Wie is aansprakelijk voor misbruik van je VoIP-centrale?

| AE 2662 | Security | 7 reacties

voip-telefonie.pngAls iemand inbreekt op je VoIP-centrale en je duizend euro aan belkosten oplevert, is dat dan jouw probleem of dat van je telefonieprovider? Een lastige vraag, die maar al te vaak tot grote conflicten kan leiden. In een recent vonnis uit Maastricht legt de rechter de bal -terecht- bij de klant, maar wel mede (vooral?) vanwege het feit dat het ging om een eigen server.

De klant had een contract voor het leveren van VoIP-telefonie. Hij gebruikte daarbij een “eigen” server, maar het is me niet duidelijk of dat betekent “zelf gekocht” of “in eigen beheer”. Ik vermoed het laatste.

Voor deze dienst betaalde de klant gemiddeld ” 33,50 per maand, en de factuur van april 2010 voor ” 1.028,06 was dan ook enigszins een verrassing. Deze bleek te verklaren door een inbraak op de server in maart. Daarbij hadden derden vanuit Roemenië via hun centrale 150 keer naar Zimbabwe en Somalië gebeld.

De klant betwistte dat zij deze duizend euro moest betalen. De leverancier zou haar zorgplicht hebben geschonden, omdat zij geen beveiligingsmaatregelen of software had ingebouwd ter bescherming van de klant. Ook had de leverancier nooit gewaarschuwd voor malafide organisaties die op andermans kosten kunnen telefoneren. Plus, er kon zomaar onbeperkt gebeld worden, en dat is ongebruikelijk: andere bedrijven stellen een bellimiet in of geven een waarschuwing wanneer een afwijkend belpatroon optreedt.

De rechter gaat daar niet in mee. De klant had zich kunnen beveiligen tegen inbraken in de server, maar heeft daarvoor geen stappen genomen. Nergens is uit gebleken dat de leverancier nalatig was met waarschuwen of iets dergelijks.

En wat andere bedrijven doen (bellimieten of waarschuwingen) is niet relevant: de wet verplicht niet tot het overnemen van maatregelen van je concurrent. Dat zou pas kunnen als de maatregel zó evident is dat je van grove nalatigheid zou spreken als deze niet genomen wordt. En dan denk ik eerder aan het uitschakelen van alle wachtwoordbeveiliging dan aan een bellimiet.

Een professionele partij die een eigen VoIP-server heeft, wordt dus geacht zelf de beveiliging daarvan ter hand te nemen. De leverancier kan daarbij diensten verlenen, maar dat is niet standaard en hij mag er dus gewoon geld voor vragen.

Arnoud

“You wouldn’t download a server” – maar Brein wel

| AE 2438 | Intellectuele rechten | 115 reacties

youwouldntdownloadaserversmall.pngStichting Brein handelde in strijd met de wet door servers zonder gerechtelijk bevel in beslag te nemen, meldde Tweakers gisteren op gezag van onder meer hoogleraar executie- en beslagrecht Ton Jongbloed. De stichting had de servers meegenomen bij hostingprovider Worldstream omdat deze een grote topsite zouden hosten. “Ik heb de indruk dat Worldstream wat makkelijk heeft gezegd: neem maar mee”, zei ik voorzichtig bij Webwereld. “Al kan ik me wel voorstellen dat partijen snel overdonderd en geïntimideerd zijn door de manier waarop Brein werkt.” Minder voorzichtigheid bij ITenRecht.nl: daar spreken ze van eigenrichting (art. 284 Strafrecht).

Brein beroept zich op de Auteurswet, en inderdaad staat er in artikel 28 van die wet dat een rechthebbende roerende zaken (zoals harde schijven dus) die een inbreuk opleveren kan opeisen als zijn eigendom dan wel onttrekking aan het verkeer, vernietiging of onbruikbaarmaking daarvan kan vorderen. Doel hiervan is dat illegale kopieën zo van de markt gehaald kunnen worden. Maar om van dit recht gebruik te kunnen maken, moet een rechter daar wel toestemming voor hebben gegeven. Zie de Memorie van Toelichting en artikel 10 van de Europese Richtlijn waar dit uit komt.

De rechter moet daarbij (zie achtste lid) zoeken naar “evenredigheid tussen de ernst van de inbreuk en de gevorderde maatregelen en met de belangen van derden.” Het lijkt me bijvoorbeeld wel redelijk dat de rechter inbeslagname en vernietiging van een stapel illegaal gekopieerde dvd’s vordert, maar niet dat een boek wordt teruggehaald omdat er één inbreukmakende foto in staat. Hoe dat bij servers moet uitpakken, is een lastige vraag want dit is nog niet eerder aan de orde geweest. Belangrijk lijkt me in ieder geval wel dat zo’n server ook de nodige niet-inbreukmakende data zal bevatten, zodat opeisen als eigendom me niet redelijk lijkt. Dat zou een onevenredige privacyschending zijn. Vernietiging van de server lijkt me dan meer voor de hand liggen – als vaststaat dat dit een zaak is die inbreuk op het auteursrecht oplevert.

Brein blijkt volgens Webwereld en in de server rondgekeken te hebben:

Brein schrijft tevens: “Van het Gmail-adres dat uw klant gebruikt werden geen bestanden teruggevonden op de in beslag genomen servers.” Dit impliceert dat Brein de inhoud van de servers heeft onderzocht. Bovendien klaagt de eigenaar dat er wachtwoorden van verschillende accounts zijn veranderd.

Nog even afgezien van de opmerking in hun eigen persbericht dat “Er zijn geen aanwijzingen dat er iets anders dan de inbreuken en daarmee verband houdende gegevens op de servers staan.” Hoe weet je dat als er niet gekeken is op de harde schijven?

De advocaat van de provider heeft beslag laten leggen bij Brein zodat deze de servers niet meer mag kwijtmaken of daar nog langer iets mee doen. Of en wanneer de provider een rechtszaak gaat beginnen tegen Brein is nog niet duidelijk.

Tijd in ieder geval voor een nieuw shirt (bedankt eth0 voor de tip): You wouldn’t download a server!

Update (14:46) bij Webwereld meldt de hoster dat “Als wij lucht krijgen van illegale content dan halen we dat meteen offline. Dat is ons goed recht. We willen gewoon geen rommel in ons netwerk.” Het meegeven aan Brein zou in overleg met een jurist zijn geaccordeerd.

Arnoud