Juridische vraag: Wat zijn disclaimers waard?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Bij veel websites met dubieuze software zie je allerlei disclaimers staan. Bijvoorbeeld bij password cracking software dat die alleen bedoeld is om je eigen password mee te recoveren, of bij hackprogramma's dat je er alleen je eigen netwerken mee mag testen. Laatst zag ik zelfs een virussite waarbij stond "alleen voor wetenschappelijk onderzoek". Maakt dat het aanbod nu werkelijk legaal?
Antwoord: Mensen lijken soms welhaast magische betekenis toe te kennen aan disclaimers. Van het bordje "De directie stelt zich niet aansprakelijk"(*)" tot ellenlange zinnen onder e-mails, iedereen doet het maar als je vraagt waarom dan komt er meestal weinig reactie. "Dat moet van de bedrijfsjurist" of "Iedereen doet het". Maar eenzijdig opgestelde voorwaarden stellen bar weinig voor. Zo'n geheimhoudingsbepaling onder een e-mail bijvoorbeeld heeft nul komma nul waarde. Pas als je als wederpartij aangeeft daarmee akkoord te zijn, zit je eraan vast.
Je kunt disclaimers wel eenzijdig gebruiken om mensen te waarschuwen voor bepaalde tekortkomingen in je aanbod. "Deze auto rijdt niet" is een prima disclaimer voor een sloopbedrijf dat nog wat tweedehandsjes probeert te verkopen. Je disclaimt dan de normale verwachting bij een auto, namelijk dat hij rijdt. Maar een verbod opleggen aan je klant kan alleen als die bereid is dat te aanvaarden.
Bij het soort dubieuze software dat de vraagsteller bedoelt, is er vaak een wettelijk verbod met één of meer uitzonderingen. Zo is het bezit of gebruik van "hacksoftware" verboden, als die software bedoeld of hoofdzakelijk ontworpen is om computervredebreuk (computerinbraak) mee te plegen. Maar software die daar niet specifiek voor ontworpen of bedoeld is, is gewoon legaal. Bezitters van telnet of netcat hebben dus niets te vrezen, ook al kun je daarmee commando's sturen naar een server en daarmee ongeautoriseerde toegang tot die server krijgen. Een specifieke exploit die dat volautomatisch doet valt weer wel onder dit wettelijk verbod.
Een disclaimer helpt hier niets: software is ontworpen om computervredebreuk mee te plegen of zij is dat niet, maar dat hangt af van de inhoud en niet van de tekst in de handleiding. Je kunt er honderd keer "Inbreken met deze software is verboden" bij zetten, maar desondanks blijft het aanbieden van collecties exploits gewoon strafbaar.
Aan password recovery software is niets illegaal, het is het gebruik om andermans wachtwoord mee te achterhalen dat strafbaar is. (Of nou ja, beter gezegd het inbreken met zo'n vals wachtwoord is strafbaar.) Je mag dus gerust zulke software aanbieden. Het is dan netjes om de klant nog even te waarschuwen voor een mogelijk relevante wet, net zoals je bij een viswinkel te horen kunt krijgen dat je wel een vergunning moet hebben om in die gemeente te mogen vissen. Maar verplicht is het niet en juridisch voegt het weinig toe.
De verspreiding van virussen ligt daar tussenin. Dat is verboden, tenzij je dat doet "met het oogmerk om schade als gevolg van deze [virussen] te beperken." Een antivirusfirma mag dus virussen verspreiden als dat nodig is om hun software te verbeteren. Je zou je kunnen voorstellen dat men in dat kader een website opzet waar men nieuwe virussen met elkaar deelt. Daar zou een disclaimer "Alleen voor onderzoek met als doel virusbestrijding" wel op zijn plaats zijn.
(*) Dat hoeft ook niet, dat doet de klant wel.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Ik kan toch ook een kist inbrekersgereedschap, spycams en/of lockpicksetjes legaal aanschaffen? Pas zodra ik er ongeautoriseerde acties mee uithaal ben ik strafbaar bezig...
"Zo is het bezit of gebruik van "hacksoftware" verboden, als die software bedoeld of hoofdzakelijk ontworpen is om computervredebreuk (computerinbraak) mee te plegen"
Wat dacht je van het in bezit hebben van "hacksoftware" voor eigen interne security audits? Daar lijkt me niets illegaals aan...
Dat zou betekenen dat bedrijven gespecialiseerd in security audits alleen maar algemene tools mogen/kunnen gebruiken. Nou, dan kunnen bedrijven als bijv. Madison Gurkha de boel wel gaan sluiten...
de schrijver dit bericht is niet verantwoordelijk als iemand zich er aan doet ergeren..
Het is grote onzin om te stellen dat alle disclaimers nutteloos zijn. Het is maar net welke landen van toepassing zijn en welke wetten hiervoor gelden. Indien een disclaimer iemand erop wijst dat het verboden is om bepaalde handelingen te verrichten met software vindt ik dat de verantwoording van de aanbiedende partij hiermee een stuk anders komt te liggen. Men weet immers vaak zelf niet waarvoor software allemaal gebruikt zal/kan worden. Zo kan bijvoorbeeld ook windows of linux aansprakelijk gesteld worden als onderdeel van de hacksoftware. Dit is hetzelfde als met een keukenmes of honkbalknuppel, het ligt er maar net aan waarvoor iets gebruikt wordt.
Wat ik wel vindt is dat de disclaimers in bijvoorbeeld software een stuk korter mogen. Doordat deze zo lang zijn neemt bijna niemand de moeite om deze volledig door te lezen en te beseffen welke consequenties deze kunnen hebben (privacy op hyves bijvoorbeeld). Hierin kan de overheid bijvoorbeeld bepaalde keuzelijsten maken waardoor een leverancier een disclaimer "bij elkaar kan klikken". Het wordt dan wat uniformer waardoor transparantie (en dus het opvolgen van de voorwaarden/disclaimer) een stuk sterker wordt in een eventuele rechtszaak. Het kan natuurlijk de bedoeling zijn om disclaimers/voorwaarden zo vaag mogelijk te maken zodat ze in het voordeel kunnen spreken van degene die de disclaimer/voorwaarden heeft opgesteld.
Het Orakel
En hoe bepaal je dat? Daar laat je experts voor opdraven die kunnen zeggen of iets security audit software is of inbraaktools. Natuurlijk zijn er grijze gebieden, maar dit is de hoofdregel.
En hoe bepaal je dat? Daar laat je experts voor opdraven die kunnen zeggen of iets security audit software is of inbraaktools. Natuurlijk zijn er grijze gebieden, maar dit is de hoofdregel.
Tja, het kan wel in de wet staan maar het wordt er niet duidelijker op. De benamingen 'hacktool' en 'audittool' zijn zo ongeveer uitwisselbaar. Althans, audittools kunnen ook worden ingezet om kwaadwillend te hacken. Het enige dat ik kan verzinnen waar weinig discussie over zal zijn, is malware (en andere virussen, trojans), kortom software die exploits daadwerkelijk omzetten in een mechanisme dat willekeurig (ongeautoriseerd) andere systemen infecteert, beschadigt of er informatie uit onttrekt.
Je kunt altijd het doel aangeven bij hetgeen je aanbiedt; dat de tool voor audit doeleinden is ontworpen. Dit is heel plausibel en daarmee vervalt/verzwakt het argument wel degelijk dat het primair ontworpen is tot het plegen van computervredebreuk. Als je dat in een disclaimer zet sta je alweer een stuk sterker als een gezagsdrager het in zijn hoofd haalt je aan te klagen als je een audit/hack-tool aanbied ;)
Het is grote onzin om te stellen dat alle disclaimers nutteloos zijn. Het is maar net welke landen van toepassing zijn en welke wetten hiervoor gelden. Indien een disclaimer iemand erop wijst dat het verboden is om bepaalde handelingen te verrichten met software vindt ik dat de verantwoording van de aanbiedende partij hiermee een stuk anders komt te liggen. Men weet immers vaak zelf niet waarvoor software allemaal gebruikt zal/kan worden. Zo kan bijvoorbeeld ook windows of linux aansprakelijk gesteld worden als onderdeel van de hacksoftware. Dit is hetzelfde als met een keukenmes of honkbalknuppel, het ligt er maar net aan waarvoor iets gebruikt wordt.
Wat ik wel vindt is dat de disclaimers in bijvoorbeeld software een stuk korter mogen. Doordat deze zo lang zijn neemt bijna niemand de moeite om deze volledig door te lezen en te beseffen welke consequenties deze kunnen hebben (privacy op hyves bijvoorbeeld). Hierin kan de overheid bijvoorbeeld bepaalde keuzelijsten maken waardoor een leverancier een disclaimer "bij elkaar kan klikken". Het wordt dan wat uniformer waardoor transparantie (en dus het opvolgen van de voorwaarden/disclaimer) een stuk sterker wordt in een eventuele rechtszaak. Het kan natuurlijk de bedoeling zijn om disclaimers/voorwaarden zo vaag mogelijk te maken zodat ze in het voordeel kunnen spreken van degene die de disclaimer/voorwaarden heeft opgesteld.
Het Orakel
"Here's Ur sign!", zeggen ze dan in de VS .....
DISCLAIMER: Arnoud is van alle markten thuis, en betracht de grootste zorgvuldigheid bij het samenstellen en onderhouden van de informatie. hij is echter niet verantwoordelijk voor de volledigheid, juistheid en actualiteit van de informatie. Arnoud is van alle markten thuis, maar aanvaardt geen aansprakelijkheid voor eventuele directe of indirecte schade als gevolg van de activiteiten die een gebruiker onderneemt op basis van haar informatie, adviezen en waarschuwingen. Arnoud is van alle markten thuis, maar staat niet in voor de juiste en complete verzending van de informatie en is niet aansprakelijk voor een vertraagde ontvangst hiervan. De verzonden informatie is uitsluitend bestemd voor de geadresseerde. Indien u de informatie abusievelijk heeft ontvangen, kunt u contact opnemen met; Arnoud. Aan dit bericht kunnen geen rechten worden ontleend. Indien u een elektronisch afschrift van een besluit of een toezegging ontvangt, zal ook altijd, per reguliere post het officiele document worden toegezonden. Slechts het origineel heeft juridische status. PRIVACY STATEMENT: uw naam en e-mailadres dienen uitsluitend voor eigen contact-doeleinden en zullen nimmer zonder uw nadrukkelijke toestemming voor andere doeleinden worden gebruikt.
;)
Ik geloof al jaaaaaaren niet meer in de Wet.
'De wet op het Internet' tjah, van wie is dat eigenlijk dat Internet????
Disclaimers onder e-mail hebben echt nul en generlei waarde, niet in Nederland en niet in de VS. Wie meent van wel, mag me de jurisprudentie laten zien waarin de e-maildisclaimer de redding van de zaak bleek.
Dat is een persoonlijke opvatting (die ik overigens deel), maar niet relevant en beinvloed je objectiviteit.
Vreemde redenering. Een disclaimer is bovendien niet bedoeld ter bescherming van de 'afnemer', maar voor de aanbieder. Die disclaimt namelijk iets en stelt bijvoorbeeld dat het product een educatief of auditdoel heeft. Als het namelijk een product is waarmee je louter kwalijke dingen kan doen kan hij mogelijk wel een probleem krijgen. In dit opzicht heeft een disclaimer denk ik wel degelijk zin: er kan hem niet zomaar worden verweten dat hij puur inbrekersgereedschap verkoopt. Dat een scriptkiddy een audittool voor andere strafbare doeleinden aanwendt dan waar het voor bedoeld is (namelijk auditing) is zijn eigen verantwoordelijkheid en probleem.
Nu gaat het ineens over E-mail. E-mail disclaimers vind ik van een andere orde en doordat je disclaimers over 1 kam scheert word je argumentatie onduidelijk en zwak. Inderdaad zijn disclaimers onder E-mail van de soort: "indien u deze e-mail onbedoeld ontvangt bent u verplicht...." nogal lachwekkend. Het ongevraagd iets ontvangen leidt niet automatisch tot verplichtingen of rechten. Daarvoor is inderdaad wederzijdse instemming nodig.
