image

Wat zegt de wet over het opeisen van wachtwoorden na opzegging beheerovereenkomst?

woensdag 26 mei 2021, 15:20 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Als opdrachtgever zijn we erg ontevreden met een ICT-leverancier. We zeggen op (conform contract), en verzoeken ze de wachtwoorden van alle diensten over te dragen zodat we alles in eigen beheer kunnen nemen. Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat. Kunnen wij de wachtwoorden opeisen?

Antwoord: Dat zal echt 100% afhangen van wat in je contract met die leverancier staat. Als er niets staat, dan heb je een enorm probleem als je de wachtwoorden niet hebt en de diensten kritisch zijn voor je bedrijfsvoering.

Er is in de wet niets bijzonders geregeld over toegang tot diensten. Die worden geen eigendom van de klant bijvoorbeeld, in tegenstelling tot zeg de producten die voor je worden gemaakt. Zulke producten zou je nog kunnen opeisen (hoewel eigendomsvoorbehoud et cetera daar het ingewikkeld kan maken) maar het wachtwoord voor een dienst die beheerd wordt door de dienstverlener, dat valt daar zeker niet onder.

Natuurlijk kun je zeggen, het contract met die dienst staat op mijn naam, dus ik wil de toegang tot mijn dienst. Maar dan moet je bij de eigenlijke dienstverlener zijn, de derde partij wiens dienst door jouw ICT-leverancier wordt beheerd. Die zou jou dan een nieuw wachtwoord moeten geven. Of die dat doet, is de vraag; vaak werken die met resellers of dit soort ICT-partners omdat ze niet zelf met de eindklant bezig willen zijn.

Dit is dus waarom je het contractueel moet regelen met die leverancier. Daarbij zit er nog wel één grote angel: als er ruzie ontstaat over het contract, dan kan de leverancier het contract besluiten op te schorten. Dan hoeven ze niets te doen, dus ook niet de afspraak nakomen dat ze je wachtwoord moeten geven. Natuurlijk moet de reden voor die ruzie dan wel kloppen, maar hoe dan ook ben je vele weken verder totdat de rechter in kort geding oordeelt dat de wachtwoorden toch moeten worden gegeven.

Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
26-05-2021, 21:39 door Anoniem
als medewerker van zo'n dienstverlener (wij zijn aardiger) kan ik aangeven dat je eerst moet zorgen dat je on speaking terms komt, hetgeen niet lukt door in je eigen gelijk te blijven.
Neem je verlies, en betaal de factuur.
Zorg dat de poppetjes die ruzie maken namens je bedrijf even opzij stappen, en laat de exit door een diplomaat verzorgen, niet door een vechter.
Spreek af dat je gaat, en dat je dat op een prettige manier wilt doen, immers, ook een goede exit kan goede reclame zijn.
Spreek eventueel ook af dat je achteraf niet gaat afzeiken, en laat dat vastleggen, zodat de partij die je wachtwoorden en cohones in zijn handen heeft, die afgeeft.

En voor de volgende keer, leg vast wat van jou is, en bewaak dat. Net als een huwelijk, leg vast hoe je uit elkaar gaat, nu je nog vriendjes bent.
27-05-2021, 11:53 door Anoniem
Voor de echt cruciale diensten zie je ook nog wel eens dat er een eindklant - leverancier relatie is waarbij de dienstverlener / tussenpartij met de leverancier iets van een vergoeding afspreekt. Zo gaat het bijvoorbeeld ook vaak met abonnementen voor mobiele telefoons.
27-05-2021, 14:18 door Anoniem
Door Anoniem: als medewerker van zo'n dienstverlener (wij zijn aardiger) kan ik aangeven dat je eerst moet zorgen dat je on speaking terms komt, hetgeen niet lukt door in je eigen gelijk te blijven.
Neem je verlies, en betaal de factuur.
Zorg dat de poppetjes die ruzie maken namens je bedrijf even opzij stappen, en laat de exit door een diplomaat verzorgen, niet door een vechter.
Spreek af dat je gaat, en dat je dat op een prettige manier wilt doen, immers, ook een goede exit kan goede reclame zijn.
Spreek eventueel ook af dat je achteraf niet gaat afzeiken, en laat dat vastleggen, zodat de partij die je wachtwoorden en cohones in zijn handen heeft, die afgeeft.

En voor de volgende keer, leg vast wat van jou is, en bewaak dat. Net als een huwelijk, leg vast hoe je uit elkaar gaat, nu je nog vriendjes bent.

Goede tips, bedankt!
27-05-2021, 16:11 door Anoniem
Door Anoniem: Neem je verlies, en betaal de factuur.

(Als iemand die voor meerdere bedrijven heeft gewerkt en werkt die diensten leveren…)

Wil je hier nu zeggen dat je de factuur twee keer moet betalen? Wat mij betreft schept dat een gevaarlijk precedent, namelijk eentje waarin de dienstverlener het wel fijn vindt om een factuur twee keer betaald te krijgen en dat in soortgelijke situaties vaker kan gaan proberen.

Dat gezegd hebbende: ja, facturen voor geleverde diensten moeten worden betaald wanneer er een dienst is/wordt geleverd.
27-05-2021, 17:19 door Anoniem
Door Anoniem:
Door Anoniem: Neem je verlies, en betaal de factuur.

(Als iemand die voor meerdere bedrijven heeft gewerkt en werkt die diensten leveren…)

Wil je hier nu zeggen dat je de factuur twee keer moet betalen? Wat mij betreft schept dat een gevaarlijk precedent, namelijk eentje waarin de dienstverlener het wel fijn vindt om een factuur twee keer betaald te krijgen en dat in soortgelijke situaties vaker kan gaan proberen.

Dat gezegd hebbende: ja, facturen voor geleverde diensten moeten worden betaald wanneer er een dienst is/wordt geleverd.

Het dispuut klinkt als zo'n gevalletje opzegtermijn en facturen voor de resterende tijd, of niet betaalde facturen wegens wanprestatie.

Ik denk dat weinig dienstverleners vinden/verwachten dat een factuur twee keer betaald moet worden.

Maar klanten vinden nog wel eens dat vanaf moment van opzeggen er niks meer betaald hoeft te worden, en dienstverleners gaan uit van opzegtermijn met kalendermaanden - of erger . De Wet van Dam - alles is , na het eerste jaar, per maand opzegbaar geldt voor consumenten. Niet voor zakelijke diensten.

En daaromheen dan natuurlijk de discussie of de dienst goed of goed genoeg geleverd is - het opzeggen heeft meestal een reden - en klanten die dan vinden dat het te slecht was om voor te betalen.
Mogelijk hebben ze daarin gelijk [als het niet goed genoeg leveren qua contract en voorwaarden genoeg bewijsbaar is ] , maar dat gelijk krijgen is zo'n situatie van gegijzelde passwords tot data of diensten zelden de moeite waard.
28-05-2021, 08:51 door Anoniem
Dit wordt geweigerd omdat er volgens hen nog facturen open staan en een afkoopsom betaald zou moeten worden. Wij betwisten dat.

Wat betekent dat, dat hun bewering niet klopt. Of dat je niet van plan bent aan je verplichtingen te voldoen. Niet erg helder. Verder, zolang hier meningsverschil over is, lijkt er weinig te resteren dan gang naar de rechter. Met een welles/nietes discussie, krijg je die wachtwoorden niet. Ongeacht wie er gelijk heeft.
28-05-2021, 12:35 door Anoniem
Door Anoniem: als medewerker van zo'n dienstverlener (wij zijn aardiger) kan ik aangeven dat je eerst moet zorgen dat je on speaking terms komt, hetgeen niet lukt door in je eigen gelijk te blijven.
Neem je verlies, en betaal de factuur.
Zorg dat de poppetjes die ruzie maken namens je bedrijf even opzij stappen, en laat de exit door een diplomaat verzorgen, niet door een vechter.
Spreek af dat je gaat, en dat je dat op een prettige manier wilt doen, immers, ook een goede exit kan goede reclame zijn.
Spreek eventueel ook af dat je achteraf niet gaat afzeiken, en laat dat vastleggen, zodat de partij die je wachtwoorden en cohones in zijn handen heeft, die afgeeft.

En voor de volgende keer, leg vast wat van jou is, en bewaak dat. Net als een huwelijk, leg vast hoe je uit elkaar gaat, nu je nog vriendjes bent.

Helemaal eens! Niets toe te voegen.
28-05-2021, 13:52 door Anoniem
Als werknemer van zo'n dienstverlener: (wij zijn ook aardiger):

Wij werken daar altijd gewoon aan mee, het is ons meerdere malen voorgekomen dat een klant bakzeil haalt en weer terug komt, als je het dan op chantage hebt laten aankomen, is die kans nul he.
29-05-2021, 11:34 door Anoniem
als medewerker van zo'n dienstverlener (wij zijn aardiger) kan ik aangeven dat je eerst moet zorgen dat je on speaking terms komt, hetgeen niet lukt door in je eigen gelijk te blijven.

Dat kan, maar uiteindelijk is het een juridisch vraagstuk. Ongeacht of je elkaar mag. Verplichtingen veranderen niet, door gevoelens. Wel is het natuurlijk fijn als je dit kunt oplossen, mede door wat jij aangeeft, zonder dat je naar de rechtbank ofzo hoeft te gaan.

