Internetrecht door Arnoud Engelfriet

Ik ken een paar werkgevers die nu gaan schuimbekken. Je geeft je werknemers een PC te leen, die gaan ze dan een beetje privé zitten gebruiken en dan mag je er niet eens meer in zoeken als blijkt dat die werknemers disfunctioneren. Maar dat is toch echt waar deze uitspraak van het College van Beroep voor het bedrijfsleven op neerkomt. Het ging hier om tuchtrecht voor accountants, maar tussen de regels door zie je duidelijk dat het College afkeurt dat er in privé gebruikte apparatuur wordt gezocht als daar geen héél goede reden voor is.

Een ambtenaar werkte als systeembeheerder bij een gemeente. Ze werd geschorst omdat ze zonder toestemming van B&W een personal computer met toebehoren, eigendom van de gemeente, bij haar thuis had geplaatst. Om redenen die me niet helemaal duidelijk zijn, werd vervolgens de fraudeafdeling van Deloitte losgelaten om die computer te doorzoeken.

De ambtenaar vocht de schorsing aan, en diende ook een klacht in tegen de onderzoeker. Die was accountant, en dus onderworpen aan hun tuchtrecht. Van een accountant mag in rapportage verwacht worden dat deze objectief, neutraal en volledig is. Maar daarvan was hier geen sprake:

Het onderzoek was immers juist gericht op het - totale - gebruik van de personal computer. Bij een feitelijke weergave van de aangetroffen computerprogramma’s is het niet aan betrokkene een keuze te maken in wat hij wel of niet opneemt in zijn rapportage. Bovendien heeft hij met de opsomming, zoals opgenomen in het rapport, de indruk gewekt een volledige weergave te hebben gegeven. Uit het rapport blijkt geenszins dat dit slechts een beperkte weergave behelst. … Betrokkene heeft er hiermee blijk van gegeven op selectieve wijze te rapporteren, hetgeen hem tuchtrechtelijk aan te rekenen is.

Belangrijker, hij had deze PC niet zomaar mogen doorzoeken, omdat de PC thuis stond en niet (via VPN of anderszins) aangesloten was op het bedrijfsnetwerk.

Betrokkene heeft de computer behandeld als een werk-computer, deel uitmakend van het computer-netwerk van de werkgever. Nu hiervan evenwel geen sprake was, had betrokkene meer terughoudendheid moeten betrachten bij het onderzoeken van het privé-gebruik van de computer.

En die regel geldt ook voor gewone werkgevers. Ook op het werk heb je recht op privacy, en dat betekent dat je als werkgever niet zomaar mag gaan snuffelen in de spullen die je werknemers ter beschikking stelt.

Arnoud

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en is behoorlijk onduidelijk.

Journalist Brenno “Bigwobber” de Winter kreeg via de Wet Openbaarheid van Bestuur inzage in de werkwijze van de Marechaussee. Succes hadden de onderzoeken niet: geen enkele keer is iemand vervolgd naar aanleiding van zo’n onderzoek, ondanks dat 900 GSM’s, 62 harde schijven en een kleine honderd andere zaken digitaal onderzocht werden.

De aankondiging van vorig jaar zette me een beetje op het verkeerde been: ik dacht eerst dat het over de douane ging, die zeer brede doorzoekingsbevoegdheden heeft, gebaseerd op art. 1:24 Algemene Douanewet. Maar het is de Koninklijke Marechaussee, die (hoewel onderdeel van Defensie), gewoon onder de Politiewet valt en dus net als politieagenten alleen dingen kan doorzoeken op grond van het Wetboek van Strafvordering. En dan moet er toch echt sprake zijn van een verdachte (art. 27 Strafvordering) voordat zaken als inbeslagnemen of doorzoeken van goederen mogelijk worden.

Helemaal opmerkelijk vond ik wat een woordvoerder van de Marechaussee tegen Security.nl meldde:

Als we bij de inbeslaggenomen goederen gegevensdragers aantreffen die beveiligd zijn met codes of wachtwoorden hoeft de verdachte, wat u terecht al vraagt, niet mee te werken door die codes of wachtwoorden te geven”, erkent de woordvoerder van de marechaussee. Of weigeraars langer worden vastgehouden is onduidelijk, het lot van de gegevensdrager lijkt wel bezegeld. “De gegevensdrager kan wel verder worden onderzocht, met of zonder medewerking van de eigenaar/houder.”

Hier spreekt men van ‘verdachte’, wat op zichzelf al opmerkelijk is want de doorzoekingen gebeuren zonder nadere aanleiding. De criteria zijn gebaseerd op de omstandigheden - alleenstaande mannen van middelbare leeftijd die naar Thailand reizen bijvoorbeeld worden sneller geselecteerd dan getrouwde vrouwen van 65.

Maar het lijkt er zelfs op dat men gegevensdragers in beslag neemt als de eigenaar weigert deze te ontsleutelen. Dat gaat m.i. gewoon tegen de wet in: een verdachte mag niet worden gevraagd om gegevens te ontsleutelen. En dan mag er ook geen sanctie worden gekoppeld aan de weigering om die gegevens te ontsleutelen.

Arnoud