Mag een serveradmin alle berichten van klanten lezen?

| AE 2303 | Privacy, Security | 7 reacties

Een lezer vroeg me:

Mag een server-admin/eigenaar de mail van klanten op zijn server lezen? Aan de ene kant lijkt het logisch van wel: het is zijn apparatuur dus hij bepaalt wat er mag en wat er gebeurt. Aan de andere kant hebben de klanten toch recht op privacy, dus zomaar meelezen met chats of mails lijkt me dan niet de bedoeling.

Inderdaad, het is zijn apparatuur, maar dat wil nog niet zeggen dat hij dan maar alles mag met wat klanten opslaan op of verzenden met die apparatuur. Zodra je anderen toelaat op je systemen, heb je ook rekening te houden met hun belangen. Je mag niet zomaar mensen eraf gooien of zomaar meelezen met privécommunicatie.

Medewerkers van bedrijven die een telecommunicatiedienst (”dienst die geheel of gedeeltelijk bestaat in het overbrengen van signalen via een elektronisch communicatienetwerk”) aanbieden, zijn strafbaar als ze kennisnemen van de inhoud van die overgebrachte communicatie. artikel 273d Wetboek van Strafrecht. Afhankelijk van hoe je de definities leest is het verdedigbaar dat de beheerder van een forum daar ook onder valt. Het CBP vond dat in ieder geval begin vorig jaar.

Maar ook als die strafwet niet geldt, heb je als gebruiker van een systeem nog steeds enige aanspraak op privacy. Als het beheer je een faciliteit biedt die “privéberichten” heet, of e-mail waarvan iedereen die min of meer privé beschouwt, dan hoort daar de gerechtvaardigde verwachting bij dat het beheer die niet zomaar gaat lezen.

Natuurlijk kunnen er redenen zijn (spam, virussen, klachten) waarom het beheer dat wel gaat doen. Maar ze moeten er wel terughoudend mee zijn – en geheim houden wat ze lezen als ze vanwege zo’n reden gaan spitten in privéberichten.

Arnoud

Deel dit artikel

  1. Ik denk niet dat het een probleem is als de eigenaar dergelijke berichten leest. Ik denk dat het een probleem is als de eigenaar zaken uit die berichten gaat delen met anderen. Je kunt namelijk niet voorkomen dat de eigenaar of beheerder gaat zitten lezen in die berichten. Het is zijn systeem en hij zal er ook regelmatig gaan rondbladeren om te zien of alles in orde is. Een beetje als een huisarts die even je intieme lichaamsdelen aan het controleren is. Je hebt het liever niet, maar soms hoort het bij hun taak. (En bij forums gaat het er bijvoorbeeld om om te controleren of klachten over een bepaald lid wel of niet terecht zijn.) Maar net zoals je niet wilt dat je huisarts vervolgens tegen je buurvrouw gaat vertellen over die enorme steenpuist op je achterwerk, zo wil je ook niet dat een beheerder gaat doorvertellen dat je liefdesbriefjes verstuurt naar een ander (getrouwd) lid.

  2. Hoe zit het als de beheerder(s) met grote koeienletters op de website zet dat al het verkeer van en naar de website op elk moment door de beheerder(s) gelezen kan worden (of op een andere manier goed duidelijk maakt dat je geen privacy verwachting moet hebben)?

  3. Er moet wel verschil worden gemaakt tussen verschillende situaties (met goede vermelding), want…

    1. Bij het oprichten van de server is de ‘privacyschending’ duidelijk vermeldt, dat niemand er om heen kan. Flash-teksten, audiotapes, alle talen, etc. Dan krijg je simpele marktwerking. Mensen accepteren het of gaan naar de concurrent.

    2. De server bestaat al geruime tijd en dan wordt de ‘privacyschending’ ingevoerd. Nog steeds duidelijk vermeldt, ‘i agree’-etcetc. Dan sta je opeens voor de keuze om alles achter te laten of ten koste van privacy te behouden. (i.e. google besluit al je emails te gaan lezen, blizzard besluit je echte naam op forums weer te geven, etc)

    Eerst mensen afhankelijk maken om ze vervolgens te ‘dwingen’ de privacy op te geven. En dan vind ik jouw analogie niet opgaan, Arnoud. Want daarbij heeft de werkgever een soort van monopolie op de toiletten. Als hij twee soorten zou hebben die beide arbo-technisch (kwaliteit, afstand, hoeveelheid) heeft, dan lijkt me die analogie op gaan.

  4. Beste Arnoud

    Een insight-view in het BE recht in deze materie. Daar zou je NL-rechtelijke visie niet opgaan. In het BE-recht kennen we ook de term ‘elektronische communicatiedienst’ (Wet betreffende de elektronische communicatie van 13/06/2005). Alleen regelt deze wet in Belgi? “actieve of passieve transmissiesystemen en, in voorkomend geval, de schakel- of routeringsapparatuur en andere middelen die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen, voorzover zij worden gebruikt voor de transmissie van andere signalen dan radio-omroep- en televisiesignalen”.

    Dus echt regelgeving omtrent de telecommunicatie zelf, niet de applicaties of inhoud.

    Recent nog las ik rechtspraak van een hoger Belgisch rechtscollege – Hof van Beroep te Gent – die het volgende oordeelde inzake de correctionele beschuldigingen op grond van deze wet aan het adres van een uitbater van een webmailsysteem

    “Het verschaffen van webmail via een portaalsite wordt niet beschouwd als een elektronische communicatiedienst in de zin van artikel 46bis Wetboek Strafvordering. Het webmailsysteem van beklaagde betreft enkel een toepassing (applicatie), die wordt uitgevoerd over een bestaand netwerk en met tussenkomst van de verstrekker van een elektronische communicatiedienst (die alhier instaat voor de levering van toegang tot het internet aan de Belgische ingezetenen). Zonder dat dit alles op afdoende wijze werd weerlegd door het openbaar ministerie is het in zulke omstandigheden ook geloofwaardig gebleven dat het de leverancier van internettoegang is die integraal instaat voor het effectieve transport of de effectieve overbrenging van signalen over het internet. De leverancier van internettoegang is de leverancier van een elektronische communicatiedienst. Diegene wiens netwerk wordt gebruikt, is de leverancier van het elektronische communicatienetwerk.

    Nergens kwam vast te staan dat de beklaagde, als loutere aanbieder van webmail, controle zou gehad hebben over de geboden elektronische communicatiedienst of over het elektronische communicatienetwerk. Er zijn al evenmin aanwijzingen dat beklaagde in deze zaak diegene is die verantwoordelijk is voor het uitbaten van het netwerk of de infrastructuur en hierover controle zou hebben.

    Gelet op dit alles is in deze zaak onvoldoende komen vast te staan dat de materi?le toepassingsvoorwaarden van artikel 46bis van het wetboek van strafvordering vervuld zouden zijn. Het is niet bewezen dat de voorwaarden tot vaststelling van de schuld en de strafbaarheid van de beklaagde vervuld zijn.”

    Wel zou onder BE-recht het onrechtmatig lezen en kennis nemen van e-mails door een admin kunnen beschouwd worden als de strafrechtelijke inbreuk hacking. Want door de inbox van derden te raadplegen eigent de admin zich eigelijk toegang tot gegevens waar hij misschien wel technisch toegang toe geeft, maar juridisch hiertoe geen toestemming heeft. Onder BE-recht is dit eveneens hacking:

    “Art. 550bis

    ? 1 Hij die, terwijl hij weet dat hij daar toe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot een jaar en met geldboete van zesentwintig euro vijfentwintig duizend euro of met een van die straffen alleen. Wanneer het misdrijf, bedoeld in het eerste lid, gepleegd wordt met bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar.

    ? 2 Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt, wordt gestraft met gevangenisstraf van zes maanden tot twee jaar en met geldboete van zesentwintig euro tot vijfentwintigduizend euro of met een van die straffen alleen.”

    Tot blogs,

    Tom

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS