Achtergrond

Juridische vraag: wie is aansprakelijk voor lekke site?

woensdag 10 juli 2013, 12:36 door Arnoud Engelfriet, 14 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Ik beheer een website waar een database met persoonsgegevens bij hoort. Ik weet dat ik deze goed moet beveiligen, maar hiervoor ben ik (wegens ontbrekende eigen kennis) afhankelijk van mijn ontwikkelaar en hoster. Nu las ik in hun algemene voorwaarden dat zij eigenlijk nooit aansprakelijk zijn voor fouten. Kan dat zomaar? En heb ik dan de boetes?

Antwoord: Ja, in principe kan dat. In zakelijke contracten mag je in principe samen zelf beslissen wie waarvoor verantwoordelijk en aansprakelijk is. Contractsvrijheid is groot in zakelijke relaties. (Bij consumenten is dit anders, je kunt je aansprakelijkheid naar een consument toe bijna niet beperken.)

Er zijn natuurlijk uitzonderingen. Hoe 'kleiner' de klant, hoe onredelijker het wordt om de aansprakelijkheid bij hem te leggen. En hoe veel onderhandelingsruimte er was, maakt ook nog uit. Eenzijdig gedicteerde algemene voorwaarden zijn sneller onredelijk dan een gezamenlijk met bijstand van dure advocaten onderhandelde regeling.

De belangrijkste uitzondering bij een beperking van aansprakelijkheid is "opzet en grove nalatigheid". In die situaties is de ontwikkelaar of hoster áltijd aansprakelijk, ongeacht wat er in de voorwaarden staat. Logisch, het zou nogal ernstig zijn als je opzettelijk schade kon gaan veroorzaken en dan wegkwam met "haha algemene voorwaarden".

Opzet komt zelden voor, meestal moet je het dan gooien op grove nalatigheid. het is wel een hoge grens om te bewijzen. Iets is niet heel snel 'grof nalatig'.

Maak je je als klant zorgen om beveiliging (een goede zaak), dan moet je dus niet akkoord gaan met zulke vérgaande algemene voorwaarden. Eis meer aansprakelijkheid, desnoods specifiek voor schade als gevolg van beveiligingslekken. Wil men dat niet geven, vraag je dan serieus af waarom je met die partij in zee gaat.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

'Software pas in 2020 beter gewapend tegen hackers'

Security Tip van de Week: untag jezelf in Facebook-foto's

Reacties (14)

10-07-2013, 13:19 door schele

Ik denk dat je er in deze context nog moeilijker onderuit kunt: hoster en ontwikkelaar zijn niet de eigenaren van de gegevens en zijn ook niet degenen die de site en gegevens erop beheren. Zij leveren tools: de hoster biedt ruimte en databases aan, de ontwikkelaar maakt de layout van de site en het systeem dat eronder hangt.

Voor de hoster is dit sowieso logisch: zij kunnen niet (en dat willen klanten ook niet) continu gaan monitoren welke gegevens iemand online heeft staan en of deze wel goed beveiligd zijn.

Voor de ontwikkelaar, tenzij dit in het contract anders is omschreven (b.v. een bijlage met service contract voor onderhoud) stopte de dienstverlening toen de site online was.

10-07-2013, 13:53 door Anoniem

Door schele: Ik denk dat je er in deze context nog moeilijker onderuit kunt: hoster en ontwikkelaar zijn niet de eigenaren van de gegevens en zijn ook niet degenen die de site en gegevens erop beheren. Zij leveren tools: de hoster biedt ruimte en databases aan, de ontwikkelaar maakt de layout van de site en het systeem dat eronder hangt.

Voor de hoster geldt wel, dat hij nalatig is, wanneer de toegang tot de databases en beheer van de ruimte niet deugdelijk regelt. Wanneer blijkt dat de afnemer slordig is met wachtwoorden/tokens o.i.d. is dat natuurlijk niet, maar het is algemeen bekend, dat de inhoud van een database ongewenste derden nieuwsgierig maakt.

Voor de ontwikkelaar geldt, dat hij zijn resultaten moet laten voldoen aan algemeen geldende veiligheidsnormen. Zo zou het produkt moeten voorzien in een beveiligde manier van opslaan en een goede scheiding tussen wat een beheerder kan en wat een bezoeker kan.

10-07-2013, 14:05 door swake

Nu las ik in hun algemene voorwaarden dat zij eigenlijk nooit aansprakelijk zijn voor fouten. Kan dat zomaar? En heb ik dan de boetes?

Dat kan inderdaad.
Dit valt te bekijken op welk type server je site en database gehost word bij het hostingsbedrijf.
Virtuele Server
Dedicated Server
Co-located server
Bij Co-located server is de klant zelf verantwoordelijk voor fouten aan de server en niet de hosting.

Ik beheer een website waar een database met persoonsgegevens bij hoort. Ik weet dat ik deze goed moet beveiligen,

Het komt niet alleen bij beveiligen kijken, de database software moet ook up to date gehouden worden , en moeten de patch's uitgevoerd worden wanneer deze verschijnen.

10-07-2013, 14:25 door Ed Dekker

Ik beheer een website waar een database met persoonsgegevens bij hoort. Ik weet dat ik deze goed moet beveiligen, maar hiervoor ben ik (wegens ontbrekende eigen kennis) afhankelijk van mijn ontwikkelaar en hoster.

Volgens mij kan je in een contract regelen wat je wilt (zoals Arnoud bevestigt in zijn tekst), maar je kunt nooit je verantwoordelijkheid overdragen.

Gegeven:
- je hebt de kennis niet
- je leverancier kan of wil je geen garanties geven
- je werkt met persoonsgegevens
Volgens mij heb je weinig mogelijkheden: apart kennis en kunde inhuren of stoppen met wat je doet.

Benieuwd wat Arnoud daarvan zegt, want dit deel komt nog niet aan bod in zijn reactie.

10-07-2013, 14:57 door Anoniem

Door schele: Voor de hoster is dit sowieso logisch: zij kunnen niet (en dat willen klanten ook niet) continu gaan monitoren welke gegevens iemand online heeft staan en of deze wel goed beveiligd zijn.

Biedt die hoster alleen een server aan of levert hij ook de web- en databasesoftware? Als hij die software levert, dan kun je nalatigheid hard maken als hij geen updates doorvoert.

Voor de ontwikkelaar, tenzij dit in het contract anders is omschreven (b.v. een bijlage met service contract voor onderhoud) stopte de dienstverlening toen de site online was.

Een ontwikkelaar die software ontwikkelt, zou tegenwoordig aansprakelijk gesteld kunnen worden als de site kwetsbaar is voor SQLi of XSS. Hij hoort te weten hoe hij dat moet voorkomen.

Peter

10-07-2013, 15:26 door Arnoud Engelfriet

@Ed Dekker: Onder de Wet bescherming persoonsgegevens ben en blijf jij de 'verantwoordelijke' voor de persoonsgegevens, dat klopt. Bij schade door datalekken kunnen de betrokken personen te allen tijde jou aansprakelijk stellen. Wel kun jij de claims van die mensen verhalen op je leveranciers.

In het algemeen echter kun je wel degelijk (tot op zekere hoogte) je verantwoordelijkheid doorschuiven. Dit vereist vaak wel wat juridisch goochelen. De bekendste truc is jezelf als bemiddelaar/agent/affiliate opstellen: je contracteert niet met mij maar met mijn achterman, dan val ik er tussenuit zodra het contract gesloten is.

10-07-2013, 17:58 door Anoniem

De beste beveiliging van persoonsgegevens is ze niet op te slaan. Een redelijke tweede is ze ontoegangkelijk op te slaan: Papier in een afgesloten kabinet, of als het digitaal moet, computers zonder netwerkverbinding. Ook zonder diepe computerkennis lijkt me dat wel duidelijk, en dus kan je erover nadenken: Hoeveel en welke gegevens heb je echt absoluut nodig, waar en wanneer?

Moet er toch publiekelijk toegankelijk opgeslagen, dan houd je de verantwoordelijkheid. Die verantwoordelijkheid dragen betekent wat mij betreft zelf in beheer houden. Als je dat wil outsourcen, nuja, huur maar vast een jurist om een stevig contract te klussen--zoals Arnout zegt, voor ondernemers is de vrijheid om in contracten te zetten groot. Dat contract is dan de juridische onderbouwing van het delegeren van die taak. Dat gaat wel geld kosten.

Want hosters zetten natuurlijk in hun algemene voorwaarden dat ze nergens voor aansprakelijk zijn. Natuurlijk niet, dat kon wel eens geld kosten. Plus dat hosters nogal eens met dunne marges werken. In een confectiezaak je kleding kopen is een ander verhaal dan als je het op maat laat maken. Hoeweel (sommige) hosters tegenwoordig meer op supermarkten lijken qua volume en marge.

Dus moet je je afvragen hoeveel geld het gaat kosten mocht het misgaan, en hoeveel geld je er dus voor over hebt om het goed te doen. Dan kun je daar een passende dienstverlener bij zoeken.

10-07-2013, 19:07 door fvandillen

Het lijkt me nogal afhankelijk van het soort webhosting dat je hebt.

