Tag: Harddisk

About Harddisk

Subscribe Feeds

Mag je bij ontslag je zakelijke laptop geformatteerd inleveren?

Geplaatst op in Ondernemingsvrijheid, 12 reacties

Wanneer je als werknemer op non-actief wordt gesteld, moet je op verzoek je telefoon en laptop inleveren. Dat deed een werknemer in deze rechtszaak dan ook, zij het dat hij alle data van de laptop en bijbehorende externe schijf had gewist. Dat was voor zijn privacy gaf hij aan, maar de werkgever zag dat als vernieling van bedrijfsgegevens, omdat niet de gehele laptop automatisch werd gebackupt door het bedrijf. Daarom werd ontslag op staande voet uitgesproken. Een complicatie: de laptop was ooit privé gekocht en er stonden dus ook privébestanden en -software op. Hoe daarmee om te gaan?

De werknemer was in 2015 in dienst getreden bij het bedrijf in de functie van developer/marketingmedewerker. Helaas blijkt uit het vonnis niet waarom, maar in oktober 2016 werd hij op non-actief gesteld. Hij heeft op 12 november 2016 zijn leaseauto en laptop ingeleverd en op 2 december 2016 zijn telefoon en externe harddisk. Die bleken vervolgens alleen volledig geformatteerd, zodat volgens het bedrijf “werkaantekeningen, gespreksverslagen met klanten en derden, ontwerpen voor software en mogelijk door u reeds gemaakte software” verloren zou zijn gegaan omdat er geen automatische dagelijkse backup van de gehele laptop werd gemaakt. Reden voor ontslag op staande voet.

Kan dat zomaar? Voor staande voet gelden strenge eisen, omdat het héle zware consequenties heeft voor de werknemer. Je verliest immers je recht op een uitkering en je krijgt geen vergoeding mee. Dan moet er wel iets heel serieus gebeurd zijn. Aan de werkgever dus om te bewijzen wat er misgegaan is en waarom dat zó erg is dat de werknemer deze keiharde sanctie moet ondergaan.

En dat gaat natuurlijk meteen al mis: wat er op die laptop stond, dat weet je natuurlijk niet als je hem geformatteerd terugkrijgt. Omkeren van de bewijslast zou betekenen dat de werknemer moet bewijzen dat er géén bedrijfsgevoelige informatie op de laptop stond, wat nóg lastiger is. En dat is helemaal niet eerlijk als het gevolg van dit te bewijzen punt is dat je ontslag op staande voet krijgt. Daarom krijgt de werkgever dit in het gezicht terug.

De achterliggende reden voor het formatteren leest als plausibel. De werknemer had de laptop in eerste instantie privé aangeschaft en toen gebruikt voor het werk. Logisch dus dat er ook privébestanden en software op stond, en ik begrijp het als hij zegt, als de arbeidsrelatie verslechtert dan wil ik zeker weten dat de werkgever daar niet aan gaat komen. Ook lijkt het onwaarschijnlijk dat er werkelijk zeer gevoelige en unieke informatie op die laptop stond:

Volgens [verweerder] stond op zijn laptop software die hij zelf had aangeschaft (Office, Photoshop en Coda) en heeft hij geen software van [werkgever] gekregen. Hij heeft eenmalig geprobeerd om op zijn eigen laptop, dus lokaal te werken, maar dat is niet gelukt. [verweerder] heeft ter onderbouwing van dit betoog verwezen naar een e-mail van [collega van verweerder] van 7 maart 2017, waarin is bevestigd dat niemand in het team een lokale werkomgeving had, behalve [collega van verweerder] zelf.

Uiteindelijk blijft er dan ook niets over van vermeende kwade bedoelingen van de werknemer, en de verslechterde arbeidsrelatie geeft dan ook reden voor de werknemer om te vrezen voor zijn privacy. Daarom mocht hij deze formatteeractie uitvoeren. Van het staande-voet-ontslag blijft dus niets over, en de werknemer krijgt een slordige 10.000 euro aan ontslagvergoeding mee.

Arnoud

Heeft Truecrypt een anti-NSA warrant canary losgelaten?

Geplaatst op in Security, 44 reacties

truecrypt-duress-canaryEindelijk weten we het: het was de NSA die Truecrypt heeft gesaboteerd. Dat meldt althans Slashdot. Het project kondigde onlangs nogal cryptisch (haha) aan dat de gratis diskencryptiesoftware niet veilig meer zou zijn en of we allemaal op Microsoft Bitlocker over zouden willen stappen. En de tekst “Using TrueCrypt is not secure as it may …” is natuurlijk helemáál een weggever. Maar kan het?

Een warrant canary is een juridische truc waarbij je elke dag een boodschap produceert à la “Vandaag ontvingen wij geen tapbevelen”. De dag dat je wél zo’n bevel krijgt, produceer je die boodschap niet. Daarmee weet de goede verstaander hoe het zit, zonder dat je expliciet hebt gezegd “wij kregen een bevel” – dat laatste is verboden want dergelijke bevelen komen met een “u mag niemand vertellen dat u dit bevel gehad heeft”-gag order. De analogie is met de kanarie in de kolenmijn: als die dood neervalt, dan is er koolmonoxide in de buurt en moet je wegwezen. Daar heb je nog net tijd voor, want een kanarie gaat eerder dood daaraan dan een mens.

Ik blijf erbij dat een warrant canary niet kan, niet in de VS en niet in Europa (bij ons: art. 126bb strafvordering). Als je een bevel krijgt met een verbod om anderen te vertellen dat je het gehad hebt, dan mag je óók niet ophouden met zeggen “Ik heb vandaag géén bevel gehad”. Dat komt immers informatietechnisch op hetzelfde neer. Je moet dan liegen om het bevel op te volgen.

In het Amerikaanse rechtssysteem is iemand dwingen wat te zeggen (compelled speech) juridisch heikeler dan iemand dwingen niets te zeggen (gag order). En daar is dit idee op gebaseerd. Maar ik zie in dit specifieke geval het verschil niet. Als het spreekverbod toegestaan is, dan moet dat ook kunnen worden gehandhaafd tegen iemand die daardoor óphoudt met spreken.

Een dodemansknop zie ik nog wel: maak een script dat als je een week niet inlogt, een vooraf bepaalde tekst plaatst en het project sluit. Dat is dan niet te voorkomen met een gag order, zeker niet als je een week lang koppig om je advocaat blijft vragen en niet vertelt over de dodemansknop. Het lijkt me wel technisch lastig te automatiseren (een kennis instrueren en die het handmatig laten doen is wellicht slimmer) en het is riskant, wat als je een week internetstoring hebt of de server met het script maakt een datumfout en leeft ineens een week in de toekomst.

De verklaring dat de overgebleven developer(s) tegen een burnout aan liepen na tien jaar ondankbaar werk, lijkt me waarschijnlijker. Wat jullie?

Arnoud

De harddisk van een op leeftijd zijnde powerbook

Geplaatst op in Ondernemingsvrijheid, 40 reacties

powerbookStel je werkt zes jaar op een laptop zónder backups te maken, en je gaat op een dag dan naar de winkel om ze te vragen je daarbij te helpen. Kun je ze dan aansprakelijk stellen als je data alsnog kwijt raakt? Dat was de vraag in een recent vonnis over een “op leeftijd zijnde powerbook”.

De klant was bezig met een boek, een vertaling van werk van Pffeier uit het Oud-duits. Dat deed hij dus op die Powerbook G4 uit 2004, welke je toch als “op leeftijd” mag betitelen inderdaad. In november 2010 besloot hij toch eens over backups na te denken, en hem werd aangeraden My Passport for Mac te nemen, een externe harde schijf. Dat deed hij, maar in februari 2011 ging hij terug want hij kreeg het niet aangesloten.

Terug in de winkel werd aangeboden dat men dit voor hem kon doen, en oh we kunnen meteen uw besturingssysteem upgraden van Tiger naar Leopard. Wordt u al zenuwachtig bij het idee van een OS upgrade zónder voorafgaande full backup? Deze klant in ieder geval wel, dus hij liet op het innamebewijs opnemen

Meneer wil graag Macosx Leopard geïnstalleerd hebben op de mac met behoud van de Data. Het is voor meneer belangrijk dat deze behouden blijft. Indien mogelijk ook een kopie van de data op de bijgeleverde externe hdd.

U voelt hem al aankomen: een maand later kon de laptop worden opgehaald, maar helaas was de harddisk gesneuveld en alle data kwijt. Onder verwijzing naar de disclaimer “[gedaagde] is niet verantwoordelijk voor eventueel verlies van data” werd de claim van €15.000 (de uren voor opnieuw de vertaling maken) van de klant afgewezen. Dus naar de rechter.

De rechter begint met vast te stellen dat die disclaimer hier niet relevant is. Dat is een waarschuwing voor de kans dat data per abuis verloren kan gaan – maar hier ging het niet om upgradewerk met enig kans op dataverlies, maar om een overeenkomst van opdracht die specifiek ging over het backuppen van data. En als dat specifiek je opdracht is, dan is “oeps, alles is weg” geen acceptabel antwoord.

Maar die powerbook was economisch al jaren afgeschreven, en ook technisch zo oud dat die harddisk spontaan de geest kan hebben gegeven, zult u wellicht tegenwerpen. Dat mag zo zijn, maar als je als winkel dan toch zo’n computer inneemt en een overeenkomst van opdracht aangaat, dan wordt die spontaniteit alsnog jouw risico. Je bent een professional, en die worden geacht hier vooraf over na te denken en desnoods de opdracht te weigeren.

Het was kennelijk in de visie van [gedaagde] nog zinvol om het besturingssysteem van de powerbook up te graden, ondanks de leeftijd van de powerbook en de daarin aanwezige harde schijf.

Men had bijvoorbeeld in de winkel kunnen aanbieden de klant te helpen het zelf te doen met een USB stick of de data laten mailen naar een snel even aangemaakt webmailaccount. In die situaties zou de klant zelf het risico van dataverlies hebben moeten dragen. Maar neem je de laptop in met de belofte “met behoud van de Data”, dan zit je daaraan vast.

Aansprakelijkheid van de winkel dus. Maar welk bedrag? Dat is bij consumentenzaken altijd een hele moeilijke, maar in dit geval had de klant een mooie vuistregel: al dat werk opnieuw doen zou hem 300 uur kosten, tegen een uurtarief van 50 euro, oftewel 15.000 euro plus nog 100 euro voor de kapotte harde schijf.

Het kapot gaan van die schijf is echter niet de fout van de winkel geweest, dus dat hoeven ze niet te vergoeden. Maar die 300 uur werk die nu opnieuw moet, dat is wél dankzij een tekortschieten van de winkel ontstaan. Betalen dus!

Oh nee, toch niet. Het recht kent het concept “eigen schuld”: wie zelf bijgedragen heeft aan (het groter worden van) schade die hij lijdt, moet die component eigen schuld zelf dragen ook als de oorzaak van de schade bij een ander lag.

Aan [eiser] kan namelijk worden toegerekend dat hij niet recenter en vaker een back-up van het boek heeft gemaakt. Hij had dit bijvoorbeeld kunnen doen door het boek op een cd-rom te branden, op een usb-stick te zetten of te mailen naar een web-mail account. Hij wist ook dat dit kon, aangezien hij – zoals in zijn conclusie van repliek is vermeld – al eens eerder een back up van het boek door zijn zoon heeft laten maken.

In hoeverre moet dit nu worden meegewogen? Ik zou ook geen flauw idee hebben, en de rechter houdt het dan ook maar bij een 50/50 verdeling. De winkel moet dus €7.500 plus wettelijke rente en iets van €1.200 aan proceskosten vergoeden.

Wat vinden jullie? Logisch bij zo’n toezegging over de dienst? Of gaat dit winkels alleen maar afschrikken om herstelwerk te doen bij bejaarde powerbooks?

Arnoud

Data recovery op een tweedehands computer

Geplaatst op in Privacy, Security, 11 reacties

ambulance-recovery.jpgEen lezer mailde me:

Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die alle sectoren drie keer overschrijft) maar vroeg me nu wel af of ik strafbaar gehandeld heb.

Op tweedehands laptops of harde schijven blijkt steeds vaker data achter te blijven. Security.nl heeft in maart twee studenten onderzoek laten doen. Zij vonden allerlei persoonlijke informatie, zoals incasso machtigingen, medische gegevens, belastingdocumenten, bedrijfsinformatie, C.V.’s, een dagboek, sollicitatiebrieven, inkooporders, faxen, e-mails, porno en veel privé-foto’s en filmpjes. In een ander geval werd zelfs de handleiding voor een SCUD-raket aangetroffen op een tweedehands harde schijf.

De tweedehands computer is van jou, dus die mag je binnenstebuiten keren, onderzoeken en leegpluizen op elke manier die je goeddunkt. Het is dus niet strafbaar om te kijken of er nog data van de vorige eigenaar is achtergebleven.

Wat wel strafbaar kan zijn, is het publiceren of gebruiken van die data. Je schendt dan vaak iemands privacy, omdat je moet weten dat die data privé is en niet voor publicatie bestemd. (En dan heb ik het nog niet eens over opzettelijk misbruik zoals de vorige eigenaar chanteren of bedreigen.)

Natuurlijk kan het -zoals bij dat Security.nl-onderzoek- journalistiek relevant zijn om te melden dat je zulke data gevonden hebt. Maar het lijkt me niet dat je daarbij ook de materialen zelf moet laten zien. Wat voegt dat toe boven de mededeling dat je die data gezien hebt?

Arnoud