Juridische vraag: wie is aansprakelijk voor lekke site?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Ik beheer een website waar een database met persoonsgegevens bij hoort. Ik weet dat ik deze goed moet beveiligen, maar hiervoor ben ik (wegens ontbrekende eigen kennis) afhankelijk van mijn ontwikkelaar en hoster. Nu las ik in hun algemene voorwaarden dat zij eigenlijk nooit aansprakelijk zijn voor fouten. Kan dat zomaar? En heb ik dan de boetes?
Antwoord: Ja, in principe kan dat. In zakelijke contracten mag je in principe samen zelf beslissen wie waarvoor verantwoordelijk en aansprakelijk is. Contractsvrijheid is groot in zakelijke relaties. (Bij consumenten is dit anders, je kunt je aansprakelijkheid naar een consument toe bijna niet beperken.)
Er zijn natuurlijk uitzonderingen. Hoe 'kleiner' de klant, hoe onredelijker het wordt om de aansprakelijkheid bij hem te leggen. En hoe veel onderhandelingsruimte er was, maakt ook nog uit. Eenzijdig gedicteerde algemene voorwaarden zijn sneller onredelijk dan een gezamenlijk met bijstand van dure advocaten onderhandelde regeling.
De belangrijkste uitzondering bij een beperking van aansprakelijkheid is "opzet en grove nalatigheid". In die situaties is de ontwikkelaar of hoster áltijd aansprakelijk, ongeacht wat er in de voorwaarden staat. Logisch, het zou nogal ernstig zijn als je opzettelijk schade kon gaan veroorzaken en dan wegkwam met "haha algemene voorwaarden".
Opzet komt zelden voor, meestal moet je het dan gooien op grove nalatigheid. het is wel een hoge grens om te bewijzen. Iets is niet heel snel 'grof nalatig'.
Maak je je als klant zorgen om beveiliging (een goede zaak), dan moet je dus niet akkoord gaan met zulke vérgaande algemene voorwaarden. Eis meer aansprakelijkheid, desnoods specifiek voor schade als gevolg van beveiligingslekken. Wil men dat niet geven, vraag je dan serieus af waarom je met die partij in zee gaat.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Voor de hoster is dit sowieso logisch: zij kunnen niet (en dat willen klanten ook niet) continu gaan monitoren welke gegevens iemand online heeft staan en of deze wel goed beveiligd zijn.
Voor de ontwikkelaar, tenzij dit in het contract anders is omschreven (b.v. een bijlage met service contract voor onderhoud) stopte de dienstverlening toen de site online was.
Voor de hoster geldt wel, dat hij nalatig is, wanneer de toegang tot de databases en beheer van de ruimte niet deugdelijk regelt. Wanneer blijkt dat de afnemer slordig is met wachtwoorden/tokens o.i.d. is dat natuurlijk niet, maar het is algemeen bekend, dat de inhoud van een database ongewenste derden nieuwsgierig maakt.
Voor de ontwikkelaar geldt, dat hij zijn resultaten moet laten voldoen aan algemeen geldende veiligheidsnormen. Zo zou het produkt moeten voorzien in een beveiligde manier van opslaan en een goede scheiding tussen wat een beheerder kan en wat een bezoeker kan.
Dat kan inderdaad.
Dit valt te bekijken op welk type server je site en database gehost word bij het hostingsbedrijf.
Virtuele Server
Dedicated Server
Co-located server
Bij Co-located server is de klant zelf verantwoordelijk voor fouten aan de server en niet de hosting.
Het komt niet alleen bij beveiligen kijken, de database software moet ook up to date gehouden worden , en moeten de patch's uitgevoerd worden wanneer deze verschijnen.
Gegeven:
- je hebt de kennis niet
- je leverancier kan of wil je geen garanties geven
- je werkt met persoonsgegevens
Volgens mij heb je weinig mogelijkheden: apart kennis en kunde inhuren of stoppen met wat je doet.
Benieuwd wat Arnoud daarvan zegt, want dit deel komt nog niet aan bod in zijn reactie.
Biedt die hoster alleen een server aan of levert hij ook de web- en databasesoftware? Als hij die software levert, dan kun je nalatigheid hard maken als hij geen updates doorvoert.
Een ontwikkelaar die software ontwikkelt, zou tegenwoordig aansprakelijk gesteld kunnen worden als de site kwetsbaar is voor SQLi of XSS. Hij hoort te weten hoe hij dat moet voorkomen.
Peter
In het algemeen echter kun je wel degelijk (tot op zekere hoogte) je verantwoordelijkheid doorschuiven. Dit vereist vaak wel wat juridisch goochelen. De bekendste truc is jezelf als bemiddelaar/agent/affiliate opstellen: je contracteert niet met mij maar met mijn achterman, dan val ik er tussenuit zodra het contract gesloten is.
Moet er toch publiekelijk toegankelijk opgeslagen, dan houd je de verantwoordelijkheid. Die verantwoordelijkheid dragen betekent wat mij betreft zelf in beheer houden. Als je dat wil outsourcen, nuja, huur maar vast een jurist om een stevig contract te klussen--zoals Arnout zegt, voor ondernemers is de vrijheid om in contracten te zetten groot. Dat contract is dan de juridische onderbouwing van het delegeren van die taak. Dat gaat wel geld kosten.
Want hosters zetten natuurlijk in hun algemene voorwaarden dat ze nergens voor aansprakelijk zijn. Natuurlijk niet, dat kon wel eens geld kosten. Plus dat hosters nogal eens met dunne marges werken. In een confectiezaak je kleding kopen is een ander verhaal dan als je het op maat laat maken. Hoeweel (sommige) hosters tegenwoordig meer op supermarkten lijken qua volume en marge.
Dus moet je je afvragen hoeveel geld het gaat kosten mocht het misgaan, en hoeveel geld je er dus voor over hebt om het goed te doen. Dan kun je daar een passende dienstverlener bij zoeken.
Bij een shared hosting pakketje van een tientje in de maand waarbij je alleen maar via een point-and-click interface een database met wachtwoord aan kunt maken, dan lijkt het mij dat je het wachtwoord geheim moet houden en verder is het op applicatieniveau (XSS, SQLi, ect..) geheel jouw verantwoordelijkheid.
Bij een VPS ben je geheel verantwoordelijk voor de veiligheid van het systeem tot op OS niveau (firewall, SSL/VPN, SSH toegang, ect..). Een uitzondering zou natuurlijk zijn als een andere klant uit de hypervisor weet te breken en zo bij jouw gegevens zou kunnen, dit is dan weer voor rekening van de hoster.
En bij colocatie zal de hoster/datacenter slechts verantwoordelijk zijn voor de netwerkvoorzieningen, stroom, backup, koeling. Dan is zelfs een rokende harde schijf je eigen verantwoordelijkheid, en natuurlijk die van de hoster als dezelfde harde schijf een brand in het datacenter veroorzaakt, ze kunnen immers niet verwachten dat je naast je servertje slaapt.
Ik ben ZZPer en ontwikkel websites voor kleine bedrijven.
Het is nu twee keer voorgekomen dat er, ondanks voorzorgsmaatregelen, is ingebroken op websites welke ik geleverd heb.
Ben ik nu aansprakelijk voor eventueel geleden schade?
Over het algemeen heeft een hoster helemaal niets van doen met het opzetten en beheren van databases op het systeem van een klant. De hosting providers levert connectiviteit, en eventueel het OS van een fysieke of virtuele machine.
blijkt gewoon voor de volle 100% aansprakelijk kunt stellen in verband met grove nalatigheid.
Dit wijst op onkundig programmeerwerk waar je niet een omheen kunt met een simpele uitsluiting.
De hoster daarvoor aansprakelijk stellen is heel wat anders, het is niet de taak van de hoster om de software die
je draait te auditen.
Dat hangt wel heel erg af van de contractuele afspraken. Het enkele feit dat hij dat hoort te weten maakt het nog niet tot een juridische verplichting. Vergeet ook niet dat het primair niet de ontwikkelaar, maar de eigenaar van een site is, die bijvoorbeeld verantwoordelijk is voor het beveiligen van persoonsgegevens en dergelijke.
Ik ben junior beveiligingsonderzoeker voor webapplicaties. Vaak doe ik onderzoek op middelgrote websites om te controleren of de gebruikersgegevens en website goed zijn afgeschermd. Mochten er lekken aanwezig zijn, neem ik contact op met het verantwoordelijke bedrijf voor de (web)applicatie.
Hierbij komt het wel eens voor dat er grove fouten voorkomen in CMS systemen ontwikkeld door zo'n bedrijf. Vaak zijn deze zeer geïnteresseerd in een beveiligingsconsult.
Echter, het is vrij recent weer voorgekomen dat een bedrijf (de naam zou ik graag buiten de discussie houden) waar ik contact mee opgenomen heb, als volgt reageert: "Beveiligingsadvies? Wat is dat voor onzin! Ga iemand anders vervelen!".
Dit bedrijf levert een CMS systeem, dat gebruikt wordt voor simpele websites en webwinkels. Naast de website zelf aan te passen kunnen er kunnen via de lekken klantgegevens en betalingsgegevens buitgemaakt worden.
Wat moet ik met dit bedrijf doen? Zijn deze aansprakelijk te stellen, of is het beter contact op te nemen met de klanten?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.