Bij een shared hosting pakketje van een tientje in de maand waarbij je alleen maar via een point-and-click interface een database met wachtwoord aan kunt maken, dan lijkt het mij dat je het wachtwoord geheim moet houden en verder is het op applicatieniveau (XSS, SQLi, ect..) geheel jouw verantwoordelijkheid.

Bij een VPS ben je geheel verantwoordelijk voor de veiligheid van het systeem tot op OS niveau (firewall, SSL/VPN, SSH toegang, ect..). Een uitzondering zou natuurlijk zijn als een andere klant uit de hypervisor weet te breken en zo bij jouw gegevens zou kunnen, dit is dan weer voor rekening van de hoster.

En bij colocatie zal de hoster/datacenter slechts verantwoordelijk zijn voor de netwerkvoorzieningen, stroom, backup, koeling. Dan is zelfs een rokende harde schijf je eigen verantwoordelijkheid, en natuurlijk die van de hoster als dezelfde harde schijf een brand in het datacenter veroorzaakt, ze kunnen immers niet verwachten dat je naast je servertje slaapt.

11-07-2013, 06:17 door Anoniem

Ik heb dan weer een andere vraag.

Ik ben ZZPer en ontwikkel websites voor kleine bedrijven.
Het is nu twee keer voorgekomen dat er, ondanks voorzorgsmaatregelen, is ingebroken op websites welke ik geleverd heb.

Ben ik nu aansprakelijk voor eventueel geleden schade?

11-07-2013, 10:37 door Anoniem

"Voor de hoster geldt wel, dat hij nalatig is, wanneer de toegang tot de databases en beheer van de ruimte niet deugdelijk regelt."

Over het algemeen heeft een hoster helemaal niets van doen met het opzetten en beheren van databases op het systeem van een klant. De hosting providers levert connectiviteit, en eventueel het OS van een fysieke of virtuele machine.

11-07-2013, 14:31 door Arnoud Engelfriet

@Anoniem 06:17: Dat hangt vrijwel helemaal af van je voorwaarden en het soort inbraak. Als het een al decennia bekende programmeerfout van jou was, dan ga je voor de bijl. Was het een geavanceerde zero day die je niet had kunnen voorkomen, dan ben je niet aansprakelijk. Voor al het andere geldt, hoe hard had je dat kunnen voorkomen, hoe ernstig was je nalaten en in hoeverre heb je dat uitgesloten in je voorwaarden?

12-07-2013, 10:20 door Anoniem

Ik denk dat je een programmeur die voor jou een applicatie ontwikkelt waarop een SQL injection attack mogelijk
blijkt gewoon voor de volle 100% aansprakelijk kunt stellen in verband met grove nalatigheid.
Dit wijst op onkundig programmeerwerk waar je niet een omheen kunt met een simpele uitsluiting.
De hoster daarvoor aansprakelijk stellen is heel wat anders, het is niet de taak van de hoster om de software die
je draait te auditen.

12-07-2013, 10:37 door Anoniem

"Een ontwikkelaar die software ontwikkelt, zou tegenwoordig aansprakelijk gesteld kunnen worden als de site kwetsbaar is voor SQLi of XSS. Hij hoort te weten hoe hij dat moet voorkomen."

Dat hangt wel heel erg af van de contractuele afspraken. Het enkele feit dat hij dat hoort te weten maakt het nog niet tot een juridische verplichting. Vergeet ook niet dat het primair niet de ontwikkelaar, maar de eigenaar van een site is, die bijvoorbeeld verantwoordelijk is voor het beveiligen van persoonsgegevens en dergelijke.

14-07-2013, 17:26 door Anoniem

Beste,

Ik ben junior beveiligingsonderzoeker voor webapplicaties. Vaak doe ik onderzoek op middelgrote websites om te controleren of de gebruikersgegevens en website goed zijn afgeschermd. Mochten er lekken aanwezig zijn, neem ik contact op met het verantwoordelijke bedrijf voor de (web)applicatie.

Hierbij komt het wel eens voor dat er grove fouten voorkomen in CMS systemen ontwikkeld door zo'n bedrijf. Vaak zijn deze zeer geïnteresseerd in een beveiligingsconsult.

Echter, het is vrij recent weer voorgekomen dat een bedrijf (de naam zou ik graag buiten de discussie houden) waar ik contact mee opgenomen heb, als volgt reageert: "Beveiligingsadvies? Wat is dat voor onzin! Ga iemand anders vervelen!".

Dit bedrijf levert een CMS systeem, dat gebruikt wordt voor simpele websites en webwinkels. Naast de website zelf aan te passen kunnen er kunnen via de lekken klantgegevens en betalingsgegevens buitgemaakt worden.

Wat moet ik met dit bedrijf doen? Zijn deze aansprakelijk te stellen, of is het beter contact op te nemen met de klanten?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer