Hoe moet de universiteit Maastricht omgaan met de Clop ransomware?

| AE 11695 | Ondernemingsvrijheid, Security | 37 reacties

De universiteit van Maastricht kampt mogelijk nog de hele kerstvakantie met hinder van een grote cyberaanval, waardoor nagenoeg alle universiteitssystemen platliggen. Dat meldde de NOS eind vorig jaar. Het gaat om ransomware, software die data versleutelt tenzij losgeld wordt betaald – in dit geval het Clop virus. Er is aangifte gedaan en volgens universiteitsblad Observant is een team van zo’n 25 IT-experts dag en nacht bezig om de aanval te ontmantelen. Ik kreeg in de kerstvakantie vele mails van met name studenten over waar ze nu staan met bijvoorbeeld hun afstuderen, maar de interessantste vraag kwam van een lezer die zich afvroeg of de verzekeraar van de universiteit gaat betalen. Dat schijnt namelijk normaal te zijn?

Net voor de kerst werd de universiteit getroffen door het Clop virus, dat zich blijkt te richten op grote instellingen en overheden. Het virus versleutelt niet alleen individuele bestanden (zoals de meeste ransomware) maar ook netwerken: alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. Dan heb je best wel een probleem als organisatie, zoals nu ook blijkt uit de enorme inspanning die de universiteit samen met Fox-IT levert om alles weer te herstellen.

Het plan was om begin januari weer gewoon open te gaan, zij het met natuurlijk nogal wat beperkingen qua netwerkverkeer, toegang tot studie-informatie en ga zo maar door. Er is nog niets over regelingen bekend, maar dit lijkt me zo’n evident geval van overmacht dat zaken als deadlines of inleverdata zonder problemen opgeschoven kunnen worden.

Die ene lezer had nog best een punt: het is niet ondenkbaar dat een verzekeraar het losgeld betaalt wanneer ransomware heeft toegeslagen bij een polishouder. Zakelijk is het immers puur een rekensom: wat kost het om het hele systeem terug te zetten, en hoe hoog is het losgeld? Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.

Voor een individueel slachtoffer is het dus niet gek om gewoon te betalen, hoewel maatschappelijk gezien dat natuurlijk buitengewoon onwenselijk is. Voor een verzekeraar voelt het gekker: die heeft meer klanten die mogelijk slachtoffer kunnen worden, en veroorzaakt zo meer claims bij zichzelf (en concullega’s). Maar voor het individuele geval zou het ook bij de verzekeraar een prima oplossing kunnen zijn.

Ik ken geen wet die expliciet verbiedt dat een verzekeraar losgeld betaalt. Als de verzekeraar dit in de polis zet als recht, dan zou dat waarschijnlijk in strijd met de openbare orde of goede zeden zijn (art. 3:40 BW). Maar dat levert volgens mij alleen op dat de klant de verzekeraar niet kan dwingen te betalen (een dergelijke verbintenis is immers nietig) of dat de verzekeraar het geld als onverschuldigd betaald kan terugvorderen bij de ransomware-verspreider (en dat heeft geen betekenis). Ik ken geen artikel uit het wetboek van strafrecht dat je tegen zo’n betalende verzekeraar in kunt zetten. Waarschijnlijk is het nooit verboden omdat niemand er aan gedacht heeft dat dit grootschalig een ding kon worden – bij traditionele gijzelingen is de politie er meestal bij betrokken, en die kan dan bepalen wat wijsheid is.

Arnoud

Univé verzekert gehackte pc consument

| AE 9764 | Security | 11 reacties

Verzekeraar Univé introduceert een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers, las ik bij AMweb. Een speciaal kastje en een hulplijn moeten voorkomen dat het misgaat. Weten cybercriminelen je pc toch te vernielen dan vergoedt de coöperatieve verzekeraar de schade. En dat voor twaalf euro per maand. Ik kreeg er veel vragen over: voegt dit wat toe en wat heb je er aan?

Het is bij mijn weten de eerste verzekeraar die expliciet ICT-schade dekt onder een verzekering. Natuurlijk heeft iedereen al schadeverzekeringen, maar die dekken meestal alleen zogeheten letsel- en zaakschade: mensen of dingen die fysiek stuk gaan. Bij ICT-problemen is vaak eerder sprake van vermogensschade, áls er al schade is: zet maar eens een prijs op driehonderd verloren JPEG’s of de kosten van het opnieuw instellen van je tienduizend persoonlijke voorkeuren op je net opnieuw geïnstalleerde laptop. Dus een specifieke ICT-verzekering kan wat toevoegen hier.

