image

Juridische vraag: is het strafbaar om je systeem slecht te beveiligen?

woensdag 15 januari 2014, 10:32 door Arnoud Engelfriet, 16 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Het is strafbaar om binnen te dringen in een geautomatiseerd werk, zoals een computer of een netwerk. Maar is het ook strafbaar om je systeem slecht te beveiligen zodat het onnodig makkelijk is voor anderen om binnen te dringen?

Antwoord: Nee, dat is niet strafbaar. Binnendringen is strafbaar, net als het vernielen van gegevens (=veranderen, wissen, onbruikbaar of ontoegankelijk maken, of gegevens eraan toevoegen). Hiervan is ook wat juristen noemen een culpose variant: "Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar. Maar gegevensovername of gegevensdiefstal wordt hier niet genoemd.

Dus stel ik zet mijn klantenbestand online zonder adequate beveiliging en een Chinees kopieert de hele boel na het raden van het wachtwoord. De Chinees schendt 138ab, maar is niet te vervolgen. Maar wat valt mij te verwijten? Er is niets "veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt" en ik heb geen beveiliging doorbroken. Ik was ook niet op onbevoegd terrein, het was immers mijn eigen server.

De Wbp eist "adequate beveiliging" van persoonsgegevens. Dat artikel overtreden is strikt gesproken niet strafbaar: het Cbp kan er bestuursrechtelijk tegen optreden en een last onder dwangsom opleggen. Geen boetes en de cel in ga je al helemaal niet.

Wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.

Wat zou er gebeuren als we gewoon in de wet zetten: "Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep"? Leveranciers worden dan aansprakelijk voor schade door datalekken die aan hun apparatuur of software te wijten is.

Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
15-01-2014, 10:40 door Anoniem
Wat zou er gebeuren als we gewoon in de wet zetten: "Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep"? Leveranciers worden dan aansprakelijk voor schade door datalekken die aan hun apparatuur of software te wijten is.

Ik heb bezwaar tegen de beperking dat het de stand der techniek moet zijn ten tijde van de verkoop. Juist met software is het eenvoudig om de kwaliteit te verbeteren gedurende bijvoorbeeld de garantieperiode.

Peter
15-01-2014, 11:30 door johanw
Zo'n aansprakelijkheid zou waarschijnlijk leiden tot het einde van veel open source projecten, ontwikkelaars willen niet persoonlijk aansprakelijk gesteld worden als er een lek in blijkt te zitten dat misbruikt wordt. En computers zouden doort fabrikanten geleverd worden met simpele, veilige programma's die niks kunnen zodat je alsnog zelf iets installeert, maar dan gooit de fabrikant alle garantie overboord.

Het zou zowiezo de trend naar gesloten systemen, die we toch al teveel zien (iOS, windows phone en de appshop onder win8 metro) versterken. Geen goed idee.
15-01-2014, 11:56 door Anoniem
Ik dacht dat het wel verboden was om je fiets -niet- op slot te zetten. Is dat dan een aparte wet?
15-01-2014, 12:28 door schele
Wellicht wordt hier iets te juridisch naar de term strafbaar gekeken en had de vraagsteller meer interesse in de concrete gevolgen?

Want als jij een systeem met persoonsgegevens wagenwijd openzet zijn er toch wel degelijk gevolgen, waaronder boetes, al is in de praktijk het CBP natuurlijk een lachertje: dat gaat veranderen met EUdatap, wanneer die ook eindelijk komt.

En (zonder dat ik zelf enige juridische kennis heb) ik ben benieuwd in hoeverre je aanprakelijk kan worden gesteld als je bewust een systeem dat persoonsgegevens verwerkt wagenwijd openzet waardoor een derde daar misbruik van maakt (aangezien overtreden artikel 4 lid 3 WBP wèl een misdrijf is).
15-01-2014, 12:39 door WhizzMan
Je bent misschien niet strafbaar, maar je kan onder bepaalde omstandigheden wel aansprakelijk zijn voor de gevolgen. Als jij willens en wetens je ICT slecht beveiligd en anderen leiden schade daardoor, kunnen die hun schade op jou verhalen. Strafbaar gaat over strafrecht, boetes en gevangenisstraf van de overheid, aansprakelijkheid gaat over claims van slachtoffers.
Iets hoeft niet strafbaar te zijn om toch "bestraft" te worden door een rechter.
15-01-2014, 12:45 door Anoniem
Wat Whizzman zegt. Het gevolg van je systeem niet beveiligen is dat het wordt misbruikt. Je bent aansprakelijk voor de gevolgschade. Sommige eigenaren van een site die is misbruikt is voor phishing moet eerst worden uitgelegd dat anderen hun geld zijn kwijt geraakt mede door zijn gebrek aan beveiliging (nalatigheid).
15-01-2014, 13:21 door Anoniem
Nee dat is het zeker niet,de veiligheid van je systeem is je eigen verantwoordelijkheid.
Dus alles valt onder je eigen risico,wat je er op dat moment mee doet als je het zelf niet beveiligd hebt.
Het is gewoon raadzaam je systeem te beveiligen en de meeste mensen weten dat ook wel.
Misschien doet de ene meer voor de beveiliging van zijn systeem dan de ander.
Dat zal je gewoon altijd wel houden.
15-01-2014, 20:46 door Anoniem
En als je je beveiliging hebt uitbesteed? Is het dan jouw verantwoordelijkheid als het wordt misbruikt? Of degene aan wie het is uitbesteed? Dan maakt het probleem heel leuk voor juristen.
15-01-2014, 23:30 door Anoniem
Door johanw: Zo'n aansprakelijkheid zou waarschijnlijk leiden tot het einde van veel open source projecten, ontwikkelaars willen niet persoonlijk aansprakelijk gesteld worden als er een lek in blijkt te zitten dat misbruikt wordt.
Garantie is nu ook al evenredig aan de betaling. De zonnebril van de HEMA heeft een andere te verwachten levensduur dan die dure van de opticien. Bij open source zou je in mijn ogen ook niets mogen verwachten, dus is aansprakelijkheid ook niet meer zo lastig.
16-01-2014, 12:34 door Anoniem
Nou, ik weet niet of het strafbaar is om je systeem slecht te beveiligen, maar het is blijkbaar wel strafbaar om je systeem goed te beveiligen
https://www.security.nl/posting/375434/Brit+krijgt+celstraf+wegens+geheimhouden+wachtwoord
16-01-2014, 13:19 door Anoniem
"Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel."

De leverancier van een laptop moet dus vervolgt worden indien de gebruiker op de laptop privacy gevoelige informatie plaatst, deze niet beschermd bijvoorbeeld door harddisk encryptie, waardoor deze informatie na verlies of diefstal op straat komt te liggen ? Volgens mij is de configuratie van de laptop geen issue van de fabrikant. En zaken als Truecrypt moet je er toch zelf op installeren.

"Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep"?

Het klinkt erg leuk. Maar de vraag of je al dan niet (bijvoorbeeld) harddisk encryptie gebruikt is toch een afweging die je zelf moet maken. Is de fabrikant ook verantwoordelijk indien je encrypted partitie beschadigd raakt, waardoor zakelijke gegevens verloren gaan ?

En is de fabrikant, die harddisk encryptie afdwingt, juridisch verantwoordelijk indien je je begeeft in een jurisdictie waar gebruik van deze encryptie wettelijk niet wordt toegestaan ?

Volgens mij zitten er nogal wat haken en ogen aan de opmerkingen die je hier maakt. Niet iedere gebruiker heeft dezelfde behoeften. En of een systeem publiekelijk beschikbaar moet zijn, of enkel voor specifieke gebruikers is ook niet iets wat een fabrikant kan bepalen.
16-01-2014, 14:14 door Anoniem
Door Anoniem: En als je je beveiliging hebt uitbesteed? Is het dan jouw verantwoordelijkheid als het wordt misbruikt? Of degene aan wie het is uitbesteed? Dan maakt het probleem heel leuk voor juristen.

Er is meestal sprake van een keten van aansprakelijkheid. Als je het hebt uitbesteed is het nog steeds jouw verantwoordelijkheid, men kan jou aansprakelijk stellen. Vervolgens kan jij degene aan wie is uitbesteed aansprakelijk stellen.
16-01-2014, 15:05 door Anoniem
"Dan maakt het probleem heel leuk voor juristen."

Niet bepaald, juristen hebben dagelijks met dergelijke zaken te maken, dat is voor het niet nieuw of bijzonder.
20-01-2014, 15:23 door Patio
Door Anoniem: Ik dacht dat het wel verboden was om je fiets -niet- op slot te zetten. Is dat dan een aparte wet?

Hoe kom je daarbij? Als het slot van je fiets kapot is moet je gaan lopen of voor het openbaar vervoer kiezen? Lijkt me heel stug.
23-01-2014, 16:04 door athrropos
Leuke suggesties bij bedrijfsmatig gebruik van de systemen, maar het merendeel van de particulieren, weet amper de pc veilig te houden, laat staat wat beveiliging is.
En dan nog.
Hebben ze een virusscanner, het scannen wordt meestal als een crime gezien. (zeker de bijlages).
in het kort: qua bedrijfsmatig kun je bovenstaande wel iets hard maken, maar alleen als het personeel ook allemaal les in beveiliging heeft gekregen EN deze ook altijd gebruikt.
En dat is juist iets waar je het NOOIT van op af kan gaan.
Zelfs bestuurders van grote bedrijven weten meestal niet echt hoe de computer heel te houden(helpdesk of secretaresse doen dat meestal).

Zolang de isp niet de aanvallen kan of wil voorkomen, blijven we de huidige situatie houden.
19-02-2014, 18:40 door Anoniem
Hallo,

Wekelijks word van mij verwacht dat ik moet inloggen op werk.nl met mijn digid code.
Hier is alleen single authentificatie van toepassing dus inloggen met alleen je gebruikersnaam en paswoord.
Tegenwoordig hebben financiële bedrijven two way authentification wat het een stuk veiliger maakt.
Waarom heeft de staat dit niet ?
En moet ik dit accepteren aangezien het om erg privé gevoelige gegevens gaat wat mijn inziens slecht is beveiligd want als ik gehackt word kan ik flink problemen krijgen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.