Een lezer vroeg me:
Als IT-consultant werk ik al jaren met het systeem van contractje en algemene voorwaarden. Nu doe ik sinds een tijdje ook specifieke securityklussen, en collega’s in dit vakgebied wijzen me er nu op dat ik klanten dan een pentest waiver moet laten tekenen. Maar is gewoon een duidelijke opdracht niet genoeg?
Zowel algemene voorwaarden als een pentest waiver beschermen je als opdrachtnemer. Een pentest waiver heeft vooral het voordeel dat hij explicieter en concreter is over het specifieke onderwerp van securityonderzoek.
Als het goed is, staan in je algemene voorwaarden al de nodige bepalingen waar je je klanten aan kunt houden: ze moeten de benodigde informatie geven, ze moeten zorgen dat jij het werk ongestoord kunt doen en ze moeten je vrijwaren van claims van derden die door hun toedoen bij jou op je bordje komen. Dit is generiek genoeg om ook claims van bijvoorbeeld leveranciers te pareren, en met een beetje goede wil ook om ze te dwingen je strafrechtadvocaat te betalen om vrijgesproken te worden van computervredebreuk.
Generiek is bij juridische zaken gelijk aan twijfelachtig en daarmee gelijk aan vele dure uren van juridisch advies en gebakkelei. Een pentestwaiver heeft als voornaamste voordeel dat dit er allemaal expliciet staat, zodat er minder discussie kan ontstaan. (Discussie tot nul reduceren is bij juristen onmogelijk.)
Een typische pentestwaiver vermeldt bijvoorbeeld expliciet dat er toestemming is van alle betrokkenen om hun infrastructuur te mogen binnendringen, en dat geen aangifte zal worden gedaan van vernieling van gegevens wanneer het pentest onderzoek door onzorgvuldigheid tot gegevensverlies leidt. Zo’n harde toezegging is erg handig om een aangifte of civielrechtelijke procedure direct te laten stranden.
Zonder een pentestwaiver moet je dus terugvallen op generieke teksten uit je algemene voorwaarden, en misschien krijg je dan wel het risico dat de klant zegt die nooit gekregen of geaccepteerd te hebben. Of hij stelt dat “het werk ongestoord doen” betekent dat hij een bureau en stoel moest leveren, maar niet dat hij bij leveranciers moest melden dat jij de gehele infrastructuur ging proberen binnen te dringen. En dan heb je een fors probleem als het misgegaan is met je opdracht en er een boze hostingleverancier aangifte heeft gedaan en tachtig man personeel een schadeclaim indienen wegens AVG overtredingen.
Arnoud