Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Ik ben systeembeheerder bij een school. Wij geven iedereen een netwerkaccount zodat ze bestanden kunnen opslaan en kunnen mailen. Nu weet ik dat leerlingen (maar ook docenten) regelmatig illegale zaken opslaan op hun account (plaatjes, filmpjes, muziek, keyloggers, hacktools, niet school gerelateerd materiaal, etcetera). Vorige week heb ik een grote schoonmaak gehouden en alle niet-schoolgerelateerde zaken verwijderd. Maar nu is een aantal gebruikers behoorlijk boos en zeggen ze dat dit niet mag! Ik kan toch als beheerder niet tolereren dat er illegale zaken op onze servers staan?

Ik zou dit niet op deze manier aanpakken. Inderdaad, als je weet hebt van illegale zaken dan mag (moet?) je ingrijpen. Maar dat is niet hetzelfde als “het zijn scholieren, die hebben dús bergen illegale meuk, ik ga alle mappen langs en alles weggooien dat ik zie”.

Dit gaat niet goed vallen bij systeembeheerders, maar zo’n netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen.

Er zijn een aantal voorwaarden waaraan voldaan moet zijn. Allereerst moet er een expliciet geaccordeerd IT-reglement zijn waarin aangegeven staat wat men mag met het account en vooral wat niet. En daarbij geldt dat “alleen schoolgerelateerde zaken” te kort door de bocht is: er moet enige ruimte voor privégebruik zijn. (Klachten dat dit onzin is, mag u bij het Europese Hof voor de Mensenrechten kwijt.)

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3′tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Bij personen die bestuurslid zijn van de vakbond of medezeggenschapsraad (of de bedrijfsarts) mag het beheer helemaal niet in hun privémappen kijken tenzij met hun toestemming of in zéér uitzonderlijke situaties.

Arnoud

Ik ken een paar werkgevers die nu gaan schuimbekken. Je geeft je werknemers een PC te leen, die gaan ze dan een beetje privé zitten gebruiken en dan mag je er niet eens meer in zoeken als blijkt dat die werknemers disfunctioneren. Maar dat is toch echt waar deze uitspraak van het College van Beroep voor het bedrijfsleven op neerkomt. Het ging hier om tuchtrecht voor accountants, maar tussen de regels door zie je duidelijk dat het College afkeurt dat er in privé gebruikte apparatuur wordt gezocht als daar geen héél goede reden voor is.

Een ambtenaar werkte als systeembeheerder bij een gemeente. Ze werd geschorst omdat ze zonder toestemming van B&W een personal computer met toebehoren, eigendom van de gemeente, bij haar thuis had geplaatst. Om redenen die me niet helemaal duidelijk zijn, werd vervolgens de fraudeafdeling van Deloitte losgelaten om die computer te doorzoeken.

De ambtenaar vocht de schorsing aan, en diende ook een klacht in tegen de onderzoeker. Die was accountant, en dus onderworpen aan hun tuchtrecht. Van een accountant mag in rapportage verwacht worden dat deze objectief, neutraal en volledig is. Maar daarvan was hier geen sprake:

Het onderzoek was immers juist gericht op het - totale - gebruik van de personal computer. Bij een feitelijke weergave van de aangetroffen computerprogramma’s is het niet aan betrokkene een keuze te maken in wat hij wel of niet opneemt in zijn rapportage. Bovendien heeft hij met de opsomming, zoals opgenomen in het rapport, de indruk gewekt een volledige weergave te hebben gegeven. Uit het rapport blijkt geenszins dat dit slechts een beperkte weergave behelst. … Betrokkene heeft er hiermee blijk van gegeven op selectieve wijze te rapporteren, hetgeen hem tuchtrechtelijk aan te rekenen is.

Belangrijker, hij had deze PC niet zomaar mogen doorzoeken, omdat de PC thuis stond en niet (via VPN of anderszins) aangesloten was op het bedrijfsnetwerk.

Betrokkene heeft de computer behandeld als een werk-computer, deel uitmakend van het computer-netwerk van de werkgever. Nu hiervan evenwel geen sprake was, had betrokkene meer terughoudendheid moeten betrachten bij het onderzoeken van het privé-gebruik van de computer.

En die regel geldt ook voor gewone werkgevers. Ook op het werk heb je recht op privacy, en dat betekent dat je als werkgever niet zomaar mag gaan snuffelen in de spullen die je werknemers ter beschikking stelt.

Arnoud

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en is behoorlijk onduidelijk.

Journalist Brenno “Bigwobber” de Winter kreeg via de Wet Openbaarheid van Bestuur inzage in de werkwijze van de Marechaussee. Succes hadden de onderzoeken niet: geen enkele keer is iemand vervolgd naar aanleiding van zo’n onderzoek, ondanks dat 900 GSM’s, 62 harde schijven en een kleine honderd andere zaken digitaal onderzocht werden.

De aankondiging van vorig jaar zette me een beetje op het verkeerde been: ik dacht eerst dat het over de douane ging, die zeer brede doorzoekingsbevoegdheden heeft, gebaseerd op art. 1:24 Algemene Douanewet. Maar het is de Koninklijke Marechaussee, die (hoewel onderdeel van Defensie), gewoon onder de Politiewet valt en dus net als politieagenten alleen dingen kan doorzoeken op grond van het Wetboek van Strafvordering. En dan moet er toch echt sprake zijn van een verdachte (art. 27 Strafvordering) voordat zaken als inbeslagnemen of doorzoeken van goederen mogelijk worden.

Helemaal opmerkelijk vond ik wat een woordvoerder van de Marechaussee tegen Security.nl meldde:

Als we bij de inbeslaggenomen goederen gegevensdragers aantreffen die beveiligd zijn met codes of wachtwoorden hoeft de verdachte, wat u terecht al vraagt, niet mee te werken door die codes of wachtwoorden te geven”, erkent de woordvoerder van de marechaussee. Of weigeraars langer worden vastgehouden is onduidelijk, het lot van de gegevensdrager lijkt wel bezegeld. “De gegevensdrager kan wel verder worden onderzocht, met of zonder medewerking van de eigenaar/houder.”

Hier spreekt men van ‘verdachte’, wat op zichzelf al opmerkelijk is want de doorzoekingen gebeuren zonder nadere aanleiding. De criteria zijn gebaseerd op de omstandigheden - alleenstaande mannen van middelbare leeftijd die naar Thailand reizen bijvoorbeeld worden sneller geselecteerd dan getrouwde vrouwen van 65.

Maar het lijkt er zelfs op dat men gegevensdragers in beslag neemt als de eigenaar weigert deze te ontsleutelen. Dat gaat m.i. gewoon tegen de wet in: een verdachte mag niet worden gevraagd om gegevens te ontsleutelen. En dan mag er ook geen sanctie worden gekoppeld aan de weigering om die gegevens te ontsleutelen.

Arnoud