Hoe veel privacy heb je bij reparatie van je computer of smartphone?

| AE 13725 | Ondernemingsvrijheid, Privacy | 28 reacties

Bij het laten repareren van computers en smartphones is geen privacy en lopen mensen het risico dat hun persoonlijke foto’s en andere gegevens worden bekeken en gekopieerd, zo stellen onderzoekers van de University of Guelph in Canada. Dat meldde Security.nl onlangs. Speciaal geprepareerde laptops hielde in detail bij wat reparateurs op de machines allemaal uitvoerden: foto’s kopiëren, browsegeschiedenis bekijken en wachtwoorden noteren. Hoe zou dat bij ons uitpakken?

In theorie is het een strafbaar feit (art. 272/273 Strafrecht) om vertrouwelijke informatie van het werk te onthullen of voor andere doeleinden te gebruiken. Ik ken echter geen situaties waarin reparateurs werden vervolgd voor het soort handelen als in dat onderzoek werd beschreven. De AVG zou wel kunnen helpen, want je verwerkt als reparatiebedrijf dan persoonsgegevens op een manier die niet hoort bij de reparatie-opdracht. En uit je zorgplicht als dienstverlener volgt lijkt me ook wel dat je dit gewoon niet doet.

Het grote probleem is natuurlijk dat je hier moeilijk tot niet achter komt als klant. Heel misschien die wachtwoorden, maar de andere dingen kan een gewone gebruiker echt niet detecteren. En ze vooraf weghalen of afschermen is natuurlijk niet echt mogelijk, tegen de tijd dat je naar een reparatiewinkel gaat is de gemiddelde laptop of smartphone niet meer benaderbaar voor backups en afschermen.

Interessant vond ik nog het nieuwtje van Samsung en haar “Repair Mode“:

De modus geeft voldoende toegang om een reparatie uit te voeren, inclusief data over de apps van een device. Technici krijgen geen toegang tot de gebruikersgegevens van apps. Foto’s, sms’jes en e-mails blijven privé. … Samsung deelde geen details over de onderliggende technologie, maar we hebben een idee. Android-toestellen maken het reeds mogelijk om verschillende accounts voor verschillende gebruikers aan te maken.
Dit werkt bij smartphones denk ik vrij goed, zo’n gastaccount voor reparateurs zal dan geen sleutel bevatten om de user content te unlocken, maar biedt wel toegang tot instellingen van het apparaat zodat diagnostiek en controle uit te voeren is. Bij laptops zou ook zoiets kunnen, maar daar is disk encryptie (zoals Bitlocker) bij consumenten niet standaard. Dan zou je dus ook vanuit een gastenaccount op de harddisk kunnen gaan snuffelen, of gewoon de HD eruit halen en uitlezen.

Arnoud

Mag ik de computer van een wanbetaler blokkeren?

| AE 11784 | Ondernemingsvrijheid | 13 reacties

Op het forum van Security.nl las ik:

Als zelfstandige verkoop ik hardware, software en diensten. Een nieuwe klant bestelt bij mij de nodige hardware en laat zijn harddisk in zijn laptop vervangen door een SSD, daarnaast besteld hij antivirus voor deze laptop en voor een cruciale computer die een productiemachine aanstuurt. Ook sluit hij een abonnement af voor Exchange op een van mijn servers. Alles is geleverd en geïnstalleerd naar zijn tevredenheid, echter blijkt het zeer moeilijk om de rekeningen betaald te krijgen. Mag ik nu die laptop blokkeren of diensten afsluiten om hem zo tot betaling te dwingen?

Wanbetaling komt helaas nog vaak voor bij ondernemers, en je vooraf laten betalen is lang niet altijd een oplossing. De wet kent natuurlijk diverse mechanismen om wanbetaling te bestrijden. Je kunt gaan aanmanen, wettelijke rente eisen en daarna dagvaarden in de hoop dat de (kanton-)rechter hem tot betaling dwingt. Je mag ook in gevallen als deze weigeren de laptop terug te geven tot er betaald is (retentierecht).

Dit werkt niet altijd, en specifiek in de ICT worden dan ook middelen als bovenstaand aangewend. Ik ken reparateurs die dan het wachtwoord op de laptop wijzigen en alleen een heel beperkt gastenaccount aan laten staan, om eens wat te noemen. Dan heb je wel je laptop maar kun je zo weinig dat je toch maar gaat betalen. (En een reparateur die elk uur een popup mét geluid liet verschijnen met de tekst “Je moet nog betalen!!1!” maar daar zullen we het verder niet over hebben.)

