Wanneer ben je nou gebonden aan rare bedingen in een disclosurebeleid?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Als ik als ethisch hacker een lek vind bij een organisatie, dan gebruik ik security.txt om contactgegevens te vinden en ze te informeren. Wat als een van die organisaties een disclosure beleid hanteert met een eenzijdig geformuleerde geheimhoudingsclausule, ben ik daar dan aan gebonden?
Antwoord: Security.txt is een standaardmiddel voor het informeren van organisaties: je zet dit op je website en plaatst er contactgegevens in van de security-persoon die over incidenten of kwetsbaarheden moet worden geïnformeerd. Dit bestand is machine-leesbaar, zodat je automatisch zaken als het e-mailadres eruit kunt vissen om er vanuit je eigen applicatie een notificatie heen te sturen.
Een van de informatievelden die in een security.txt-bestand staat, is het policybeleid waaronder je meldingen aanneemt. Dit is dus de vulnerability disclosure policy of responsible disclosure policy, waarin een bedrijf uitlegt hoe je tips doorgeeft, hoe ze daarmee omgaan en wat ze van jou verwachten. En dat is dus waar de vraag van de vraagsteller over gaat: als men daarin zet “gij zult voor eeuwig zwijgen over het gemelde op straffe van eene boete van vijftienhonderd florijnen”, hoe bindend is dat dan en op wie?
Het lastige is natuurlijk, waardoor zit je aan die voorwaarden vast. Een handtekening zet je niet, en je communiceert ook geen akkoord op andere wijze. Je handelt conform het gepubliceerde beleid, maar dat is zeker niet genoeg. Juristen noemen dat “browse-wrap” overeenkomsten, naar analogie met de click-wrap overeenkomst waarbij je door klikken op “I agree” ergens mee akkoord gaat, en met de oudere shrink-wrap overeenkomst waarbij je akkoord gaat (althans, beweerdelijk) door het krimpfolie te verbreken. (Alles hierover in mijn nieuwe boek.)
Hoofdregel uit de wet is dat browse-wrap overeenkomsten niet legaal zijn. Dit haal ik uit een arrest van het Hof Den Haag uit 2018, dat het sluitstuk is van acht jaar procederen inclusief de hulplijn van het Hof van Justitie. Na een zéér diepgravende analyse van internationaal privaatrecht, Iers versus Engels versus Nederlands recht en of een rechtskeuze uit algemene voorwaarden meeweegt bij de vraag of die voorwaarden bindend zijn, komt men met een zeer recht-voor-z’n-raap conclusie over browse-wrap:
Waar deze juridisch onbeschermbare [prijs]gegevens [van Ryanair-vluchten] voor een ieder gratis en vrij toegankelijk zijn openbaar gemaakt op een openbare website [van Ryanair zelf], zal een redelijk persoon niet denken dat PR Aviation, louter door de website te bezoeken en/of deze gegevens te verzamelen, zich wilde binden aan de gebruiksvoorwaarden die haar verbieden om die gegevens te verzamelen en te gebruiken, noch aan de daarin opgenomen rechtskeuze. Ter vergelijking: wie op straat aan een muur, of in een étalage zichtbaar vanaf de openbare weg, een aanplakbiljet heeft opgehangen met een tekst waarvan de eerste regel luidt: “Wie verder leest, moet € 5,- betalen”, mag er niet zo maar op vertrouwen dat een voorbijganger die de tekst verder leest, zich heeft willen binden aan deze voorwaarde.
Zou je ergens in moeten loggen of een aanvraag doen, dan kan men wel voorwaarden stellen. Het ging hier dus goed (voor PR Aviation) omdat de gegevens openbaar én onbeschermd waren. Dat analoog toepassen zou dan zijn: “als iemand gewoon een tip over een kwetsbaarheid wil doorgeven, dan mag je er niet op vertrouwen dat die zich wilde binden aan jouw voorwaarden”.
Daar staat natuurlijk tegenover dat het onderzoeken en uitpluizen van vulnerabilities al snel in de sfeer van computervredebreuk terecht komt, omdat je op plekken komt waarvan je moet weten dat je er niet hoort te zijn. Daardoor heerst het beeld dat je maar beter de policy-regels kunt accepteren, want dan zal men geen aangifte doen of je civielrechtelijk aanspreken op de schade. Dus je gaat dan semi-vrijwillig akkoord omdat het alternatief “nee ik was wel binnen maar ik verwerp jullie regels” neerkomt op een bekentenis van een misdrijf.
