Ik moet van mijn school andermans telefoon doorsnuffelen!

| AE 9874 | Beveiliging | 27 reacties

Een lezer vroeg me:

Voor mijn opleiding moet ik een vak volgen over forensische ICT. De opdracht is nu om een telefoon te doorzoeken, en de docent meldde trots dat hij deze op Marktplaats heeft gekocht, om de klus interessanter te maken. Het zijn dus echte telefoons met echte data. Ik voel me daar niet comfortabel bij, mag ik dit wel?

Wat een rare opdracht, en niet eens vanwege de juridische kant. Hoe kun je nu studenten beoordelen die allemaal zó verschillende input krijgen? Je zult net de telefoon van de directeur van Bits of Freedom krijgen en je buurman die van Samantha van der Plas, hoe kun je dat ooit met elkaar vergelijken?

Juridisch gezien denk ik niet dat dit door de beugel kan. Natuurlijk wordt de school eigenaar van die telefoon wanneer een docent die koopt, en het is toegestaan je eigendom te doorzoeken of er andere schoolactiviteiten mee te ondernemen. Maar dat recht houdt op wanneer andermans persoonsgegevens in het gedrang komen.

(Als privépersoon-koper kun je iets sneller klaar zijn. Volgens de wet behoor je eigenaar te worden van het hele toestel, zonder enige last of beperking (art. 7:15 lid 1 BW). Als er toch nog data van iemand op blijkt te staan, dan is dat dus een beperking die er niet hoort te zijn. Daar kun je de verkoper dus op aanspreken, hij moet deze tekortkoming in de koopovereenkomst herstellen. Heel formeel moet het toestel dus terug, waarna de verkoper het wist en het opnieuw aan je geeft. Praktisch gezien zou ik geen bezwaar zien tegen even namens de verkoper die data wissen, dat is effectief hetzelfde en scheelt een hoop rompslomp.)

De school weet donders goed dat die telefoon vol zit met persoonsgegevens van een ander, dat is immers het hele doel van die opdracht. Er is geen toestemming van die mensen om daarmee te werken. (Enkel dat iemand zijn telefoon verkoopt is nog geen uitdrukkelijke specifieke toestemming voor gebruik van die persoonsgegevens.) Er is ook geen contract dat dit onderzoek rechtvaardigt.

Je komt dan uit bij de eigen dringende noodzaak: ik kan niet anders, en ik heb rekening gehouden met de privacy. De belangenafweging is dan simpel, kom nou toch. Je kunt immers prima zo’n telefoon voorzien van nepdata en dan de studenten aan de slag laten gaan. En daarmee is er dus geen legitiem eigen belang om hiermee te gaan werken. Met een beetje goede wil kun je dit zelfs het opzettelijk verzorgen van een datalek noemen, een ongeautoriseerde verwerking.

Het lastige is alleen: hoe vertel je dat die docent?

Arnoud

Kun je als freelancer de aansprakelijkheid voor je werk afschuiven op de opdrachtgever?

| AE 9189 | Aansprakelijkheid, Software | 8 reacties

Een lezer vroeg me:

Sel dat je als freelancer aan een (software)project werkt voor een opdrachtgever, en om de een of andere reden is wat je aan het bouwen bent niet legaal. Misschien niet heel evident maar je ziet wel twijfels. Moet je daar dan nader onderzoek naar doen, juridisch advies inwinnen of kun je dat bij je opdrachtgever neerleggen in bijvoorbeeld de opdrachtbevestiging of algemene voorwaarden?

Dit is zo heel algemeen natuurlijk lastig te zeggen. Je kunt in een zakelijke overeenkomst veel doen, inclusief aansprakelijkheden voor van alles en nog wat verleggen naar je opdrachtgever. Je zult daar wel expliciet over moeten zijn en het is natuurlijk maar de vraag waarom je opdrachtgever daarmee akkoord zou gaan.

