Achtergrond

Juridische vraag: Ik maak backups voor anderen

woensdag 29 april 2009, 14:07 door Arnoud Engelfriet, 23 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Regelmatig word ik door kennissen gevraagd of ik hun pc ook kan repareren. Ze vragen dan ook wel eens of ik een backup wil maken en of ik dan een exemplaar wil bewaren voor als er iets verloren gaat, bijvoorbeeld door brand. Als de backup door een inbraak bij mij wordt gestolen en de inhoud op het net komt (of gewoon verloren gaat door brand of zo bij mij) ben ik dan ook aansprakelijk? Nalatigheid misschien?

Antwoord: Als je bedrijfsmatig een dienst levert, dien je ervoor te zorgen dat die naar behoren verricht wordt. Zo niet, dan kan je opdrachtgever schadevergoeding bij je claimen. Het eerste wat je dus moet doen, is heel duidelijk maken of dit een vriendendienst is of onderdeel van je zakelijke dienstverlening. In het laatste geval kan die kennis je aansprakelijk houden als die gegevens kwijtraken of lekken wanneer dat jou verwijtbaar is. En het is een reëel risico dat een rechter zo'n activiteit als zakelijke dienst aanmerkt. Je doet tenslotte hetzelfde als bij zakelijke klanten, dus waarom zou deze kennis minder hoeven te verwachten dan andere klanten?

Diefstal of brand kunnen overmacht zijn, maar je zult wel moeten aantonen dat je al het redelijke hebt gedaan om die zaken te voorkomen. Zo zou ik verwachten dat je andermans backuptapes in een brandwerende kluis bewaart, of dat je de data elektronisch op twee locaties opslaat die niet tegelijkertijd in brand kunnen vliegen. En natuurlijk moet je alle gebruikelijke maatregelen nemen tegen diefstal. Weet de dief de data te achterhalen omdat jouw root wachtwoord "geheim" is, dan heb je echt een aansprakelijkheidsprobleem.

Je kunt je aansprakelijkheid bij dit soort dingen beperken. De meeste bedrijven en professionals doen dat ook - in hun algemene voorwaarden. En dat is nou net het stukje papier dat je niet geeft aan een kennis, dus juridisch gezien zijn die voorwaarden simpelweg niet van toepassing op de overeenkomst die je met die vriend sluit.

Wil je dus met vrienden zaken doen, doe dat dan op dezelfde manier als met andere klanten.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Column: Belang beveiligingsbeleid nog té vaak onderschat

Eenvoudige mailversleuteling met PDF en OTP via SMS

Reacties (23)

29-04-2009, 14:28 door Anoniem

Waarom geen diefwerende kluis? Het lijkt mij erger dat de backup gestolen wordt dan dat die eerst verbrand voordat die gestolen wordt ;-)

29-04-2009, 14:49 door Eerde

Je kunt je aansprakelijkheid bij dit soort dingen beperken.

Ik dacht dat jij juist een voorstander was van gewoon "binnen de wet" blijven, de rest aan bepalingen heeft toch weinig kans ?

Interessanter zou ik vinden of de back-up, al dan niet inzichtelijk voor de back-upper, materiaal zou kunnen bevatten dat wel op eoa manier op gespannen voet staat met de NL wet ;)
B.V. wat als je als Nederlander verboten materiaal opslaat voor een Chinees die lid is van Falun Gong ?
Of Kindeporno voor een Rus ?

29-04-2009, 14:57 door Wollige Willie

Na de combinatie "wordt ik" ben ik gestopt met lezen!

29-04-2009, 15:37 door Eerde

Door Wollige Willie: Na de combinatie "wordt ik" ben ik gestopt met lezen!

Ach, beter een Savant op IT gebied/t dan een mugool die toevallig een helder moment had/t toen de werkwoord/t-vervoegingen aan bod/t kwamen.

Ik stel voor om alle fonetische "t's" en soms "d's" verder of als d/t te schrijven om de lezer een keuze te geven of gewoon altijt een "t" !

29-04-2009, 15:41 door Wollige Willie

Door Eerde:

Door Wollige Willie: Na de combinatie "wordt ik" ben ik gestopt met lezen!

Bij gebrek aan intelligentie van jouw kant, lijkt me dat een prima optie!

29-04-2009, 15:41 door Jeremy

of t/dt ;)

29-04-2009, 15:56 door Arnoud Engelfriet

@Eerde: het is toch binnen de wet als je afspraken maakt over aansprakelijkheid? Dat probleem zie ik niet hoor. Zolang partijen het eens zijn, mag er heel veel. Het ging me meer om het feit dat mensen hun AV zelden overhandigen aan kennissen, en dat kan pijnlijk uitpakken omdat je dan eerder aansprakelijk bent dan je gewend bent.

