image

Is geen nieuwe auto krijgen ook al schade onder de AVG?

woensdag 20 november 2024, 10:46 door Arnoud Engelfriet, 12 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een frauduleuze betaalopdracht. Kun je daar wat meer over vertellen?

Antwoord: De zaak is in de kern als volgt:

[Koper] heeft een auto van [het autobedrijf] gekocht. Na een betaalinstructie vanuit het e-mailadres van [het autobedrijf] stelt [de koper] het grootste deel van de koopprijs te hebben betaald op een Duitse bankrekening. Achteraf bleek dat een derde via het e-mailaccount van [het autobedrijf] een valse betaalinstructie had gestuurd.

Die derde was kennelijk goed voorbereid: forensisch onderzoek op de logs liet zien dat er een paar wachtwoorden waren geprobeerd, en toen met succes kon worden ingelogd. Daarna is meegelezen in de mailbox, gespot dat iemand nog moest betalen en gauw een Duits IBAN gestuurd waar het geld naartoe kon. Slim en snel geschakeld, hoewel ik grote vraagtekens heb bij hoe die fraudeur het wachtwoord wist. Meerdere foute pogingen wijst op niet het gewoon gecopypaste hebben, maar het is ook geen brute force aanval.

De koper gooit zijn claim op de AVG: hij wil zijn schade vergoed, namelijk de € 26.900 die hij betaald had voor de auto die hij vervolgens niet kreeg. (Zou je dit via de gewone regels spelen, dan had je de derde aansprakelijk moeten stellen en dat heeft uiteraard weinig kans.)

Slaat dat ergens op? Ja, ik zie hem wel en het Hof ook:

Op grond van artikelen 5 lid 1 onder f, 24 en 32 AVG dient [het autobedrijf] haar e-mailaccount waarop persoonsgegevens – zoals in ieder geval namen en e-mailadressen van haar klanten – worden verwerkt, passend te beveiligen. … De artikelen 24 en 32 AVG verplichten [het autobedrijf] technische en organisatorische maatregelen te nemen die passen bij haar bedrijfsvoering en bij de daarbij horende verwerking van persoonsgegevens om een inbreuk op persoonsgegevens zoveel mogelijk te voorkomen.

Als een onbevoegde een mail van een klant kan lezen en daarop kan reageren namens jou, met als gevolg een omgeleide betaling, dan zie ik wel hoe daar de beveiliging van de persoonsgegevens (mailadres, betalingsstatus) wordt omzeild.

Echter, het is niet zo dat íedere fout automatisch een schending van deze beveiligingsplicht is. De AVG kent een inspanningsplicht, dat “zoveel mogelijk” zinnetje. Maar heeft het autobedrijf hieraan voldaan? De ict-leverancier (Autosociaal) had alvast vastgesteld dat er geen malware op de computers van het bedrijf zat.

Uit de toelichting van [het autobedrijf] blijkt dat zij in ieder geval de instelling en het beheer van het wachtwoord van haar e-mailaccount heeft overgelaten aan Autosociaal in plaats van zelf een (moeilijk te achterhalen) wachtwoord te kiezen en te beheren. Het hof betwijfelt of dit een passende maatregel is voor de beveiliging van haar e-mailaccount.

Het wachtwoord was lang, maar vooringevuld vanaf de computer van de garagemedewerker. Zo te lezen was geen sprake van 2FA. Ik zie hoe je beheer over wilt laten aan een specialist, dus ik ben een tikje verrast dat nu net dát aspect eruit gelicht wordt voor de twijfel; zelf had ik meer vraagtekens gehad bij het ontbreken van tweefactorauthenticatie, iets dat toch standaard is bij Microsoft.

De garage mag nu bewijzen dat zij wél de boel adequaat beveiligd had.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (12)
20-11-2024, 12:56 door karma4
Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten. De gangbare mediaophef dat een ieder de beveiliging op orde moet hebben en dat misbruikt het bewijs is dat het niet klopt helpt hier niet voor een gedegen overweging bij de rechter.
Hierdoor wordt hier de insteek genomen dat het slachtoffer (de garage) schuldig is tenzij.

ICT blijft voor juristen lastig, 2FA werkt gewoonlijk als je bij een computer (fysiek dan wel virtueel) inlogt niet bij elke mogelijk handeling. Enkel bij risicovolle handelingen zoals het uitvoeren van een betaling komt daar die handeling bij.
Een mail lezen/sturen hoort niet bij de standaard risicovolle handelingen.
20-11-2024, 13:23 door Anoniem
Een lang gecompliceerd wachtwoord dat door Outlook of de browser van de garagehouder lokaal opgeslagen was, maar dat door een ander via een internetprovider in Duitsland in 2 of 3 keer correct kon worden ingevuld. Toch wel verdacht. Of het was niet echt een complex wachtwoord, of het is doorgestoken kaart, of dat wachtwoord is onderschept of geëxfiltreerd. Dat de garage moet aantonen dat het de beveiliging op orde houd vind ik niet vreemd. 2FA had dit waarschijnlijk tegengehouden. Is 2FA noodzakelijke beveiliging voor een account van een garagehouder waarmee alleen simpele communicatie gevoerd wordt en geen (bijzondere) persoonsgegevens... misschien toch wel laat dit voorbeeld zien.,
20-11-2024, 13:27 door Anoniem
Door karma4: Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten. De gangbare mediaophef dat een ieder de beveiliging op orde moet hebben en dat misbruikt het bewijs is dat het niet klopt helpt hier niet voor een gedegen overweging bij de rechter.
Hierdoor wordt hier de insteek genomen dat het slachtoffer (de garage) schuldig is tenzij.

ICT blijft voor juristen lastig, 2FA werkt gewoonlijk als je bij een computer (fysiek dan wel virtueel) inlogt niet bij elke mogelijk handeling. Enkel bij risicovolle handelingen zoals het uitvoeren van een betaling komt daar die handeling bij.
Een mail lezen/sturen hoort niet bij de standaard risicovolle handelingen.

Dit was echter geen standaard phishing. Bij phisihing wordt er een email adres gespoofed of wordt er een mail adres gebruikt dat veel lijkt op het orgineel. Daar was hier geen sprake van. De afzender was qua alles helemaal valide. Iedere check die je kan bedenken zou 'ok' terug geven. Het enige twijfelachtige is dan het bankrekeningnummer, echter zijn er wel meer bedrijven die een buitenlandse rekening gebruiken en zolang dat niet aan de andere kant vd wereld is valt dat ook nog niet heel erg op. Zalando handelt bijvoorbeeld ook via een Duits rekening nummer.
20-11-2024, 16:58 door Anoniem
Door karma4: Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten.
Mij lukt het niet om in het tussenvonnis terug te vinden dat de klant een ICT-specialist is. Waar haal je dat vandaan?
20-11-2024, 19:58 door Anoniem
Door Anoniem:
Door karma4: Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten. De gangbare mediaophef dat een ieder de beveiliging op orde moet hebben en dat misbruikt het bewijs is dat het niet klopt helpt hier niet voor een gedegen overweging bij de rechter.
Hierdoor wordt hier de insteek genomen dat het slachtoffer (de garage) schuldig is tenzij.

ICT blijft voor juristen lastig, 2FA werkt gewoonlijk als je bij een computer (fysiek dan wel virtueel) inlogt niet bij elke mogelijk handeling. Enkel bij risicovolle handelingen zoals het uitvoeren van een betaling komt daar die handeling bij.
Een mail lezen/sturen hoort niet bij de standaard risicovolle handelingen.

Dit was echter geen standaard phishing. Bij phisihing wordt er een email adres gespoofed of wordt er een mail adres gebruikt dat veel lijkt op het orgineel. Daar was hier geen sprake van. De afzender was qua alles helemaal valide. Iedere check die je kan bedenken zou 'ok' terug geven. Het enige twijfelachtige is dan het bankrekeningnummer, echter zijn er wel meer bedrijven die een buitenlandse rekening gebruiken en zolang dat niet aan de andere kant vd wereld is valt dat ook nog niet heel erg op. Zalando handelt bijvoorbeeld ook via een Duits rekening nummer.

Maar ... ...
de koper had al een aanbetaling op een ander rekeningnummer gedaan: dat van de garage zelf. En dat was (volgens de rechtbank stukken) ook het bankrekening-nummer dat op de koopovereenkomst stond.

En dan toch zonder morren 25.000 euro overmaken naar een andere niet afgesproken (Duitse) bankrekening.

De koper heeft toch een "inspanningsplicht" om de betaling bij de garage aan te laten komen?
Daar is precendent voor van de Hoge Raad.
Wat heeft de koper gedaan om te verifieren dat deze wijziging van de overeengekomen afspraken wel klopt?
(via een andere route dan datzelfde email adres waarmee dat verzoek bij hem binnenkwam)

We klagen hier ook altijd over die "domme" mensen die in helpdeskfraude trappen en tien-duizenden euro's of meer(!) kwijt raken. Die moeten toch ook altijd beter opletten? Niet alles geloven wat ze verteld wordt?
Hoe is dit anders?

Zorgen banken er dan wel voor dat hun klantgegevens goed beveiligd zijn/niet misbruikt kunnen worden?
(Ik kan me vaag herinneren dat er artikelen waren over het doorverkopen van klantinformatie door (ingehuurde) medewerkers)
Of is dat dan het volgende AGV-rechtzaakje dat we kunnen verwachten van een of andere klant die heel veel geld aan helpdeskfraude kwijt raakt.
20-11-2024, 20:10 door Anoniem
Door Anoniem:
Door karma4: Er zit wel veel meer raars in deze zaak. Een ICT specialist die geen pishing methodiek herkent maar wel zijn kennis gebruikt om de garage met zijn ICT kennis voor het blok te zetten.
Mij lukt het niet om in het tussenvonnis terug te vinden dat de klant een ICT-specialist is. Waar haal je dat vandaan?

Je bedoelt:

" [eiser] heeft de Australische nationaliteit en woont en werkt in Nederland. Hij is van beroep software developer en is in die hoedanigheid onder meer werkzaam geweest voor Google en Microsoft."

https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBGEL:2023:4848
https://www.security.nl/posting/865607/Opgelichte+klant+sleept+autobedrijf+voor+rechter+over+beveiliging+e-mailaccount

(zoek op deze site eens op "autobedrijf" )
:-)
21-11-2024, 08:10 door Anoniem
Kern van het probleem is dat er waarde aan 'email' wordt gehecht. Voor 'email' kun je ook 'whats hap' lezen.
Daar blijft heel veel op kapot gaan.

Kortom: dit probleem ligt bij de waarde die volkomen onterecht aan email wordt gehecht - een iets wat nooit bedoeld is geweest om 'veilig' te zijn. Ja, het kan. Maar dan signed. Dat is natuurlijk voor veel te veel mensen veel te moeilijk.

Oplossing: gewoon cash betalen. Jij het stapeltje bankbiljetten, ik de autosleutels en papieren. Zo onhandelbaar bij 54 briefjes van 500 nou ook weer niet hoor.
21-11-2024, 09:44 door Anoniem
Door Anoniem:
Door Anoniem: Mij lukt het niet om in het tussenvonnis terug te vinden dat de klant een ICT-specialist is. Waar haal je dat vandaan?

Je bedoelt:

" [eiser] heeft de Australische nationaliteit en woont en werkt in Nederland. Hij is van beroep software developer en is in die hoedanigheid onder meer werkzaam geweest voor Google en Microsoft."
Dank!
21-11-2024, 11:39 door Anoniem
Door Anoniem: Kern van het probleem is dat er waarde aan 'email' wordt gehecht. Voor 'email' kun je ook 'whats hap' lezen.
Daar blijft heel veel op kapot gaan.

Kortom: dit probleem ligt bij de waarde die volkomen onterecht aan email wordt gehecht - een iets wat nooit bedoeld is geweest om 'veilig' te zijn. Ja, het kan. Maar dan signed. Dat is natuurlijk voor veel te veel mensen veel te moeilijk.

Oplossing: gewoon cash betalen. Jij het stapeltje bankbiljetten, ik de autosleutels en papieren. Zo onhandelbaar bij 54 briefjes van 500 nou ook weer niet hoor.
Maar die oplossing mag van ons parlement niet meer. Er is dit jaar een wetsvoorstel aangenomen dat een maximum van 3000 euro stelt aan cash transacties tussen bedrijven en particulieren. De concrete veiligheid die bankbiljetten in zo'n geval bieden, mag van onze overheid dus niet meer.

https://www.security.nl/posting/859237/Tweede+Kamer+akkoord+met+verbod+op+cashbetalingen+boven+3_000+euro

https://www.security.nl/posting/862897/Invoering+acceptatieplicht+contant+geld+moet+wachten+op+uitzonderingsbesluit

https://www.security.nl/posting/863576/Overheid+adviseert+noodpakket+met+contant+geld+en+kopie+identiteitsbewijs
21-11-2024, 14:37 door Anoniem
Door Anoniem: K
Oplossing: gewoon cash betalen. Jij het stapeltje bankbiljetten, ik de autosleutels en papieren. Zo onhandelbaar bij 54 briefjes van 500 nou ook weer niet hoor.

Altijd weer van die steampunks die een klein risico willen inruilen voor een heel groot risico.
Niet eens hypothetisch, want de tijd _dat_ cash king was , ging het zo,.

Ik zou ze zo graag verantwoordelijk maken voor het openen en sluiten bij de autodealer die tonnen cash heeft liggen.
Bij elk scootertje denken "stond die er niet laatst ook", en "rijdt ie nu achter me aan om te kijken waar ik woon."

In het onderhavige scenario heb je dus een meelezende crimineeel gehad die las (of voorstelde) op welk moment jij met 27 ruggen over straat gaat richting eeen specifieke bestemming.
Nou makker, kan niks gebeuren gaan , toch ?

Wat een geweldige oplossing heb je voorgesteld voor het probleem. Op een US forum kun je dan nog een oplossing verzinnen op basis van het 2e amendment, maar zelfs als je Overeem heet is het niet geweldig om een crimineel precies te vertellen wanneer je geldloper speelt met een serieus bedrag.
21-11-2024, 15:03 door Anoniem
Door Anoniem: Oplossing: gewoon cash betalen.
Dat had de klant voorgesteld, maar dat accepteerde het autobedrijf niet.
23-11-2024, 11:04 door Anoniem
Rare titel bericht "ook al schade onder de AVG?", vooral het "ook al", nu er onder de AVG vrijwel geen schade wordt vergoed, alleen al omdat de schade resp. de oorzaak vaak niet is te bewijzen
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.