Wie is aansprakelijk voor misbruik van je VoIP-centrale?

| AE 2662 | Security | 7 reacties

voip-telefonie.pngAls iemand inbreekt op je VoIP-centrale en je duizend euro aan belkosten oplevert, is dat dan jouw probleem of dat van je telefonieprovider? Een lastige vraag, die maar al te vaak tot grote conflicten kan leiden. In een recent vonnis uit Maastricht legt de rechter de bal -terecht- bij de klant, maar wel mede (vooral?) vanwege het feit dat het ging om een eigen server.

De klant had een contract voor het leveren van VoIP-telefonie. Hij gebruikte daarbij een “eigen” server, maar het is me niet duidelijk of dat betekent “zelf gekocht” of “in eigen beheer”. Ik vermoed het laatste.

Voor deze dienst betaalde de klant gemiddeld ” 33,50 per maand, en de factuur van april 2010 voor ” 1.028,06 was dan ook enigszins een verrassing. Deze bleek te verklaren door een inbraak op de server in maart. Daarbij hadden derden vanuit Roemenië via hun centrale 150 keer naar Zimbabwe en Somalië gebeld.

De klant betwistte dat zij deze duizend euro moest betalen. De leverancier zou haar zorgplicht hebben geschonden, omdat zij geen beveiligingsmaatregelen of software had ingebouwd ter bescherming van de klant. Ook had de leverancier nooit gewaarschuwd voor malafide organisaties die op andermans kosten kunnen telefoneren. Plus, er kon zomaar onbeperkt gebeld worden, en dat is ongebruikelijk: andere bedrijven stellen een bellimiet in of geven een waarschuwing wanneer een afwijkend belpatroon optreedt.

De rechter gaat daar niet in mee. De klant had zich kunnen beveiligen tegen inbraken in de server, maar heeft daarvoor geen stappen genomen. Nergens is uit gebleken dat de leverancier nalatig was met waarschuwen of iets dergelijks.

En wat andere bedrijven doen (bellimieten of waarschuwingen) is niet relevant: de wet verplicht niet tot het overnemen van maatregelen van je concurrent. Dat zou pas kunnen als de maatregel zó evident is dat je van grove nalatigheid zou spreken als deze niet genomen wordt. En dan denk ik eerder aan het uitschakelen van alle wachtwoordbeveiliging dan aan een bellimiet.

Een professionele partij die een eigen VoIP-server heeft, wordt dus geacht zelf de beveiliging daarvan ter hand te nemen. De leverancier kan daarbij diensten verlenen, maar dat is niet standaard en hij mag er dus gewoon geld voor vragen.

Arnoud

Wiens verantwoordelijkheid is een mobiel abonnement met computer?

| AE 2492 | Ondernemingsvrijheid | 20 reacties

typhone.pngAls je bij een telecomshop een actiecombinatie bestelt van een mobiel abonnement, een telefoon en een computer, wie moet dan zorgen dat je die alledrie krijgt? Dat was de vraag waar de kantonrechter in Rotterdam zich over moest buigen. Een consument had bij Typhone.nl een Vodafoneabonnement gesloten, omdat hij dan een gratis multimediacomputer zou krijgen. Die zat alleen niet in het pakket dat hij per post geleverd kreeg, waarop hij de bestelling annuleerde. Vodafone verwees toen naar Typhone: die hadden de computer beloofd, niet zij.

Voor veel mensen is het moeilijk te achterhalen met wie je nu zaken doet in telecomland. Partijen zoals Typhone bieden allerlei pakketten en allerlei combinaties aan, maar treden daarbij vaak op als tussenpersoon of bemiddelaar tussen de telecomprovider (Vodafone in dit geval) en de consument. Het contract wordt dan dus met de provider gesloten, niet met de telecomshop. Aanleiding tot de rechtszaak was het feit dat de “actiecombinatie” die de klant had uitgezocht, bleek te bestaan uit een abonnement met telefoon te leveren door Vodafone en een computer door Typhone zelf.

De afwezigheid van de computer was voor deze consument reden om het abonnement te annuleren: er kon niet binnen afzienbare tijd worden geleverd, dus er was sprake van wanprestatie en dan mag je annuleren. Vodafone was het daar mee oneens, en meldde meneer meteen maar aan bij het BKR en Preventel wegens wanbetaling. Gezellig. (Update 17/7/2013 in andere zaak werd die praktijk stevig afgekeurd door de rechter.)

De rechter ziet in het contract duidelijk staan dat de contractspartijen de consument en Vodafone zijn. Typhone is slechts tussenpersoon en “valt er tussenuit” zoals dat heet. De computer stond niet in dat contract genoemd, dus wiens probleem was die nu?

[Vodafone] heeft niet weersproken dat Typhone.nl aan [gedaagde] in verband met het afsluiten van de overeenkomst mobiele telefonie een gratis multimediacomputer heeft toegezegd. Dit cadeau is zozeer verbonden aan het afsluiten van de overeenkomst, dat [gedaagde] er vanuit mocht gaan dat deze computer een onderdeel van de overeenkomst met Vodafone vormde.

Nergens was duidelijk gezegd dat de computer een apart kadootje van Typhone was dat apart geleverd werd. De onduidelijkheid die dat oplevert, komt dan voor rekening van Vodafone omdat Typhone hun tussenpersoon is. Dat blijkt uit de wet (art. 3:66 BW), die bepaalt dat rechtshandelingen van de tussenpersoon in principe voor rekening van de principaal (achterman) moeten komen.

Omdat de computer niet werd geleverd, en een Vodafone-medewerker meldde dat dit ook niet binnen afzienbare tijd zou gebeuren, mocht de consument per direct het abonnement annuleren. Een dergelijke situatie telt als “tijdelijke onmogelijkheid in de nakoming”, zoals dat heet, en dat is grond voor ontbinding. Er hoeft niets te worden terugbetaald, want de consument had de bestelling geweigerd en dus niet van de diensten gebruik gemaakt.

Ook moeten de BKR- en Preventel-registraties ongedaan worden gemaakt. De schadeclaim van de consument daarbij wordt echter afgewezen, omdat hij niet kan bewijzen welke schade hij heeft geleden. Ook claimde hij in zijn persoon te zijn aangetast, maar die reputatieschade is ook niet onderbouwd. Formeel juist maar wel een tikje irritant. Misschien wordt het tijd dat het BKR een regel invoert dat een bedrijf dat ten onrechte een consument aanmeldt, een boete moet betalen als dat uitkomt?

Arnoud

Loggen van privé-gebruik van e-mail en internet op het werk mag niet zomaar

| AE 74 | Privacy, Security | 2 reacties

Gevonden op Security.NL:

Het monitoren van telefoon- en internetverkeer van personeel in hun eigen huis door de werkgever is een schending van de mensenrechten, zo heeft het Europese Hof voor de Rechten van de Mens onlangs geoordeeld.

In de zaak Copland vs. het Verenigd Koninkrijk (zie ook Out-law.com)werd al het e-mail-, telefoon- en internet-verkeer van een medewerker gelogd. Het ging dan om verkeersgegevens (met wie belde of mailde ze, welke sites bezocht ze en op wel tijdstip) en niet op het opnemen van de inhoud zelf.

Het Europese Hof heeft al diverse malen eerder geoordeeld dat privé-telefoongesprekken op het werk ook onder het grondrecht van privacy vallen. In dit arrest wordt die lijn doorgetrokken naar privé-email en privé-internetgebruik.

Het bijhouden van privé-gebruik van telefoon, e-mail en internet op het werk mag dan alleen als dit bij wet geregeld is. In Nederland hebben we daarvoor de Wet Bescherming Persoonsgegevens. Op grond van deze wet is het toegestaan om netwerkverkeer te loggen om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Gebruikers moeten hierover wel worden geïnformeerd.

In het Verenigd Koninkrijk was er op dat moment nog geen vergelijkbare wet. En inbreuken op iemands privacy mogen alleen als er een wet is. Daarom werd het bedrijf in deze zaak in het ongelijk gesteld.

Arnoud