Juridische vraag: Hoe veilig zijn online back-ups?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Wij leveren een online backupdienst. Een klant heeft data van zijn klanten bij ons opgeslagen. Dat is op zich prima, maar nu maken zijn klanten zich zorgen dat wij die back-up zullen verwijderen zodra onze klant failliet gaat. Hoe kunnen wij regelen dat er zekerheid is voor die klanten dat zij in dat geval toch nog bij hun back-ups kunnen?
Antwoord: De eenvoudigste manier lijkt me om in het contract met de klant af te spreken dat de dienstverlener garandeert dat de dienst nog X weken beschikbaar zal blijven na faillissement van de klant. De eindklanten kunnen dan in die X weken bij hun data en die snel veiligstellen. Als je dat aanvult met een of ander mechanisme waarmee de eindklanten worden gewaarschuwd dat hun account wordt beëindigd, is het probleem daarmee praktisch uit de weg.
Punt is natuurlijk wel dat dat betekent dat je je dienst moet blijven leveren nadat je klant al een tijd niet meer heeft betaald, want voordat de klant failliet gaat kan er een traject van meerdere maanden zo niet een dik jaar voor zitten waarin de klant moeilijk doet over betaling. Je moet het dan wel heel belangrijk vinden dat die eindklanten bij hun data moeten blijven kunnen.
Een optie om dit op te lossen zou kunnen zijn dat de eindklanten geld in een potje stoppen dat jij pas aanspreekt wanneer de rekeningen onbetaald blijven en er een reële dreiging van faillissement is. Dat vereist wel het nodige geregel - dat potje moet bijvoorbeeld niet onder beheer van jouw klant zijn want als die failliet gaat, kun je daar niet meer bij. Het geld zelf bewaren kan, maar hoe zorg je voor transparantie naar de eindklanten dat je ook écht alleen dat potje aanspreekt bij faillissement van hun leverancier, jouw klant dus?
Je kunt de praktische werkwijze (al dan niet met potje) aanvullen met een contractuele bepaling dat de eindklanten in geval van faillissement bij hun data mogen gedurende die X weken. Het is alleen juridisch ontzettend moeilijk om contractuele afspraken te maken die beginnen met "In geval van faillissement". Een dergelijke afspraak kan namelijk door de curator worden opzij worden gezet, en de wederpartij heeft dan weinig keus anders dan achter aan te sluiten met zijn schadeclaim. Dit blijkt uit het Nebula-arrest van de Hoge Raad dat bepaalde dat de curator een "recht op wanprestatie" heeft als dat in het belang van de boedel is. Welke afspraak er ook op papier staat, de curator mag deze dan negeren en als schuldeiser heb je dan pech. Ja, echt.
De enige echte manier om dit te doen, is te zorgen dat de failliete persoon geen sleutelrol heeft bij de toegang tot de dienst bij zijn faillissement. Zo zouden de eindklanten dus een eigen login moeten hebben op de dienst, en zou die login niet uitgezet moeten kunnen worden door de failliete dienstverlener of zijn curator. Een apart contract tussen de vraagsteller en de eindklanten zou ook een optie zijn, alleen zal de tussenliggende dienstverlener dat niet leuk vinden omdat dat riekt naar klantjes afpakken. Dan moet je daar ook weer garanties over geven naar die dienstverlener, en voor je het weet heb je tientallen contractjes over en weer. Kortom, het kan maar ga er wel even goed voor zitten.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Als je bang bent dat die tussenpersoon rommelt met het account, kan die eindklant altijd op ieder willekeurig moment beslissen om de toegang tot dat account dicht te (laten) zetten voor die tussenpersoon.
Peter
Als backup hoster heb je geen zakelijke relatie met de klanten van je klant B. Dus heel leuk dat meneer x zegt dat dat zijn data is maar meneer x ken je niet en de data die bij jou geparkeerd staat is van B dus meneer x mag daar niet aan komen (en B is er niet meer en de boekhouding staat bij de fiod dus toon maar aan dat je data bij B had geparkeerd).
Dus naast het indekken van hoe krijg ik altijd betaald moet je waarschijnlijk ook nog eea regelen omtrend toegang tot de data.
Maar ook hier zijn natuurlijk risico's met faillisementen. Maar waar ik mij dan meer druk om maak is wanneer het serverpark zelf failliet gaat, want dan moeten al deze klanten hun hardware gaan opeisen en ingeval van lease of koop meteen kopen. Alleen, die hardware moet dan weer elders ondergebracht worden maar dat kost tijd en geld. Vooral de tijdsfactor is dan een probleem...
Dus in geval van faillisement van een serverpark, hoe kun je dan zorgen dat je systeem nog zo lang mogelijk aktief blijft terwijl je op zoek gaat naar een nieuw serverpark?
Oplossing:
1. Neem in je kontrakt op dat je regelmatig een copy van je backup naar HEN toe opstuurt.[/b]
Dan hebben ze altijd een backup om op terug te vallen, als je bedrijf gehackt word of financieel onderuit gaat.
Tevens is dat dan ook weer jouw backup als je intern iets mis gaat met je eigen apparatuur (backup van de backup)
[/b]2. Bied OOK een OFFLINE backup mogelijkheid aan en draag kennis over:[/b]
Hiermee bestrijk je meteen nog een markt segment (2x business ;-) Je LEERT je klanten hoe ze het ZELF kunnen doen
Ga rampen-bestendige inhouse backup oplossingen ernaast verkopen + consultancy. Dan heb je toch business, maar houden je klanten 100% de eindcontrole over hun eigen data! Ik kan me voorstellen dat er business-segmenten zijn die niet eens toestaan (i.v.m. security) dat hu data het pand verlaat (op welke wijze dan ook)
Tot slot:
Uiteindelijk wil niemand AFHANKELIJK gehouden, gemaakt worden van de ander. Met de juiste aanpak, geduld en produkten kun jij je klanten vertellen, leren hoe ze hun eigen backup-broek op kunnen houden. En voor mensen die dat bewust niet willen, is er altijd nog de "backup-uit-handen-neem-service" tegen betaling
Good luck in de (on/offline) backup business!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.