/edit: aanpassen BB-codes
Ik ben het dus met je oneens dat een disclaimer hier waarde heeft. Het ding kan honderd keer "audittool" heten maar als het ontworpen is om in te breken, dan is het een verboden tool.
Daar komt bij dat in de meeste gevallen die disclaimers worden gebruikt door aanbieders van sites die donders goed weten dat de downloaders daarmee criminele activiteiten gaan ontwikkelen. Ik zie ze zo voor me: "dan zetten we erbij dat het educatief is *hahaha* oh en doe dan gelijk dat je verklaart geen politie te zijn bij de hoofdpagina, dan is het onrechtmatig verkregen bewijs als ze de andere pagina's uitprinten".
Verder ben ik van mening dat ik als jurist altijd een mening geef, juristerij is per definitie het uitwisselen van meningen om zo tot een standpunt te komen. Je opmerking dat ik niet objectief ben kan ik dus niet plaatsen.
Zijn er gevallen bekend van mensen die veroordeeld werden voor het bezit van dergelijke tools? En aanvullende vraag: is er in vonissen ooit iets gezegd over eventuele disclaimers?
Dat zou boeind zijn in deze discussie lijkt me.
Ik ben het dus met je oneens dat een disclaimer hier waarde heeft. Het ding kan honderd keer "audittool" heten maar als het ontworpen is om in te breken, dan is het een verboden tool.
Daar komt bij dat in de meeste gevallen die disclaimers worden gebruikt door aanbieders van sites die donders goed weten dat de downloaders daarmee criminele activiteiten gaan ontwikkelen. Ik zie ze zo voor me: "dan zetten we erbij dat het educatief is *hahaha* oh en doe dan gelijk dat je verklaart geen politie te zijn bij de hoofdpagina, dan is het onrechtmatig verkregen bewijs als ze de andere pagina's uitprinten".
Verder ben ik van mening dat ik als jurist altijd een mening geef, juristerij is per definitie het uitwisselen van meningen om zo tot een standpunt te komen. Je opmerking dat ik niet objectief ben kan ik dus niet plaatsen.
Disclaimers staan niet uitsluitend op websites maar b.v. ook in e-mail berichten en ik dacht toch echt dat in Nederland een E-mail ook rechtsgeldigheid kent/heeft.... dus de Disclaimer heeft dan wel degelijk een waarde.
Wat die waarde is mag/moet inderdaad maar eens door een Rechter duidelijk worden gemaakt... en ik begrijp dat er op dat gebied (nog) geen jurisprudentie is... ?!
Verder volgt uit "rechtsgeldigheid" van een medium nog niet dat elke mededeling via dat medium ook steek houdt. Algemene voorwaarden op papier zijn rechtsgeldig, maar kunnen wel degelijk bij de rechter onderuit gehaald worden.
Ik zou niet weten welke waarde een e-maildisclaimer heeft. Je kunt dat in ieder geval niet concluderen uit het feit dat een e-mail als bewijs mag worden gebruikt.
!?!
Er worden tegenwoordig contracten afgesloten per e-mail, hoe kan/mag dat dan ?
Maar wat hier gezegd werd, is dat omdat contracten per e-mail rechtsgeldig zijn, een disclaimer onder een e-mail dat "dus" ook is. En dat klopt niet. Mondelinge contracten zijn rechtsgeldig, maar niet alles wat mensen zeggen is dat ook. Die twee zaken (medium rechtsgeldig en inhoud juridisch houdbaar) hebben gewoon niets met elkaar te maken.
Maar wat hier gezegd werd, is dat omdat contracten per e-mail rechtsgeldig zijn, een disclaimer onder een e-mail dat "dus" ook is. En dat klopt niet. Mondelinge contracten zijn rechtsgeldig, maar niet alles wat mensen zeggen is dat ook. Die twee zaken (medium rechtsgeldig en inhoud juridisch houdbaar) hebben gewoon niets met elkaar te maken.
Hartelijk dank Arnoud, ik begin het geloof ik een beetje te snappen... (hopelijk ;) )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
