Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Stel, klant A heeft een online applicatie die wordt gehost bij hostingpartij B. In het hostingcontract staat dat A de applicatie mag laten security-testen door derden. Klant A huurt nu penetratietester P in, en verklaart in het inhuurcontract P te vrijwaren van alle juridische claims. B wordt ingelicht en P gaat aan de slag. B blijkt echter te hosten bij partij C, die niet van de test weet. Een medewerker van C heeft de werkzaamheden van P opgemerkt en aangifte gedaan van computervredebreuk (P heeft toegang gekregen tot een admin-applicatie die C aan B aanbood).
Hoe is deze juridische knoop te ontwarren?
Antwoord: Het leuke van contracten voor securitybedrijven schrijven is dat het leuke anekdotes voor de juridische borreltafel oplevert: hoe veel voorwaarden schrijf jij waarin de zinsnede "Indien Opdrachtnemer tijdens de uitvoering van de Opdracht wordt gearresteerd, zal Opdrachtgever zich ogenblikkelijk maximaal inspannen hem op vrije voeten te krijgen" voorkomt?
Contracten helpen echter maar in zekere mate. In deze situatie kan P niets met zijn contract richting C, omdat C geen partij is bij de overeenkomst. P heeft een contract met A, en kan dus alleen A dwingen om zekere dingen te gaan doen. Gelukkig heeft P een vrijwaring. Dat is een juridische clausule waarmee P A kan oproepen bij eventuele rechtszaken om de juridische problemen op te lossen en/of de portemonnee te trekken als A tot schadevergoeding zou worden veroordeeld.
Anders gezegd: A heeft zich contractueel verplicht ervoor te zorgen dat P zijn werk kan doen zonder last met de autoriteiten of andere partijen te krijgen. A heeft dit met B afgedicht door die clausule in het hostingcontract, maar A heeft niet nagevraagd of er achter partij B nog andere partijen staan. Dit lijkt me een wanprestatie van A, zodat P de juridische problemen kan doorschuiven naar het bordje van A.
Mogelijk kan A de afhandeling weer doorschuiven naar B, afhankelijk van hoe het in het hostingcontract staat. Je zou immers kunnen zeggen dat B had moeten melden dat er nog een partij C achter zit, of zelfs dat B na het sluiten van dat hostingcontract een vergelijkbaar beding met C had moeten regelen. Op zijn minst had B even C kunnen inlichten over de komende test.
Het lijkt me dus dat P nu A kan bellen en eisen dat deze de problemen gaat oplossen. Omdat er een contract is met deze partij A, denk ik dat er van vervolging niet veel zal komen. Maar een hoop tijd zal het P wel kosten; en die mag hij aan A doorbelasten.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Deze posting is gelocked. Reageren is niet meer mogelijk.