Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

zoeken-harde-schijf.jpgEen lezer vroeg me:

Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple en Google claimen nu het zelfde omdat de gebruiker de gebruiksvoorwaarden heeft geaccepteerd. Maar mag dit zomaar? Is dit niet in strijd met het briefgeheim?

Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen, maar kunnen datagraaien is voor opsporingsdiensten zo’n zware wens dat het elke keer op stevige bezwaren uit die hoek stuit. Plus, de Grondwet zou moeten worden aangepast en dat is een hele procedure.

Microsoft beroept zich vooral op het feit dat de servers bij haar staan. En als eigenaar van een server mag je nu eenmaal in serieuze gevallen kijken welke data erop staat. Bij wijze van analogie: de verhuurder van een garagebox mag deze ook openmaken als hij een brandlucht ruikt, of klachten krijgt dat er xtc wordt gedeald vanuit die box.

Daarbij komt dat in de voorwaarden van Hotmail staat dat Microsoft in een mailbox mag kijken “[to] protect the rights or property of Microsoft or our customers, including the enforcement of our agreements or policies governing your use of the Service;”. Ik las dat zelf altijd als “als je mailbox overlast veroorzaakt dan mogen we daarin kijken”, bv. bij mailbommen of virussen, maar Microsoft leest het nu als “als onze rechten als bedrijf in gevaar komen dan mogen we kijken”. Er staat immers “including” oftewel “onder meer als”. (De voorwaarden van Apple en Google bevatten vergelijkbare clausules.)

Nu is het natuurlijk makkelijk zulke dingen op te schrijven, maar of het dan meteen rechtsgeldig is, blijft een goede vraag. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en dat betekent onder meer dat er een belangenafweging moet plaatsvinden tussen het belang van de provider om in de mailbox te mogen en het belang van de gebruiker bij zijn digitale privacy. Want hoewel je geen briefgeheim hebt online, heb je wél recht op privacy.

Het belang “uw mailbox is gecorrumpeerd waardoor onze systemen niet meer werken” lijkt me bijvoorbeeld wel goed genoeg om even iemands privacy te mogen schenden en zijn mailbox te repareren. Zeker als de systeembeheerder dan vertrouwelijkheid bewaart over wat hij ziet in die mailbox. Het belang “uw gezicht staat ons niet aan” is bij lange na niet groot genoeg.

Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da’s een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box. En waarom hij wel maar de mailserver-eigenaar niet?

Arnoud

19 reacties

  1. Ok, het lekken van bedrijfsgeheimen is natuurlijk wel een serieus iets. Maar het gaat hier slechts om een vermoeden. Daar speelt voornamelijk de eigenrichting lijkt mij.

    Is de vergelijking met de garageboxhouder dan niet eerder dat jij die box gebruikt om reclamemateriaal te maken voor een concurrent? Als het vermoeden bestaat dat er een wietplantage is, hoort de garageboxhouder dan niet ook gewoon eerst de politie te bellen? Of ben je in de echte wereld altijd verplicht zelf te ‘modereren’? Je kunt die box zelf wel open trekken. Maar straks zit daar iemand met een wapen de boel te bewaken.

  2. Wat Microsoft ook nog aangaf is dat ze niet bij een civiele rechter een zaak tegen zichzelf kunnen beginnen om een bevel te krijgen om de server te bekijken.

    Het alternatief wat Microsoft nu gaat toepassen bij problemen met de gegevens van klanten is altijd de politie inschakelen ook als het gaat om data van derden op hun eigen servers.

    Wat Micrsoft nu wel nog doet is op de gratis OneDrive cloudopslag opgeslagen afbeeldingen van klanten geautomatiseerd scannen met PhotoDNA software (software die ze ook gratis aanbieden aan opsporingsdiensten) om opslag van kinderporno op hun servers tegen te gaan.

  3. Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da’s een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box.

    Dus een garagebox-eigenaar mag andermans auto openbreken als hij het vermoeden heeft dat er iets illegaals in is opgeslagen?

  4. Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen […]

    Op ispam lees ik:

    Het is echter maar de vraag of de conclusie van Engelfriet klopt. In de wet Computercriminaliteit II uit 2006 heeft e-mail namelijk al expliciet dezelfde strafrechtelijke bescherming gekregen als post en telefoongesprekken (in art. 273d Sr). In de memorie van toelichting bij het wetsvoorstel staat:

    Mede gelet op de discussie rond het genoemde voorstel tot wijziging van de Grondwet ben ik van mening dat elektronische post in het strafrecht in dezelfde mate beschermd dient te worden als een brief of een telefoongesprek: Met de hiervoor noodzakelijke wetswijziging wil de regering niet wachten tot een eventueel nieuw voorstel tot wijziging van artikel 13 Grondwet in werking zal zijn getreden, omdat de behoefte aan wettelijke bescherming van e-mail nu al wordt gevoeld. De Vereniging van Nederlandse Internet Providers (NLIP) heeft in haar commentaar opgemerkt van «harte in te stemmen» met wettelijke bescherming van e-mail. De NVvR spreekt van «een logisch gevolg van de toegenomen betekenis van elektronisch gegevensverkeer.»

    Bron: http://www.ispam.nl/archives/38328/hosters-die-snuffelen-in-mailboxen-van-gebruikers-riskeren-gevangenisstraf/

    Hoe interpreteer jij deze toelichting?

    1. Dat een provider de strafwet overtreedt als hij wederrechtelijk mailboxen van klanten leest, is juist. Echter, het venijn zit hem in dat wederrechtelijke: dóet Microsoft dat, door bij gegronde reden die henzelf betreft de mailbox van hun klant te openen?

      En ik vind het echt onjuist om een strafwetsartikel over openen van mail gelijk te stellen aan een Grondwettelijke bescherming van post. Het is juist die grondwet die er een grondrecht van maakt. Te hard rijden is ook strafbaar maar dat heeft niets met grondrechten te maken.

  5. Ik denk dat het wel netjes is te zeggen dat Microsoft haar voorwaarden inmiddels heeft aangepast en in zulke gevallen voortaan naar de politie stapt, in plaats van dat ze zelf gaat zoeken. (Privacy activisten van de ACLU en de EFF hebben in elk geval enthousiast daarop gereageerd.)

    1. Ik vind dat email gewoon onder het briefgeheim zou moeten vallen, met als consequenties dat ook beheerders de inhoud van email niet zouden moeten mogen inzien, maar wel de headers (de ‘envelop’). Dat is volgens mij ook sinds jaar en dag de gangbare beheerdersetiquette. Ik vind dus dat Microsoft met de maatregel om niet meer zelf te gaan zitten neuzen voorbeeldig handelt,maar dat die handelwijze eigenlijk standaard en verplicht zou moeten zijn.

      Er moet wel van afgeweken kunnen worden, maar dan met voorafgaand akkoord van de gebruiker, dus inclusief de eis dat de gebruiker begrijpt waar hij/zij ja op zegt.

  6. Ik was er eigenlijk vanuit gegaan dat je werkgever altijd je mail kan en mag lezen, zolang het om een aan het bedrijf gekoppeld e-mailadres gaat, en geen privéadres. Bij MS is dat natuurlijk lastig, want een privé e-mailadres op hotmail is nog steeds aan het bedrijf gekoppeld omdat MS de mailserver host. Maar serieus, hoe dom ben je als je bedrijfsgeheimen van Microsoft gaat lekken via een hotmail adres. Dan wil je gewoon gepakt worden, toch?

    1. Of het nu wel of niet mag, ik vind dat niet echt netjes. De kans dat er zo nu en dan wat prive’s gemailed wordt is redelijk aanwezig. En het getuigd naar mijn idee nogal van wantrouwen naar je werknemer toe.

    2. Als werkgever mag je in werkmailboxen van je werknemers kijken, mits daar een duidelijke werkreden voor is en je rekening houdt met de privacy an je werknemer. Net zoals je niet zomaar z’n bureau mag doorzoeken of in zijn rugzak mag kijken (hoewel ook daar werkgerelateerde zaken in zitten). Maar als werkgever de privémailbox van een werknemer doorsnuffelen zou ik zéér ernstig vinden.

  7. Hoe zit het eigenlijk op Internationaal niveau? Zijn er landen waar Microsoft hiermee meteen de wet overtreedt? En hoe moet men Microsoft uiteindelijk gaan vervolgen? Civielrechtelijk? In Nederland of in de USA? Bij het Europese hof? Stel dat Microsoft de wet hier had overtreden, wat zou dan het vervolg-scenario kunnen zijn?

  8. Arnoud,

    Je gebruikt het begrip ‘briefgeheim’ nogal breed; zeker wanneer je richting vergelijking met elektronische documenten gaat.

    Briefgeheim is echter alleen van toepassing op documenten tijdens de overdracht van verzender naar geadresseerde.

    De opslag door verzender voor versturen, of de opslag na ontvangen door de gewenste ontvanger, valt niet onder het briefgeheim.

    Dit betekent dat de meeste elektronische documenten niet onder een electronisch briefgeheimequivalent vallen.

    1. Maar is je pop3-box bij je provider niet vergelijkbaar met de postbus op het postkantoor of je brievenbus bij je huis? Je hebt het dan, m.i., nog niet ontvangen.

      Betekent dit dan dat een nog gesloten enveloppe op mijn bureau, niet beschermd is door het briefgeheim?

  9. Ik zou zeggen, maar weet het niet zeker, dat als je hem ontvangen hebt en op je bureau heb gelegd, anderen er niet mogen inkijken op grond van de bescherming van de privacy, maar niet op grond van bescherming van het briefgeheim.

    Als de brief onderweg is, heb je zelf geen controle over wat ermee gebeurt, vandaar de extra bescherming. Als je hem eenmaal gekregen hebt, valt die bescherming weg, dan had je zelf maar beter voor je spullen moeten zorgen.

    En wat betreft die pop3 server…. als je de brief al naar je outlook hebt gehaald, is die kopie op de pop3 gewoon een kopie, en dus niet beschermd door het briefgeheim. Dat wil echter aan de andere kant zeker niet zeggen dat een ander er mag inkijken!!

    Het ging me er gewoon om dat Arnoud de term briefgeheim, volgens mij, verkeerd, dat is te breed, gebruikt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.