Achtergrond

Juridische vraag: Zijn logbestanden bedrijfsgeheim?

woensdag 28 oktober 2009, 10:27 door Arnoud Engelfriet, 26 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Wij zijn een klein hostingbedrijf en wilden onderzoek doen om de performance van de shared servers te verbeteren. De makkelijkste manier leek ons om simpelweg een top10 te maken met de grootste logfiles van de webserver logs, waaronder ook de error_logs met foutmeldingen. Bij één klant bleek die log wel erg groot (enkele gigabytes), en we hebben die doorgekeken om te zien waar dat door kwam. Het bleek een groot aantal (onschuldige) PHP foutmeldingen te zijn. We hebben de klant geinformeerd, met het verzoek om dit recht te zetten. De klant reageerde erg boos: die logfiles zouden bedrijfsgeheim zijn en wij hadden daar nooit in mogen kijken!

Antwoord: Een bedrijf kan claimen dat bepaalde gegevens bedrijfsgeheim zijn, maar essentieel is dan wel dat zij kan bewijzen dat daarvoor geheimhouding wordt betracht. Er moet zeg maar een stempel "GEHEIM" op staan. Ook moeten mensen die met de informatie in contact komen, expliciet op geheimhouding zijn gewezen. Het is dan strafbaar (art. 273 Strafrecht) om die gegevens te verspreiden of publiceren.

Logfiles met foutmeldingen kunnen hier onder vallen, want de wet kent geen beperking op het soort gegevens dat geheim zou kunnen zijn. Maar je hebt wel iets uit te leggen denk ik, zeker als je je beroept op een argument dat in feite neerkomt op security by obscurity. Daar willen rechters nog wel eens doorheen prikken. Maar het zou kunnen dat een lijst met foutmeldingen als bedrijfsgeheim wordt aangemerkt, zodat je die lijst niet zomaar op Geenstijl mag zetten. (Vroeger zei ik altijd "in de krant mag zetten" maar dat lijkt een verouderde uitdrukking.)

De systeembeheerder heeft echter een bijzondere positie. Vanuit zijn werk komt hij in aanraking met allerlei gegevens, en het kan goed gebeuren dat hij bestanden opent waarin bedrijfsgeheimen van klant en staan. Dat mag: art. 273d Strafrecht regelt dat je die mag inzien als het nodig is voor je werk als systeembeheerder. Wel heb je dan een zwijgplicht naar anderen toe. Je mag die lijst nog steeds niet op Geenstijl zetten dus.

Ik zie niet wat dit hostingbedrijf fout heeft gedaan. Onderdeel van hun dienstverlening is te zorgen dat de diensten optimaal werken, en als je daarbij logfiles moet doorzoeken dan kan dat gewoon. Zolang je dus maar je mond houdt naar derden toe over de foutmeldingen. Of je je druk moet maken om een paar gigabytes aan logfiles is een andere vraag, maar die laat ik graag aan jullie over.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Juridische vraag: Geldt downloadverbod met terugwerkende kracht?

Juridische vraag: Moeten Just-Eat hackers toch betalen?

Reacties (26)

28-10-2009, 11:01 door Anoniem

Wij zijn een klein hostingbedrijf en wilden onderzoek doen om de performance van de shared servers te verbeteren. De makkelijkste manier leek ons om simpelweg een top10 te maken met de grootste logfiles van de webserver logs, waaronder ook de error_logs met foutmeldingen.

Bij één klant bleek die log wel erg groot (enkele gigabytes), en we hebben die doorgekeken om te zien waar dat door kwam. Het bleek een groot aantal (onschuldige) PHP foutmeldingen te zijn. We hebben de klant geinformeerd, met het verzoek om dit recht te zetten.

Heb je weleens van logrotate gehoord?

28-10-2009, 11:12 door meneer

Ik kan me iets van de angst voorstellen. Soms staan er vertrouwelijke zaken in logbestanden, denk aan gebruikersnamen en wachtwoorden die in een verkeerd veldje werden ingevuld, waardoor een fout optreedt die in een logbestand wordt geregistreerd.
Maar dan nog zijn logbestanden geen bedrijfsgeheimen.
De vraag is wel wat er met die logbestanden gebeurt. Ik kan me maar zo voorstellen dat de klant niet de autorisatie heeft om de bestanden te analyseren. Als de hostingprovider er niet aan mag komen zou ik zeggen: niets loggen, dat scheelt een boel performance, opslag en zorgen. En dan alleen maar hopen dat er geen incidenten voorkomen die met een slimme analyse van de logging opgelost hadden kunnen worden.

28-10-2009, 11:36 door cjkos

Het gaat hier om webserver logs toch, dat zijn toch logs van het hostingsbedrijf?

Ik ben niet zo bekend met webhostings bedrijven / servers,
maar logs van een hostingbedrijf kunnen toch nooit onder bedrijfsgeheim vallen van een derde bedrijf?

28-10-2009, 11:58 door Anoniem

Ik vindt dat de klant gelijk had (hoewel ik geheim te ver vindt gaan in deze situatie) om boos te zijn. Ondanks dat de intenties goed waren (ook in het voordeel van de klant) zou ik in de toekomst deze files niet zomaar bekijken.

Het zou jullie niet alleen sieren om dit te melden aan klanten, maar bijvoorbeeld eerst te vragen aan de klant of je mee mag denken om de situatie (ook voor die klant) te verbeteren.

Doe het aub niet in regel 568 van de algemene voorwaarden of FUP, maar neem actief contact op met de klant voordat de logfiles worden doorgespit. Biedt denk ik zelfs een meerwaarde voor een hostingsbedrijf (de systeembeheerder van de gehuurde server wordt daardoor bijvoorbeeld niet op het matje van de grote baas geroepen omdat hij blijkbaar brakke php-code schreef). Daarnaast profiteren de andere klanten die op hetzelfde netwerk zitten ook mee. Er komen immers processorcycles vrij waardoor het netwerk en hardware sneller werken.

Ik vindt het meer een ethisch verhaal dan een strafrechterlijk verhaal.

Het Orakel

28-10-2009, 12:49 door Anoniem

Als de logfiles geschreven worden onder een account / gebruiker waar de klant het wachtwoord van heeft zijn de log bestanden feitelijk zijn eigendom. Indien dat niet het geval is, lees de http daemon draait onder een user waarvan het wachtwoord feitelijk alleen bekend is bij de hosting partij en niet bij de klant zijn de bestanden feitelijk eigendom van de hosting partij.

Belangrijk hierbij is of de klant een http dienst afneemt waarbij het draaiende houden van de webserver de verantwoording is van de hostingpartij. Dan heeft men in het verlengde van die verantwoordelijkheid logischerwijs ook de toegang tot de bestanden. Indien de klant dat niet wil dient men een volledig OS in eigen beheer te draaien zodat men zelf ook verantwoordelijk is voor de http daemon / web server en de daarbij behorende log files.

Iets van die strekking kan men dan in algemenere vorm opnemen in de voorwaarden zodat dergelijke zaken afgedekt zijn.

My two cents,
Carlo Seddaiu

28-10-2009, 14:04 door Anoniem

Wanneer de dienst duidelijk een shared service betreft, het beheer van het systeem in handen is van de hostingprovider en wanneer niet expliciet is aangegeven dat log bestanden niet onder het beheer vallen heeft de klant niet te klagen wanneer een beheerder voor zijn taak deze logfiles doorneemt om het systeem te kunnen onderhouden. Rechtstreeks en enkel met de afnemer van de logfiles van de bijbehorende dienst communiceren is daarbij evenmin verboden.

Ik heb een argument langs zien komen dat de klant gelijk zou hebben boos te zijn, maar ondertussen wordt daarbij wel heel makkelijk vergeten wat voor dienst er wordt afgenomen, wie er dus nog meer afhankelijk zijn en wat het doel is van logfiles en wie die logfiles aan wie verstrekt. Bij een sharde hosting zijn de logfiles onderdeel van de service, geen deel van het door de klant gefabriceerde werk. De rollen vallen dus zelfs om te draaien wat betreft eigendom: de klant laat resultaten van zijn werk in logfiles van de server schrijven. De server is echter geen eigendom van de klant, net zo min als de bestanden die de server aanmaakt en waarvan de inhoud kan worden ingezien door de gebruiker.

28-10-2009, 20:05 door sjonniev

De klant heeft een punt. De logfiles zijn inderdaad bedrijfsgeheim. Van het hostingbedrijf, weliswaar...

28-10-2009, 22:26 door Arnoud Engelfriet

De logfiles zijn niemands bedrijfsgeheim want nergens is vastgelegd dat ze geheim zijn. Wel is het een goed idee om afspraken te maken over wie wanneer daarbij mag en wat daarmee dan gebeurt.

29-10-2009, 15:34 door Anoniem

Door Arnoud Engelfriet: De logfiles zijn niemands bedrijfsgeheim want nergens is vastgelegd dat ze geheim zijn. Wel is het een goed idee om afspraken te maken over wie wanneer daarbij mag en wat daarmee dan gebeurt.

Ik zou dat willen nuanceren. In principe zijn dergelijke verkeersgegevens over wie welke pagina's heeft opgevraagd al dan niet in combinatie met wachtwoorden en logins verwerkt in URL's wel degelijk gevoelige informatie. Bijvoorbeeld in het kader van identiteitsdiefstal.

Verder kunnen bepaalde pagina's gevoelige onderwerpen bevatten zoals politieke zaken of bijvoorbeeld informatie over ziektebeelden en dat zijn wel degelijk zaken die niet door jan en alleman gelezen mogen worden. Het zal afhangen van de voorwaarden op de web site wat men de klant beloofd en of er wettelijke beschermingen van toepassing zijn. Maar er is ook nog zoiets als de zorgvuldigheid in het maatschappelijk verkeer. Daar weet jij vast meer over te vertellen. :)

Ciao,
Carlo

29-10-2009, 17:34 door Arnoud Engelfriet

Bedrijfsgeheim != gevoelig. Mee eens dat je niet zomaar logfiles op straat kunt gooien ivm privacy en dergelijke. Maar als iets bedrijfsgeheim is, ga je de gevangenis in als je het publiceert. Dat is wel even een niveautje verder dan alleen maar schadeclaims wegens onzorgvuldig handelen.

29-10-2009, 18:05 door Anoniem

Ik ken een website waar je gratis vragen juridische vragen kunt stellen op het gebied van strafrecht (geheimhoudingsplicht):

http://www.tinyurl.com/strafrechtvragen

29-10-2009, 19:25 door Thasaidon

Persoonlijk denk ik dat logfiles wel degelijk onder bedrijfsgeheim vallen. En of dat nou log files zijn van php of van bv een firewall, dat maakt niet uit.

In dit geval is het dus ook bedrijfsgeheim, en wel van het hosting bedrijf. Het zijn tenslotte hun servers, hun infrastructuur, etc.
Zij hebben dus ook de verantwoording over het goed functioneren van de servers.

Het was wel netjes geweest om de klant(en) van hun actie te informeren en te vragen of zij er bezwaar tegen hadden.
Maar dat soort dingen kun je dus ook in je voorwaarden opnemen. Is een klant het niet met die voorwaarden eens, dan moet hij maar een andere hosting partij zoeken.

30-10-2009, 00:40 door Anoniem

Ik vind dat ik als hosting bedrijf mits dit op mijn machines is dat ik mag doen en laten wat ik wil. Het is mijn hardware dus mijn eigendom. Dat een klant iets niet wil dan heb ik daar niks mee te maken dan moet hij maar een dedicated server nemen.
Zou hetzelfde zijn als een klant in een hotel boos word als een schoonmaakster op mijn kamer komt :S.
Die heeft ook gewoon het recht om op die kamer te koemn zoals ik als systeembeheerder recht heb om log files te bekijken om te zorgen dat mijn server draait zoals hoort.
En daarnaast snap ik niet wat er uberhaupt in de log file staat dat zo geheim is :S

30-10-2009, 00:41 door Anoniem

Toch knap dat de expert hier aangeeft en motiveert dat het mag en er dan allerlei nono's reageren die "vinden" dat het niet mag.
En verder: Mijn oma zei altijd: wat je vindt, dat breng je naar de politie.

30-10-2009, 01:35 door mathijsk

Wat een onzin! Logfiles op shared hosting mogen natuurlijk door de hoster bekeken worden.
Wanneer je een server beheert bekijk je van tijd tot tijd logs, en zeker de error logs.
Wanneer je daarin iets dergelijks tegenkomt, dat dus schijnbaar en hele bak aan data oplevert die nergens goed voor is, mag je ook je klant verzoeken dat te fixen. Zoniet zou ik die gebruikte ruimte optellen bij de webspace van de betreffende klant.

Dat je die logs niet publiceert lijkt me niet meer dan logisch, daar heeft een ander niets mee te maken.
Je beheert een systeem en ja, je kunt overal bij, je kunt de mail inzien, gevoelige bestanden bekijken, etcetera. Je mag alleen niets met die informatie doen. Daarnaast vind ik ook nog altijd dat er ook wel een reden moet zijn zoiets in te zien, zomaar rondstruinen in de data van klanten vind ik persoonlijk not done.

Ik denk dat de klant in kwestie dus niet erg heeft begrepen wat je hebt ingezien en waarom. Waarschijnlijk snapt degene die je erover hebt gesproken weinig van het hele technische aspect.

30-10-2009, 09:59 door Anoniem

Door Arnoud Engelfriet: Bedrijfsgeheim != gevoelig. Mee eens dat je niet zomaar logfiles op straat kunt gooien ivm privacy en dergelijke. Maar als iets bedrijfsgeheim is, ga je de gevangenis in als je het publiceert. Dat is wel even een niveautje verder dan alleen maar schadeclaims wegens onzorgvuldig handelen.

Laat ik dan het volgende aan je vragen. Zijn er soorten gegevens waarvan je in het algemeen kunt zeggen dat deze zo duidelijk bedrijfsgeheim zijn dat je deze niet in de voorwaarden hoeft op te nemen. Of moet je altijd van alle gegevens die je als bedrijfsgeheim wilt bestempelen ervoor zorg dragen dat deze expliciet ergens in de voorwaarden als bedrijfsgeheim benoemt moeten worden?

Ciao,
Carlo

30-10-2009, 10:25 door Arnoud Engelfriet

Als je aangifte wilt kunnen doen van diefstal van bedrijfsgeheimen, dan zullen de gegevens als geheim moeten zijn gemarkeerd. Het kan goed dat er gegevens zijn waarvan het vertrouwelijke karakter evident is, maar publicatie daarvan is niet strafbaar als het geen bedrijfsgeheimen zijn. Wel kan de verspreider daarvan een civiele schadeclaim tegemoet zien, maar de cel in zal niet gebeuren.

30-10-2009, 13:36 door pikah

Door Anoniem:

Heb je weleens van logrotate gehoord?

Sorry... moest even heel hard lachen om deze opmerking... maar misschien is het wel een logfile van 1 dag ;-)

30-10-2009, 13:43 door Anoniem

Ik denk dat beiden partijen in deze gelijk hebben. De logfiles in algemeenheid kunnen voor beiden partijen interessante informatie bevatten. De provider heeft ze nodig om de dienst correct aan te kunnen (blijven) bieden. De klant kan er nuttige informatie uithalen: waar komen mijn klanten/bezoekers vandaan, op welke tijden, hoe lang blijven ze etc etc.

het type bedrijf bepaald natuurlijk hoe relevant die informatie is. Als die informatie van belang is dan is het dus bedrijfsinformatie die je als vertrouwelijk wilt behandelen. De concurrent zou er immers voordeel uit kunnen behalen.

Het is natuurlijk zo dat als je een patij inschakeld om bepaalde zaken voor je te doen, of dit nou een website hosten is of de boekhouding doen, je als klant altijd mag verwachten dat jou gegevens vertrouwelijk worden behandeld tenzij anders afgesproken is.

Beiden partijen hebben een punt. Zoals eerder al aangegeven is het meer een ethisch verhaal.

