Hacken van mailboxen tijdens een arbeidsconflict

Het zijn geen zinnen die je als werknemer over jezelf wil lezen: “Hierbij even een paar ideeën over een mogelijke ontslag procedure/tactiek.”, “Ik denk wel dat het verstandig is … of wij dit goed kunnen uitmelken ….”, :”nuclere optie. De bonnen waar contant geld is verdwenen uitspitten en tegen haar gebruiken.”, “haar houding met de verhuizing uitbuiten om haar demotivatie aan te tonen.”, “Wij moeten een pestcampagne opzetten als zij weer komt werken.”, “nieuwe werkuren, … Hierdoor komt ze flink in de file te staan, als ze pas om vijf uur gaat.”. Ja, gezellige boel bij inkoopcentrum Artel. Maar hoe kwam deze werkneemster dit te weten? Eh, door het privémailaccount van de directeur te hacken. Nee, dat is óók niet erg gezellig. Dus, eh, oef, ga er maar aanstaan als kantonrechter.

Uit het vonnis blijkt dat er nogal wat mis was in de arbeidsverhouding, ahem. De directe aanleiding voor het ontslag op staande voet was een accountantsrapport waaruit bleek dat er 10 contante betalingen voor totaal zo’n 2800 euro niet goed geadministreerd waren. De ondertoon daarbij was dat het geld in eigen zak gestoken zou zijn, maar de formele grond was een rommelige administratie en dát is toch echt niet genoeg voor een staandevoetje.

De tweede reden was het hacken van zowel de privé als zakelijke mailbox van de directeur. De werkneemster had namelijk enkele mailcorresponenties van die directeur over haarzelf als bewijs bij de dagvaarding gevoegd, en gaf desgevraagd ook toe dat ze die via hacken te pakken had gekregen. Maar zij vond dat dat mocht, omdat de inhoud relevant was voor de rechtszaak. De inhoud was immers niet echt fris, zie de citaten uit de eerste alinea. En als je weet dat je directie dát over je zegt, dan moet je dat toch als bewijs kunnen inbrengen dat je ontslag onterecht is.

De rechter wil echter de privémails niet meenemen, omdat die privé zijn. Tot de zakelijke mails had de werkneemster op zich toegang vanuit haar functie, dus dat hij die dan inbrengt in een rechtszaak is nog wel te rechtvaardigen. Maar bij een privémailbox, ook die van de directeur, gaat dat niet op:

Het handelen van [verweerster] in deze kan worden bestempeld als een inbreuk op de privacy van de heren [X en Y], danwel een schending van het briefgeheim en wordt niet alleen in strijd geacht met hetgeen van een goed werknemer mag worden verwacht, maar ook met de algemeen gangbare fatsoensnormen.

(Nee, er zit geen briefgeheim op e-mail. Laten we maar doen of de rechter bedoelde op de equivalente fatsoensnorm die geldt voor e-mail.)

Als derde waren er nog wat bestellingen gedaan door de werknemer die dubieus overkomen: een computer die zo te zien op de zaak was besteld en toen privé doorgekocht, en een televisie/internet/telefonie-abonnement waarvan de werkneemster stelde dat dit nodig was om thuis te kunnen werken. Omdat dat enige tijd geleden was gebeurtgebeurd, ziet de rechter niet echt meer mogelijkheden om nu snel uit te zoeken hoe dat zit. En bij een kort geding blijven zulke zaken dan buiten beschouwing.

Alles bij elkaar was het gedrag van de werkneemster “ernstig verwijtbaar” maar “anderzijds heeft Artel zich als werkgever ook niet onbetuigd gelaten in deze kwestie.” En dat mag best meewegen, óók als dat bewijs alleen volgt uit gestolen e-mails. Want bij een rechtszaak zoals deze is álles bruikbaar als bewijs, ook door diefstal of inbraak verkregen dingen. Een eventuele aangifte en strafvervolging wegens computervredebreuk kan natuurlijk nog volgen maar staat los van de bruikbaarheid van het bewijs. Het is hier geen Amerikaanse rechtbankserie.

Desgevraagd gaf de directeur aan een en ander te betreuren, hij had het anders moeten formuleren allemaal. Waarop de rechter droogjes opmerkt:

Niet duidelijk is geworden of [Y] de inhoud van de e-mailberichten betreurt, of de commotie die naar aanleiding van die e-mailberichten is ontstaan.

Omdat ook de werkgever het nodige te verwijten is, en de werkgever bovendien bij het disfunctioneren geen verbetertraject is opgestart, krijgt de werkneemster uiteindelijk € 10.000 mee als ontslagvergoeding. Maar het bedrijf mag er ook voor kiezen haar aan te houden. Nee, dat zal de boel er niet gezelliger op maken.

Arnoud

21 reacties

  1. Het lijkt mij wel dat de medewerkster strafrechtelijk vervolgd kan worden indien haar werkgever aangifte doet. Maar het onderzoek dat dan wordt uitgevoerd zal voor de werkgever mogelijk andere, onfrisse praktijken naar voren brengen die men liever stil houdt. De tactiek die men bespreekt om een medewerker te kunnen ontslaan zijn tekenen van een vorm van fraude, volgens mij. En de politie krijgt door een aangifte ook meteen de kans om het gevonden bewijs ook in een strafzaak tegen de werkgever te gebruiken omdat men dan het bewijs wettig verkrijgt.

    Ofwel, het is een patstelling tussen werkgever en werkneemster.

    Maar wat mij opvalt is hoe eenvoudig de werkneemster toegang wist te verkrijgen tot deze email account. Kennelijk is werkneemster geen al te grote n00b als het gaat om beveiliging. Of misschien wist ze gewoon het wachtwoord van haar werkgever. En dan vooral de toegang tot de prive-accounts van de heren [X en Y]. Op dit momenten ben ik dan altijd ook nieuwsgierig wat zij heeft gedaan om toegang te verkrijgen tot die accounts. Want uiteindelijk zal dat ook bepalen hoe fout ze bezig is geweest om die informatie te verzamelen. Kan het zijn dat haar werkgever hetzelfde wachtwoord voor zowel zijn prive- als zakelijke account gebruikte zodat werkneemster zo in 1 poging binnenkwam? Of heeft hij haar ooit zijn wachtwoord verteld of op een Post-It briefje op zijn monitor geplakt? Of heeft werkneemster een keylogger en diverse Trojan Horses ingezet om de systemen van haar werknemer te infecteren om “Mission Impossible” style de systemen van haar werkgever te infiltreren? Kortom, hoe goed was de beveiliging? Strafrechtelijk maakt dit sowieso weinig verschil maar ik vind het knap dat iemand wiens computer-kennis vergelijkbaar zou zijn met die van Henk Krol of Bram Moscowitz zo een computer weet te “hacken”. Vanuit een beveiligings-oogpunt is er dan een duidelijke zwakke schakel en ik verwacht dat dit de menselijke schakel is.

    1. Het vonnis maakt niet duidelijk hoe de werkneemster die toegang heeft verkregen. Een zwak wachtwoord is een optie. En vergeet niet dat de werkneemster vanuit haar werk bij de zakelijke mailbox van de werkgever mocht. Wellicht had de werkgever op zijn zakelijke en privé mailboxen dezelfde wachtwoorden? Of het account voor “wachtwoord vergeten” was het zakelijk account. Of hij was nog ingelogd op dat privéaccount vanaf zijn zakelijke computer.

      1. Een zwak wachtwoord is een optie. En vergeet niet dat de werkneemster vanuit haar werk bij de zakelijke mailbox van de werkgever mocht.
        Wat betekent dat ze de zakelijke account niet heeft gehackt. De vraag is dan vooral hoe ze toegang tot de prive-account heeft verkregen.
        Of het account voor “wachtwoord vergeten” was het zakelijk account.
        Dat is een optie, maar vaak wordt dan het wachtwoord niet toegestuurd maar moet je een nieuw wachtwoord invoeren. De werkgever zou het zeker gemerkt hebben indien zijn prive-account opeens een ander wachtwoord heeft.
        Een zwak wachtwoord is een optie.
        Tja, even ‘123456’ als wachtwoord proberen en dan binnenkomen… Ik zie dat eigenlijk niet echt als hacken maar zie het meer als een zakkenroller in lijn 14 even vragen of hij je portemonnee wil vasthouden. Of als je gaat internet-bankieren nadat je net 20 verschillende attachment hebt geopend in je spamfolder terwijl je virusscanner uit staat en je met een “Microsoft” medewerker aan het chatten bent die voor 120 Euro even je computer gaat schoonmaken van alle virussen erop. Maar goed, dom gedrag van de werkgever is nog geen excuus voor een werknemer om de wet te breken.
        Wellicht had de werkgever op zijn zakelijke en privé mailboxen dezelfde wachtwoorden?
        Dit vind ik eigenlijk de meest logische verklaring want veel mensen hergebruiken een enkel wachtwoord voor de 200+ accounts die ze overal hebben. Maar dan vind ik het belangrijk om te weten in welke woorden de werkgever aan de werkneemster zijn accountgegevens heeft doorverteld. Iets als “Hier is mijn wachtwoord voor mijn email account” zou tevens opgevat kunnen worden als zijnde toegang tot zowel de zakelijke als de prive-account. Ik vraag mij zelfs af of de werkgever aan de werkneemster ook min of meer toegang heeft verleend om ook de prive-mails een beetje te beheren, voor het geval klanten naar de prive-mail gingen mailen. Ofwel, hoe prive was deze prive-account?
        Het vonnis maakt niet duidelijk hoe de werkneemster die toegang heeft verkregen.
        Ik zie zelfs nog een andere optie, die je bijvoorbeeld bij enkele webmail-toepassingen tegenkomt: de webbrowser heeft het wachtwoord onthouden en logt de gebruiker automatisch in. Dat heb ik thuis met Google Chrome en mijn GMail account ook. Chrome synchroniseert mijn web browser namelijk met mijn Google account en onthoudt daarom ook mijn wachtwoord. Als ik op mijn PC inlog hoef ik dan ook meestal niet mijn wachtwoord in te voeren om bij mijn post te komen. Iets wat ik sowieso erg wenselijk vind omdat ik mijn Google account best veel gebruik en dus niet continu mijn wachtwoord van 15+ tekens wil invoeren. Wie dus toegang weet te verkrijgen tot mijn computer kan daardoor ook toegang krijgen tot mijn email account. En ja, dat is misschien niet helemaal veilig maar wel een bewuste keuze. Ik heb sowieso naast mijn reguliere GMail account nog een tweede account die ik wel een stuk beter bescherm. Maar die is dan ook meer zakelijk bedoeld. Hoe dan ook, het zou best kunnen dat de werkgever gewoon zijn eigen beveiliging heeft verminderd door b.v. de webbrowser zijn wachtwoord te laten bewaren of door een wachtwoord voor meerdere accounts te gebruiken. Dan stel je een potentiele crimineel ook in de gelegenheid om met de “buit” er van door te gaan…

        1. Ik wil hier niet speculeren over hoe de werkneemster bij de privé-emails kon komen… Als er een strafrechtelijk onderzoek gaande is, is het in haar belang om er niet te veel over te zeggen. Als ze in de ontslagzaak had gezegd “Ik wil niet zeggen hoe ik aan de emails gekomen ben”, had dat een verwijt minder van de rechter (en mogelijk hogere ontslagvergoeding) opgeleverd.

          1. Tja, het speculeren over hoe zij toegang verkreeg vind ik interessant vanuit het beveiligings-oogpunt. Hoe kan het dat zij kennelijk vrij eenvoudig bij een prive-account van haar werkgever kon komen? Civielrechtelijk zou meegewogen kunnen worden wat zij heeft gedaan om toegang te verkrijgen tot die prive-gegevens. Als b.v. haar werkgever gewoon zijn PC aan had staan en daarbij was ingelogd in zijn prive-account, en zij moest even iets achter zijn computer uitvoeren, dan kan ik mij voorstellen dat ze maar heel weinig moeite heeft hoeven te doen om deze account te hacken en de betreffende emailtjes door te sturen naar een eigen account, op te slaan op een USB stck of gewoon op de printer afdrukken. Crimineel doordat ze plotseling de gelegenheid hiertoe had, dus. Geen voorbedachte rade.