Verder is me uit dit topic geheel niet duidelijk, wie er nou objectief gezien gelijk heeft.
31-05-2021, 09:50 door Anoniem
Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Eh, daar heb ik toch wel mijn bedenkingen tegen. Wij zijn zo'n ICT dienstverlener, en als ik iets niet wil, is dat mijn klanten zelf in de door ons beheerde apparatuur wijzigingen aan gaat brengen en daar fouten in maakt. Dat ken ik: dan hangen ze bij ons aan de telefoon omdat het niet (meer) werkt, maar zelf weten ze van niets als je vraagt wie er dan wijzigingen heeft aangebracht.

Nee hoor, wachtwoorden van apparatuur aan de klant geven doen we pas als we netjes uit elkaar gaan, zoals elders in dit topic vermeld. Maar niet op voorhand.
31-05-2021, 10:03 door Anoniem
Door Anoniem:
Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Eh, daar heb ik toch wel mijn bedenkingen tegen. Wij zijn zo'n ICT dienstverlener, en als ik iets niet wil, is dat mijn klanten zelf in de door ons beheerde apparatuur wijzigingen aan gaat brengen en daar fouten in maakt. Dat ken ik: dan hangen ze bij ons aan de telefoon omdat het niet (meer) werkt, maar zelf weten ze van niets als je vraagt wie er dan wijzigingen heeft aangebracht.

Nee hoor, wachtwoorden van apparatuur aan de klant geven doen we pas als we netjes uit elkaar gaan, zoals elders in dit topic vermeld. Maar niet op voorhand.

Ik raad klanten dus aan om van een dienstverlener deze twee zaken te eisen (even los van het beheerwerk): Een read-only account, zodat ze alles kunnen zien maar niets stukmaken, en een account met volledige toegang, in het geval men naar een andere beheerder zou willen (of moeten) overstappen. Uiteraard met de afspraak dat dit account alleen daarvoor gebruikt mag worden. Het helpt wanneer de omgeving over audit logs beschikt, zodat dit ook aangetoond kan worden. Ik heb al een faillisement gezien, waarbij de dienstverlener niet eens meer in staat was om de klant toegang te verlenen. Dus ja, op voorhand.
31-05-2021, 10:07 door Anoniem
Door Anoniem:
Met wachtwoorden is het dus net als met data in het algemeen: vertrouw niet op juridische constructies om erbij te kunnen. Zorg dat je ze gewoon hebt.

Eh, daar heb ik toch wel mijn bedenkingen tegen. Wij zijn zo'n ICT dienstverlener, en als ik iets niet wil, is dat mijn klanten zelf in de door ons beheerde apparatuur wijzigingen aan gaat brengen en daar fouten in maakt. Dat ken ik: dan hangen ze bij ons aan de telefoon omdat het niet (meer) werkt, maar zelf weten ze van niets als je vraagt wie er dan wijzigingen heeft aangebracht.

Nee hoor, wachtwoorden van apparatuur aan de klant geven doen we pas als we netjes uit elkaar gaan, zoals elders in dit topic vermeld. Maar niet op voorhand.

Heel belangrijk om VOOR je een dienstverlener in de arm neemt te checken of je te maken hebt met zo'n wantrouwende
dienstverlener en of je daar mee kunt leven, of dat je dan toch beter af bent met een relatie waarin men elkaar over en
weer WEL vertrouwt. Want als je niet netjes kunt afkaderen wat de klant zelf mag aanpassen, en alles moet verlopen
via tickets richting de dienstverlener, dan ontstaat er gemakkelijk een gespannen situatie en wordt er in de praktijk vaak
ook gigantisch veel tijd verkwist.
Ook loont het meestal wel de moeite (ook als 1 partij alles beheert!!) om een systeem in te richten waarbij configuratie
informatie regelmatig in een versioning systeem opgeslagen wordt, zodat achteraf altijd gekeken kan worden wanneer
een bepaalde wijziging is uitgevoerd, wat de situatie daarvoor was, etc.
31-05-2021, 10:44 door GerBNL
Ik zou toch zeggen dat de wachtwoorden zelf ook gewoon in beheer gegeven objecten zijn, die eigendom van de opdrachtgever zijn.

Daarom zou ik ook als onderdeel van het contract opnemen dat alle wachtwoorden in een (password) kluis liggen, waarvan zowel de opdrachtgever als de opdrachtnemer toegang hebben. De opdrachtnemer zorgt dat deze actueel zijn, de opdrachtgever heeft hier (net als tot de apparatuur en de diensten) toegang toe, maar blijft er (in beheer zin) met z'n fikken vanaf.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.