Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

| AE 6086 | Security | 23 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

| AE 5901 | Informatiemaatschappij | 23 reacties

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

Mag ik een hosted dienst afsluiten bij wanbetaling?

| AE 5631 | Informatiemaatschappij | 3 reacties

Het lijkt vrij logisch bij een internetdienst: als de klant niet betaalt, dan sluit je de toegang tot de dienst af. Dat is immers het sterkste machtsmiddel dat je hebt. En aangenomen dat de klant die dienst belangrijk vindt (waarom betaalt hij er anders voor), zal hij dan snel alsnog over de brug komen met de achterstallige betalingen. Maar helemaal zonder risico is het niet.

De wet noemt het tijdelijk niet leveren van een dienst bij wanbetaling van de wederpartij ‘opschorten’. In principe ben je vrij in de keuze hoe je wilt opschorten, maar je moet daarbij wel altijd rekening houden met de redelijke belangen van de klant en de hoogte van de wanbetaling. De wet zegt dat “opschorting slechts toegelaten [is], voor zover de tekortkoming haar rechtvaardigt.” Het is niet aan te raden om de gehele dienstverlening naar de klant te staken als deze alleen de BTW op een factuur is vergeten te betalen. E-mail van zijn klanten laten bouncen is zelden verstandig. Uitgaande diensten (verzenden van mail bijvoorbeeld) kun je probleemloos wel gewoon blokkeren.

Ik raad altijd aan om een gefaseerd proces van opschorten te hanteren, en dat ook duidelijk in de voorwaarden op te nemen. Mijn standaardaanpak: eerst gaat de applicatie op read only, een week later worden gewone gebruikersaccounts geblokkeerd en een week daarna wordt de gehele applicatie ontoegankelijk. Door dit vooraf te melden én op een duidelijke en redelijke manier uit te werken, sta je sterk als de klant naar de rechter stapt en claimt dat je niet proportioneel hebt gehandeld.

De periode van opschorting mag je in principe laten lopen tot de klant zijn rekening heeft betaald. De klant moet echter gewoon zijn lopende verplichtingen blijven voldoen. Hij moet dus ook betalen voor de periode dat je de dienstverlening opgeschort hebt. Eventueel kun je ook af- of aansluitingskosten in rekening brengen. Maar ook hier geldt: dit moet wel redelijk zijn in de gegeven omstandigheden. Plus, het bestaan van dergelijke kosten moet in de voorwaarden zijn gemeld.

Opschorten is niet zonder risico: als achteraf blijkt dat dit niet terecht was, moet je de klant schadeloos stellen voor de periode dat de dienst niet te gebruiken was. Verwijzen naar de beperkte aansprakelijkheid uit je algemene voorwaarden gaat je niet helpen. Opschorten valt onder “opzettelijK” handelen en daarvoor mag je nooit je aansprakelijkheid uitsluiten.

Als zelfs opschorting geen zoden aan de dijk zet, zal de volgende stap opzegging van het contract zijn wegens wanprestatie. Ook dit middel moet in redelijke verhouding staan tot de wanbetaling. Maar dit middel is een stuk zwaarder, want je gaat nu onherstelbare dingen doen: het account afkoppelen, de dienst onbereikbaar maken en mogelijk zelfs data wissen.

Lastig is dat hier allemaal weinig over geregeld is in de wet. Data is niets dus als die weg is dan kun je als klant niets eisen. Dat voelt niet helemaal lekker, zeker niet als achteraf blijkt dat de reden voor afsluiting een misverstand of overmacht was. Ook hier dus: zorg voor een duidelijke procedure bij afsluiting en bewaar als het even kan de data totdat je zeker weet dat de klant weg blijft.

Arnoud

Argh, wéér een popup – “D66 wil bijsluiter voor datagraaien in de cloud”

| AE 5176 | Privacy, Security | 15 reacties

Hier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door… Lees verder

“Jurisdictie wordt bepaald door waar je informatie als eerste binnenkomt”, pardon?

| AE 5155 | Intellectuele rechten, Security | 10 reacties

Ik heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking: Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als… Lees verder

Wanneer is een cloudprovider Amerikaans (of Nederlands)?

| AE 5084 | Intellectuele rechten, Security | 27 reacties

Een lezer vroeg me: Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er? Met de term “Amerikaanse cloud” bedoelde… Lees verder

Een digitale schoenendoos met bonnetjes voor de curator

| AE 2959 | Informatiemaatschappij | 16 reacties

Dit gaan we steeds vaker krijgen: faillissementsproblemen in de cloud. Waar een bedrijf vroeger hooguit voor stroom en elektriciteit afhankelijk was van derden voor het dagelijks functioneren, is nu (naast koffie) de internettoegang en de gehoste diensten absoluut cruciaal. Maar als een bedrijf failliet gaat, zal zo’n leverancier natuurlijk meteen de stekker eruit trekken want… Lees verder