            Heeft ze daarentegen een keylogger aangesloten op zijn toetsenbord en andere truken uitgehaald om die systemen binnen te komen dan heeft zij dus vanaf het begin een criminele intentie gehad. Wel voorbedachte rade.

            Maar denk jij dat het tot een strafzaak zal komen? Want als dat zo is, dan worden al die emailtjes van de werkgever dus strafrechtelijk bewijs en kunnen ze tevens tegen de werkgever worden gebruikt. De opmerkingen in die emailtjes kunnen opgevat worden als een vorm van fraude, wat de werkgever zeer zwaar aangerekend kan worden. En dat terwijl de werkneemster mogelijk met een lichte straf er van af zou kunnen komen, mits de rechter van mening is dat ze daadwerkelijk te ver is gegaan. Wat was het ook al weer waar Henk Krol voor veroordeeld werd, toen hij “stiekem” patientgegevens in zat te kijken? Oh, ja… Zo’n 750 Euro. Maar werkgever begaat mogelijk een economisch delict door op valselijke wijze een werknemer te dwingen om ontslag te nemen. De civiele rechter noemt het ernstig verwijtbaar, maar dat wordt weer gecompenseerd doordat werkneemster zelf ook ernstig verwijtbaar heeft gehandeld. Maar ik denk dat Artel er weinig belang bij heeft dat er ook een strafrechtelijk onderzoek komt. Het zou mij niet verbazen indien ze de aangifte wegens “hacken” weer proberen in te trekken om extra onsmakelijke details verborgen te kunnen houden…

            1. Noem me cynisch, maar ik verwacht niet dat er een strafrechtelijk onderzoek naar de werkgever die een werknemer wil lozen zal komen. Wat dat betreft worden bazen in Nederland beter beschermd dan hun werknemers, het kan aan het budget voor de advocaat liggen. (Over deze zaak, het is geen fraude om de medewerkster slordigheid aan te rekenen.) Voor de werkneemster hier zie ik een risico van vervolging wegens “computervredebreuk”, maar de vraag is of justitie voldoende boven tafel kan krijgen met betrekking tot waar, wanneer en hoe om de basis voor een rechtszaak te leggen.

              1. Tja, of het tot een strafrechtelijke zaak tegen de werkgever zal komen is wel twijfelachtig maar bij het onderzoek naar hoe de werkgever is gehackt verwacht ik wel dat er onderzocht gaat worden wat er precies is gehackt. Daarbij zal de politie dus op wettelijke wijze de inhoud van deze emails kunnen bestuderen en mogelijk dat hier meer in staat dan een aantal opmerkingen over de werkneemster. Sowieso het feit dat de werkgever kennelijk een pestcampagne tegen haar wil starten om haar zo te dwingen om ontslag te nemen valt onder de “economische delicten” waar forse geldboetes op kunnen staan. Of misschien gewoon de Arbeidsomstandighedenwet. De straf die de werkneemster daarentegen kan krijgen is mogelijk enorm laag, mede omdat ze een bepaalde noodzaak had om tot haar daad te komen, namelijk het aantonen van misstanden bij haar werkgever. (Een werkgever die haar eruit probeert te pesten.) Mogelijk dat justitie het wel interessant vindt om deze zaak voort te zetten, maar Artel zal het helemaal niet prettig vinden dat de politie in hun (gestolen) emails gaat wroeten en dat er in de media straks nog extra aandacht aan deze zaak gegeven zal worden. Dit doet hun reputatie immers weinig goed omdat veel mensen zullen sympathiseren met werkneemster wegens het wangedrag dat de werkgever in deze emails toont.

      2. Ging het bij hacken niet juist om de intentie? Dat als ik een geopende deur inga terwijl ik had moeten weten dat dat niet mocht, dat dat dan toch hacken is? Dus als zij op de PC de privémail van haar baas inkeek, had ze moeten weten dat dat niet mocht, ergo: hacken.

        (Het aanpassen van een URL is veel gebruikelijker dan het lezen van de e-mail van je baas.)

        1. Intentie? Jazeker. Maar er zit verschil tussen “Mijn baas praat over mij achter mijn rug dus laat ik even zijn email hacken om te zien wat hij over mij zegt.” en “Het, mijn baas heeft Outlook nog open staan en wat lees ik daar over mij?” Ofwel, is er sprake van voorbedachte rade? Heeft ze intenties gehad om te hacken of heeft ze toevallig een kans aangegrepen?

          1. De OP heeft het over meerdere berichten. Een kun je nog wel toevallig zien als de directeur Outlook met een preview gebruikt, maar meerdere berichten in het voorbijgaan zien zonder ze eerst open te maken?

            En nogmaals, zoals ik uit het hele URL-traversal verhaal van Arnoud opmaak, maakt het niet uit of je daadwerkelijk ergens inbreekt. Bij geautomatiseerde systemen is het blijkbaar voldoende dat deze binnendringt (wat jij “toevallig een kans aangrijpen” noemt) om tot computervredebreuk te leiden.

        2. Het gaat inderdaad niet om inbreken maar om binnendringen, dat is lichter. Als ik jouw sleutel van onder de mat pak dan ‘breek’ ik niets maar ik dring wel binnen.

          Ik twijfel of enkel kijken op iemands scherm al telt als binnendringen. Doorklikken naar specifieke folders als je een open tab met Gmail ziet, lijkt me wel een soort binnendringen.

  2. Tamelijk frappante zaak dit, ik zou niet graag voor zo’n baas werken. Ik moest wel smakelijk lachen om de opmerking van de rechter of de directeur de inhoud, danwel de commotie die ontstaan is naar aanleiding van het uitlekken van deze e-mails betreurt.

    Off topic: In de 7e alinea moet het volgens mij “was gebeurd” zijn in plaats van “was gebeurt”.

    1. , ik zou niet graag voor zo’n baas werken.

      Ik denk dat de meeste bedrijven ook niet zitten te wachten op werknemers die een laptop van het bedrijf doorverkopen en die 2800 euro verduisteren.

      Het heeft vermoedelijk ook meer zin om aangifte te doen van die zaken dan van de gehackte emails.

      1. Ik denk dat de meeste bedrijven ook niet zitten te wachten op werknemers die een laptop van het bedrijf doorverkopen en die 2800 euro verduisteren.
        Mee eens, maar strafrechtelijk ligt de bewijslast een stuk hoger. Het vonnis zegt: “De grondslag voor de dringende reden is echter niet gelegen in verduistering van gelden maar op het op ondeugdelijke wijze uitvoeren van de debiteurenadministratie.” Ofwel, ze heeft haar werk niet goed gedaan waardoor geld is “verdwenen”. En wie dat geld in eigen zak heeft gestopt is onduidelijk. Maar dat ze haar werk niet goed doet is een risico dat de werkgever draagt en waar ze dus voor ontslagen wordt omdat ze haar plichten niet goed heeft gedaan. Sterker nog, de werkneemster beweert dat de werkgever niet met de juiste administratie aan komt zetten om aan te tonen dat ze onbekwaam is. En omdat de werkgever in de emails al aantoonde dat ze ‘een stok zochten om haar mee te slaan’, is de werkgever niet al te betrouwbaar als getuige. Sterker nog, werkneemster kan zelfs onschuldig zijn omdat een der managers in het bedrijf de administratie heeft aangepast en vervalst om het geld in eigen zak te steken. De emailtjes die werkneemster in handen heeft weten te krijgen toont aan dat haar werkgever niet vies is van enkele onfrisse praktijken, wat in een strafrechtelijke zaak zeker in haar voordeel zal werken en de werkgever in het verdachtenbankje zal drukken. Ik denk dan ook dat de werkgever liever geen strafrechtelijk onderzoek tegemoet ziet, mede ook omdat op dit moment deze emails niet als belastend bewijs tegen hen gebruikt kunnen worden.

    1. Lijkt mij niet, want civielrechtelijk komt het neer op compensatie van de schade terwijl strafrechtelijk er boetes en straffen worden uitgedeeld. Maar het gedrag van werkneemster en werkgever tijdens de civielrechtelijke behandeling kan wel invloed zijn op de uitspraak van de strafrechter. Immers, heeft werkneemster berouw getoond? En is de werkgever niet zelf deels schuldig aan de ontstane situatie?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.