Achtergrond

Juridische vraag: Hoe veilig zijn online back-ups?

woensdag 2 februari 2011, 09:24 door Arnoud Engelfriet, 8 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Wij leveren een online backupdienst. Een klant heeft data van zijn klanten bij ons opgeslagen. Dat is op zich prima, maar nu maken zijn klanten zich zorgen dat wij die back-up zullen verwijderen zodra onze klant failliet gaat. Hoe kunnen wij regelen dat er zekerheid is voor die klanten dat zij in dat geval toch nog bij hun back-ups kunnen?

Antwoord: De eenvoudigste manier lijkt me om in het contract met de klant af te spreken dat de dienstverlener garandeert dat de dienst nog X weken beschikbaar zal blijven na faillissement van de klant. De eindklanten kunnen dan in die X weken bij hun data en die snel veiligstellen. Als je dat aanvult met een of ander mechanisme waarmee de eindklanten worden gewaarschuwd dat hun account wordt beëindigd, is het probleem daarmee praktisch uit de weg.

Punt is natuurlijk wel dat dat betekent dat je je dienst moet blijven leveren nadat je klant al een tijd niet meer heeft betaald, want voordat de klant failliet gaat kan er een traject van meerdere maanden zo niet een dik jaar voor zitten waarin de klant moeilijk doet over betaling. Je moet het dan wel heel belangrijk vinden dat die eindklanten bij hun data moeten blijven kunnen.

Een optie om dit op te lossen zou kunnen zijn dat de eindklanten geld in een potje stoppen dat jij pas aanspreekt wanneer de rekeningen onbetaald blijven en er een reële dreiging van faillissement is. Dat vereist wel het nodige geregel - dat potje moet bijvoorbeeld niet onder beheer van jouw klant zijn want als die failliet gaat, kun je daar niet meer bij. Het geld zelf bewaren kan, maar hoe zorg je voor transparantie naar de eindklanten dat je ook écht alleen dat potje aanspreekt bij faillissement van hun leverancier, jouw klant dus?

Je kunt de praktische werkwijze (al dan niet met potje) aanvullen met een contractuele bepaling dat de eindklanten in geval van faillissement bij hun data mogen gedurende die X weken. Het is alleen juridisch ontzettend moeilijk om contractuele afspraken te maken die beginnen met "In geval van faillissement". Een dergelijke afspraak kan namelijk door de curator worden opzij worden gezet, en de wederpartij heeft dan weinig keus anders dan achter aan te sluiten met zijn schadeclaim. Dit blijkt uit het Nebula-arrest van de Hoge Raad dat bepaalde dat de curator een "recht op wanprestatie" heeft als dat in het belang van de boedel is. Welke afspraak er ook op papier staat, de curator mag deze dan negeren en als schuldeiser heb je dan pech. Ja, echt.

De enige echte manier om dit te doen, is te zorgen dat de failliete persoon geen sleutelrol heeft bij de toegang tot de dienst bij zijn faillissement. Zo zouden de eindklanten dus een eigen login moeten hebben op de dienst, en zou die login niet uitgezet moeten kunnen worden door de failliete dienstverlener of zijn curator. Een apart contract tussen de vraagsteller en de eindklanten zou ook een optie zijn, alleen zal de tussenliggende dienstverlener dat niet leuk vinden omdat dat riekt naar klantjes afpakken. Dan moet je daar ook weer garanties over geven naar die dienstverlener, en voor je het weet heb je tientallen contractjes over en weer. Kortom, het kan maar ga er wel even goed voor zitten.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Juridische vraag: Mag Sony rootkit in PS3 verstoppen?

Column: Daar gaan we weer

Reacties (8)

02-02-2011, 10:01 door Anoniem

Er wordt in dit soort zaken, ook in de ISP-wereld, vaak gewerkt met resellers. Daarbij sluit de eindklant het contract met de leverancier en de tussenpersoon krijgt daar een (regelmatig terugkerende) vergoeding voor. Die tussenpersoon heeft dan meestal nog een contract met de eindklant voor ondersteuning. In sommige gevallen heeft die tussenpersoon ook nog toegang tot het account van de klanten, maar niet altijd.

Als je bang bent dat die tussenpersoon rommelt met het account, kan die eindklant altijd op ieder willekeurig moment beslissen om de toegang tot dat account dicht te (laten) zetten voor die tussenpersoon.

Peter

02-02-2011, 10:16 door N4ppy

Volgens mij is een bijkomend probleem het eigenaarschap van de data.
Als backup hoster heb je geen zakelijke relatie met de klanten van je klant B. Dus heel leuk dat meneer x zegt dat dat zijn data is maar meneer x ken je niet en de data die bij jou geparkeerd staat is van B dus meneer x mag daar niet aan komen (en B is er niet meer en de boekhouding staat bij de fiod dus toon maar aan dat je data bij B had geparkeerd).

Dus naast het indekken van hoe krijg ik altijd betaald moet je waarschijnlijk ook nog eea regelen omtrend toegang tot de data.

02-02-2011, 10:33 door Arnoud Engelfriet

Goed punt, je moet zeker kunnen nagaan dat meneer x die zich meldt, werkelijk gerechtigd is die data te kopiëren. Als meneer x een eigen account heeft gekregen van B, dan gaat dat goed want dan mag jij vertrouwen op wat B heeft geregeld. (Behalve bij evidente kraakpogingen etcetera). Je hoeft dan alleen maar in de lucht te blijven tijdens de beloofde periode, en dan mag x zelf downloaden wat hij wil uit zijn account.

02-02-2011, 20:35 door Anoniem

Goed geïmplementeerde asymetrische encryptie met dito sleutelbeheer kan helpen bij het aantonen van data eigendom.

03-02-2011, 09:37 door Wim ten Brink

Het is mij opgevallen at in de financiele wereld er redelijk veel (kleine) adviseurs zijn die gewoon een PC leasen/huren/kopen in een serverpark die als terminal server dient waarbij ze met een thin client of remote desktop deze PC kunnen benaderen. (En volgens mij doen huisartsen, fysiotherapeuten en andere kleinschalige bedrijven dit ook.) Dit geeft hen een aantal voordelen, waaronder het veilig stellen van hun data in een veiligere omgeving. Als nu hun PC wordt gejat dan heeft de dief nog steeds geen gegevens, en geen toegang tot die gegevens. Het serverpark beheert daarnaast de hardware, controleert deze regelmatig, maakt regelmatig backups en kan ook de toegang tot het systeem beperken.
Maar ook hier zijn natuurlijk risico's met faillisementen. Maar waar ik mij dan meer druk om maak is wanneer het serverpark zelf failliet gaat, want dan moeten al deze klanten hun hardware gaan opeisen en ingeval van lease of koop meteen kopen. Alleen, die hardware moet dan weer elders ondergebracht worden maar dat kost tijd en geld. Vooral de tijdsfactor is dan een probleem...
Dus in geval van faillisement van een serverpark, hoe kun je dan zorgen dat je systeem nog zo lang mogelijk aktief blijft terwijl je op zoek gaat naar een nieuw serverpark?

03-02-2011, 15:40 door johanw

Ik dacht dat Escrow services wel ervaring hebben met hoe te handelen bij fallisementen. En geld ergens parkeren kan natuurlijk op een derdenrekening, zoals elke advocaat en notaris heeft. Die blijven buiten een fallisement.

04-02-2011, 10:01 door Dev_Null

Dat is op zich prima, maar nu maken zijn klanten zich zorgen dat wij die back-up zullen verwijderen zodra onze klant failliet gaat. Hoe kunnen wij regelen dat er zekerheid is voor die klanten dat zij in dat geval toch nog bij hun back-ups kunnen?

Hele reele vraag van je klanten moet ik zeggen!

Oplossing:
1. Neem in je kontrakt op dat je regelmatig een copy van je backup naar HEN toe opstuurt.[/b]
Dan hebben ze altijd een backup om op terug te vallen, als je bedrijf gehackt word of financieel onderuit gaat.
Tevens is dat dan ook weer jouw backup als je intern iets mis gaat met je eigen apparatuur (backup van de backup)

[/b]2. Bied OOK een OFFLINE backup mogelijkheid aan en draag kennis over:[/b]
Hiermee bestrijk je meteen nog een markt segment (2x business ;-) Je LEERT je klanten hoe ze het ZELF kunnen doen
Ga rampen-bestendige inhouse backup oplossingen ernaast verkopen + consultancy. Dan heb je toch business, maar houden je klanten 100% de eindcontrole over hun eigen data! Ik kan me voorstellen dat er business-segmenten zijn die niet eens toestaan (i.v.m. security) dat hu data het pand verlaat (op welke wijze dan ook)

Tot slot:
Uiteindelijk wil niemand AFHANKELIJK gehouden, gemaakt worden van de ander. Met de juiste aanpak, geduld en produkten kun jij je klanten vertellen, leren hoe ze hun eigen backup-broek op kunnen houden. En voor mensen die dat bewust niet willen, is er altijd nog de "backup-uit-handen-neem-service" tegen betaling

Good luck in de (on/offline) backup business!

08-02-2011, 11:05 door Anoniem

Online backup diensten kun je ook gewoon prepaid maken. Dan weet je dat er bij failisement al betaald is en de boel nog een tijdje online staat.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer