Als de inspecteurs binnenvallen, gaan bij Uber alle schermen op zwart

| AE 13457 | Informatiemaatschappij, Ondernemingsvrijheid | 9 reacties

Als Uber in 2014 in Europa wil starten met taxidienst Uberpop, ontstaat er een strijd met de autoriteiten om deze dienst die gebruikmaakt van chauffeurs zonder vergunning te legaliseren. Dat meldde het FD onlangs. “Please hit the kill switch ASAP … Access must be shut down in AMS‘. Zo citeert men dan Uber CEO Travis Kalanick, die geschrokken reageert op een inval van de Inspectie Leefomgeving en Transport, die toezicht houdt op de taxidiensten. De schermen gaan dan ook op zwart, zodat niemand nog bij de informatie kan. Dat zou stevige juridische gevolgen moeten hebben.

Uit gelekte interne stukken blijkt dat Uber tot het uiterste gaat om Uberpop – haar illegale snordersdienst gepromoot als Web 2.0 sociale deeldienst – erdoor te drukken. Inclusief de inzet van Neelie Kroes, over wiens pro-Uber tweet ik me al in 2014 verbaasde omdat ze toen nog Eurocommissaris was. Maar dat terzijde. Zoals FD zegt, het was “direct duidelijk dat de taxidienst verboden is, en alleen een wetswijziging [kan] Uberpop uit de illegaliteit houden.” En de toezichthouder mag ze daar aan houden, en kan desnoods een inval doen om de bewijzen te verzamelen.

Uber ziet dat uiteraard anders, maar krijgt tot mijn (positieve) verrassing van Zuidaskantoor De Brauw te horen dat je daar echt aan moet meewerken.

Wat de advocaten niet lijken te weten, is dat Uber nog een plan achter de hand heeft om de handhaving te frustreren: het blokkeren van alle computers tijdens een inval. En dat is precies wat Uber eind maart en begin april 2015 tijdens twee invallen door de ILT doet. ‘Het lijkt er sterk op dat hier de wet is overtreden’, zegt Brendan Newitt, advocaat bij De Roos & Pen. ‘De toegang tot informatie is vergrendeld. Daarmee werkte Uber niet mee aan de vordering van de inspecteur. Dat is een economisch delict en ook een strafbaar feit vanuit het strafrecht. De administratie moet beschikbaar en inzichtelijk zijn.’
Dit is typisch zo’n nieuw probleem dat dankzij ict ontstaat. Vroeger stond je administratie op papier ergens in een kamer. Maar heel weinig bedrijven hadden dan een mega-versnipperaar of houtkachel paraat om alles te verbranden, en wie dat overwoog wist in ieder geval heel zeker dat hij iets deed dat niet de bedoeling was. Met ict middelen lijkt het allemaal minder erg, waardoor je vaker over dit soort trucs leest.

Het deed me denken aan de actie van Centric-directeur Gerard Sanderink, die zijn telefoon op afstand liet wissen bij een inval. Dat kostte hem een miljoen aan dwangsommen. Verschil is hier: dit is een inval door een toezichthouder in het kader van handhaving van een wet, geen actie in het kader van een civiel geschil. De medewerkingsplicht is een stuk groter en de straffen ook een stuk ernstiger. Kort gezegd, als je een inval van een toezichthouder krijgt dan werk je mee en verschaf je alle informatie (art. 5:20 Algemene wet bestuursrecht). Dat betekent dus ook dat je wachtwoorden verstrekt, toegang geeft tot databases en wat er maar nodig is. Dit is bestuursrecht, “tegen jezelf getuigen” is daarbij geen argument. De straf kan tot drie maanden cel oplopen, en dwangsommen kunnen worden opgelegd tot alle informatie wordt verstrekt.

Ook is het strafrecht hier in beeld, nu het gaat om het niet toegankelijk maken van de administratie. Vorig jaar werd nog een ondernemer veroordeeld tot een taakstraf voor het niet voeren van een administratie, een collega kreeg een boete van 4000 euro. Dat waren kleine ondernemers, de theoretische maxima zijn vier jaar cel of € 22.500 boete. Heel erg in theorie zou Nederland nu een verzoek tot uitlevering van Kalanick kunnen doen, zowel in de VS als hier is het immers strafbaar om je administratie te verhullen. Maar dan moet de politieke wil wel heel erg groot zijn.

Arnoud

Mag de politie je systeem patchen na een malware infectie?

| AE 12625 | Security | 9 reacties

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag iTunes je muziekbestanden wissen?

| AE 8631 | Informatiemaatschappij | 18 reacties

Apple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale… Lees verder

Mag een werkgever verloren of gestolen BYOD-apparaten op afstand wissen?

| AE 5917 | Ondernemingsvrijheid, Security | 32 reacties

Een lezer vroeg me: Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten? Een werkgever mag in principe eenzijdig regels stellen over hoe… Lees verder

Een admin die zomaar illegaal materiaal wist, mag dat?

| AE 5837 | Ondernemingsvrijheid | 67 reacties

Een lezer vroeg me: Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat… Lees verder

Leaseweb wist Megaupload-content, mag dat?

| AE 5657 | Ondernemingsvrijheid | 26 reacties

Kim Dotcom is mediagenieker dan Leaseweb. De Megauploadeigenaar riep op Twitter dat het Nederlandse hostingbedrijf alle data van zijn cyberlockerdienst had gewist afgelopen februari, meldde Tweakers gisteren. Dat is dan nieuws natuurlijk, en dat Leaseweb verwijst naar de al maanden openstaande facturen is slechts reden voor een update – en in de comments gaat iedereen… Lees verder

Toevoegen van debug=1 om kwade code te triggeren: computervredebreuk?

| AE 2605 | Security | 47 reacties

debug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een… Lees verder

Politie mag geen camerabeelden wissen

| AE 2436 | Privacy, Regulering | 18 reacties

De politie had een filmpje van een politie-optreden op de mobiele telefoon van een verdachte niet mogen wissen, las ik bij Mediareport. De rechter oordeelt dat daarmee “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” gewist is, zodat daarmee zijn grondrecht op een eerlijk proces (en vrije informatiegaring)… Lees verder

Data recovery op een tweedehands computer

| AE 1618 | Privacy, Security | 11 reacties

Een lezer mailde me: Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die… Lees verder