ben erg benieuwd hoe we over die weerstand heen gaan komen.

(ObXKCD)

Arnoud

Hoe bescherm ik mijn idee voordat ik het ga vertellen?

Een lezer vroeg me:

Ik heb een innovatief idee uitgewerkt om contactloos pinbetalen tegen afluisteren en dergelijke te beveiligen. Ik wil dat nu aan een paar banken voor gaan stellen, maar ik wil natuurlijk niet dat ze er met mijn idee vandoor gaan zonder mij te betalen. Hoe doe ik dat het veiligste? Is een i-depot nodig, kan ik een goed geheimhoudingscontract gebruiken of moet ik auteursrecht aanvragen?

Algemeen geldt: als je een idee hebt, dan kunnen en mogen anderen daarmee vandoor. Het is juridisch eigenlijk niet mogelijk een idee te beschermen tegen overname of afkijken, en wie adverteert dat het bij zijn dienst wel zo werkt, is een oplichter.

De enige juridische remedies tegen ongewenst overnemen zijn het idee onder een IE-recht beschermen of een contractuele afspraak te maken. Of beschermen mogelijk is, hangt helemaal af van het soort idee. Een technisch protocol (wat hier lijkt te spelen) kun je met een octrooi oftewel patent beschermen; anderen mogen dat protocol dan niet ook implementeren. Een auteursrecht beschermt tegen kopiëren of namaken van een tekst, foto of video – maar alleen de concrete uitwerking daarvan niet het onderliggende idee.

Een contractuele afspraak doe je meestal met een geheimhoudingscontract oftewel NDA (non-disclosure agreement). Daarin belooft de ontvanger om de verkregen informatie nergens voor te gebruiken, vaak op straffe van een contractuele boete. Het is toegestaan dat je jezelf een beperking oplegt die de wet niet kent, dus zo’n contract is legaal. Alleen: waarom zou je dat tekenen als ontvanger? Welk voordeel haal je eruit?

Ik zou zelf alleen adviseren om met een idee-leverancier in zee te gaan als deze concrete technologie heeft om in licentie te nemen. Dan weet je waar je voor tekent: snelle toegang tot iets dat werkt. Dat scheelt ontwikkelkosten bij jou, dus prima dat dat wat kost. Maar betalen voor enkel een idee dat je zelf nog moet uitwerken? Nee, vergeet het maar.

Een ander probleem met een NDA tekenen is dat je wellicht als ontvanger al met iets dergelijks bezig was. Toevallig las ik recent deze zaak waarin een man de Rabobank had benaderd met een anti-skimming idee. Naast dat er discussie was of überhaupt geheimhouding was overeengekomen, bleek de bank er al geruime tijd zelf mee bezig te zijn. Dan is het natuurlijk wel héél raar om te zeggen dat het jouw idee is.

Arnoud

Verklap je iets over Koningsdag in Amersfoort? 25.000 euro boete

Mensen die op wat voor manier dan ook betrokken zijn bij de voorbereiding van Koningsdag hebben van de gemeente moeten tekenen voor geheimhouding. Als ze toch iets vertellen over de voorbereidingen, kan dat een boete opleveren van 25.000 euro. Dat las ik en als contractsjurist viel ik van mijn stoel. Zo’n dwangsom mag helemaal niet, zegt een hoogleraar bestuursrecht tegen RTL Nieuws. Nee, en ik zeg erbij dat de clausule sowieso juridisch ongeldig is. Maar het meest bizarre is nog dat de gemeente dit gewoon in een contract zet en mensen dat laat tekenen.

De koninklijke familie komt dit jaar naar Amersfoort, en de gemeente maakt zich kennelijk zorgen dat ambtenaren en vrijwilligers details gaan lekken over wat er gaat gebeuren. Dat kan ik me tot op zekere hoogte voorstellen, dat je de route geheim wilt houden bijvoorbeeld vind ik normaal gezien de veiligheidssituatie. Maar dat wordt – per NDA – dus ook opgelegd aan de ouders van kinderen die een dansvoorstelling gaan doen, want stel dat die zeggen dat het half vier begint dan heb je dus een tipje over de route onthuld.

De NDA is kort en to the point:

Schending van de geheimhoudingsplicht kan aanzienlijke schade toebrengen aan de gemeente Amersfoort. Indien u handelt in strijd met het bepaalde in deze verklaring kan de gemeente Amersfoort zonder dat enige sommatie of ingebrekestelling vereist is, per overtreding een onmiddellijk opeisbare en niet voor matiging of compensatie vatbare boete van € 25.000 (zeggen: vijfentwintig duizend euro) verbeuren.

Hoogleraar Staats- en Bestuursrecht Wim Voermans (Leiden) vindt dit een onzinnige route: bij vrijwel alle informatie waar geheimhouding zinnig voor is, geldt gewoon al het Wetboek van Strafrecht en de Algemene wet bestuursrecht. Die bepalen wanneer informatie vertrouwelijk is (niet perse staatsgeheim, dat is weer een trapje hoger) die je bij uitvoering van overheidstaken of -werkzaamheden onder ogen krijgt. En vooral: die bepalen welke straf daarop staat en hoe dit moet worden bewezen.

Deze NDA clausule doorkruist dat hele proces, wij zien een overtreding pats mogen we even 25 duizend van u vangen? Op die manier omzeil je dus alle strafrechtelijke en bestuursrechtelijke waarborgen, en dat is niet hoe het recht in elkaar steekt. Daarmee is deze contractuele bepaling dus nietig (art. 3:40 BW, de openbare orde).

Ik kan even geen Buzzfeed-kop bedenken (Ook dure gemeentejuristen maken deze contractenblunder?) maar de clausule is ook inhoudelijk fout. Dit gebeurt vaak: men wil de zin “u verbeurt een boete” nog net even wat agressiever laten klinken, en dan krijg je “zonder dat enige sommatie of ingebrekestelling vereist is”, “onmiddellijk opeisbare” en “niet voor matiging of compensatie vatbare boete”.

En het is die laatste die de clausule ongeldig maakt. In de wet rond contractuele boetes staat namelijk (art. 6:94 BW) dat de rechter een opgelegde boete kan matigen indien de billijkheid dit klaarblijkelijk eist. Met die frase “niet voor matiging vatbaar” probeert men dus deze bevoegdheid buiten werking te stellen. En dat mag niet: van lid 1 afwijkende bedingen zijn nietig, zo staat in lid 3. Een boete die zó hard wil blaffen, mag je niet afspreken.

Copypastejuristerij, ongetwijfeld. Maar wat mij betreft minstens zo raar als de staatsrechtelijke botsing.

Arnoud

Hoe een Tweet een voorgenomen overname ongeldig maakte

Een deal van energiebedrijf Eneco met Nigeria ketste af vanwege een tweet, las ik in het Financieele Dagblad. De onderhandelingen over de verkoop mislukten doordat het kopende bedrijf, 3D Hi Tech Systems, een tweet stuurde over de deal voordat deze was beklonken.

Eneco wilde haar Enecogen-energiecentrale verkopen. Uit het vonnis blijkt dat 3D Hi Tech gevonden werd dankzij bemiddeling van de bedrijven ALT en Romar, die de rechtszaak tegen Eneco aanspanden toen die zich terugtrok vanwege de tweet. Zij hadden een potentiële koper uit Nigeria gevonden, 3D Hi Tech dus.

De tweet zelf was relatief onschuldig en -vermoed ik- geplaatst vanuit enthousiasme door de betrokken persoon bij 3D:

Our dynamic MD Engr [vertegenwoordiger 3D HiTech] at eneco Netherlands for the official signing of the MOU [Memorandum of Understanding, toevoeging rechtbank] between 3D Hitech and ENECO [plus drie foto’s van een eerder bezoek]

Voor Eneco was dit toch wel even slikken want er was toch een stevige NDA – sterker nog een ‘Non-circumvention, non-disclosure, confidentiality and working agreement’ – getekend tussen partijen. En dan twitteren over het onderwerp daarvan is dan toch een beetje gek. Het incident was dan ook voor Eneco aanleiding om zich uit de onderhandelingen terug te trekken, ondanks dat de tweet binnen 24 uur weer weggehaald was.

Gevolg was dat ALT en Romar ook geen nieuwe kopers meer hoefden te zoeken, waardoor ze natuurlijk hun aanbrengfee zouden mislopen. Vandaar de rechtszaak: men wilde dat Eneco bij de rechter werd verplicht om door te gaan met onderhandelen, of in ieder geval onder die lopende ‘Non-circumvention, non-disclosure, confidentiality and working agreement’ te blijven zitten tot er een nieuwe zou zijn gevonden.