Voor mij zou een belangrijke zijn of wat je aan het bouwen bent nooit legaal kan zijn of juist soms. Een goksite kan illegaal zijn, maar als de opdrachtgever keurig een vergunning weet te krijgen, dan is er niets aan de hand. Als de opdrachtgever je vraagt iets te maken om zijn ex permanent te kunnen volgen, dan is de legale optie iets minder goed voorstelbaar.

Ook zou het nogal uitmaken hoe ernstig de illegaliteit is. Als een webwinkelier zijn btw-nummer niet op de site wil (dat is immers ook zijn BSN), dan is dat een wetsovertreding maar dat is van een iets andere orde dan die spyware. Ik zou daar minder moeite mee hebben om in mee te gaan als ontwikkelaar.

Hetzelfde geldt voor de vraag wiens idee het was, die illegale feature. Standaard het btw-nummer weglaten omdat het de klant zijn privacy raakt (het is immers zijn BSN) vind ik heel wat anders dan op klantverzoek en na discussie dat nummer weglaten. Of bij implementatie van iemands analytics geen cookietoestemming vragen omdat de cookiewet idioot is en toch niemand het leest. Dat mag je vinden, maar dat is een beslissing van je klant.

In de security-wereld kennen ze dit probleem al langer: veel security-onderzoek botst tegen de grijze randjes van computervredebreuk aan. Hiervoor is het instrument van de pentest waiver uitgevonden, waarin de opdrachtgever kortweg zegt dat het onderzoek mag en dat hij van iedereen toestemming heeft en je vrijwaart van claims van de hele wereld.

Het belangrijkste lijkt me om in zulke twijfelgevallen vast te leggen wat de zorg is, hoe daarover gesproken is en wat de conclusie was. Dat sluit ook aan bij je zorgplicht als opdrachtnemer (art. 7:400 BW). Als een opdrachtgever willens en wetens een bepaald risico neemt, dan kan hij daarna moeilijk nog een claim bij de ontwikkelaar leggen. Het vergt dus meer dan alleen een zin “alle aansprakelijkheid op het resultaat ligt bij de klant”.

Hebben jullie wel eens een opdracht gehad waarvan je dacht, dit lijkt me niet legaal?

Arnoud

Wie heeft het auteursrecht op een werk? (2)

| AE 508 | Arbeidsrecht, Auteursrecht, Contracten | Er zijn nog geen reacties

Ik kom nog even terug op één onderdeel van mijn post van gisteren over wie het auteursrecht heeft op een werk.

Wie een arbeidsovereenkomst met een bedrijf met als deel van zijn taakomschrijving het “vervaardigen van bepaalde werken”, heeft geen auteursrecht op die bepaalde werken. Dat ligt dan bij de werkgever, het bedrijf dus.

Geldt dit ook voor een freelancer? Nee. Een freelancer heeft wat heet een “overeenkomst van opdracht” met de opdrachtgever. Die speciale regelingen over auteursrecht bij de werkgever gelden alleen als er arbeidsovereenkomsten zijn.

Bij allebei soorten overeenkomst is er een instructie (je moet iets doen) en een vergoeding (je krijgt daar geld voor). Het verschil is, bij de freelancer is geen gezagsverhouding en bij de werknemer wel. De werkgever kan allerlei instructies geven en de werknemer heeft die maar op te volgen. Bijvoorbeeld dat je van 9 tot 5 aan je bureau moet zitten typen. De freelander beslist in principe zelf wanneer hij de opdracht uitvoert, zolang hij deze maar op de afgesproken datum af heeft.

Deze regels komen niet direct uit de auteurswet, maar uit het arbeidsrecht. Je moet dus via de ‘gewone’ regels van het arbeidsrecht kijken of er een dienstverband is, en daarna pas of het werk dat de werknemer gemaakt heeft valt onder de “bepaalde werken” van artikel 7 van de auteurswet.

Arnoud