Achtergrond
image

Is geen nieuwe auto krijgen ook al schade onder de AVG?

woensdag 20 november 2024, 10:46 door Arnoud Engelfriet, 3 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een frauduleuze betaalopdracht. Kun je daar wat meer over vertellen?

Antwoord: De zaak is in de kern als volgt:

[Koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd.

Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, hoewel ik grote vraagtekens heb bij hoe die fraudeur het wachtwoord wist. Meerdere foute pogingen wijst op niet het gewoon gecopypaste hebben, maar het is ook geen brute force aanval.

De koper gooit zijn claim op de AVG: hij wil zijn schade vergoed, namelijk de € 26.900 die hij betaald had voor de auto die hij vervolgens niet kreeg. (Zou je dit via de gewone regels spelen, dan had je de derde aansprakelijk moeten stellen en dat heeft uiteraard weinig kans.)

Slaat dat ergens op? Ja, ik zie hem wel en het Hof ook:

Op grond van artikelen 5 lid 1 onder f, 24 en 32 AVG dient [het autobedrijf] haar e-mailaccount waarop persoonsgegevens – zoals in ieder geval namen en e-mailadressen van haar klanten – worden verwerkt, passend te beveiligen. … De artikelen 24 en 32 AVG verplichten [het autobedrijf] technische en organisatorische maatregelen te nemen die passen bij haar bedrijfsvoering en bij de daarbij horende verwerking van persoonsgegevens om een inbreuk op persoonsgegevens zoveel mogelijk te voorkomen.

Als een onbevoegde een mail van een klant kan lezen en daarop kan reageren namens jou, met als gevolg een omgeleide betaling, dan zie ik wel hoe daar de beveiliging van de persoonsgegevens (mailadres, betalingsstatus) wordt omzeild.

Echter, het is niet zo dat íedere fout automatisch een schending van deze beveiligingsplicht is. De AVG kent een inspanningsplicht, dat “zoveel mogelijk” zinnetje. Maar heeft het autobedrijf hieraan voldaan? De ict-leverancier (Autosociaal) had alvast vastgesteld dat er geen malware op de computers van het bedrijf zat.

Uit de toelichting van [het autobedrijf] blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan Autosociaal in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount.

Het wachtwoord was lang, maar vooringevuld vanaf de computer van de garagemedewerker. Zo te lezen was geen sprake van 2FA. Ik zie hoe je beheer over wilt laten aan een specialist, dus ik ben een tikje verrast dat nu net dát aspect eruit gelicht wordt voor de twijfel; zelf had ik meer vraagtekens gehad bij het ontbreken van tweefactorauthenticatie, iets dat toch standaard is bij Microsoft.

De garage mag nu bewijzen dat zij wél de boel adequaat beveiligd had.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (3)
Reageer met quote
Vandaag, 12:56 door karma4
Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten. De gangbare mediaophef dat een ieder de beveiliging op orde moet hebben en dat misbruikt het bewijs is dat het niet klopt helpt hier niet voor een gedegen overweging bij de rechter.
Hierdoor wordt hier de insteek genomen dat het slachtoffer (de garage) schuldig is tenzij.

ICT blijft voor juristen lastig, 2FA werkt gewoonlijk als je bij een computer (fysiek dan wel virtueel) inlogt niet bij elke mogelijk handeling. Enkel bij risicovolle handelingen zoals het uitvoeren van een betaling komt daar die handeling bij.
Een mail lezen/sturen hoort niet bij de standaard risicovolle handelingen.
Reageer met quote
Vandaag, 13:23 door Anoniem
Een lang gecompliceerd wachtwoord dat door Outlook of de browser van de garagehouder lokaal opgeslagen was, maar dat door een ander via een internetprovider in Duitsland in 2 of 3 keer correct kon worden ingevuld. Toch wel verdacht. Of het was niet echt een complex wachtwoord, of het is doorgestoken kaart, of dat wachtwoord is onderschept of geëxfiltreerd. Dat de garage moet aantonen dat het de beveiliging op orde houd vind ik niet vreemd. 2FA had dit waarschijnlijk tegengehouden. Is 2FA noodzakelijke beveiliging voor een account van een garagehouder waarmee alleen simpele communicatie gevoerd wordt en geen (bijzondere) persoonsgegevens... misschien toch wel laat dit voorbeeld zien.,
Reageer met quote
Vandaag, 13:27 door Anoniem
Door karma4: Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten. De gangbare mediaophef dat een ieder de beveiliging op orde moet hebben en dat misbruikt het bewijs is dat het niet klopt helpt hier niet voor een gedegen overweging bij de rechter.
Hierdoor wordt hier de insteek genomen dat het slachtoffer (de garage) schuldig is tenzij.

ICT blijft voor juristen lastig, 2FA werkt gewoonlijk als je bij een computer (fysiek dan wel virtueel) inlogt niet bij elke mogelijk handeling. Enkel bij risicovolle handelingen zoals het uitvoeren van een betaling komt daar die handeling bij.
Een mail lezen/sturen hoort niet bij de standaard risicovolle handelingen.

Dit was echter geen standaard phishing. Bij phisihing wordt er een email adres gespoofed of wordt er een mail adres gebruikt dat veel lijkt op het orgineel. Daar was hier geen sprake van. De afzender was qua alles helemaal valide. Iedere check die je kan bedenken zou 'ok' terug geven. Het enige twijfelachtige is dan het bankrekeningnummer, echter zijn er wel meer bedrijven die een buitenlandse rekening gebruiken en zolang dat niet aan de andere kant vd wereld is valt dat ook nog niet heel erg op. Zalando handelt bijvoorbeeld ook via een Duits rekening nummer.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure