Online zijn berichten verschenen over de aansprakelijkheid van een cryptoplatform omdat het klanten niet goed beschermt. De case is interessant, omdat uit het vonnis ook kan worden afgeleid waar het voor andere online dienstverleners fout kan gaan.
De zaak draait in het kort om de vraag of het platform voor de klanten veilig genoeg was. De vraag wat is veilig als het gaat om online omgevingen wordt vaker gesteld. Er zijn diverse antwoorden, maar dat wil niet zeggen dat alles even veilig is.
In dit geval konden klanten op basis van username en wachtwoord inloggen en handelen. Iedereen met een beetje kennis van online veiligheid weet dat dit onverstandig is. Het platform had dat schijnbaar ook in de gaten en bood daarom MFA aan. Precies daar is het misgegaan en dat punt maakt het ook interessant voor elke IT dienstverlener.
De rechter accepteerde de uitleg van het platform niet dat de klanten verantwoordelijk zijn, en dat het platform nooit aansprakelijk kon worden gesteld. Dat klanten MFA als optie krijgen aangeboden klinkt als een manier om de veiligheid te vergroten en de aansprakelijkheid te vermijden. Maar de vrijblijvendheid kan niet. Het is natuurlijk ook wel erg vreemd. Elke normale bank MFA en overheidsdienst dwingt inmiddels MFA af en een cryptoplatform denkt zich daar niets van te hoeven aantrekken.
Ook bij andere diensten mogelijk
Wie de zaak vergelijkt met andere online diensten zal tot de conclusie komen dat ook elders dit soort missers mogelijk is. Het klakkeloos toevoegen van de regel in de leveringsvoorwaarden dat men onder geen enkele voorwaarde aansprakelijk is, is juridisch gezien complete kolder. Als je dat doet terwijl je je klanten de ruimte geeft online onveilig te handelen dan vraag je om problemen.
Dat dit soort zaken weinig de pers haalt is wel een punt. We weten echter niet hoe vaak er een schikking wordt getroffen en hoeveel klanten vrezen voor een gang naar de rechter.
Met een vonnis als bovenstaande, NIS2 en de eisen die de AVG stelt ligt het voor de hand dat dienstverleners vaker mogen uitleggen waarom zij dat andere aspect van veiligheid voor de klanten niet opschroeven. Iedereen denkt namelijk bij veiligheid vooral aan het dichttimmeren van zijn platform, het opvoeden van klanten door ze te dwingen MFA te gebruiken kan moet net zo hoog op de agenda staan.
