Virusaansprakelijkheid
Juridische gevolgen virusbesmetting onduidelijk
Marie-José Klaver
(Netkwesties, 30 mei 2002)
Virussen kosten bedrijven veel geld. Pc's en servers lopen vast en vaak wordt ook het imago van het bedrijf beschadigd als werknemers per ongeluk virussen naar klanten sturen. Wie is er aansprakelijk voor de verloren tijd en gederfde inkomsten bij valse virusbeschuldigingen?
In de nieuwsgroep nl.juridisch kwam op 27 mei jl. het volgende geval aan de orde. Een internetgebruikster ontving een Klez-virus van een bedrijf. Ze mailde de afzender dat ze een virus had ontvangen. Die is vervolgens volgens eigen zeggen uren bezig geweest zijn pc te onderzoeken om te kijken of hij besmet was geraakt met het Klez-virus.
Toen hij ontdekte dat dat niet het geval was, werd hij boos op de vrouw die hem had gemaild dat ze van hem een Klez-virus had ontvangen. Hij vertelde haar dat hij de schade van de verloren uren op haar wil verhalen.
Kan dit, wil de vrouw weten? Netkwesties legde de vraag aan twee internetjuristen voor.
Christiaan Alberdingk Thijm van advocatenkantoor SOLV denkt van niet. "In aanmerking voor vergoeding komt alleen schade die in zodanig verband staat met de handeling (het schadetoebrengende feit) dat deze, mede gezien de aard van de aansprakelijkheid en van de schade, kan worden toegerekend aan degene die de handeling verrichte (6:98 Burgerlijk Wetboek). Men spreekt hierbij ook wel van toerekening naar redelijkheid."
"In dit geval", zegt Alberdingk Thijm, "lijkt het onredelijk de schade toe te rekenen aan de internetgebruikster. Als men mailt naar een bedrijf met de mededeling dat je een virus ontvangen hebt van hen is het onwaarschijnlijk te verwachten dat men vervolgens uren nodig heeft om uit te zoeken of dat virus zich ook daadwerkelijk op hun pc bevindt; het opsporen van virussen kost immers doorgaans weinig tijd. Indien het inderdaad zo is dat het opsporen van dergelijke virussen (Klez) weinig tijd kost en eenvoudig is, heeft het bedrijf in deze zaak de schade grotendeels aan zichzelf te wijten (6:101 BW). Derhalve lijkt het mij onwaarschijnlijk dat er in casu ruimte zou zijn voor schadevergoeding."
Het hangt er vanaf, zegt de wetenschapper Wilfred Steenbruggen, die aan het Instituut voor Informatierecht van de Universiteit van Amsterdam onderzoek doet naar aansprakelijkheid voor de schade die door computervirussen wordt veroorzaakt.
Volgens Steenbruggen is er in dit geval geen specifieke wettelijke regeling van toepassing. "Of schade op de internetgebruikster verhaalbaar is, hangt er dan ook van af of de onjuiste viruswaarschuwing onrechtmatig is." Steenbruggen gaat er vanuit dat de virusmelding geen onrechtmatige daad is omdat de meldster niet bewust een valse virusmelding heeft gedaan.
"Er is mijns inziens pas mogelijk sprake van maatschappelijk onzorgvuldig gedrag wanneer er opzettelijk een valse virusmelding is verricht, in de wetenschap dat schade bij het bedrijf zou optreden, dan wel het risico op de koop toenemend dat schade zou ontstaan. Dwz de internetgebruikster moest weten dat het virus niet afkomstig was van dat bedrijf. De kans dat er schade zou optreden moet heel reeel geweest zijn. Bovendien moet uit haar gedrag blijken dat zij de mogelijke schade beoogd heeft of de kans daarop op de koop toe heeft genomen."
Maar, zegt Steenbruggen, voor het standpunt van de man die nu een schadevergoeding is ook iets te zeggen. Een bedrijf heeft namelijk de rechtsplicht zijn systemen op een virus te controleren wanneer het een virusmelding krijgt. "Doet het bedrijf dit niet, dan kan het zelf aansprakelijk worden voor de schade die een via zijn systemen verder verspreid virus bij anderen verricht. Hij houdt dan namelijk een gevaarlijke situatie willens en wetens in stand."
Steenbruggen vervolgt: "Dat niemand de beste man heeft gevraagd om uren te besteden aan virusdetectie, is dus niet zo zeer relevant. Hij heeft een plicht dit soort waarschuwingen serieus te nemen. Wat wel relevant is is dat hij met een geupdate virusscanner het virus in 10 minuten had kunnen detecteren. Dit is van invloed op de hoogte van de schadevergoeding. Er moet namelijk naar gekeken worden in hoeverre de ontstane schade nog aan de internetgebruiker kan worden toegerekend. Daarbij moet dan weer in aanmerking worden genomen dat het bedrijf waarschijnlijk niet weet met welke variant van het virus het te maken heeft. Herkennen virusscanners het bewuste virus(variant) al? Mag het bedrijf ervan uitgaan dat een niets opleverende virusscan dan voldoende is? Het zijn interessante, maar nog onbeantwoorde vragen."
[MJK, 30 mei 2002]
Met dank aan Karin Spaink
(Verschenen in Netkwesties, 30 mei 2002)
Artikelen Wilfred Steenbruggen:
Stop Bugging me! - I&I 2001-4
Mag ik even kijken? Een netwerkkwestie van verantwoordelijkheid - Computerrecht 2001-3
Provider medeverantwoordelijk voor tegenhouden virussen - Volkskrant, 3 augustus 2001