Aansprakelijkheid en het gebruik van wachtwoorden
Wachtwoorden zijn een van de belangrijkste instrumenten om persoonlijke gegevens te beschermen of om oplichters op een veilige afstand te houden. Wachtwoorden, in combinatie met inlognamen, helpen tegelijkertijd om mensen te identificeren en om hen zo nodig aan te kunnen spreken op hun gedrag. En zo houden wachtwoorden het internet veilig. Toch loopt het soms alsnog mis, bijvoorbeeld omdat een webwinkel een zwak wachtwoordbeleid hanteert of omdat een IT-leverancier een technische fout heeft gemaakt. Het kan de voorbode zijn van een flinke aansprakelijkheidsclaim.
Inhoudsopgave
Aansprakelijkheid van de internetcrimineel
In de eerste plaats is de internetcrimineel aansprakelijk voor de schade die hij aanricht. Dit is ook het geval wanneer een oplichter een wachtwoord heeft kunnen bemachtigen. In de praktijk is het vaak niet eenvoudig om de identiteit van een internetcrimineel te achterhalen, maar het kan natuurlijk wel.
Zo eiste het Openbaar Ministerie (OM) Oost-Nederland recent nog een gevangenisstraf van 30 maanden en een geldboete van 10.000 euro voor een man die 3,8 miljoen inloggegevens met wachtwoorden voor een webshop had bemachtigd, vervolgens spullen bestelde op anderen hun naam en deze opnieuw verkocht. Uiteindelijk had hij zo 14.000 keer computervredebreuk gepleegd. Hierbij gebruikte hij proxyservers zodat zijn werkelijk IP-adres verborgen bleef. De schade voor de slachtoffers was hierbij groter dan alleen die van de bestelde spullen. De slachtoffers liepen namelijk ook tegen vele uren ellende aan om zaken uit te zoeken, aan te tonen dat ze de boel niet zelf aan het belazeren zijn, nieuwe accounts aan te maken enzovoort. De officieer van justitie benadrukt dat ook de webshops het slachtoffer zijn. Ook zij kunnen dus een schadeclaim indienen.
Aansprakelijkheid van andere partijen bij onveilige wachtwoorden
Naast de internetcrimineel kunnen ook andere partijen aansprakelijk worden gesteld. Zo kan een webshop een gebrekkig wachtwoordbeleid voeren of kan het aan de basis liggen van een datalek, waarvoor het dan ook aansprakelijk kan zijn. Maar soms is het de IT-leverancier die een fout heeft begaan. En een winkelier kan dan weer aansprakelijk zijn indien het wifinetwerk niet met een wachtwoord beveiligd is. Hieronder zijn deze situaties besproken.
Aansprakelijkheid van websites en webshops
Ten opzichte van getroffen consumenten kan de webshop of de website aansprakelijk zijn als hen iets te verwijten valt. Dit kunnen uiteenlopende zaken zijn. In de eerste plaats denken we aan een datalek waarbij wachtwoorden gestolen zijn. Bij wachtwoorden mag er namelijk een verregaande beveiliging, inclusief versleuteling, worden verwacht. Maar ook een slecht wachtwoordbeleid, waarbij te eenvoudige wachtwoorden kunnen worden gebruikt, kan ervoor zorgen dat de gehackte website of webwinkel aansprakelijk is. Ze zijn namelijk verplicht om voldoende preventieve maatregelen te treffen. Wat voldoende is, moet per geval worden beoordeeld.
Zo zal een bank meer moeite moeten doen dan een webwinkel en zelfs multifactorauthenticatie (MFA) ter beschikking moeten stellen. En eerder oordeelde het College bescherming persoonsgegevens (CBP) – de voorloper van de Autoriteit Persoonsgegevens (AP) – dat een aanbieder van een verzuimsysteem, gebruikt voor het verwerken van medische gegevens, van een betere beveiliging moet zijn voorzien dan enkel een gebruikersnaam en een wachtwoord. Hoe gevoeliger de gegevens zijn en hoe meer schade er kan worden aangericht, hoe groter de inspanningen moeten zijn. Om maar even een voorbeeld te geven: Eneco had voor de toegang tot hun klantenportaal enige tijd de regel dat een wachtwoord maximaal tien tekens lang diende te zijn. Verschillende ICT-juristen hekelden dit en uiteindelijk werd het beleid aangepast tot een minimum van acht tekens, zonder het maximum. Net om eventuele schadeclaims bij een hack te voorkomen.
Ten tweede moet een gehackt bedrijf, zelfs als ze voldoende beveiligingsmaatregelen hadden getroffen – 100% veilig lukt nooit –, het datalek steeds melden bij de Autoriteit Persoonsgegevens. Indien het gaat over gelekte wachtwoorden mag er bovendien worden verwacht dat ook de getroffenen worden ingelicht. Ze moeten dit zo snel mogelijk doen. Hoe sneller de slachtoffers zijn ingelicht, hoe sneller zij bijvoorbeeld hun wachtwoorden op andere websites kunnen aanpassen. Daarnaast mogen we van de gehackte website verwachten dat ze zelf preventiemaatregelen treffen en bijvoorbeeld tijdelijk geen nieuwe bestellingen aanvaarden vooraleer slachtoffers een nieuw wachtwoord hebben aangemaakt. Het zijn allemaal zaken waarop er moet worden gelet en die eventueel in een aansprakelijkheidsclaim kunnen resulteren.
Laat het duidelijk zijn dat een website of een webshop verantwoordelijkheid draagt. Verantwoordelijkheid en aansprakelijkheid op het internet zijn onlosmakelijk met elkaar verbonden. Het is echter niet altijd zo dat de getroffen webshop aansprakelijk kan worden gesteld. Soms zijn de wachtwoorden namelijk niet bij hen gelekt, maar zijn ze het gevolg van phishing of van eerdere datalekken. Zeker bij het hergebruiken van wachtwoorden op verschillende websites, iets wat consumenten nog steeds vaak doen en volgens de politie in honderden slachtoffers per jaar resulteert, kan een enkel datalek grote gevolgen hebben. Daar treft de webshop die niet zelf voor het datalek verantwoordelijk is dan ook geen schuld. Ook zij zijn een slachtoffer en hebben mogelijk recht op een schadevergoeding.
Aansprakelijkheid van de IT-leverancier
IT-leveranciers krijgen soms met schadeclaims te maken. Net zoals andere leveranciers hebben ze namelijk een zorgplicht en moeten ze de zorg van een goed opdrachtnemer in acht nemen. Dit staat zo te lezen in artikel 7:401 BW. Hierdoor kan een IT-leverancier aansprakelijk zijn voor de berokkende schade wanneer hij niet aan zijn zorgplicht heeft voldaan.
Dit bewijst ook een uitspraak van de Rechtbank Amsterdam (ECLI:NL:RBAMS:2018:10124). Bij deze zaak had een IT-leverancier een netwerk bij een klant geïnstalleerd en leverde hij een zogenaamd totaalpakket. Toch wilde de klant veel zaken niet. Een firewall en uitgebreide back-ups waren volgens de klant te duur. Verplicht moeilijke wachtwoorden waren volgens de klant te onhandig. Uiteindelijk werden er onder meer te zwakke wachtwoorden gebruikt voor de backoffice-omgeving. Hoewel de IT-leverancier beveiligingsmaatregelen had voorgesteld en de klant geen leek was op computergebied, oordeelde de rechtbank toch dat de IT-leverancier niet aan zijn zorgplicht had voldaan. De IT-leverancier had indringender en herhaaldelijk voor de risico's moeten waarschuwen en had eventueel zelfs de opdracht moeten weigeren.