Of deze verzekering genoeg doet daarvoor, is me nog niet duidelijk. Het ND zocht het uit en concludeerde dat je nou net geen schadevergoeding krijgt voor het verlies van bestanden met een emotionele waarde, zoals familiefoto’s, of voor betaald losgeld bij ransomware. Maar men dekt je wel wanneer jouw pc bij anderen schade aanricht, zoals wanneer een virus op jouw laptop overspringt naar zeg de postduivenvereniging waar je secretaris bent. (Bij je werkgever boeit dat niet, want die kan jou niet aansprakelijk stellen voor virussen die door jouw nalatigheid het bedrijfsnetwerk infecteren.)

Een interessant punt vond ik dat de verzekeraar je een modem met F-Secure SENSE firewall geeft, om zo de risico’s praktisch te beperken. (Een ding van 199 euro en na het eerste jaar 9,90 per maand securityupdates.) Dat is een mooie geste die voor veel consumenten wel wat toe kan voegen. En het past in de trend die ik in de zakelijke markt zie: niet alleen een risico dekken maar ook actief stimuleren (of zelfs verplichten) dat schadebeperkende maatregelen worden genomen.

Tegelijk kun je je afvragen, zou je voor dat geld niet zo’n firewall en een backupoplossing kunnen kopen als consument?

Arnoud

Mag een verzekeraar mensen googelen en dan persoonlijk gaan observeren?

| AE 6358 | Ondernemingsvrijheid, Privacy | 41 reacties

feitenonderzoek-google.pngVoor verzekeraars is internet een dankbare bron om dubieuze claims te verifiëren. Weinig dingen zo eenvoudig als even op Facebook kijken of iemand daar poseert met de zonnebril die een week eerder als gestolen opgegeven is, of op Twitter nalezen of een ziek persoon toch naar een feestje is geweest. Al in 2011 werd in de media gemeld dat verzekeraars ook daadwerkelijk dergelijke online controles uitoefenen van claims. Vooral als ze vermoeden dat er fraude in het spel is, kijken ze naar de Facebook- of Hyvespagina van degene die declareert, aldus RTL Nieuws op 7 november 2011. En het gebeurt ook vandaag nog.

In een geruchtmakende zaak in 2012 moest een man een arbeidsongeschiktheidsuitkering van verzekeraar Aegon terugbetalen tot een bedrag van €75.336. De uitkering werd verstrekt na een bedrijfsongeval met als gevolg ernstige fysieke en psychische klachten, zoals niet meer dan 20 minuten te kunnen lopen of zitten. Feitenonderzoek op internet een jaar later liet echter zien dat de man op sportief, zakelijk en sociaal gebied ook na het ongeval nog actief was geweest. Zo kwam hij vijf maal voor in de online uitslagenlijst van de Amstel Curaçao Race (80 kilometer) en werd hij vermeld als succesvol deelnemer een wielertocht van 250 kilometer van Luxemburg naar Valkenswaard. En dat terwijl de man had gezegd “als een zombie op een fiets te zitten” en pijnstillers te moeten slikken. Ook werd hij op online foto’s (met bijschriften) gesignaleerd als vaste supporter en in een krantenartikel omschreven als “vaste chauffeur en psychologisch begeleider” van een lokaal zaalvoetbalteam.

Heel recent speelde hetzelfde punt, maar dan nog een stapje erger: niet alleen internetonderzoek maar ook een persoonlijk onderzoek, oftewel structureel volgen. De vrouw in deze zaak was slachtoffer van een aanrijding door een persoon verzekerd bij Reaal. De conclusie van een neuroloog was dat de vrouw een “whiplash-like injury” had opgelopen, met pijn in de nek, rechterschouder en arm als gevolg. Dit leverde een aantal beperkingen op bij haar werk, hetgeen leidde tot een langdurig reïntegratietraject.

De aanleiding is niet geheel duidelijk, maar op enig moment besloot Reaal een persoonlijk onderzoek naar de vrouw te laten uitvoeren. Dit onderzoek bestond uit een dossieranalyse, deskresearch en uit het volgen, observeren en filmen van de vrouw. De ‘deskresearch’ bestaat uit internetonderzoek – naar ik vermoed googelen op naam van mevrouw, mogelijk aangevuld met andere persoonsgegevens zoals e-mailadressen of telefoonnummers.

Het internetonderzoek riep enkele vraagtekens op:

Uit de informatie van internet is naar voren gekomen dat betrokkene actiever lijkt te zijn dat wat ze heeft verklaard. Zo kan ze bijvoorbeeld meer dan alleen maar e-mails beantwoorden (ze is actief op diverse forums en schrijft blogs), lijkt ze actief (op zoek) te zijn met zaken gerelateerd aan recruitment en lijkt ze een actiever sociaal leven te hebben dan wat ze heeft verklaard.

Het advies op basis van bovenstaande was om over te gaan tot een persoonsgerichte observatie bij wijze van vervolgonderzoek. Deze observatie onthulde dat de vrouw actief is geweest met verschillende activiteiten, waaronder:

  • Het meerdere malen brengen en halen van haar kind naar en van school;
  • <li>Het op verschillende dagen winkelen en spullen kopen in verschillende winkels;</li>
    
    <li>Het aanwezig zijn als een begeleider van schoolkinderen bij een ijsbaan en vermoedelijk ook bij een kinderfeest;</li>
    
    <li>Het sporten in een sportschool; </li>
    
    <li>Betrokkene is daarbij meerdere malen waargenomen terwijl ze gevulde tassen bij zich droeg.</li>
    
    <li>Het in december een week lang afwezig zijn (geen brandend licht in huis, auto onder dik pak sneeuw bedolven), vermoedelijk op vakantie.</li>
    

(Ik noem dit even zo uitgebreid zodat jullie je ook wat onprettig voelen bij het idee van drie maanden lang op deze manier in de gaten gehouden worden.)

“Op geen enkel moment zijn er tijdens de observatie ogenschijnlijk enige fysieke beperkingen bij betrokkene waargenomen”, sluit het rapport af. Hierop werd een medisch advies aangevraagd, dat pleitte tegen het bestaan van de door de vrouw geclaimde klachten. Daarop stapte de vrouw naar de rechter, met onder meer de eis om het persoonlijkonderzoeksrapport als bewijs uit te laten sluiten bij de herbeoordeling van haar arbeidsongeschiktheid.

Hoewel een persoonlijk onderzoek als dit een inbreuk op de privacy oplevert, is het vaste jurisprudentie (Hoge Raad 16 juni 1987, NJ 1988, 850) dat een inbreuk op de privacy op zich geen reden is om bewijs uit te sluiten in civiele procedures. Daarvoor moet de inbreuk “rechtens ontoelaatbaar” zijn, en daarvan is pas sprake als er méér is dan alleen een schending op zich. Een ongeoorloofd inzetten van camera-observatie door een werkgever was in 2001 bij de Hoge Raad geen reden om gebruik van de beelden in een ontslagprocedure bij de kantonrechter te verbieden.

Een bijzondere omstandigheid in deze zaak is dat verzekeraars sinds 1997 werken met de zogeheten Gedragscode Persoonlijk Onderzoek. Deze code geeft de beginselen aan die een verzekeraar in acht moet nemen bij het uitvoeren van een persoonlijk onderzoek. Als centraal beginsel geldt dat een onderzoek als in deze zaak alleen mag worden verricht als voldaan is aan de eisen van proportionaliteit en subsidiariteit.

De rechtbank stelt vast dat niet aan deze eisen is voldaan bij het persoonlijk onderzoek, zodat het rapport wordt uitgesloten van het bewijs. Een verzekeraar die de Gedragscode schendt, behoort niet te worden beloond door het aldus verkregen bewijs te kunnen gebruiken, lijkt hier de gedachte. Afgezien van het rapport is er geen bewijs van fraude of misleiding, zodat een eerder deskundigenrapport leidend wordt verklaard. Partijen moeten nu opnieuw in gesprek om tot een vaststellingsovereenkomst te komen.

Opmerkelijk genoeg rept de rechtbank met geen woord over de toelaatbaarheid van het online onderzoek. De Gedragscode zelf werkt dit ook niet nader uit, tenzij men onder “inwinnen van informatie bij derden” ook het raadplegen van zoekmachines of openbare websites van derden rekent (artikel 7.2). In de hierboven aangehaalde zaak uit 2012 had de rechtbank ook geen moeite met een internetonderzoek naar een verzekerde. Daarmee lijkt het vooralsnog geen praktisch juridisch probleem te zijn om verzekerden te googelen bij claims. Maar hoe ver mag men daarbij gaan?

Arnoud

Mogen verzekeraars claims verifiëren middels Facebook?

| AE 2779 | Privacy | 17 reacties

Verzekeraars maken gebruik van sociale media om te kijken of mensen die schade hebben, de boel niet oplichten. Dat meldde RTL Nieuws gisteren. Men verwijst naar de Telegraaf, dat meldt over een verzekerde wiens autoverzekering stopgezet zou worden, omdat hij mee zou hebben gedaan aan straatraces. En, voor mij opmerkelijk, dat meldt dat het Cbp… Lees verder

Nieuwe regels over elektronische documenten en voorwaarden

| AE 2146 | Informatiemaatschappij | 26 reacties

Excuses voor de vertraging, maar ik moest het even nazoeken. Zoals donderdag beloofd: wat is er per 1 juli gewijzigd over algemene voorwaarden en de rechtsgeldigheid van elektronische documenten? De regels over algemene voorwaarden (art. 6:234 BW) zijn veranderd. Het wetsartikel is herschreven, met name om de leesbaarheid te vergroten (voor zover haalbaar, het is… Lees verder