Toon posts:

Aansprakelijkheid bij datalek

Pagina: 1
Acties:

woensdag 1 februari 2017 19:47

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Beste Tweakers,

Ik hoop dat ik deze vraag hier mag stellen.

Sinds 1 januari 2016 hebben wij de meldplicht van datalekken. Nou merk ik dat daar veel onduidelijkheid over is voor programmeurs.

Hoe zit het met de aansprakelijkheid van jou als programmeur als je een webapplicatie op maat hebt ontwikkeld en deze wordt gehackt?

woensdag 1 februari 2017 19:51

Acties:
  • 0 Henk 'm!
  • RedHat
  • Registratie: Augustus 2000
  • Laatst online: 05-10 19:42

RedHat

Ligt aan het contract hè.

woensdag 1 februari 2017 19:54

Acties:
  • 0 Henk 'm!
  • orf
  • Registratie: Augustus 2005
  • Laatst online: 19:48

orf

Dat hangt af van je positie. Ben je als programmeur werknemer? Dan is je werkgever (mogelijk) aansprakelijk.

Ben je zzp-er of werkgever, dan ben je mogelijk zelf aansprakelijk. Dat hangt af van wat er in een bewerkersovereenkomst is bepaald. Daar kan een beperkte aansprakelijkheid in worden opgenomen. Met bijvoorbeeld een maximaal bedrag. Of ook vervolgschade en derving. Daarin geldt (volgens mij) contractvrijheid.

woensdag 1 februari 2017 21:11

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Wat is de standaard als je dit niet hebt vastgelegd in een overeenkomst.

woensdag 1 februari 2017 21:22

Acties:
  • 0 Henk 'm!
  • jasbroek
  • Registratie: April 2010
  • Laatst online: 27-09 15:23

jasbroek

Zover ik weet is, als er geen contracten zijn, de organisatie die het ontwikkeld en beheert verantwoordelijk voor de data.

Als individuele programmeur ben je (bijna) nooit aansprakelijk. Je werkgever is verantwoordelijk voor wat jij doet.
Als je zzper bent is het natuurlijk anders.

Daarbij ben je ook niet meteen 'de sjaak' als een applicatie gehackt wordt.
Je moet er wel voor zorgen (en aantonen) dat je (organisatie) er alles aan heeft gedaan om de applicatie/gegevens te beveiligen.

Als er een datalek is door (duidelijke) nalatigheid of door een bewuste actie dan heb je volgens mij wel een probleem (als organisatie).

Correct me if I'm wrong.

woensdag 1 februari 2017 22:15

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Oké, maar hoe lang geld die aansprakelijkheid. Ik heb ooit een systeem verkocht aan een bedrijf, maar nooit een contract of overeenkomst voor gemaakt (erg dom natuurlijk).

woensdag 1 februari 2017 22:37

Acties:
  • 0 Henk 'm!
  • jasbroek
  • Registratie: April 2010
  • Laatst online: 27-09 15:23

jasbroek

Als je met "verkocht" ook eigendom en beheer/opslag van de data hebt 'verkocht' is het volgens mij verantwoordelijkheid van de nieuwe eigenaar.

Moet denk ik wel zo zijn dat het beheer/onderhoud van het systeem ook duidelijk bij diegene moet liggen.

Kun je misschien de situatie wat meer toelichten?
Om wat voor persoonsgegevens gaat het?
Hoe heb je het systeem verkocht (toegang of eigendom/beheer)?

Als je de mogelijkheid hebt zou je dit bij een (it)jurist kunnen neerleggen (of evt. via rechtsbijstand). Die moet je meer duidelijkheid kunnen geven.

woensdag 1 februari 2017 22:45

Acties:
  • 0 Henk 'm!
  • Whatson
  • Registratie: Februari 2010
  • Niet online

Whatson

Verwijderd schreef op woensdag 1 februari 2017 @ 22:15:
Oké, maar hoe lang geld die aansprakelijkheid. Ik heb ooit een systeem verkocht aan een bedrijf, maar nooit een contract of overeenkomst voor gemaakt (erg dom natuurlijk).
Volgens mij is degene die de data beheert aansprakelijk. Die kunnen dan vervolgens hun verhaal gaan halen bij jou, maar als jij geen service overeenkomst hebt met ze, of geen garanties hebt gegeven voor de werking van het systeem nadat je het hebt afgeleverd wordt het natuurlijk lastig voor ze. Zelfde dat je Microsoft niet aansprakelijk kan stellen als je excel file met persoonsgegevens op straat komt te liggen.

donderdag 2 februari 2017 00:12

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
jasbroek schreef op woensdag 1 februari 2017 @ 22:37:
Als je met "verkocht" ook eigendom en beheer/opslag van de data hebt 'verkocht' is het volgens mij verantwoordelijkheid van de nieuwe eigenaar.

Moet denk ik wel zo zijn dat het beheer/onderhoud van het systeem ook duidelijk bij diegene moet liggen.

Kun je misschien de situatie wat meer toelichten?
Om wat voor persoonsgegevens gaat het?
Hoe heb je het systeem verkocht (toegang of eigendom/beheer)?

Als je de mogelijkheid hebt zou je dit bij een (it)jurist kunnen neerleggen (of evt. via rechtsbijstand). Die moet je meer duidelijkheid kunnen geven.
Ik heb een systeem ontwikkeld voor een bedrijf, ik noem het even A.
Ik heb voor A een webapplicatie ontwikkeld, die persoonsgegevens verwerkt die A invoert. Erg dom, maar voor deze opdracht is geen overeenkomst of contract gemaakt omdat ik A goed ken.
Ik heb A het systeem verkocht. Het enige wat we hebben afgesproken is dat A het systeem alleen mag gebruiken voor A haar bedrijfsactiviteiten en dus niet mag doorverkopen.

Af en toe doe ik wel aanpassingen in de webapplicatie, een nieuwe functie, wijziging van uiterlijk etc.. Het aantal uren breng ik gewoon netjes in rekening.

Soms vragen ze mij ook of ik wat beheer wil doen, en dan doe ik dat door gegevens in te voeren.

Zover mijn kennis reikt heb ik het systeem beveiligd en voor zover ik weet heb ik dus het mogelijke gedaan qua beveiliging.

Het gaat nu puur om de aansprakelijkheid bij een datalek veroorzaakt door het systeem (een hack, fout in het systeem). Als ik uiteraard gegevens moet invoeren en deze zelf uitlek of via een usb uitlek snap ik dat ik aansprakelijk ben.

donderdag 2 februari 2017 10:27

Acties:
  • 0 Henk 'm!
  • Zeg
  • Registratie: Juli 2012
  • Laatst online: 21-09 16:44

Zeg

Maar heb je tot dusverre bewijs dat die webapplicatie ook daadwerkelijk gehackt is, of is het een concrete vraag voor als dat gebeurt? Als het laatste het geval is zou je bepaalde afspraken over aansprakelijkheid kunnen meenemen in een nieuw (onderhouds)contract.

Indien het datalek al heeft plaatsgevonden, dan kan je denk ik beter dit meteen melden bij de daarvoor bestemde instantie. Better safe than sorry, omdat de boetes een aanzienlijk bedrag omhelzen. Wellicht zou je dan ook - aangezien je goed contact hebt met bedrijf A - kunnen overwegen om hier open en eerlijk over te praten en samen een strategie uit te werken.

donderdag 2 februari 2017 10:56

Acties:
  • 0 Henk 'm!
  • jasbroek
  • Registratie: April 2010
  • Laatst online: 27-09 15:23

jasbroek

Precies wat Zeg hierboven zegt.
Als je je zorgen maakt over de aansprakelijkheid (omdat die niet is vastgelegd) kun je dit het beste in een (nieuw) contract vaststellen.

Als de applicatie verder 'zo goed mogelijk' beveiligd is (dus indien van toepassing: geen sql injections, gebruik van SSL, wachtwoorden niet in plain text etc.) en alleen gebruikt wordt door A, is er denk ik weinig aan de hand.

Lijkt me ook dat dit een (semi)gesloten systeem is omdat alleen A hier mee werkt?
Of is het ook publiekelijk toegankelijk (via een bekende url).

Als er al een datalek is geweest kun je dit het beste meteen melden.

Als er een datalek is omdat A 'slordig' met het systeem omgaat (inloggegevens op stickynotes, systeem laten draaien op een onbeveiligde laptop die gestolen wordt etc.) Lijkt me dat A aansprakelijk is.

Als het systeem zelf onveilig is (door gebrek aan moderne beveiliging) ligt de aansprakelijkheid volgens mij richting de maker/beheerder.

