Telegram-oprichter Pavel Durov opgepakt op luchthaven in Parijs

Photo by ev on Unsplash

Oprichter en directeur Pavel Durov van berichtendienst Telegram is zaterdagavond opgepakt op de Franse luchthaven Le Bourget. Dat las ik bij Nu.nl. Het sluit toevalligerwijs mooi aan bij mijn bericht van vorige week over het verzoek tot handhaving op het platform. Toch roept dit weer nieuwe vragen op.

Nu.nl legt uit wat de aanleiding was:

Volgens persbureau Reuters wordt Durov er door de Franse autoriteiten van beschuldigd te weinig te doen aan criminele activiteiten op Telegram. Door niet te modereren en geen of nauwelijks informatie te delen over gebruikers, zou de dienst vrij spel bieden aan drugshandelaren en kindermisbruikers.
Terzijde: Telegram is géén messenger-app zoals WhatsApp, maar eerder een chatgebaseerd sociaal netwerk georganiseerd rond groepen, die via trefwoorden te vinden zijn. Er is ook de mogelijkheid voor privécommunicatie, maar dat is eerder vergelijkbaar met een Instagram-privébericht; iets dat óók kan. En oh ja, de encryptie is centraal en zeker niet e2ee.

De situatie is opmerkelijk omdat Durov vrijwillig naar Frankrijk vloog, kennelijk in de wetenschap dat hij daar gearresteerd kon worden. (Hij heeft een Frans paspoort.) Hij vertrok uit Azerbeidzjan, waar hij tegelijkertijd met president Putin aanwezig was. Op de vlucht na een onwelgevallig gesprek over encryptie in Rusland?

In verband met vorige week roept het vooral de vraag op: wat is hier precies voor crimineels aan de hand? Het niet-naleven van de Digital Services Act (de oproep van vorige week) is immers een bestuursrechtelijke of civielrechtelijke kwestie, die wet kent geen bepalingen van strafrecht.

Frankrijk kent echter een met de DSA vergelijkbare wet die wél strafrechtelijk gehandhaafd wordt, Wet 2024-449 van 21 mei 2024 gericht op het beveiligen en reguleren van de digitale ruimte. Deze stelt bijvoorbeeld een jaar cel op het niet adequaat modereren tegen kindermisbruikbeeldmateriaal (art. 6-2-1).

Een andere mogelijkheid is dat men de kennis en activiteiten van Durov (of Telegram als bedrijf) ziet als zó ver gaand dat sprake kan zijn van medeplichtigheid. In Nederland is daarvoor vereist dat je actief hulp geeft, of inlichtingen of middelen verschaft (art. 48 Sr). Een platform bieden waar dit toevallig gebeurt is natuurlijk geen medeplichtigheid, maar zodra er iets blijkt van aanmoedigen, moderatie tegenhouden of onder tafel geld accepteren zodat men het kan blijven doen, dan kom je daar wel.

Arnoud

 

Stichting wil dat toezichthouders Telegram dwingen content offline te halen

Photo by Pixabay on Pexels

Stichting Offlimits, Expertisecentrum Online Misbruik, heeft bij verschillende toezichthouders een klacht ingediend om Telegram te dwingen strafbare content offline te halen. Dat meldde Security.nl maandag. Het gaat om zaken als aanbod van wapens, drugs, beeldmateriaal van seksueel kindermisbruik en  bangalijsten. Diverse lezers vroegen me: hoezo kan een stichting eisen dat dit offline gehaald wordt?

De constructie die Offlimits (gelieerd aan deze zaak uit 2023) gebruikt, is een heel legitime. Het wemelt in Nederland van de toezichthouders, zoals de Autoriteit Persoonsgegevens en de Autoriteit Consument en Markt. Die kun je vragen om de regels te handhaven, en zo’n verzoek moeten ze serieus in behandeling nemen. Het is dus niet zo dat Offlimits zelf bedenkt wat strafbaar is of dat ze de regie over wil nemen.

Het handhavingsverzoek staat online. Men opent met de constatering dat het Openbaar Ministerie niet strafrechtelijk wil optreden tegen Telegram, hoewel daar juridisch best ruimte voor is. De reden “omdat Telegram, aldus het OM, ‘toch geen gehoor geeft aan zo’n bevel’.” Het bedrijf zit immers niet in de EU, maar dit voelt wel érg makkelijk.

De overtredingen van de DSA en AVG zijn vrij evident, en het verzoek licht dat grondig toe. AVG technisch is de kern dat er zonder toezicht of controle bijzondere persoonsgegevens (zoals op de bangalijsten of kindermisbruikafbeeldingen) worden verwerkt. De DSA eist een effectief notice-and-action protocol, en dat heeft Telegram niet.

Alleen, wat kunnen de toezichthouders hier anders doen dan wat het OM ook al constateerde? Ja, boetes opleggen die in de vele miljoenen kunnen lopen. Een bevel met dwangsom geven dat aanpassingen zoals een filter eist. De betreffende content te wissen. Enzovoorts. Maar dan steekt Telegram vanuit Rusland een ??????? ????? op, en dan?

De échte volgende stap zou zijn naar een afsluiting van de dienst te gaan, als blijkt dat die zich in het geheel niet wenst te conformeren aan de Europese regels. Daar is ruimte voor, toezichthouders (en zeker de Europese Commissie, als Telegram als VLOP aangemerkt gaat worden) kunnen vérgaande bevelen geven, zolang die maar proportioneel en passend zijn gezien de overtreding.

Het zou een primeur zijn als Europa zo ver zou gaan, want het zo laten zien dat we écht bereid zijn onze regels te handhaven.

Arnoud

Mogen wij ongevraagd onze klantomgevingen backuppen (en dat tegen een schappelijk tarief restoren)?

Photo by tookapic on Pixabay

Een lezer vroeg me:

Met enige regelmaat ontdekken wij dat niet alle klanten behoefte hebben aan backups van hun Office 365-omgevingen. Meestal gaat het dan om budgetkwesties, maar toch maken we ons zorgen gezien de impact die een verloren omgeving zónder backup kan geven. Nu hadden wij bedacht om voor al onze klanten een backupoplossing uit te rollen, waarbij we pas geld vragen als de klant deze nodig heeft. Op dat moment begrijpen ze de waarde van een backup zeker wel. Is dit toegestaan?
Het verzorgen van goede backups van data (of dienstverlening) van een klant is eigenlijk altijd een goed idee. Ik durf anno 2024 wel zo ver te gaan door te zeggen dat dit gewoon deel is van je zorgplicht. Een klant verwacht van jou dat er backups zijn. Dit is zó gebruikelijk en de impact van geen backups is zó enorm, dat je er nauwelijks onderuit kunt.

Natuurlijk, het is mogelijk om af te zien van backups. Maar dat moet dan wel heel expliciet gebeuren. Dus doorvragen en expliciet op papier zetten. Het liefst inclusief waarom: de klant heeft al een eigen backup oplossing, deze dienst is niet bedrijfskritisch, als de data verloren gaat is er geen man overboord. Let op: dit is dus niet hetzelfde als “we hebben in artikel 17.3 Algemene Voorwaarden bepaald dat we geen backups maken”.

Hier wil de leverancier het omgekeerde doen: juist wél backups maken, ook als de klant dat eigenlijk niet wil. Of nou ja, zonder na te gaan of de klant het wil. Ik zie daar in principe geen probleem mee, juist vanwege het enorme voordeel dat het de klant oplevert als de backup toch noodzakelijk blijkt. Natuurlijk zit je met zaken als vertrouwelijkheid en AVG, maar een goede informatiebeveiliging rondom die backups moet dat kunnen oplossen.

Het grootste probleem lijkt me het tarief op het moment dat de data weg blijkt. Dat zal al heel snel overkomen als er een slaatje uit willen slaan. De klant zit in nood, er is een backup, dat kostte nooit wat en nú wil je X duizend euro voor het terugzetten? Als deze zaak net voor de lunch bij de rechter komt, dan sta je niet heel sterk als dienstverlener.

Ik val dan weer terug op de zorgplicht. Daar hoort ook bij dat je de klant voorlicht en duidelijk maakt wat er nodig is. Backups moeten dus onderdeel zijn van dat gesprek. Je kunt daarin prima een backup meenemen als de defaultoptie: we doen dit gratis voor het geval dat, de restorekosten zijn X. Wil de klant dat niet, dan haal je het eruit mét een motivatie waarom de klant het niet wil. Zegt de klant niets, dan blijft het staan. Maar dan is het besproken, en dán wordt het een stuk redelijker allemaal.

Arnoud

 

Kan mijn bank me verplichten om hun app te gebruiken in plaats van de edentifier?

(bron: Wikipedia)

Een lezer vroeg me:

Mijn bank heeft aangegeven dat ze in de toekomst gaan stoppen met hun identifier voor het inloggen. Ze willen dat ik overstap op hun app. Nu heb ik daar twee problemen mee: Het verplicht me om een account bij Apple of Google aan te maken en het verplicht me om hun software op mijn apparatuur te installeren. Kan dat zomaar?
Een bank heeft vanwege haar bijzondere positie in de maatschappij een aantal zogeheten zorgplichten. Een bank moet onderzoeken, adviseren, informatie geven en waarschuwen als de klant bepaalde dingen wil.

Afgeleid hiervan is een beveiligingsplicht: de bank moet toegang en autorisatie van transacties goed beveiligen. De wet geeft ze daar ook een stevige prikkel voor: alleen wanneer de klant “frauduleus heeft gehandeld” of “opzettelijk of met grove nalatigheid” omging met beveiligingsmiddelen, is de klant aansprakelijk (art. 7:529 BW). De bank kan dus maar beter de boel goed inrichten.

Tegelijk ligt daarmee de keuze voor wélke middelen het beste zijn, ook duidelijk bij de bank. Als deze tot de conclusie komt dat een e.dentifier, random reader of dergelijk kastje niet meer verstandig is, dan mag men deze uitfaseren en een nieuw middel introduceren.

Hier zijn eigenlijk geen wettelijke kaders voor, anders dan de redelijkheid en billijkheid (art. 6:248 BW): als het écht onaanvaardbaar is om de klant van middel A naar middel B te dwingen, dan zou de rechter kunnen ingrijpen. Maar dat is een hele hoge lat, waar je zelden aan zult komen. Er is nu eenmaal vrij veel argumentatieruimte op dit gebied, en dan zal de bank al snel het pleidooi winnen.

Natuurlijk is het hinderlijk dat je een account moet nemen om de nieuwe app te kunnen installeren, en dat je van een webinterface over moet stappen naar een stuk software. Alleen, zo abstract gesteld levert dat geen onaanvaardbare overlast op voor de gebruiker. Het begint al met dat je sterk in de minderheid bent: een bank moet begrijpelijkerwijs één oplossing hebben die ze bij iedereen uit kan rollen.

Daar komt dan bij dat de risico’s van een Apple- of Google-account weinig concreet te maken zijn, behalve datalekken en daarvan zal iedere jurist zeggen dat er keurige maatregelen op papier zijn gesteld én er toezicht van de AP is. In de datatengels van Amerikaanse Big Tech zitten en mogelijk besnuffeld worden door de geheime diensten via een geheim FISA-bevel is te mager als tegenargument.

Elders las ik het argument dat apps minder toegankelijk zijn dan webapplicaties. Mensen met een visuele of andere beperking worden dus benadeeld als ze naar een app moeten. Dat is een juridisch relevant argument, want onder de Accessibility Act moeten vrijwel alle elektronische/online diensten een hoge mate van toegankelijkheid realiseren. Bankdiensten worden daarbij zelfs apart genoemd.

Banken besteden hier ook aandacht aan, zoals uit bijvoorbeeld dit interview blijkt. Met functies als grotere lettertypes of contrast, voorleesopties en braille-ondersteuning bedien je ook beperkten adequaat. Dus ook vanuit dat perspectief blijft er weinig over.

