Kan ik mijn data van de laptop van mijn opdrachtgever laten wissen?

Een lezer vroeg me:

Ik werk als zzp’er voor een verzekeraar. Tijdens mijn klus (waarbij ik een hoop gegevens moest verzamelen en verwerken) ging mijn laptop stuk, en vanwege de deadline kreeg ik toen een laptop van de opdrachtgever te leen. Daarop mocht ik ook privédata opslaan, dit staat expliciet in de leenovereenkomst. Echter, daarna ontstond ruzie en werd de overeenkomst opgezegd, waarna men van op afstand de laptop vergrendelde!  Nu kan ik niet meer bij de privédata die ik daar mocht opslaan. Bovendien ontdekte ik daarna dat men bepaalde resultaten toch ging gebruiken (ik zie ze terug in publicaties). Mag dat zomaar?
Het is nogal cru, maar ik zou zeggen dat een opdrachtgever inderdaad gerechtigd is de geleende laptop op te eisen als de opdracht ineens eindigt. Dat men deze nu op afstand vergrendelt, is het cyber-equivalent daarvan. Dat je de laptop voor privédoeleinden mocht gebruiken, impliceert voor mij nog niet dat je ook recht had op toegang tot de data na einde opdracht. Zoiets moet expliciet in de overeenkomst opgenomen zijn.

Los daarvan mag de opdrachtgever natuurlijk niet zomaar die data gebruiken, dat mag pas als uit de overeenkomst blijkt dat deze bruikbaar is. Zonder overeenkomst is hij niet bevoegd daarmee te werken. Zeker omdat op die data een databankrecht rust (mag u van me aannemen). Ik zou hem sommeren de data te vernietigen.

Het maakt natuurlijk nogal uit wat de reden is voor de ruzie. Als dat bijvoorbeeld gaat over dat er te veel is gefactureerd, dan zie ik wel hoe de opdrachtgever zou denken dat hij de resultaten mag gebruiken. Maar als de klacht is dat er prutswerk is geleverd, dan is het natuurlijk onzin om vervolgens wél met die data verder te werken.

Arnoud

18 reacties

  1. Zou het eruit schroeven van de harde schijf, deze in een ander systeem formatteren en het vervolgens terugschroeven onredelijk zijn? Ja dit levert voor het bedrijf extra werk op omdat ze opnieuw een OS en andere software moeten installeren, maar ik kan zo even geen andere manier verzinnen om te voorkomen dat de privédata ergens komt waar het niks te zoeken heeft. Het zou wel zo netjes zijn om ze nogmaals te vragen voor normale toegang tot de laptop omdat je anders geforceerd wordt de hele harde schijf te wissen wat ook niet privédata zou verwijderen.

    Indien er nog niet betaald is voor het al geleverde werk en ze gebruiken alsnog de data, is het dan toegestaan om te wachten met het teruggeven van de laptop tot er betaald is? Aan de ene kant zou je zeggen nee want diefstal, maar aan de andere kant is het ook onredelijk als de kleine zzp’er geen stok achter de deur mag hebben als het grote bedrijf denkt dat hij alles mag doen en dat als de zzp’er het er niet mee eens is, hij maar met hun grote legal afdeling moet gaan vechten voor de rechter.

    1. Zou het eruit schroeven van de harde schijf, deze in een ander systeem formatteren en het vervolgens terugschroeven onredelijk zijn? Ja dit levert voor het bedrijf extra werk op omdat ze opnieuw een OS en andere software moeten installeren, maar ik kan zo even geen andere manier verzinnen om te voorkomen dat de privédata ergens komt waar het niks te zoeken heeft.

      Of het juridisch gezien mag of niet, maar ik zou dit waarschijnlijk wél zo doen. Beste kans om je privé-data nog terug te halen én te voorkomen dat deze bij een ander terechtkomt. In mijn ervaring, zeker bij grote bedrijven en verzekeraars, gaat er bij inleveren sowieso een schone image overheen. Dus de facto geen meerwerk.

    2. De situatie die ik in de tweede alinea beschrijf blijkt het retentierecht te zijn. Maar het zou me niks verbazen als veel grote bedrijven in het voorwaarden zetten dat er geen retentierecht tegen hun gebruikt mag worden. Dit zou je ook impliciet kunnen opschrijven, bijvoorbeeld dat er pas betaald wordt nadat alle spullen geretourneerd / geleverd zijn.

      Over retentierecht gesproken, mag je daarvan gebruik maken als de normale regel / wet / voorwaarde een andere volgorde van stappen vraagt? Je hebt bijvoorbeeld ruzie met een webshop over een niet goed werkend product (garantie) wat de webshop niet wil repareren of vervangen. Jij wilt dus de koop ongedaan maken maar je betwijfeld of de webshop je het geld gaat teruggeven. Kan je dan de koop ongedaan maken maar het product houden tot er terugbetaald is onder het retentierecht? Ik snap dat de webshop dan al helemaal niet gaat betalen, maar mogelijk kan je dan wel al formele geld opeis procedures starten.

    3. Kleine opmerking: formatteren verwijdert geen data over het algemeen. Alleen de informatie gedeelte op de schijf wordt als het ware aangepast. Tools zoals Recuva kunnen dan nog vrij makkelijk data alsnog weer terugvinden. Een betere oplossing is om de schijf bijvoorbeeld te wissen met het commando CLEAN ALL in DISKPART. Dit zet alle bits van de schijf naar 0.

      1. Nope: Diskpart clean geeft geen garantie dat data verdwenen is. Kan terug gehaald worden met recovery software. Dat echt verwijderen is een langdurig proces, en vaak word ook gekozen voor fysiek vernietigen, waar de verplichting bestaat dat data echt weg moet zijn. Denk aan banken en overheid. Diks gewoon door de shredder

  2. Los van het feit dat het bijzonder kinderachtig is om als verzekeraar een zzp’er zo dwars te zitten om hem niet de gelegenheid te geven zijn privé data van de laptop te halen, is het ook best wel kinderlijk naïef om je privé data op een laptop van je opdrachtgever te zetten. Je gaat toch zelf een nieuwe laptop nodig hebben, dus wat was er zo ontzettend belangrijk wat op de geleende laptop moest worden geplaatst voordat je binnen een paar dagen je eigen nieuwe laptop in huis kon hebben? In het midden blijft of de zzp’er de privé data echt nodig heeft, of de data dermate gevoelig is dat hij niet wil dat anderen die kunnen inzien.

    Wat losse gedachtenflodders:

    1) De opdrachtgever heeft nu privé data op een laptop onder hun beheer, levert dat mogelijk ergens wrijving met AVG, benodigde verwerkersovereenkomsten, etc? 2) Data is niets en heeft geen waarde lees ik telkens op dit blog. Wat gebeurt er als je de harddisk van de laptop vervangt door een leeg exemplaar? Onderzoeksdata en privé data zijn dan niet meer in te zien door opdrachtgever, maar de laptop doet het niet meer totdat er opnieuw een OS op is gezet. Kan je dan nog steeds zeggen ‘data is niets, dus niet zeuren bij een lege harddisk’? Ik vermoed dat je daar niet mee wegkomt…

    1. Wat gebeurt er als je de harddisk van de laptop vervangt door een leeg exemplaar?
      Is dat niet een vorm van diefstal? Je steelt het ene exemplaar en vervang het door een exemplaar dat voor de eigenaar een lagere waarde vertegenwoordigt.

      Ik zie nog wel de mogelijheid van retentierecht als de situatie daartoe aanleiding geeft, je hebt de laptop nog, maar hebt ook een vordering op de eigenaar waaraan niet is voldaan. Dit retentierecht is doorgaans van toepassing op geldelijke vorderingen dus je zult waarschijnlijk wel moeten aantonen wat de schade is die je zou lijden indien je de data niet zou ontvangen. Mogelijk dat je ook nog een vordering hebt op basis van de (eenzijdig?) opgezegde overeenkomst, zeker als de resultaten voortvloeiend uit het werk wat je onder die overeenkomst al hebt uitgevoerd ook daadwerkelijk worden gebruikt.

  3. Ik zat ook meteen te denken om de harddisk eruit te halen en te kijken wat er nog te lezen en/of definitief te verwijderen is, maar dikke kans dat er in de leenovereenkosmt staat dat je de laptop niet mag openschroeven (of tenminste zal dat er impliciet instaan door middel van termen als ‘normaal gebruik’, ‘zorgdragen’ en zo)

  4. Ik denk dat het een veilige aanname is dat als die opdrachtgever die laptops zo heeft ingericht dat die op afstand te vergrendelen zijn, dat dan ook de harddisk volledig encrypted is. In dat geval zijn methoden als booten vanaf usb of de disk eruit halen vrijwel zinloos. Blijft een aanname uiteraard, maar ik denk niet dat er veel bedrijven zijn die wel het een hebben maar niet ander doen.

    1. In dat geval zou ik je data gewoon als ‘kwijt’ beschouwen (Je hebt toch wel backups hoop ik?), en dan kun je nog altijd de hele disk gewoon wipen, zodat je opdrachtgever er niet met data vandoor gaat die hij niet hoort te hebben.

    2. Ik verwacht ook schijfversleuteling als het mogelijk is om een machine op afstand te vergrendelen; zonder versleuteling is die vergrendeling geen garantie dat de gegevens veilig zijn, vanwege de redenen die jij noemt.

      Er is een maar… de gebruiker van de laptop moet het versleutelingswachtwoord kennen om de machine te laten starten. Dat betekent dat er met opstarten van USB stick met het wachtwoord mogelijk nog toegang tot de gegevens is. Dit werkt niet als het schijfversleutelingswachtwoord door de systeembeheerder bij het vergrendelen gewist is.

  5. Heeft een partij die willens en wetens toestaat dat bepaalde data op een laptop bewaard wordt, ook niet impliciet een plicht om niet met opzet toegang tot die data te voorkomen, gewoon omdat dat betamelijk is in het maatschappelijk verkeer?

    Als je toestaat dat iemand papieren documenten in jouw kast bewaart, dan mag je daarna niet met opzet de kast op slot doen of vernietigen, omdat je immers weet dat die persoon die documenten in die kast bewaart om ze er later weer uit te kunnen halen.

    1. En stel er zouden persoonsgegevens van iemand opstaan die zakelijk zijn verkregen. Zou het hier dan mogelijk ook gaan om een datalek of overtreding van de avg? Hierbij ga ik uit van vernietiging van de data, niet van verspreiding of inzage door derden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.