[ Voor 21% gewijzigd door jasbroek op 02-02-2017 11:00 . Reden: Aanvulling ]

donderdag 2 februari 2017 11:19

Acties:
  • +1 Henk 'm!
  • Barryvdh
  • Registratie: Juni 2003
  • Laatst online: 15:53

Barryvdh

Ik zou zeggen dat je over het algemeen aansprakelijk bent bij nalatigheid of opzet, of als je contractuele eisen niet nakomt. Dus als je afspreekt in een contract dat jij alle wachtwoorden hashed, maar toch in plain text opslaat bijvoorbeeld. Maar als je per ongeluk een fout maakt en SQL injectie mogelijk is, lijkt me niet dat je daar zomaar voor aansprakelijk gesteld kan worden.

Daarnaast is het ook de vraag wat de schade precies is, want je krijgt dus boetes als je het datalek niet meldt, niet perse voor een datalek zelf. Zorg er dus voor dat als jij er mee te maken hebt, je het meldt (of het bedrijf laat melden)

http://dirkzwagerieit.nl/...w-itleverancier-verhalen/
Op grond van het per 1 januari 2016 geldende artikel 66 Wbp staat op iedere overtreding van o.m. deze artikelen, een boete van maximaal 810.000 euro of 10% van de jaaromzet.
Voor die boete is wel vereist dat de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid.
Je kan de Nederland ICT voorwaarden bestellen voor 85 euro, die zijn volgens mij redelijk beschermend voor jou als ICT leverancier; https://www.nederlandict....ederland-ict-voorwaarden/

donderdag 2 februari 2017 13:35

Acties:
  • 0 Henk 'm!
  • Haan
  • Registratie: Februari 2004
  • Laatst online: 17:27

Haan

dotnetter

Verwijderd schreef op donderdag 2 februari 2017 @ 00:12:
[...]

Ik heb een systeem ontwikkeld voor een bedrijf, ik noem het even A.
Ik heb voor A een webapplicatie ontwikkeld, die persoonsgegevens verwerkt die A invoert. Erg dom, maar voor deze opdracht is geen overeenkomst of contract gemaakt omdat ik A goed ken.
Ik heb A het systeem verkocht. Het enige wat we hebben afgesproken is dat A het systeem alleen mag gebruiken voor A haar bedrijfsactiviteiten en dus niet mag doorverkopen.

Af en toe doe ik wel aanpassingen in de webapplicatie, een nieuwe functie, wijziging van uiterlijk etc.. Het aantal uren breng ik gewoon netjes in rekening.

Soms vragen ze mij ook of ik wat beheer wil doen, en dan doe ik dat door gegevens in te voeren.

Zover mijn kennis reikt heb ik het systeem beveiligd en voor zover ik weet heb ik dus het mogelijke gedaan qua beveiliging.

Het gaat nu puur om de aansprakelijkheid bij een datalek veroorzaakt door het systeem (een hack, fout in het systeem). Als ik uiteraard gegevens moet invoeren en deze zelf uitlek of via een usb uitlek snap ik dat ik aansprakelijk ben.
Ik ga me even niet branden aan de kwestie wie er aansprakelijk is bij een datalek in het systeem dat door jou is gebouwd, maar door A wordt gebruikt (al zou ik zelf zeggen dat het A is). Sowieso is het aan te raden, en mogelijk zelfs verplicht, om een bewerkersovereenkomst op te stellen met A. Omdat jij zo te zien ook toegang hebt tot de gegevens in het systeem, zou ik zeggen dat zo'n overeenkomst verplicht is.
(al ben ik geen jurist, ik vertegenwoordig op mijn werk meer de technische aspecten van compliancy)

Kater? Eerst water, de rest komt later

zaterdag 4 februari 2017 17:11

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Opdrachtnemer is niet aansprakelijk voor het verlies en/of de incorrectheid van gegevens in de webapplicatie, behalve als het verlies en/of de incorrectheid van de gegevens voortkomen uit grove nalatigheid of opzettelijkheid van de Opdrachtnemer.

Opdrachtnemer is niet aansprakelijk voor een datalek in de webapplicatie, behalve als het datalek is ontstaan door opzet of grove nalatigheid in de beveiliging van de webapplicatie. De onderstaande stappen zijn ten minste genomen door Opdrachtnemer:
- wachtwoorden worden niet als platte tekst opgeslagen maar gehashed middels de
password_hash functie van PHP
- gegevens worden uitgewisseld middels een SSL verbinding (beveiligde verbinding)
- SQL injecties worden zo goed mogelijk voorkomen

Opdrachtgever is verantwoordelijk en aansprakelijk voor de beveiliging van de code (bestanden) van de webapplicatie en voor de beveiliging van de gegevens (database).
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq