Internetrecht door Arnoud Engelfriet

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens had van fraude.

In het originele vonnis vond de rechter het toegelaten dat de curator toegang mocht krijgen tot de laptop, maar in dit hoger beroep wordt dat echter teruggedraaid. De laptop was geen eigendom van het failliete bedrijf, dus kan de curator die niet zomaar opeisen. Wél heeft hij recht op inzage in de bedrijfsgegevens op die laptop. Hij mag een kopie van de data laten maken en deponeren bij een notaris om deze zo veilig te stellen.

Vervolgens is de vraag of de curator er ook iets mee mag doen. Mag hij de gegevens doorzoeken, of mag hij forensisch onderzoeksbedrijf IRS aan het werk zetten? Omdat het hier gaat om privacy, geeft het Hof geen algemene rechtsregel. Bij inbreuken op de privacy is het altijd afhankelijk van alle omstandigheden van het geval of het mag. Het Hof weegt dan ook de privacy van de jurist en het bedrijfsbelang van de curator tegen elkaar af. Wegen jullie mee?

In het voordeel van de jurist:

1. het betreft een laptop in privé-eigendom;
2. de privélaptop bevat ook “privacygevoelige privacybestanden”;
3. de bedrijfsjurist werkte voor zakelijke doeleinden altijd via het zakelijke netwerk, zodat de betreffende gegevens ook via dat netwerk te vinden (zouden moeten) zijn.

In het voordeel van de curator:

1. de curator heeft recht op de aan de failliet toebehorende informatie over haar administratie;
2. de curator heeft belang heeft bij onderzoek daarvan;
3. de bedrijfsjurist werkte dagelijks op deze laptop in het kader van zijn werk;
4. de bedrijfsjurist was lid van het managementteam en dicht bij het bestuur werkzaam;
5. de laptop is zowel zakelijk als privé gebruikt, zodat de bedrijfsjurist daarmee zelf heeft bewerkstelligd dat de gegevens vermengd zijn geraakt;
6. niet is uit te sluiten dat zakelijke bestanden uitsluitend op de harde schijf van de laptop zijn opgeslagen.

De curator had aangeboden dat de jurist er de hele tijd bij mocht blijven, zodat hij kon piepen als er sprake zou zijn van privégegevens. Maar dat vond het Hof niet genoeg. De curator had namelijk te weinig instrumenten om toezicht op IRS te houden, bv. een contract waarin stond hoe IRS met de gegevens om zou gaan.

Collega Wouter Dammers van Solv advocaten maakt me nieuwsgierig met zijn opmerking dat de curator “op andere wijze(n) inzicht kunnen krijgen in de betreffende zakelijke gegevens, zonder een inbreuk te maken op de bescherming van de persoonlijke levenssfeer van de bedrijfsjurist.”

Ik ben heel benieuwd hoe dan. Dit is namelijk écht een lastig probleem. Je ontkomt er niet aan dat je als onderzoeker privégegevens tegenkomt als je gaat zoeken. Afgaan op wat de jurist in dit geval zegt, gaat niet: hij zou natuurlijk te kwader trouw belastende gegevens zogenaamd als privédata kunnen aanmerken zodat je daar niet kijkt.

Oftewel: hoe doorzoek je een privélaptop naar zakelijke gegevens zonder kennis te nemen van privégegevens?

(Ook het doorzoeken van een bedrijfspc mag niet zomaar trouwens.)

Arnoud

De Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en is behoorlijk onduidelijk.

Journalist Brenno “Bigwobber” de Winter kreeg via de Wet Openbaarheid van Bestuur inzage in de werkwijze van de Marechaussee. Succes hadden de onderzoeken niet: geen enkele keer is iemand vervolgd naar aanleiding van zo’n onderzoek, ondanks dat 900 GSM’s, 62 harde schijven en een kleine honderd andere zaken digitaal onderzocht werden.

De aankondiging van vorig jaar zette me een beetje op het verkeerde been: ik dacht eerst dat het over de douane ging, die zeer brede doorzoekingsbevoegdheden heeft, gebaseerd op art. 1:24 Algemene Douanewet. Maar het is de Koninklijke Marechaussee, die (hoewel onderdeel van Defensie), gewoon onder de Politiewet valt en dus net als politieagenten alleen dingen kan doorzoeken op grond van het Wetboek van Strafvordering. En dan moet er toch echt sprake zijn van een verdachte (art. 27 Strafvordering) voordat zaken als inbeslagnemen of doorzoeken van goederen mogelijk worden.

Helemaal opmerkelijk vond ik wat een woordvoerder van de Marechaussee tegen Security.nl meldde:

Als we bij de inbeslaggenomen goederen gegevensdragers aantreffen die beveiligd zijn met codes of wachtwoorden hoeft de verdachte, wat u terecht al vraagt, niet mee te werken door die codes of wachtwoorden te geven”, erkent de woordvoerder van de marechaussee. Of weigeraars langer worden vastgehouden is onduidelijk, het lot van de gegevensdrager lijkt wel bezegeld. “De gegevensdrager kan wel verder worden onderzocht, met of zonder medewerking van de eigenaar/houder.”

Hier spreekt men van ‘verdachte’, wat op zichzelf al opmerkelijk is want de doorzoekingen gebeuren zonder nadere aanleiding. De criteria zijn gebaseerd op de omstandigheden - alleenstaande mannen van middelbare leeftijd die naar Thailand reizen bijvoorbeeld worden sneller geselecteerd dan getrouwde vrouwen van 65.

Maar het lijkt er zelfs op dat men gegevensdragers in beslag neemt als de eigenaar weigert deze te ontsleutelen. Dat gaat m.i. gewoon tegen de wet in: een verdachte mag niet worden gevraagd om gegevens te ontsleutelen. En dan mag er ook geen sanctie worden gekoppeld aan de weigering om die gegevens te ontsleutelen.

Arnoud