Het afsluiten van diensten (zoals toegang tot Exchange via jouw servers) is zeker ook mogelijk. Wel is dit iets dat je in je algemene voorwaarden geregeld moet hebben, al is het maar om discussie te voorkomen over hoe snel je welk middel in mocht zetten. Het is verstandig om daarbij een getrapt mechanisme te hanteren, dus niet meteen het account en alle data wissen maar misschien eerst de dienst readonly (wel nog mails ontvangen maar niet meer sturen), daarna beperkte toegang (ook geen nieuwe mails meer lezen) en daarna geheel afgesloten.

Je kunt dit dan snel inzetten, bijvoorbeeld die eerste stap direct op de dag dat de betalingstermijn verstreken is. Een aanmaning of zelfs maar herinnering is juridisch niet nodig, dus het middel heeft sneller effect dan de formeel-juridische weg van aanmanen, redelijke termijn afwachten en dan opschorten (lees: na 14 dagen de gehele dienstverlening staken).

Heb je dit niet in je AV, dan kan het denk ik nog steeds maar moet je het minst ingrijpende middel kiezen en heel actief informeren en bovenop de klant zitten. Dus dan begin je met die dienst op readonly zetten, de klant daarover informeren en reactie afwachten enzovoorts. Dit omdat je juridische basis dan de redelijkheid is (art. 6:248 lid 1 BW), en dan moet je gewoon voorzichtig handelen.

Ik zou niet -zoals de vraagsteller op het forum zegt- dingen op de laptop gaan veranderen, zoals internet beperken tot de site van de dienstverlener en van de bank (om de factuur te betalen) of internet en usb sticks blokkeren om de laptop zo irritant mogelijk in het gebruik te maken. Als de wanbetaling gaat over die laptop, dan is echt het onder je houden van de laptop de beste manier.

Arnoud

Mag de politie computerreparateurs betalen om te dataspitten?

| AE 9308 | Regulering | 34 reacties

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

| AE 7858 | Security | 23 reacties

Een lezer vroeg me: Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer? Als… Lees verder

Ik wilde een nieuw toetsenbord en kreeg een lege harde schijf!

| AE 6431 | Ondernemingsvrijheid | 42 reacties

Een lezer vroeg me: Onlangs was van mijn laptop, drie maanden na aanschaf een toets afgebroken. Na reparatie bleek dat de reparateur alle Linux software en verdere software omgeving van de PC verwijderd had zonder toestemming hiervoor te vragen. Het heeft drie volle dagen geduurd voordat ik (als ICT professional) weer alles hersteld had. Een… Lees verder

Mag een reparateur zomaar rondkijken in de bestanden op je pc?

| AE 6260 | Ondernemingsvrijheid, Security | 9 reacties

Een lezer vroeg me: Is het een reparateur van een pc toegestaan om in de bestanden op de pc rond te snuffelen? Er kan vertrouwelijke of zelfs beursgevoelige informatie op staan. Maar reparateurs vinden af en toe ook ranzige inhoud die aan de politie wordt gerapporteerd. Dat is dus kennelijk wel toegestaan. Waar liggen de… Lees verder

3D dinsdag: Mag ik vervangende onderdelen van producten printen?

| AE 2557 | Innovatie | 10 reacties

Worden 3D-printers de nieuwe Napster? Met die vraag in het achterhoofd bespreek ik elke dinsdag een aspect van het intellectueel eigendomsrecht en waar dat botst met de mogelijkheden van 3D printen. Op basis van deze blogs en jullie feedback daarop wil ik hier uiteindelijk een boek van maken. En natuurlijk publiceer ik dan geen comments… Lees verder

Gebruiksvergoeding bij terugsturen defect product?

| AE 2516 | Ondernemingsvrijheid | 28 reacties

Moet je een gebruiksvergoeding betalen als een aankoop niet goed werkt? Nee, zei het Europese Hof in 2009. Maar veel Nederlandse winkeliers doen alsof hun neus bloedt en rekenen gewoon een vergoeding als je een defect product retourneert. Vorige week wees Alex me op een al wat ouder maar nog steeds interessant vonnis waarin ook… Lees verder

3D dinsdag: Het modellenrecht

| AE 2520 | Innovatie | 3 reacties

Worden 3D-printers de nieuwe Napster? Met die vraag in het achterhoofd bespreek ik elke dinsdag een aspect van het intellectueel eigendomsrecht en waar dat botst met de mogelijkheden van 3D printen. Op basis van deze blogs en jullie feedback daarop wil ik hier uiteindelijk een boek van maken. En natuurlijk publiceer ik dan geen comments… Lees verder