ALT en Romar stellen dat de tweet, gelet op inhoud en duur van zichtbaarheid daarvan, de afbreking van de onderhandelingen niet rechtvaardigde, maar miskennen daarbij de eigen afweging die Eneco in de gegeven omstandigheden mocht maken. Nu ALT en Romar wisten dat de tweet in strijd was met de geheimhouding mochten zij op dat moment zeker niet meer gerechtvaardigd op het tot stand komen van een overeenkomst vertrouwen.

Ook het mogen zoeken van een nieuwe koper is niet verplicht. Er waren meer redenen waarom de onderhandelingen stroef liepen, en Eneco had dus gewoon goede gronden om er onderuit te kunnen.

Arnoud

Als werknemer op persoonlijke titel een geheimhoudingsovereenkomst tekenen, kan dat?

attachment-bijlage-mail-email-doorsturen-geheim.jpgEen lezer vroeg me:

Ik ben gedetacheerd bij een opdrachtgever (A) die me een geheimhoudingsverklaring liet tekenen. Mijn formele werkgever (B) heeft sinds kort een algemene back-upoplossing, waarmee ook data van opdrachtgever A wordt geback-upt omdat die nu eenmaal op mijn laptop staat. Ben ik nu in overtreding van die geheimhoudingsverklaring?

Het gebeurt vaak dat wanneer men iemand inleent of gedetacheerd krijgt, die persoon een geheimhoudingsverklaring (non-disclosure agreement, NDA) onder de neus schuift. In deze context is dit echter juridisch zinloos.

Een werknemer kán niet op persoonlijke titel dingen tekenen als die dingen werkgerelateerd zijn. Hij handelt dan als werknemer, en daarmee is per definitie de werkgever aansprakelijk en verantwoordelijk voor zijn handelen. De NDA wordt daarmee juridisch gezien geaccordeerd door de werkgever, en voor schendingen is deze dus aansprakelijk en niet de werknemer zelf.

Natuurlijk mag de inlener/opdrachtgever best een waarschuwing geven aan de werknemer over de waarde van bedrijfsgeheimen. Die waarschuwing mag schriftelijk, en hem dit laten tekenen bij wijze van bewijs dat hij het gelezen heeft, is prima. Maar het geeft géén juridische basis om de werknemer persoonlijk aansprakelijk te stellen voor eventueel lekken van vertrouwelijke informatie.

Persoonlijk aansprakelijk stellen van werknemers is buitengewoon moeilijk. De wet eist opzet of grove nalatigheid, en de lat ligt daarbij zo hoog dat je er vrijwel nooit aan komt. Enkel waarschuwen of verbieden is bij lange na niet genoeg. Er moet echt een zeer ernstige beroepsfout zijn gepleegd.

Je kunt dus als werknemer best zo’n NDA tekenen, met in je achterhoofd dat je dat doet namens je werkgever. Maar beter is je werkgever te bellen: mag ik dit tekenen, en zo niet wil jij dan nu even de opdrachtgever uitleggen waarom niet?

Arnoud

Nieuw op Iusmentis: Legal protection of trade secrets and know-how (in Innovation @ iusmentis.com)

Eindelijk weer eens iets in het Engels:

Trade secret law protects information or know-how that is valuable because of its secrecy. The owner of a trade secret must take reasonable steps to keep it a secret. Misappropriation of trade secrets, including violation of a non-disclosure agreement (NDA) is a tort and sometimes even a criminal act.

Trade secret law or tort law protects valuable business information from misappropriation by others. The main requirement is that the information must be kept a secret by its owner. Any kind of information, ranging from manufacturing know-how, formulas or devices to marketing intelligence can be protected as a trade secret. A misappropriator can be convicted to pay damages or to cease using the trade secret information.

Trade secrets are a form of intellectual property, but trade secret protection does not offer rights comparable to those offered by copyright, patent or trademark laws. In most countries, trade secret misappropriation is regarded as a specific form of unfair competition. Some countries have specific laws on the protection of confidential business information. The TRIPS Agreement requires that countries implement adequate legal protection for “undisclosed information”.

Lees verder in Legal protection of trade secrets and know-how (in Innovation @ iusmentis.com).

Vertaling volgt te zijner tijd.

Arnoud