29-04-2009, 16:00 door Eerde

Door Wollige Willie: Bij gebrek aan intelligentie van jouw kant, lijkt me dat een prima optie!

Met mijn IQ is nix mis, wel met jouw EQ !
Omdat ik zelf mijn opleiding in het buitenland heb mogen genieten, worstel ik ook wel eens met een "d" of "t" of "dt".
Het aanvallen van mensen, op een vluchtig medium als een forum, op spelling, is gewoon "not done" en getuigt van een zeer laag EQ, dat waarschijnlijk gepaard gaat met een nog lager IQ.

Waarvan akte !

29-04-2009, 16:01 door Anoniem

Door Eerde:

Door Wollige Willie: Na de combinatie "wordt ik" ben ik gestopt met lezen!

Oei, ik ben het een keer met Eerde eens. Dat doet vreselijk pijn. ;-)

29-04-2009, 16:05 door Eerde

@Arnoud
Met name waar het om aansprakelijk gaat zal er weinig "extra" te regelen zijn buiten de geldende wettelijke bepalingen. Dus wat is dan de toegevoegde waarde ?
En kan je mij voorbeelden geven van afsprakern tussen partijen die dan zouden preveleren, ondanks dat die voor een van de partijen zonder afspraak, dus rustend op de geldende wettelijke bepalingen, wel gunstig (of voor de ander, ongunstig) zou uitpakken ?

29-04-2009, 16:07 door Kukel

Door Eerde:

Door Wollige Willie: Bij gebrek aan intelligentie van jouw kant, lijkt me dat een prima optie!

Daar is ik het helemaal mee eens maar gelukkig heb ik geen d/t/dt probleem..

29-04-2009, 16:14 door Night

@ Wollige & Eerde
Ik ga even terug van IQ en EQ naar de topic. Ik hoop dat jullie daarin mee kunnen gaan, (@Willige ook als mijn spelling niet perfect is)

Ik vind het wel een eye opener dat juist de informele hulp aan vrienden bij een conflict kan leiden tot juridische problemen.

@ Arnoud Engelfriet

Is het feit of er wel of niet betaald wordt voor deze vriendendienst ook nog een factor?
Ik kan me zo voorstellen dat je aan een rechter makkelijker kunt uitleggen dat het geen zakelijke dienstverlening is als je er niet voor betaald krijgt.

29-04-2009, 16:16 door Anoniem

Degene die de vraag stelt maakt kennelijk zelf de backup. Dan kan hij zelf zorgen dat hij een versleutelde backup maakt. Het risico dat de spullen na diefstal op het net belanden kan je daarmee heel behoorlijk afdekken. Maak een tweede backup die gewoon bij de vrienden blijft liggen, of die ze bij een derde kunnen onderbrengen, en er moet wel heel veel tegelijk misgaan willen de gegevens verloren zijn.

29-04-2009, 19:57 door Arnoud Engelfriet

@Eerde: aansprakelijkheid is regelend recht. Als je als bedrijf met een ander bedrijf afspreekt dat hij alle schadeclaims op zich neemt, dan is dat rechtsgeldig. Zeker bij zeg twee multinationals onderling. Het is vooral dwingend recht bij relaties tussen bedrijven en consumenten, en zelfs daar is het niet helemaal dichtgetimmerd.

Op de zogeheten grijze lijst van vermoedelijk onredelijke bedingen in algemene voorwaarden staat de uitsluiting van aansprakelijkheid (art. 6:237 sub f BW). Dat betekent dat een bedrijf jegens een consument zijn aansprakelijkheid alleen mag beperken als hij kan uitleggen waarom het redelijk is dat hij dat doet. Lukt hem dat niet, dan vervalt de uitsluiting en kom je terug bij het gewone wettelijke regime.

@Night: als er betaald wordt, lijkt er me zeker sprake van een gewone zakelijke dienst. Omgekeerd weet ik het niet zeker. Het is goed verdedigbaar dat het een vriendendienst is dan, maar het is wel gewoon je werk. Mag je van een professioneel schilder die jou gratis komt helpen, minder verwachten omdat het gratis is?

29-04-2009, 20:10 door Eerde

OK, duidelijk.

29-04-2009, 21:54 door Anoniem

@16:16: Maar waar bewaar je de wachtwoorden van die backups? Als ze te kort zijn kunnen ze gekraakt worden. Als ze te lang zijn kun je ze niet onthouden. En als je ze hergebruikt kan iemand die het wachtwoord van één backup weet gelijk die van alle backups weten.

Bovendien ben ik niet zo blij met encrypted data in deze tijd van terreur dreiging. Soms is het beter met de autoriteiten mee te werken, zelfs als je onschuldig bent. Voor je het weet nemen ze je hele huisraad mee voor 'verder onderzoek'.

30-04-2009, 13:48 door Anoniem

Klaar en duidelijk vraag; ben je aansprakelijk voor de opgeslagen data in de back-ups?
zoja, ook als je er geen inzicht in kunt hebben op gebruikelijke wijze (ww beschermd).

Gtz

01-05-2009, 09:41 door Arnoud Engelfriet

@Anoniem 13:48: lijkt me niet, zeker niet als je er geen inzicht in kunt hebben, en ook niet als het niet van je gevergd kan worden dat je alle data doorscant. Deponeert iemand een stapeltje met tien foto's bij jou, dan kan ik me goed voorstellen dat de rechter zegt "waarom heeft u ze niet even bekeken toen u bij de bovenste al kon zien dat het kinderpr0n was". Maar bij een tape met 10 terabyte aan data lijkt me zo'n verwijt niet redelijk.

01-05-2009, 10:10 door Night

@ Arnoud Engelfriet, thanks helder antwoord.

01-05-2009, 23:39 door Anoniem

Door Arnoud Engelfriet: @Anoniem 13:48: lijkt me niet, zeker niet als je er geen inzicht in kunt hebben, en ook niet als het niet van je gevergd kan worden dat je alle data doorscant. Deponeert iemand een stapeltje met tien foto's bij jou, dan kan ik me goed voorstellen dat de rechter zegt "waarom heeft u ze niet even bekeken toen u bij de bovenste al kon zien dat het kinderpr0n was". Maar bij een tape met 10 terabyte aan data lijkt me zo'n verwijt niet redelijk.

Dit alles is volgens mij te voorkomen, door gewoon een handleiding te maken voor die kennissen, waarmee ze zelf stap voor stap een backup kunnen maken. Per slot van rekening heb je er verder alleen een externe harde schijf voor nodig. Zet onderaan de handleiding een disclaimer (dat de kennis dit alles op eigen verantwoording in werking heeft gezet en uitvoert) en zet beiden op 2 formulieren (ieder 1) datum en ieders handtekening. Eindresultaat: iedereen tevreden. Kennis geholpen, kennis doet zelf al het werk en jij bent juridisch vrij van aansprakelijkheid.

02-05-2009, 14:13 door Anoniem

Grappig dat je nu juist 'geheim' als wachtwoord noemt.
Ik zou denken dat daar geen aansprakelijkheidsprobleem is vanwege het gegeven dat als men zelfs geen wachtwoord gebruikt een ieder die zich ongeauthoriseerde toegang verleend tot het systeem gewoon strafbaar is. Lijkt me dan ook dat daar de aansprakelijkheid ligt... Daarnaast is een wachtwoord geheim en zou de klant dat nooit te weten komen wat ik als wachtwoord had. Ik vind dit dus een vreemde stelling die volgens mij teniet gedaan wordt doordat het duidelijk is dat de verantwoordelijkheid en aansprakelijkheid in dit specifieke geval bij de hacker zou liggen. Nog nooit heb ik ergens een uitspraak gelezen waarin iemand aansprakelijk werd gehouden voor schade vanwege een slecht gekozen wachtwoord. Heeft u hier wellicht voorbeelden van?

04-05-2009, 09:08 door Anoniem

Dank voor het antwoord. @ 09:41

07-05-2009, 15:48 door Anoniem

Door Anoniem: Grappig dat je nu juist 'geheim' als wachtwoord noemt.
Ik zou denken dat daar geen aansprakelijkheidsprobleem is vanwege het gegeven dat als men zelfs geen wachtwoord gebruikt een ieder die zich ongeauthoriseerde toegang verleend tot het systeem gewoon strafbaar is. Lijkt me dan ook dat daar de aansprakelijkheid ligt... Daarnaast is een wachtwoord geheim en zou de klant dat nooit te weten komen wat ik als wachtwoord had. Ik vind dit dus een vreemde stelling die volgens mij teniet gedaan wordt doordat het duidelijk is dat de verantwoordelijkheid en aansprakelijkheid in dit specifieke geval bij de hacker zou liggen. Nog nooit heb ik ergens een uitspraak gelezen waarin iemand aansprakelijk werd gehouden voor schade vanwege een slecht gekozen wachtwoord. Heeft u hier wellicht voorbeelden van?

Gisteren had een collega van mij een laptop, je kan inloggen met vingerprint of ww. hij gebruikt a zolang de fingerprint dat hij ww vergeten is. Met een audit programma was det ww in 10uur 41m achterhaalt.

Als je als systeembeheerder weet dat ww's te kraken zijn, neem dan ook hier voorzorgsmaatregelingen voor.

Waarom denk je dat een kluis niet gewoon beveiligd is met een normale sleutel?
Omdat men weet dat enkel dat niet voldoende is voor een normale omgang van de veiligheid.

Denk dat dit hier wel aan antwoord op geeft.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer