Website verspreid virussen, aansprakelijkheid?

[pcdesk]

Beste forumleden,

 

Een van onze klanten heeft een website die blijkbaar al een aantal weken een heel kwaadaardig virus verspreidt. Na besmetting van een computer wordt de gebruiker naar fake websites doorgestuurd en wordt een z.g. 'keylogger' geïnstalleerd.

Mijn vraag is: in hoeverre is een bedrijf aansprakelijk voor eventuele ontstane (vervolg)schade bij de bezoeker van deze website?

 

[Richard Theuws]

Er is blijkbaar een bepaling in de wet over: http://blog.iusmentis.com/2012/11/13/aansprakelijk-voor-schoonmaakkosten-van-een-virus-van-je-ebookleverancier/

 

Specifiek voor virussen is er een aparte strafbepaling in de wet (art. 350b Strafrecht): als het je te verwijten is dat er een virus (verder) verspreid werd, ben je strafbaar én civiel aansprakelijk voor de schade. Je hebt schuld aan de verspreiding als je de verspreiding had kunnen voorzien met de nodige veiligheidsmaatregelen of onderzoek, en het onzorgvuldig is dat je dat niet hebt gedaan.

[Branko Collin]

Twee jaar later had hij een aardig voorbeeld: een bedrijf dat (hypotetisch) alleen maar computers gebruikt waar geen virussen voor worden geschreven, ontvangt een mail met een Windows-virus en stuurt dat door. Omdat ze zelf niet op Windowsvirussen scannen, hebben ze geen enkel moment door dat er een virus in die mails zit.

 

Arnoud Engelfriet haalt hetzelfde wetsartikel aan om te zeggen: schuldig, dus schadeplichtig, maar ik vermoed dat er meer meespeelt. De ontvanger zal ook een verplichting hebben om schade te voorkomen, in dit geval: om inkomende e-mails op virussen te scannen. Ik vermoed, maar ik ben geen advocaat, dat in het geval van de TS het doorgeefluik alleen die schade moet vergoeden die de ontvanger niet redelijkerwijs had kunnen voorkomen.

 

De materie lijkt me in elk geval complex genoeg om voor te leggen aan een advocaat.

[Maxn]

Mijn vraag is: in hoeverre is een bedrijf aansprakelijk voor eventuele ontstane (vervolg)schade bij de bezoeker van deze website?

 

Je klant mogelijk wel.

 

Maar de e-commerce richtlijn beschermt hosting providers tegen allerlei aansprakelijkheidskwesties (niet alleen auteursrechten).

Zolang je er maar niet van op de hoogte was, en ingegrepen hebt zodra dat wel het geval was, kan je weinig gemaakt worden.

 

Ingewikkelder wordt het als je niet alleen de hoster bent, maar ook de inhoud van de site voor de klant onderhoud.

 

 

[R.I.P. | Peter Bonjernoor]

Ingewikkelder wordt het als je niet alleen de hoster bent, maar ook de inhoud van de site voor de klant onderhoud.

Niet per se - het ligt eraan hoe het virus op de site gekomen is. Een klant van me heeft meegemaakt dat de webserver gehackt was en dat er in alle web-gerelateerde bestanden een stuk javascript was toegevoegd. Ook kan een FTP-account gehackt worden, en natuurlijk kan het CMS lek zijn - was het een WordPress site? ;)

 

[pcdesk]

@Peter, ja dat klopt.

De besmetting is: Web Attack: Mass Injection Website 19 en is een behoorlijk lelijk ding :-[

[Norbert Bakker]

Maar de e-commerce richtlijn beschermt hosting providers tegen allerlei aansprakelijkheidskwesties (niet alleen auteursrechten)

Huh? Hoe bedoel je dit?

 

De E-commerce richtlijn, of beter nog: de implementatie van die richtlijn in NL wetgeving - beschermt primair de consument. Beperking van de aansprakelijkheid van providers kom ik in richtlijn en implementatie niet zo snel tegen. Heb je voorbeelden/links?

 

 

[R.I.P. | Peter Bonjernoor]

@Peter, ja dat klopt.

De besmetting is: Web Attack: Mass Injection Website 19 en is een behoorlijk lelijk ding :-[

Dan heeft degene die verantwoordelijk is voor het up-to-date zijn van WordPress waarschijnlijk een probleem...

 

 

[Bob de webbouwer]

Ik heb toevallig ook een klant die door ditzelfde virus getroffen was, inderdaad een erg hardnekkig en irritant kreng.

 

Ik heb wel vaker malware van een site verwijderd en dan was het een kwestie van een stukje code uit enkele bestanden verwijderen en klaar. Dit virus had zich echter zeer diep in de site genesteld en ook een aantal plugins geïnfecteerd. Elke keer als ik de malware code verwijderde uit de theme header stond hij er 1 a 2 dagen later weer opnieuw op...

 

Ik heb uiteindelijk WordFence geïnstalleerd en die een scan laten doen, die kwam met meer dan 10 verdachte bestanden. Die heb ik allemaal door WordFence laten herstellen en nu lijkt het eindelijk opgelost te zijn, de site is alweer een aantal dagen clean.

 

Overigens was deze klant zelf verantwoordelijk voor het up to date houden van zijn site en dat had hij dus inderdaad niet gedaan. Nu maar een update abonnementje verkocht zodat ik het voortaan voor hem doe.

[pcdesk]

@Peter; Gelukkig ben ik dat niet :P

@Bob; Goeie tip, geef ik door aan de klant. De website is inmiddels off line gehaald. Echter, als je de naam van de website intypt, wordt het virus nog steeds verspreid?

Inmiddels heeft een andere klant zich al gemeld met de besmetting door deze website. Deze is al van plan de rekening te gaan doorsturen.

[Maxn]

Maar de e-commerce richtlijn beschermt hosting providers tegen allerlei aansprakelijkheidskwesties (niet alleen auteursrechten)

Huh? Hoe bedoel je dit?

 

De E-commerce richtlijn, of beter nog: de implementatie van die richtlijn in NL wetgeving - beschermt primair de consument. Beperking van de aansprakelijkheid van providers kom ik in richtlijn en implementatie niet zo snel tegen. Heb je voorbeelden/links?

 

Volledige titel is: Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ('Directive on electronic commerce')

Maar ik kort dat gemakshalve af als "e-commerce richtlijn"

 

 

Nederlandse versie:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32000L0031:NL:HTML

 

Voor website hosters zijn artikel 14 en 15 het meest relevant.

 

Artikel 14

 

"Hosting" ("host"-diensten)

 

1. De lidstaten zorgen ervoor dat, wanneer een dienst van de informatiemaatschappij bestaat in de opslag van de door een afnemer van de dienst verstrekte informatie, de dienstverlener niet aansprakelijk is voor de op verzoek van de afnemer van de dienst opgeslagen informatie, op voorwaarde dat:

 

a) de dienstverlener niet daadwerkelijk kennis heeft van de onwettige activiteit of informatie en, wanneer het een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit het onwettige karakter van de activiteiten of informatie duidelijk blijkt, of

 

b) de dienstverlener, zodra hij van het bovenbedoelde daadwerkelijk kennis heeft of besef krijgt, prompt handelt om de informatie te verwijderen of de toegang daartoe onmogelijk te maken.

 

2. Lid 1 is niet van toepassing wanneer de afnemer van de dienst op gezag of onder toezicht van de dienstverlener handelt.

 

3. Dit artikel doet geen afbreuk aan de mogelijkheid voor een rechtbank of een administratieve autoriteit om in overeenstemming met het rechtsstelsel van de lidstaat te eisen dat de dienstverlener een inbreuk beëindigt of voorkomt. Het doet evenmin afbreuk aan de mogelijkheid voor lidstaten om procedures vast te stellen om informatie te verwijderen of de toegang daartoe onmogelijk te maken.

 

Artikel 15

 

Geen algemene toezichtverplichting

 

1. Met betrekking tot de levering van de in de artikelen 12, 13 en 14 bedoelde diensten leggen de lidstaten de dienstverleners geen algemene verplichting op om toe te zien op de informatie die zij doorgeven of opslaan, noch om actief te zoeken naar feiten of omstandigheden die op onwettige activiteiten duiden.

 

2. De lidstaten kunnen voorschrijven dat dienstverleners de bevoegde autoriteiten onverwijld in kennis dienen te stellen van vermeende onwettige activiteiten of informatie door afnemers van hun dienst, alsook dat zij de bevoegde autoriteiten op hun verzoek informatie dienen te verstrekken waarmee de afnemers van hun dienst met wie zij opslagovereenkomsten hebben gesloten, kunnen worden geïdentificeerd.

 

[Ward van der Put]

De website is inmiddels off line gehaald. Echter, als je de naam van de website intypt, wordt het virus nog steeds verspreid?

Een website die offline is, kan natuurlijk geen virus verspreiden.

Als je de waarschuwing van Google voor malware bedoelt, dan moet je inderdaad even ingrijpen:

 

Melding 'Deze site kan schade toebrengen aan uw computer'

 

 

[pcdesk]

@Ward; Helaas is de site nog steeds on line, deze werd - gelukkig - geblokkeerd door mijn beveiliging.

@Maxn; Ik heb de beheerder een paar dagen geleden geïnformeerd. De inhoud van ik artikel 14b (waarvoor mijn dank) voorspelt niet veel goeds voor dit bedrijf. Typisch een geval van een externe websitebeheerder die het er even bijdoet als hij tijd heeft. Goedkoop/Duurkoop?

[Maxn]

@Ward; Helaas is de site nog steeds on line, deze werd - gelukkig - geblokkeerd door mijn beveiliging.

@Maxn; Ik heb de beheerder een paar dagen geleden geïnformeerd. De inhoud van ik artikel 14b (waarvoor mijn dank) voorspelt niet veel goeds voor dit bedrijf. Typisch een geval van een externe websitebeheerder die het er even bijdoet als hij tijd heeft. Goedkoop/Duurkoop?

 

Wat is jouw relatie tot de website?

Dienstverlener van 14b is de hoster, niet de webmaster...

 

[pcdesk]

Voor alle duidelijkheid: Ik heb zelf geen zakelijke relatie mbt de website.

De aansprakelijkheidsvraag voor een ondernemer wordt hiermee wel steeds interessanter. Een bedrijf besteedt het onderhoud/beheer uit aan een websitebeheerder/-bedrijf. Deze persoon/organisatie host de website bij bedrijf X. Website wordt besmet en verspreidt virussen. De computers van bezoekers worden besmet en deze besmetting is te herleiden naar de betreffende website.

De hamvraag blijft natuurlijk voor veel ondernemers staan: Wie is er in dit geval aansprakelijk? Saillant detail in deze is dat het bedrijf in deze traag/laat actie onderneemt na waarschuwing.

N.B: Ik heb de beheerder inmiddels gesproken, de website is nu off line.