Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag iTunes je muziekbestanden wissen?

| AE 8631 | Contracten | 18 reacties

itunes-appleApple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale definitie van ‘hebben’, want unieke versies van muziek bij Pinkum werden vervangen door de gewone massa-release, bijvoorbeeld. “The software is functioning as intended,” zegt Apple dan. Wat krijgen we nou?

Zoals Pinkum het samenvat:

(…) through the Apple Music subscription, which I had, Apple now deletes files from its users’ computers. When I signed up for Apple Music, iTunes evaluated my massive collection of Mp3s and WAV files, scanned Apple’s database for what it considered matches, then removed the original files from my internal hard drive. REMOVED them. Deleted. If Apple Music saw a file it didn’t recognize—which came up often, since I’m a freelance composer and have many music files that I created myself—it would then download it to Apple’s database, delete it from my hard drive, and serve it back to me when I wanted to listen, just like it would with my other music files it had deleted.

Ongetwijfeld dacht Apple dat dat handig is. Als muziek al in de cloud staat, waarom zou je daar nog domme lokale harde schijven mee lastig vallen? Vervang het lekker door een linkje en je kunt er overal bij. Oké, jammer van die unieke prereleaseversie die we nu vervangen hebben door de massa-editie, maar dat is een implementatiedetail. Of, het programmeurexcuus: dan moet je die prerelease niet de metadata geven van de gewone versie. Functioning as intended, pebkac.

Pinkum dook ook maar meteen in de voorwaarden. Letterlijk iets over dit wissen kon hij niet vinden (en ik ook niet), maar het staat er wel half:

iCloud Music Library is turned on automatically when you set up your Apple Music Subscription…When your Apple Music Subscription term ends, you will lose access to any songs stored in your iCloud Music Library.

Gaan we even kijken wat dat iCloud Music Library dan precies is:

Dankzij iTunes Match kun je al je muziek in iCloud bewaren, zelfs muziek die je van cd’s hebt geïmporteerd. Je hebt dan op al je apparaten toegang tot je muziek en kunt je hele bibliotheek beluisteren, waar je ook bent. Abonneren op iTunes Match doe je op je Mac, pc of iOS-apparaat.

Verder een hele mooie pagina met vlotte teksten, hippe plaatjes en een blij gevoel, alleen ik mis één detail: dat bestanden worden gewist nadat ze zijn “toegevoegd” aan de iCloud.

Maar is dat wel zo, wórden die bestanden per direct gewist na de import? Diverse bronnen zeggen van niet. Zo laat deze Twitteraar zien dat het best eens ‘gewoon’ een pebkac kan zijn: dialogbox niet goed gelezen, het verschil tussen “Delete download” en “Delete song” is immers reuze evident dus wat ben je voor n00b dan. iMore legt uit:

If you choose “Remove Download,” it will send the local file from your hard drive to your Trash, but leave the reference in your library — so that you can stream that track directly from iCloud Music Library. It won’t delete the file until you empty your Trash.

Dus inderdaad, het is een feature en iets waar je zelf voor koos. Dat je niet goed onderzoekt wat er gebeurt als je op een knopje drukt, tsja, dat ligt dan toch echt aan jou.

Juridisch gezien wordt het nu moeilijk. Iets zomaar wissen mag niet, dat moge duidelijk zijn. Je moet toestemming vragen en natuurlijk moet je dan uitleggen wat er gaat gebeuren. Daarbij moet je het te verwachten kennisniveau van de gebruiker in gedachten houden, maar veel verder dan dat komt het juridisch kader niet. De vraag wordt dan dus: is het duidelijk wat Apple hier geprogrammeerd heeft, moet je met die uitlegtekst en die dialog snappen dat je dan alleen een link naar de iCloud-versie van je muziek overhoudt?

Arnoud

Mag een werkgever verloren of gestolen BYOD-apparaten op afstand wissen?

| AE 5917 | Arbeidsrecht, Beveiliging | 32 reacties

Een lezer vroeg me:

Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten?

Een werkgever mag in principe eenzijdig regels stellen over hoe het werk moet worden uitgevoerd, en wat hij van de werknemer verwacht op de werkvloer en in de omgang met collega’s (art. 7:660 BW). Zo mag de werkgever eisen dat je een stropdas draagt of dat alleen de PR-mensen mogen praten met de pers.

ICT-reglementen zijn meestal op deze instructiebevoegdheid gebaseerd, en dat is dus legaal (ook zonder dat je ervoor getekend hebt) mits men maar binnen de grenzen van de wet blijft. Daarbij is de redelijkheid een belangrijke grond. Meer algemeen zijn er nog de privacy en de godsdienstvrijheid, denk aan een verbod op hoofddoekjes of een eis dat je aan het lichaam wordt gefouilleerd na elke werkdag.

De vraag is dus: is het rédelijk dat de werkgever zegt “we wissen je BYOD apparaat als deze gestolen wordt”? Natuurlijk, hij heeft een belang om bedrijfsdata te beschermen maar niet elke maatregel die dat belang dient, is toegestaan. Zeker niet als er óók belangen van de werknemer in het geding zijn.

Er moet dan ook een afweging komen tussen de belangen van de werkgever en die van de werknemer. Bij een gestolen apparaat lijkt de case evident: de telefoon is weg dus hoe maakt een remote wipe het dan erger? Maar wat nu als het toestel alleen maar kwijt is, en later teruggevonden wordt? Of als IT besluit vanwege een potentiële databreach álle BYOD apparaten te wipen (onder het motto: je weet maar nooit waar het heen gelekt is)?

Aansprakelijkheid van de werkgever is niet uit te sluiten bij fouten in zulke situaties, dus je moet daar écht goed over nadenken. Ik zou zeggen dat het eigenlijk alleen kan met toestemming van de werknemer of bij héle zware bedrijfsgeheimen die bij onthulling zulke grote schade opleveren dat de werknemer het verlies van zijn vakantiefoto’s en privéadministratie maar voor lief moet nemen. Maar misschien kan het wel alleen als de werkgever vervolgens het herstellen van die privégegevens vergoedt.

En het blijft me verbazen dat werkgevers als het om ICT gaan zúlke botte maatregelen invoeren onder het motto van “security”. In het kader van “breng je eigen aktetas” is er toch ook nooit de regel gesteld dat het bedrijf er een afstandbedienbaar explosief in mag aanbrengen voor het geval deze gestolen wordt?

Arnoud

Een admin die zomaar illegaal materiaal wist, mag dat?

| AE 5837 | Aansprakelijkheid, Arbeidsrecht | 67 reacties

Een lezer vroeg me: Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat… Lees verder

Leaseweb wist Megaupload-content, mag dat?

| AE 5657 | Aansprakelijkheid | 26 reacties

Kim Dotcom is mediagenieker dan Leaseweb. De Megauploadeigenaar riep op Twitter dat het Nederlandse hostingbedrijf alle data van zijn cyberlockerdienst had gewist afgelopen februari, meldde Tweakers gisteren. Dat is dan nieuws natuurlijk, en dat Leaseweb verwijst naar de al maanden openstaande facturen is slechts reden voor een update – en in de comments gaat iedereen… Lees verder

Toevoegen van debug=1 om kwade code te triggeren: computervredebreuk?

| AE 2605 | Beveiliging | 47 reacties

debug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een… Lees verder

Politie mag geen camerabeelden wissen

| AE 2436 | Privacy, Strafrecht | 17 reacties

De politie had een filmpje van een politie-optreden op de mobiele telefoon van een verdachte niet mogen wissen, las ik bij Mediareport. De rechter oordeelt dat daarmee “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” gewist is, zodat daarmee zijn grondrecht op een eerlijk proces (en vrije informatiegaring)… Lees verder

Data recovery op een tweedehands computer

| AE 1618 | Beveiliging, Privacy | 11 reacties

Een lezer mailde me: Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die… Lees verder