Aansprakelijkheid bij onbeveiligde wifinetwerken
In een arrest van het Europees Hof van Justitie (ECLI:EU:C:2016:689) diende men dan weer te oordelen over een onvoldoende beveiligd wifinetwerk van een winkelhouder. De eigenaar van de winkel had een wifinetwerk opgezet dat niet met een wachtwoord was beveiligd. Uiteindelijk heeft een internetcrimineel via dit draadloos netwerk illegaal een muziekbestand gedownload, waarop Sony de winkelier aansprakelijk heeft gesteld.
Het Europees Hof van Justitie oordeelde dat de winkelier hier gewoon een provider is en in principe dus niet aansprakelijk is voor wat er over de internettoegang gebeurt. Wel moet zo'n provider voldoende maatregelen treffen om illegale praktijken te voorkomen. Volgens het Hof is het opnemen van een wachtwoord een voorbeeld van zo'n maatregel die een winkelier hoort te treffen. Ook het gebruik van persoonlijke inlognamen en wachtwoorden kan vereist zijn, bijvoorbeeld wanneer een hotel wifi aanbiedt. Zo kan men steeds de gebruiker identificeren. Het niet gebruiken van wachtwoorden kan hoe dan ook niet door de beugel.
Meer over de aansprakelijkheid bij openbare wifinetwerkenStap voor stap de veiligheid omtrent wachtwoorden verbeteren
Hoewel men niet zomaar met andermans wachtwoord aan de haal mag gaan, is voorkomen nog steeds beter dan genezen. Daarom is het aan te raden om zelf een aantal dingen te doen om de veiligheid omtrent wachtwoorden te verbeteren. Hieronder is weergegeven hoe de wachtwoorden stap voor stap naar een hoger niveau kunnen worden getild.
Kies voor een veilig wachtwoord
Voor elke website of ieder programma dient men een ander wachtwoord te gebruiken. Daarnaast moet het wachtwoord ook voldoende veilig zijn. Kies met andere woorden voor een lang wachtwoord dat zowel hoofdletters als kleine letters, cijfers en symbolen bevat. Koppel het wachtwoord eventueel aan 2FA-mogelijkheden om nog veiliger door het leven te gaan.
Maak gebruik van een wachtwoordmanager
Wachtwoordmanagers kunnen een goede manier zijn om gemakkelijk om te gaan met ingewikkelde wachtwoorden. Het voorkomt dat men te eenvoudige wachtwoorden gebruikt of wachtwoorden opschrijft. De moderne browsers beschikken allemaal over ingebouwde wachtwoordmanagers. Er bestaan ook gratis wachtwoordmanagers die heel handig zijn, zoals NordPass en RememBear.
Wijzig regelmatig het wachtwoord
Het is belangrijk om wachtwoorden bij tijd en wijle te wijzigen. Wanneer wachtwoorden uitlekken, kan het vaak een tijdje duren voordat ze worden misbruikt door internetcriminelen. Ze verdwijnen vaak in gigantische bestanden die eerst nog moeten worden verwerkt en vervolgens pas worden verhandeld. Door regelmatig het wachtwoord te wijzigen, is het mogelijk om internetcriminelen voor te zijn. Over het algemeen raadt men aan om het wachtwoord elke paar maanden aan te passen. Hoe groter de risico's zijn, hoe vaker het wachtwoord moet worden gewijzigd.
Let op met het delen van wachtwoorden
Het is belangrijk om wachtwoorden zo min mogelijk met anderen te delen. Als het toch wordt gedaan, doe het dan op een verantwoorde manier. Deel wachtwoorden niet per sms, WhatsApp of per mail, want dan zijn de gegevens niet versleuteld en kunnen ze worden onderschept. Er bestaan gelukkig een aantal webdiensten waarbij het wel mogelijk is om veilig wachtwoorden te delen. Een bekend voorbeeld hiervan is Veilig Wachtwoord Delen, een gratis tool die werd ontwikkeld door de programmeurs van H1 Webdevelopment.
Veelgestelde vragen over aansprakelijkheid en wachtwoorden
Hoe kies ik een veilig wachtwoord?
Gebruik een wachtwoord dat voldoende lang is en dat zowel hoofdletters, kleine letters, leestekens als cijfers bevat. Zorg er daarnaast voor dat er voor elke website een ander wachtwoord wordt gebruikt en dat er geen logica achter het wachtwoord te vinden is. Gebruik eventueel een volzin als geheugensteuntje. Ten slotte is het ook mogelijk om wachtwoorden te laten genereren door een wachtwoordkluis. Omdat ze volstrekt willekeurig zijn, zijn dit de veiligste wachtwoorden. Indien mogelijk: kies voor tweetrapsauthenticatie want dit is nog veiliger.
Wat is een onveilig wachtwoord?
Een wachtwoord is onveilig als het te kort of te makkelijk te raden is. Gebruik dus geen woorden of tekens die in een bepaalde volgorde staan (bv. abcde of 987654). Ook tekens die naast elkaar op het toetsenbord staan (qwertyuiop), een herhaling van tekens (5555), woorden uit een woordenboek (in eender welke taal), woorden die achterstevoren zijn gespeld en wachtwoorden uit eenvoudig te achterhalen informatie (bv. het geboortejaar) zijn geen goed idee. Let verder op met wachtwoorden die al vaak worden gebruikt, bijvoorbeeld omdat ze in een andere taal een betekenis hebben. In de top 20 met veelgebruikte wachtwoorden vinden we onder meer password, password1, iloveyou, 1q2w3e4r, zaq12wsx, dragon en sunshine terug. Het is geen goed idee om dergelijke wachtwoorden te gebruiken.
Hoe kunnen criminelen mijn wachtwoord ontdekken?
Hier zijn verschillende manieren voor. In de eerste plaats kunnen criminelen een programmaatje gebruiken dat automatisch wachtwoorden blijft uitproberen tot het eens raak is. Hoe langer het wachtwoord is, hoe langer het duurt om het te achterhalen. Bovendien kunnen websites zich hiertegen beveiligen, bijvoorbeeld door slechts drie pogingen toe te staan. Een andere manier is door middel van phishing, bijvoorbeeld door het slachtoffer op een link in de mail te laten klikken. Het slachtoffer denkt dan op de juiste website uit te komen en geeft daar zijn wachtwoord in, maar eigenlijk gaat het om een valse website die enkel het doel heeft om het wachtwoord te onderscheppen.
Kan ik naast wachtwoorden ook biometrische authenticatie invoeren?
Biometrische authenticatie, zoals een irisscan of een vingerafdruk, kan nuttig zijn om gegevens extra te beschermen en is dankzij de hedendaagse technologie minder moeilijk te introduceren. Toch zijn er ook aandachtspunten omdat het hier gaat om privacygevoelige informatie. In veel gevallen is biometrische authenticatie niet toegestaan en kan de Autoriteit Persoonsgegevens ingrijpen. Tweetrapsauthenticatie is dan een goed alternatief. In gevallen waar biometrische authenticatie in verhouding staat met het beveiligingsdoel kan het wel, bijvoorbeeld ter bescherming van kritieke delen van een kerncentrale. Het inwinnen van juridisch advies is hoe dan ook aan te raden.
Mag ik een maximumaantal tekens opleggen bij wachtwoorden?
Ja, op voorwaarde dat het wachtwoord dan nog steeds voldoende veilig kan zijn. Het valt te verantwoorden om te lange wachtwoorden niet toe te staan, bijvoorbeeld om technische redenen of om te voorkomen dat wachtwoorden worden opgeschreven. Toch is het belangrijk om voldoende tekens toe te staan. In het geval van de Belastingdienst kiest men bijvoorbeeld voor minstens 8 en niet meer dan 25 karakters.