Juridische vraag: wie is aansprakelijk voor schade door malware op een website?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?
Antwoord: In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto's bekrassen tot malware infecteren.
Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.
Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende.
Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.
Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Als dit juist is kan dat behoorlijke gevolgen hebben voor website die gebruik maken van een advertentienetwerk. Denk bijv. aan incidenten bij nu.nl of parool.nl waarbij (tien)duizenden bezoekers geïnfecteerd raakten met ransomware door een bezoeker aan de webpagina.
Als dit juist is kan dat behoorlijke gevolgen hebben voor website die gebruik maken van een advertentienetwerk. Denk bijv. aan incidenten bij nu.nl of parool.nl waarbij (tien)duizenden bezoekers geïnfecteerd raakten met ransomware door een bezoeker aan de webpagina.
Tja dat is dan al weer een volgende stap. Is de eigenaar van een webpagina aansprakelijk voor wat toeleveranciers
doen. Ik zou zelf er voor zijn dat dat zo is, maar het zou kunnen dat de eigenaar er mee weg kan komen dat hij
niet kan bepalen wat die toeleverancier (het advertentienetwerk) levert.
Normaal gesproken is dat niet zo bij produktaansprakelijkheid. Als je iets verkoopt wat je zelf (deels) weer ergens
anders inkoopt dan blijf je zelf verantwoordelijk voor de kwaliteit. Je kunt zelf proberen je toeleverancier aan te spreken
maar je mag dat niet blij de klant neerleggen ("daarvoor moet u bij de fabrikant zijn").
Hoe zit dat nu juridisch?
"Juridisch interessant" wordt het vermoedelijk pas als een website jou de toegang ontzegt als je een ad-blocker gebruikt, en jou via diens partner malware opdringt op het moment dat jij jouw ad-blocker uitzet.
Overigens is het voorgekomen dat websites zero-day malware serveerden. In zo'n situatie kun je bezoekers weinig kwalijk nemen lijkt me (tenzij rechters zeggen "had je Internet Explorer maar niet moeten gebruiken", "had je maar NoScript moeten gebruiken", "had je Javascript support maar helemaal uit moeten zeten" of "had je maar niet met een Microsoft Windows PC moeten surfen" ;-).
Moet je wel met kapitaal voor die zaak en een goede advocaat aan komen, die kan je aan de andere kant ook verwachten.
Op zich lijkt het simpel het is het product (de site) die de verantwoordelijkheid / aansprakelijkheid heeft, hoe het met toeleveranciers zit moet hij de producteigenaar uitzoeken en regelen. (Volgens Arnoud)
Gelijk krijgen bij de rechter is wat anders dan gelijk hebben.
Zou ook helpen het misbruik verder in te dammen.
Wie verspreidt, betaalt de schade.
Dat zal ook niet meevallen.............
Misschien moeten mensen eens wat meer verantwoordelijkheid NEMEN ipv altijd met vingertjes wijzen.
Als jij je voordeur open laat, betaald dan de verzekering bij diefstal van je inboedel?
Moet er niet eerst gesteld (en zonodig bewezen) worden dat de eigenaar van de website zelf een geschreven of ongeschreven rechtsregel heeft overtreden?
Ik denk dat het helemaal niet relevant is of de machine van de klant al dan niet buggy is. Als de website, al dan niet
via derden, content levert die niet voldoet aan de algemeen gebruikelijke normen voor schone content, en daarentegen
probeert met misleidende of kwaadaardige content de machine van de bezoeker te hacken, dan ligt daarvoor de
verantwoordelijkheid bij de website eigenaar en niet bij de klant of elders.
Het is maar net hoe de opbouw is en wat er in het contract staat.............
Het is maar net hoe de opbouw is en wat er in het contract staat.............
Dat is nou juist wat ik naar voren probeer te brengen.
Als je iets koopt bij een winkel en dat is niet goed dan ligt het probleem bij de eigenaar van die winkel, niet bij de
fabrikant of de eigenaar van het pand wat die winkelier gehuurd heeft of de vrachtwagenchauffer die het artikel naar die
winkel gebracht heeft of de drukker van de gebruiksaanwijzing of wie dan ook. Zo moeilijk is dat toch niet?
Het is maar net hoe de opbouw is en wat er in het contract staat.............
De WBP met de handhaver AP is daarin heel duidelijk. De gene die gezien kan worden als de data-eigenaar blijft ten alle tijde aansprakelijk, Dat is niet outsourcebaar in de cloud. Een uitbater van een website kan je gelijk proberen te trekken als de data-eigenaar. Het is in een proefproces aan te tonen of zoiets stand houdt of faalt.
Ik denk dat het helemaal niet relevant is of de machine van de klant al dan niet buggy is. Als de website, al dan niet
via derden, content levert die niet voldoet aan de algemeen gebruikelijke normen voor schone content, en daarentegen
probeert met misleidende of kwaadaardige content de machine van de bezoeker te hacken, dan ligt daarvoor de
verantwoordelijkheid bij de website eigenaar en niet bij de klant of elders.
In dat geval zou ik als eigenaar van de site (zelf ook [onwetend] slachtoffer) verantwoordelijk zijn????
Ik zie het als onveilige sex met een vreemde. Als je jezelf niet beschermd en je wordt ziek moet je niet zeuren.
Wanneer mijn voordeur niet op slot is, wil dat niet zeggen, dat iedereen naar binnen mag.
(Dit gaat ook op voor malware en virussen, wij doen aan gevolg bestrijding en niet, of te weinig, aan oorzaak bestrijding).
Er zijn een aantal websites die ik beheer, wanneer er een lek zit in mijn scripts, dan zal ik ook verantwoordelijk zijn en deze verantwoordelijkheid moeten nemen.
Zit er een lek in het OS van de server, of in de configuratie van de server, dan is de hoster verantwoordelijk en moet deze ook zijn verantwoordelijkheid nemen.
Ter info:
Op mijn PC's heb ik geen antivirus programma e.d. nodig, dit zit in het besturingssysteem ingebouwd.
Een besturingssysteem, dat software van derden nodig heeft voor de beveiliging, kan en wil ik niet vertrouwen!
Het is maar net hoe de opbouw is en wat er in het contract staat.............
Dat is nou juist wat ik naar voren probeer te brengen.
Als je iets koopt bij een winkel en dat is niet goed dan ligt het probleem bij de eigenaar van die winkel, niet bij de
fabrikant of de eigenaar van het pand wat die winkelier gehuurd heeft of de vrachtwagenchauffer die het artikel naar die
winkel gebracht heeft of de drukker van de gebruiksaanwijzing of wie dan ook. Zo moeilijk is dat toch niet?
Er is een groot verschil tussen verantwoordelijk en aansprakelijk...
Als een product bijv. ontploft is de winkel verantwoordelijk (voor een oplossing) maar niet aansprakelijk (voor de schade) ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.