Maar is het wel een misdrijf, zo’n ethische hack? Het Openbaar Ministerie denkt daar volgens mij anders over, die focussen op het maatschappelijk belang en je proportionaliteit/subsidiariteit maar niet op de vraag of je keurig de regels van het bedrijf gevolgd hebt. Gezien die regels lijkt het mij zeer onwaarschijnlijk dat je vervolgd wordt als je volgens de algemeen aanvaarde ethische regels werkt maar er gezien de situatie wel voor kiest om na een redelijke periode te publiceren over de vulnerability.
Een civielrechtelijke zaak dan, men dagvaardt je wegens onrechtmatige daad en claimt tonnen aan schade plus een verbod met dwangsom om ooit nog in de buurt van hun IP-range te komen? Dat kan natuurlijk altijd, alleen bij ethisch hacken is er haast per definitie geen schade, dus wat wou je dan claimen? Los daarvan lijkt het me moeilijk te spreken van onrechtmatig handelen als het geen computervredebreuk is omdat je het ethisch verantwoord deed.
Dan blijft contractbreuk over: los van de rechtmatigheid, wij hadden áfgesproken dat jij je mond zou houden toen jij de melding deed, en die afspraak schend je nu. Maar eenzijdig iets afspreken kan dus niet, en dan komen we terug bij die Ryanair-zaak over de vraag of je akkoord was gegaan met die voorwaarden omdat ze ergens te lezen waren. Ik zie ondertussen nog steeds geen reden waarom dat zo zou zijn, als een CVD-melding een gewone, legale actie is dan zie ik dat als analoog aan die tekst op de muur. De enige uitzondering die ik kan bedenken is als je iets extra’s zou willen, zoals een beloning. Dan doe je meer dan alleen een melding en kan er ook meer van je verwacht worden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ten eerste wordt er in het advies niet expliciet vermeld dat ethisch hacken in sommige landen illegaal kan zijn. Het zou nuttig zijn om dit te vermelden, zodat ethische hackers zich bewust zijn van de wetten in hun land en eventuele risico's die ze lopen.
Ten tweede lijkt het advies te suggereren dat het onwaarschijnlijk is dat een ethische hacker vervolgd zal worden als hij of zij volgens de algemeen aanvaarde ethische regels werkt en na een redelijke periode publiceert over de kwetsbaarheid. Hoewel dit in sommige gevallen waar kan zijn, is het belangrijk op te merken dat dit niet in alle landen het geval is en dat de juridische situatie kan variëren afhankelijk van de omstandigheden van de kwetsbaarheidsmelding.
Ten slotte zou het nuttig zijn om meer te bespreken over de mogelijke gevolgen van het schenden van een geheimhoudingsclausule in een disclosure beleid, zoals civielrechtelijke aansprakelijkheid. Hoewel het artikel kort bespreekt dat een civielrechtelijke zaak wegens contractbreuk onwaarschijnlijk is, kan het nuttig zijn om meer specifieke voorbeelden te geven van de mogelijke gevolgen van het schenden van een dergelijke clausule.
Gewoon negeren en niks meer aan doen. Je bent namelijk niet verplicht zwakheden te melden ofzo...
Als je het wel wilt melden, doe het dan anoniem.
Je kan namelijk niet aanklagen als je geen idee hebt wie het is.
Ten eerste wordt er in het advies niet expliciet vermeld dat ethisch hacken in sommige landen illegaal kan zijn.
Arnoud woont in Nederland, net als deze website en waarschijnlijk de doelgroep van deze website. Daarom is het logisch dat er alleen naar NL wetgeving gekeken wordt.
Je kan namelijk niet aanklagen als je geen idee hebt wie het is.
Wat ik in de praktijk zie zijn het vaak mensen die er toch iets voor verwachten, al was het maar een t-shirt of een publieke erkenning (wall of fame) dat ze iets gevonden hebben. Dat staat goed op cv's etc.
Ten eerste wordt er in het advies niet expliciet vermeld dat ethisch hacken in sommige landen illegaal kan zijn.
Arnoud woont in Nederland, net als deze website en waarschijnlijk de doelgroep van deze website. Daarom is het logisch dat er alleen naar NL wetgeving gekeken wordt.
Niet helemaal , want de lezers hier kunnen natuurlijk wel van plan zijn buitenlandse sites ethisch ongevraagd pentesten .
Een herinnering dat men elders andere wetgeving hanteert is dan niet verkeerd .
(net zoals vakantie en festivalgangers ook niet altijd weten dat het NL drugs gedoog "beleid" elders niet zo werkt).
Dan zou het nauwgezet volgen van het beleid in zo'n security.txt de enige manier zijn om gegarandeerd vrijgewaard te blijven van aansprakelijkheid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
