Veroordeling KPN: Neem MKB-klanten serieus

Hi Rashid,
Ik heb de uitspraak van de rechter ook bestudeerd en concludeer dat deze uitspraak op één punt onterecht is en aangeeft dat het Nederlands gerechtshof onvoldoende kennis heeft om over dit soort complexe zaken uitspraken te doen. De uitspraak is namelijk tweeledig; ten eerste stelt de rechter dat KPN aansprakelijk is voor de ontstane (indirecte) schade, ten tweede stelt de rechter dat de ZZP-er gelijk gesteld wordt aan een consument en dus vergelijkbare bescherming geniet. Dat laatste vindt ik volledig terecht, maar met punt één ben ik het pertinent oneens.

De gebruiker heeft gebruik gemaakt van de backup diensten van KPN. Bij het aanmaken van deze diensten stel je een encryptiesleutel in. De gebruiker had deze encryptiesleutel op haar computer opgeslagen. Bij het verloren gaan van de harddisk is niet alleen alle data verloren gegaan, maar ook de encryptiesleutel en daarmee de toegang tot de backupdienst van KPN. Het is in die zin merkwaardig dat de rechter KPN aansprakelijk stelt voor het veroorzaken van de schade. Het is tenslotte de gebruiker die haar encryptiesleutel heeft kwijt gemaakt en niet KPN. Vanuit een technisch perspectief is deze uitspraak dus zeer eng. Het geeft aan dat een onbekwame gebruiker door de provider beschermt moet worden tegen haar eigen onkunde. Het niet veilig bewaren van de login gegevens van de dienst vormt dus nu opeens het probleem van de provider. Hiermee worden de providers gedwongen om een extra copy van de encryptiesleutel te bewaren om daarmee in geval van nood de gebruiker toegang te verschaffen tot de backupdienst. Dit is een ongewenste situatie omdat daarmee de provider ook toegang heeft tot de data van de gebruikers. Hiermee worden weer nieuwe problemen geïntroduceerd zoals toegang door de opsporingsinstanties tot de unencrypted data van de gebruiker.

Delen jullie mijn mening dat dit een zeer ongewenste situatie is?
Bart M. Veldhuis

Bart, indien wat je schrijft klopt, dan zou ik het met je eens zijn. In het vonnis lees ik echter iets anders, namelijk dat enkel de licentiesleutel (waarschijnlijk voor de backupsoftware) kwijt was en het woord encryptiesleutel komt in het vonnis niet voorl. In het vonnis staat echter duidelijk dat KPN de gebackupte bestanden heeft verwijderd. Dat valt KPN absoluut aan te rekenen:

Nadat de computer van [eiseres] was gecrasht en zij niet meer bij haar email kon, heeft zij KPN gebeld voor de licentiecode. KPN heeft op 15 juni 2013 aan [eiseres] nieuwe inlogcodes verstrekt, waarna zij weer toegang kreeg tot haar bestanden. Deze waren niet meer beschikbaar. Later bleek dat KPN zonder medeweten van [eiseres] de back-up overeenkomst heeft opgezegd, het oude account heeft verwijderd en een nieuw account voor [eiseres] heeft geopend zonder de bestanden van het oude account over te hevelen naar het nieuwe account.

Bart,

Vooraf:
deze zaak lijkt op het eerste gezicht simpel, maar zodra je je er in verdiept blijken er zoals jij opmerkt ook lastige kanten aan te zitten en dat begint al met het gehanteerde jargon ((sleutel, code). Voor aanbieder KPN wordt de lat weer een stuk hoger gelegd en ik kan me daarbij niet geheel onttrekken aan de indruk dat eerdere problemen rond dezelfde dienst een rol gespeeld hebben.

Als ik kijk naar de rol van de gebruiker, abonnee, ZZP'er [M/V] in deze zaak is het voor de hand liggend te stellen dat die op een andere wijze heeft gehandeld dan jij, ik en waarschijnlijk 99,99% van de ISPam lezers zouden doen.

Maar de vraag die eigenlijk aan de orde is hoe goed zijn aanbieders van internetdiensten in staat de diensten die zij leveren uit te leggen aan de gebruikers? Ik ben in dit specifieke KPN geval van mening dat het uitblijven van advies richting de klant dat een sleutel of code niet veilig is op de harde schijf van de computer onvergetelijk dom is. Elke IT ondernemer weet dat dit een SPOF is en zou daar zelf nooit genoegen mee nemen. Vreemd genoeg vinden sommigen dat voor “de gemiddelde” klant wel OK.

Wat betreft je zorgen over extra sleutels bij de provider en uiteindelijk minder veiligheid als gevolg van dit vonnis en deze specifieke zaak: die zorgen deel ik in tot op zeker hoogte. Er zijn op basis van mijn ervaring mogelijkheden genoeg die een vergelijkbare case helpen te voorkomen. Maar dat veronderstelt wel dat de individuele dienstenaanbieders leren beter te communiceren met de klanten. Het online zetten van een slecht vertaalde (gejatte) FAQ of handleiding met 6punts lettergrootte (en ja dat kom ik helaas nog te vaak tegen) is niet wat ik versta onder klantondersteuning. Met een boete als in het geval van KPN als zwaard van Damocles boven de markt is er denk ik wel een prikkel daar serieus werk van te maken.

Hi Rashid en Arnout,
Ik ben met jullie eens dat KPN gefaald heeft in de voorlichting van de gebruiker, en daar terecht voor gestraft wordt.
Mijn punt is echter dat de advocaten van KPN er dus onvoldoende in geslaagd zijn om de rechter uit te leggen dat er geen licentie sleutel wordt verstrekt maar een encryptiesleutel. Dat KPN er niet toe in staat is om de bestanden van de klant te herstellen zonder de encryptiesleutel is voor mij als techneut volstrekt duidelijk. Dat neemt niet weg dat wat de service desk medewerker gedaan heeft onvergefelijk is. Door het account te verwijderen en opnieuw aan te maken zijn de gegevens natuurlijk zeker verloren, encryptiesleutel of niet.
Het is voor mij onbegrijpelijk dat de advocaten van KPN er niet in geslaagd zijn om dit goed aan de rechter duidelijk te maken.

Dit neemt trouwens niet weg dat ik KPN deze veroordeling van harte gun, ik deel jullie mening dat de voorlichting ver onder de maat is en het verschuilen achter onleesbare algemene voorwaarden op deze manier goed afgestraft wordt.

Bart