Arnoud

Bitcoins witwassen is inderdaad een strafbaar feit

Photo by David McBee on Pexels

De Hoge Raad voegde weer een uitspraak toe aan de discussie over wat bitcoins (en cryptovaluta algemeen) eigenlijk zijn in het recht. Ditmaal of ze een ‘voorwerp’ zijn dat je kunt witwassen als het uit enig misdrijf afkomstig is.

De verdachte handelde in bitcoins, en zette deze om in contant geld. Dat bleek om forse bedragen te gaan – ik zie 464.028,06 euro opduiken als dagwaarde bij de arrestatie. Dat kan dus best gaan om crimineel geld dat wit gemaakt moet worden.

Probleem: het wetsartikel over witwassen voorziet alleen in ‘voorwerpen’ die je aldus kunt behandelen. Contant geld is een voorwerp, dus daar is het geen probleem. Maar een Instagram-account (om een dwarsstraat te noemen) is géén voorwerp en daar kan dat dus niet mee.

De Hoge Raad vindt het geen probleem om bitcoins als voorwerpen aan te merken, maar is vrij kort in de motivatie. De AG concludeerde eerder dat dit keurig in de bestaande lijn past:

Uit rechtspraak van de Hoge Raad leid ik echter af dat bepaalde entiteiten die mogelijk óók de kenmerken van computergegevens dragen niettemin als een ‘goed’ – en dus ook als een ‘voorwerp’ – kunnen worden aangemerkt wanneer (i) de onderwerpelijke entiteit uniek en individualiseerbaar is en in het economische verkeer een reële waarde vertegenwoordigt, (ii) die entiteit voor menselijke beheersing vatbaar is en de eigenaar ervan daarover de feitelijke en exclusieve heerschappij toekomt, en (iii) die entiteit overdraagbaar is, (dus) van eigenaar kan wisselen en van de eigenaar kan worden afgenomen, als gevolg waarvan de (oorspronkelijke) eigenaar de beschikkingsmacht erover verliest.
Al deze eigenschappen zijn aanwezig bij cryptomunten. Wie deze dus omwisselt terwijl zhij heet dat ze uit misdrijf afkomstig is, is bezig met witwassen.

Arnoud

Wie bewijst er dat authenticatiemiddelen zijn misbruikt?

Photo by Signature Pro on Unsplash

Moet jij bewijzen dat je handtekening is vervalst, of de wederpartij het omgekeerde? Die vraag kwam recent zijdelings langs bij het Hof Amsterdam in een zaak over een borgtochtovereenkomst.

De gedaagde partij zou volgens een borgtochtovereenkomst op moeten draaien voor een lening van € 18.630 aan een (ondertussen failliet) bedrijf waar hij directeur en enig aandeelhouder van was. In art. 7:859 BW staat dat een borgovereenkomst alleen kan worden bewezen met een door de borgsteller ondertekend geschrift. Betwisten van de handtekening kan dus een effectief middel zijn om zo’n borg van tafel te krijgen.

Het Hof vindt de stelling dat deze persoon niets te maken had met de lening of borg moeilijk te geloven – hij was immers de enige directeur van het bedrijf. Die skepsis zien we terug in de beoordeling van de argumenten over identiteitsmisbruik:

In dat verband ligt het op zijn weg toe te lichten hoe het mogelijk is dat derden in het bezit zijn gekomen van gegevens met betrekking tot Zesto Groep zoals inloggegevens behorend bij de mailaccount en de bankrekening van Zesto Groep en wat de achtergrond en redenen ervan zijn dat diverse geldbedragen van de bankrekening van Zesto Groep zijn overgeboekt naar zijn eigen privérekening.
De achterliggende technologie is IDIN. Hierbij identificeer je jezelf via je bank, wat algemeen als veilig wordt gezien omdat toegang tot bankrekeningen al aan strenge authenticatie- en veiligheidsvoorschriften gebonden is. Daarnaast wordt gesproken over een mailaccount, dat is het info@ adres dus ik kan me nog nét voorstellen dat een ander dan de directeur in die mailbox kan.

Bij het banksysteem is dat wat meer twijfelachtig, gezien het algemeen bekende feit dat daar tweefactorauthenticatie en andere controles en toezicht zijn. Terecht zegt het Hof dan ook:

Onder deze omstandigheden lag het op de weg van [appellant] toe te lichten hoe het mogelijk is dat derden aan zijn persoonlijke inloggegevens zijn gekomen als het werkelijk zo is dat een en ander buiten hem om is gegaan. [appellant] heeft die toelichting evenwel niet gegeven. De stelling van [appellant] dat de stem in de geluidsfragmenten van de telefoongesprekken niet van hem is, maar van [naam 3] en dat daaruit zou moeten blijken dat niet [appellant] maar [naam 3] betrokken is geweest bij de totstandkoming van de overeenkomsten, is door [appellant] – tegenover de betwisting van [geïntimeerde] – op geen enkele wijze onderbouwd.
Dit wringt in zoverre dat normaliter de wederpartij bij een “stellige ontkenning” moet bewijzen dat de handtekening wél door die persoon is gezet (art. 159 lid 2 Rv). En daar komt bij dat de borg door deze meneer is aangegaan vanuit zakelijke motieven – zijn eigen bedrijf, immers – en dat de strenge handtekeningeis daarmee van tafel is.

De man krijgt de borgverplichting dus gewoon opgelegd. Had hij enige argumenten ingebracht waarom zijn account gehackt was of internetbankieren overgenomen, dan was dat wellicht anders komen te liggen.

Arnoud

Mag een school de VPN app van mijn dochter automatisch wissen?

Photo by Arthur Lambillotte on Unsplash

Een lezer vroeg me:

De middelbare school waar mijn dochter op zit verbiedt een VPN programma te hebben op haar iPad. Via het beheersysteem van school wordt deze app verwijderd. Thuis is het niet toegestaan wegens werkomstandigheden van mij een iPad te gebruiken zonder VPN. Hoe kan ik dit het beste oplossen met de school?
Dit wist ik ook niet, maar er zijn vele scholen die in hun reglement bij het beschikbaar stellen van een iPad de eis stellen dat er geen VPN app op wordt gebruikt.
Voorbeeldje van een school in Heerenveen: Installatie van illegaal verkregen software, het zogenaamde “jailbreaken” en het gebruik van VPN apps is nadrukkelijk verboden. … Installatie van en het gebruik van VPN applicaties of VPN Apps is nadrukkelijk verboden;
Hier lijkt het verbod gerelateerd aan illegale zaken, via een VPN kun je anoniem internet op en dat zal wel voor rare dingen gebeuren.

Een andere school, uit Wijk bij Duurstede, geeft een andere reden:

Het is niet toegestaan om een VPN-verbinding te gebruiken op het schoolnetwerk, omdat hiermee de werking van Apple Klaslokaal wordt beïnvloed. VPN-apps worden daarom actief geblokkeerd op het netwerk en leerlingen zullen worden aangesproken op het gebruik van een dergelijke app, mocht deze (nog) niet geblokkeerd zijn.
Dat “beïnvloeden van de werking” blijkt te gaan om de monitoringfunctie: de tool van Apple kan dan niet meer aan de docent laten zien wat je aan het doen bent. Ook kun je dan geblackliste websites bezoeken en ga zo maar door.

Deze redenen lijken me zeer legitiem om te handhaven tijdens de les – want dat is met het smartphoneverbod eigenlijk het enige moment dat je nog een tablet bedient op school. Ik snap dat de school daar dan proactief in wil zijn en dergelijke apps dus wist als ze toch worden geïnstalleerd.

Dit blijkt echter thuisgebruik van die tablet te hinderen, want kennelijk is het in die situatie nodig dat de scholier een VPN app gebruikt om internet op te kunnen. Wat moet er dan winnen, de wens van de school om de hierboven beschreven issues te regelen of de thuissituatie?

De wet biedt hier geen expliciete regels over. Het komt neer op een afweging van belangen, en dat vereist in discussie gaan met elkaar. Het zou bij een school vast mogelijk moeten zijn een uitzondering wegens persoonlijke omstandigheden te maken (whitelist één specifieke vpn app op deze iPad). Misschien is er ook iets in het thuisnetwerk aan te passen, bijvoorbeeld een apart subnet voor de kinderen zodat ze geen last hebben van de streng beveiligde baan van hun ouder(s).

Als dit bij de rechter zou komen (wat je écht zou willen vermijden) dan denk ik dat die de school gelijk geeft. Die heeft een toezichtplicht op gebruik van ict-middelen op school, en de school kan vast onderbouwen dat leraren niet handmatig kunnen scannen op VPN apps op de tablets die men op school gebruikt. Dan is ze automatisch wissen een logische stap. De ouders hebben een ongebruikelijke netwerksetup, en dat zal in zo’n geval voor hun rekening moeten komen.

Arnoud

Ik heb de DPIA gemist waaruit bleek dat Microsoft Recall een goed idee was?

Photo by Peggy_Marco on Pixabay

Recall, kent u die al? Microsoft “omschrijft deze functie als een doorzoekbaar fotografisch geheugen voor Windows”, aldus Tweakers. Het is een systeemproces dat elke paar seconden een screenshot neemt (ja, die van de PrtSc knop)en opslaat in een onbeveiligde map waar een AI proces dan tekstanalyse op gaat doen. Of iets dergelijks. De Britse AVG-toezichthouder kijkt hier al naar, maar waarom dat zo lang moet duren?

Microsoft noemt het “snapshots”, cynische ikke denkt dan dat dat is omdat iedereen weet wat “screenshots” zijn en snapshot gezellig & ietwat technisch klinkt. En hoewel Microsoft beweert dat de informatie goed beveiligd is, blijkt er toch het nodige vrij triviaal toegankelijk.

Mijn grootste verbazing is dat men dit ook in de EU gaat uitrollen, terwijl het zo triviaal niet beveiligd opslaan van persoonsgegevens daar waar een crimineel zo gaat zoeken toch niet echt voor de hand ligt. Ik zal wel een DPIA gemist hebben.

Arnoud

CoD-cheatmaker moet 14,4 miljoen dollar betalen aan Activision na rechtszaak

Activision heeft zijn rechtszaak tegen Duitse cheatmaker EngineOwning gewonnen. Dat meldde Tweakers onlangs. De speluitgever die onder meer het populaire Call of Duty-spel op de markt brengt (zie screenshot met aimbot), treedt al lang hard op tegen valsspelers. Het vonnis kan een forse winst zijn voor het bedrijf.

De dienst van EngineOwning is een van de grootste op de markt als het gaat om valsspeelsoftware. Dat is bij een groot, betaald online spel natuurlijk zeer ongewenst voor mensen die eerlijk willen spelen, vandaar dat Activision ze al langer achter de broek zit.

Het probleem is altijd: op welke rechtsgrond kun je verbieden dat iemand cheatsoftware verkoopt? De speler zal vast ergens voorwaarden overtreden, maar EngineOwning speelt niet zelf en pleegt dus geen contractbreuk. Strafbaar is het ook niet om zulke software te maken.

Activision had haar pijlen gericht op de DMCA, de Amerikaanse auteurswet die bepalingen bevat over het omzeilen van kopieerbeveiligingen. Die term mag je namelijk breder lezen dan enkel het maken van integrale kopieën van een spel:  “circumventing a technological measure that effectively controls access to a work”. Anticheatsoftware is een toegangscontrole (namelijk tegen cheatgebruikers) en cheatsoftware omzeilt die controle. Je mag zulke software dus niet op de markt brengen.

Ook had Activision ingebracht dat de software bestemd is voor computervredebreuk, iets preciezer computerfraude: toegang tot een beveiligd computersysteem verkrijgen of autorisatie overschrijden zonder toestemming.

Of al die argumenten hier opgaan valt juridisch te betwisten. Is cheatsoftware wel software die toegang tot het spel omzeilt, of alleen de anticheatsoftware? Kun je met de cheatsoftware wel bij data of plekken waar je niet mocht zijn, het juridische criterium voor computerfraude. Daar hoefde de rechter echter niet op in te gaan, omdat EngineOwning geen juridisch verweer had gevoerd.

Ergens slim, want hoewel EO nu haar domeinnaam moet afstaan, heeft ze geen geld of bezittingen in de VS waardoor ze nu verder geen concrete schade heeft. Met een andere domeinnaam kan ze dus weer verder.

De hamvraag is dan ook: gaat Activision met dit vonnis naar de Duitse rechter (het land waar EO gevestigd is) om daar om tenuitvoerlegging te vragen? Er is geen expliciet verdrag tussen Duitsland en de VS dat dit regelt. Maar ook zonder zo’n verdrag is dit mogelijk (net als bij ons, trouwens) al is de procedure wat ingewikkeld.

In de kern komt het erop neer dat het Amerikaanse vonnis door een Duitse rechter wordt bekeken op basisaspecten (zoals of er nog beroep mogelijk is in de VS) en vergeleken met eventuele Duitse vonnissen over hetzelfde. Ook wordt getoetst aan wat wij de openbare orde en goede zeden noemen, wat onder meer met de beruchte punitive damages een beperking kan opleveren.

Vooralsnog is dat wat vroeg: EngineOwning kan het vonnis nog aanvechten.

Arnoud

Wanneer mag ik nu wel mails inzien van mijn (ex) werknemers?

Photo by Paula Hayes on Unsplash

Een lezer vroeg me:

Ik blijf worstelen met het onderwerp “Emails inzien van (ex) werknemers”. Hoewel er veel is gepubliceerd, zijn er nog vragen genoeg. Is er bijvoorbeeld nu wel of niet toestemming nodig, geldt dat voor e-mail én agenda en wat verandert er als de werknemer overlijdt?
Laten we met die toestemming beginnen. Nee, die is niet nodig – ik herhaal: niet nodig – als je mailboxen van werknemers in wilt zien. Toegang neem je (a) omdat het onvermijdelijk is om het werk voort te zetten of (b) omdat jouw belang bij toegang zwaarder weegt dan de privacy van de werknemer. Andere motivaties bestaan niet.

Criterium a gaat over situaties van ziekte en uitval, waarbij het werk verder moet. Dan mag een collega nieuwe mails overnemen of gericht zoeken naar oude berichten waar men wat mee moet (een klagende klant, een te lang openstaande factuur). Criterium b betreft situaties zoals klachten over de werknemer, waarbij de mailbox bewijs zou moeten bevatten.

In beide gevallen geldt: houd rekening met de privacy van de werknemer, want óók bij het werk geldt die en ook na uitdiensttreding. Je mag dus niet botweg alle mails doorzetten naar een collega (als dat al verstandig zou zijn), want er kunnen privéberichten tussen zitten.

Voor beide gevallen is tevens een reglement noodzakelijk. Hierin werkt het bedrijf de twee criteria uit tot procedures voor toegang, zoals vierogenprincipe of overleg met OR. Dat reglement moet apart goedgekeurd worden door de OR (en voor de duidelijkheid, de OR hóeft geen inspraak in individuele gevallen, maar het kan wel).

We hebben het in deze context vaak over toegang tot e-mail, omdat dat in de praktijk het meest prangende probleem is. Maar juridisch gezien gaat dit over toegang tot data. Dus naast mail ook de agenda, de bestanden op de computer van de werknemer en de inhoud van de bij hem behorende online mappen.

Wat betreft de overleden werknemer, zie mijn Juridische Vraag van januari. Nee, de AVG geldt niet bij overledenen. Maar privacy en persoonlijke levenssfeer is meer dan de AVG. En goed werkgeverschap is een aparte norm los van die twee: je moet eerlijk, netjes en redelijk handelen in alles dat je doet als werkgever. Mensen verwachten dat je zorgvuldig omgaat met zo’n mailbox of agenda, dus dat moet je dan doen.

Arnoud