31-10-2009, 00:59 door mathijsk

Nee hoor, wanneer je dat soort bestanden als bedrijfsgeheim ziet, moet je gewoon zelf in je hostingbehoefte voorzien en niet vanaf een shared hostingaccountje draaien. Je kunt er bij shared hosting vanuit gaan dat je hoster geregeld in de logs kijkt namelijk.
Die logs zijn dan namelijk niet van jou, maar van de hoster. Dat die hoster dan misschien nog een logfile aanbied aan je waar enkel zaken over jouw domein te vinden zijn is wat anders, maar in een normale apache acceslog of errorlog staan alle logs van alle domeinen die die server serveert.

Dus hebben niet beide partijen een punt, de hoster heeft gelijk.

31-10-2009, 15:12 door Anoniem

"Ik vind dat ik als hosting bedrijf mits dit op mijn machines is dat ik mag doen en laten wat ik wil. Het is mijn hardware dus mijn eigendom. Dat een klant iets niet wil dan heb ik daar niks mee te maken dan moet hij maar een dedicated server nemen."

De vraag of hardware je eigendom is zegt weinig over de vraag of de informatie op je hardware eveneens je eigendom is. Denk maar aan een constructie waar een klant bedrijf A inhuurt voor de hardware en het OS, en bedrijf B voor het functioneel beheer van de applicatie welke op de server draait. Stel een advocatenkantoor huurt bij jou een shared server, waarbij de daarop draaiende exact loonadministratie software eigendom is van de klant, en waarbij het functioneel beheer is uitbesteed aan een financiele dienstverlener.

Mag jij nu de loonadministratie van jouw klant inzien, met bijbehorende logfiles, omdat jij eigenaar bent van de hardware (en omdat je niets te maken denkt te hebben met de wensen van jouw klant) ? Mij lijkt dat niet het geval. Verder denk ik dat je alles te maken hebt met de wensen van je klanten, zowel door klantvriendelijkheid, als ook door contractuele en wettelijke verplichtingen, en ik zou niet graag zaken doen met iemand die zich zo opstelt tegenover klanten ;)

31-10-2009, 23:08 door Anoniem

Heb je weleens van logrotate gehoord?

Wat een gruwelijk kortzichtige opmerking.

01-11-2009, 10:28 door Anoniem

Door Anoniem:

Heb je weleens van logrotate gehoord?

geroteerde logs kunnen nog steeds groot zijn en opvallen. als hosting bedrijf ben je wel bekend met logrotate lijkt me.

03-11-2009, 15:34 door Anoniem

@15:12 door Anoniem

Je trekt het helemaal uit zijn verband met je voorbeelden.
Het gaat om de logbestanden op een shared hosting server.
De naam zegt het al, SHARED. Dat wil zeggen dat je met meerdere klanten op een server staat en enkel de dienst hosting afneemt.
De beheerder beheert die server dan en de logfiles zijn dan gewoon van hem.

Je voorbeelden zijn dus verder totaal niet relevant met de situatie.

04-11-2009, 03:06 door Anoniem

als hosting bedrijf ben je wel bekend met logrotate lijkt me

Was het maar waar. Er zijn zat van die wannabe's met goedkope dedi's of vpn's die totaal geen of zeer weinig basiskennis hebben. Als je daar vraagt naar logrotate krijg je als antwoord logro-wat?

De naam zegt het al, SHARED. Dat wil zeggen dat je met meerdere klanten op een server staat en enkel de dienst hosting afneemt.
De beheerder beheert die server dan en de logfiles zijn dan gewoon van hem.

Exactly!

04-11-2009, 09:11 door Anoniem

Door Anoniem:
geroteerde logs kunnen nog steeds groot zijn en opvallen.

Natuurlijk kunnen geroteerde logs groot zijn en opvallen. Maar 15 miljoen regels in een error_log van 'n shared site springt erg in het oog. Een niet gecomprimeerd error_log van enkele gigabytes groot zal in totaal dik 15 miljoen regels bevatten. (Gemiddeld zo'n 6,976469539 regels per kB, 7143,904807936 regels per MB, enzovoort)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer