Tag: Afluisteren

About Afluisteren

Subscribe Feeds

Rechter veroordeelt bedrijf dat zonder toestemming gesprek werknemer opnam

Geplaatst op in Ondernemingsvrijheid, 3 reacties

Een autobedrijf uit Moordrecht dat zonder toestemming een telefoongesprek van een werknemer opnam heeft hiermee de AVG overtreden en de privacy van de medewerker geschonden, zo las ik bij Security.nl. Eind september werd de werknemer op staande voet ontslagen omdat hij zijn eigen auto buiten het autobedrijf om vanuit zijn eigen handel zou hebben aangeboden aan een klant van het autobedrijf, wat was gebleken uit een opgenomen telefoongesprek. Dat ging dus niet geheel AVG compliant.

Uit het vonnis blijkt dat de man er sinds 2019 werkte, en dat er in 2021 iets privé gebeurde waardoor de werkrelatie “bekoeld” was. Dat leidde tot twee officiële waarschuwingen, en op 24 september 2021 tot ontslag op staande voet wegens het verkopen van eigen auto’s aan klanten van de werkgever. De arbeidsovereenkomst tussen partijen bevatte geen non-concurrentiebeding, noch een verbod op het verrichten van nevenwerkzaamheden, maar echt handig is zoiets natuurlijk niet. Maar zomaar gesprekken opnemen is óók niet handig.

Het opnemen van telefoongesprekken van werknemers (maakt niet uit of het privé of zakelijke gesprekken zijn) valt gewoon onder de AVG. Een gespreksopname is immers een persoonsgegeven, daar is geen discussie over. Kort gezegd is dan de vraag of de werkgever voor het opnemen (en daarna gebruiken) een gerechtvaardigd belang heeft, dat niet op een minder ingrijpende wijze kan worden gewaarborgd. Dat komt dus neer op “wat ga je doen met de opnames”.

Meestal hoor je dan iets van “trainings– en kwaliteitsdoeleinden”, maar mij is nooit duidelijk geworden wat dat dan precies inhoudt. Dat werd hier ook aangevoerd, maar kwam niet uit de verf. Je moet namelijk wel echt de kwaliteit periodiek aanpakken met die opnames, en dat gebeurde niet. Plus, het aanpakken van werknemers is géén kwaliteitsdoeleinde, dus dat kun je nooit met dat doel aanpakken.

Hier ging men nog een stap verder: gericht terugluisteren om de werknemer te betrappen op wanprestatie en vervolgens te ontslaan. En daarbij was dus niet gezegd dat dit zou gebeuren, sterker nog het opnemen was volledig heimelijk gebeurd. En dát is juridisch echt wel een ding, dat is alleen toegestaan indien sprake is van uitzonderlijke situaties (zoals de verdenking van de werknemer van strafbare feiten of misstanden binnen de onderneming).

Volgens het autobedrijf was dat hier het geval. Nadat de werknemer had gezegd te overwegen elders te beginnen, zagen ze hem met enige regelmaat buiten bellen, wat de verdenking gaf dat hij al bezig was met een eigen bedrijf. Dus tijd om alle gesprekken op te gaan nemen. Eh, nee. Dat is echt te mager om heimelijk opnemen te rechtvaardigen, aldus de rechtbank.

Normaal is het dan nog niet klaar. Onrechtmatig verkregen bewijs mag immers in ontslagzaken (en andere civiele zaken) worden gebruikt, het kan hooguit leiden tot een extra vergoeding voor de werknemer. Zie deze zaak waarin de werkgever de privémailbox hackte van de werknemer. Maar hier veegt de rechter de opname geheel van tafel, mede omdat er na de initiële vermoedens niet eens gepraat is met de werknemer en er geen snipper bewijs was dat hij stiekem al een bedrijf aan het opzetten was.

En oh ja, dat opgenomen gesprek, hoe ernstig was dat? Oordeel zelf:

[klant] zei: Ik had bijna zo’n RS6 van iemand overgenomen. Maar die was grijs. Daar twijfelde ik toch over. Ik wil alleen maar zwarte auto’s, waarop [verzoeker tevens verweerder] heeft terug gezegd: Ik heb een uhm. Ik heb een uhm. Dat mag jij wel weten. Want dat kan ik tegen jou wel vertellen. Op de achtergrond ben ik bezig om dit voor mezelf te gaan doen met een investeerder. Ik heb zelf, die heb ik zelf gekocht, een zwarte, maar dat is een zeventiener. En ik weet niet, dat is een wat ouder model. Maar dat is zo’n performance, een zwarte met zwart-bruin interieur. Ik weet niet of je dat wat vind. Is dat wat voor jou?
Arnoud

 

 

 

Opnameapparatuur gevonden bij studentenkamers in hotel Enschede

Geplaatst op in Privacy, 5 reacties

In het ITC Hotel in Enschede, waar zo’n 300 internationale studenten van de Universiteit Twente verblijven, is geluidsopnameapparatuur gevonden onder de deur bij studentenkamers. Dat meldde de NOS onlangs. Een beveiliger zou door een student zijn betrapt toen hij de apparatuur aan het plaatsen was en sindsdien is apparatuur bij meer kamers aangetroffen. Volgens de eigenaar zou men hiermee mogelijke schendingen van de huisregels in de gaten gaan houden. En wat ik dan grappig vind (en waarmee het ICT-recht wordt): als ze een verplichte app hadden gepusht die hetzelfde deed, dan hadden we gezegd dat veiligheid boven privacy moet gaan. Of zoiets.

Het ITC-hotel in Enschede is de plek waar veel buitenlandse studenten aan de Universiteit Twente verblijven. Voor de veiligheid is door het hotel een beveiligingsbedrijf ingeschakeld, waarbij op zeker moment een beveiliger het nodig vond om apparatuur bij de kamers te bevestigen waarmee geluid opgenomen kon worden.

Het afluisteren van gesprekken in privéruimtes (waar hotelkamers onder vallen) is strafbaar, art. 139a Wetboek van Strafrecht. Behalve als je deelnemer bent aan het gesprek, dan mag het wel (je hoeft het dan niet eens te melden, overigens). Apart strafbaar is al het plaatsen van die apparatuur (art. 139d Sr) zelfs als er nog niets opgenomen wordt. De enige eis dat het oogmerk van de dader is dat er illegaal gesprekken mee afgeluisterd gaan worden. Je telefoon in opnamestand in iemands kamer vergeten is dus niet strafbaar, maar ‘vergeten’ is dat wel.

Wat de zaak merkwaardig maakt, is dat het beveiligingsbedrijf zou hebben aangegeven dat het gaat om het handhaven van de huisregels. Ik kan die huisregels online niet vinden, maar wellicht gaat het om regels zoals geluidsoverlast of lastigvallen van andere bewoners. Ik kan me voorstellen dat je als bewaker niet overal tegelijk kunt zijn en dat je dus hulp van apparatuur wil om vast te stellen waar je heen moet gaan. Maar stiekem iets ophangen (met klittenband, leuk detail) ín mensen in kamer, hoe kom je erbij?

Misschien dacht het bedrijf, er mag zo veel met apps kennelijk en dan verstop je dat in de huisregels of je zegt “voor de veiligheid”. Doet iedereen, dus dan doen wij dat ook met een dedicated apparaat. Ik weet het niet. Maar raar is het wel.

Arnoud

Windows 10 Enterprise en Office zijn risico voor privacy ambtenaren

Geplaatst op in Ondernemingsvrijheid, Privacy, 29 reacties

Via Windows 10 Enterprise en Microsoft Office verzamelt Microsoft gebruikersgegevens die het bedrijf in de VS opslaat. Dat meldde Tweakers op basis van onderzoek bij het ministerie. Deze opslag geeft een inbreuk op de privacy van de ambtenaren, plus een ieder wiens gegevens door die ambtenaren worden verwerkt. Het onderzoek werd uitgevoerd als een DPIA onder de AVG, waarbij werd gekeken naar de zogeheten telemetriedata die Windows- en Office-installaties verzamlen bij de gebruiker en doorsturen naar Microsoft in de USA. Bij Office gaat het mis: deze verzamelt een enorme hoeveelheid data, en dat is niet uit te schakelen.

Het is natuurlijk leuk en aardig dat Microsoft “telemetrie” oftewel statistieken verzamelt, maar dat is in de EU best problematisch omdat dat al héél snel onder de noemer van persoonsgegevens valt. Informatie over wat gebruiker thx1138 doet met zijn Office is een persoonsgegeven, ook al heb je niet de naam van die gebruiker of enig contactgegeven. Zelfs wanneer je aan die meetgegevens een eigen willekeurig toegekende ID hangt, val je nog onder de AVG. Dat voelt als nogal een ontwerpfout.

Met name dat “het kan niet uit” verbaast me hogelijk. Je zou zeggen dat je als bedrijf weet dat het verzamelen van gegevens over wat je gebruikers doen gevoelig kan liggen, zeker in enterprise-omgevingen (en daar hebben we het hier over). Dat is niet iets dat je met een vinkje in de EULA oplost, de belangen zijn daarvoor te groot. Dit mag gewoon niet.

Natuurlijk zal Microsoft vast ergens in de licentievoorwaarden hebben gezegd dat toestemming wordt verleend. Maar dat werkt niet op dit niveau. Software wordt ingekocht onder een groot contract, en deze afspraak moet dáár dan worden gemaakt.

Bovendien: een bedrijf of instelling mag die afspraak alleen maken als ze dat vervolgens aan haar personeel (en/of klanten) kan rechtvaardigen, en dat zie ik hier niet opgaan. Welke noodzaak binnen de arbeidsovereenkomst (aanstelling, het is ambtenarenrecht) is er om deze telemetrie aan Microsoft te verstrekken die het voor eigen doeleinden gaat gebruiken? Welk belang van Microsoft is zo dringend dat de privacy van het personeel mag worden gepasseerd? En heeft de OR wel ingestemd met die telemetrieverstrekking, dat is immers een apart recht onder de Wet OR?

Beloofd wordt om een en ander aan te passen om binnen de Europese regels te blijven, maar dat zal tot ergens in 2019 gaan duren. Dat is nogal lang, dus ik hoop dat er in de tussentijd een firewall of iets tussengezet kan worden zodat de privacy van de ambtenaren gewaarborgd blijft.

Arnoud

Mag je de telefoon van je partner van spyware voorzien?

Geplaatst op in Regulering, 15 reacties

Een dikke 18 procent van de Britten en Amerikanen denkt dat het legaal is om de telefoon van je partner van spyware te voorzien, las ik bij Boing Boing. Bij kinderen was dat zelfs meer dan 50%, waarbij wel vrijwel iedereen van de ja-zeggers vond dat er wel een reden tot zorg moest zijn. Dat was ook bij volwassenen vaak een reden, maar de angst dat de partner vreemdging woog ook zwaar mee. En tsja, als er dan gewoon appjes zijn waarmee je dat kunt nagaan, waarom niet?

Het is in principe verboden om spyware op iemands telefoon te installeren. Er zijn wetten genoeg: de cookiewet verbiedt het installeren van software zonder duidelijke toestemming van de eigenaar, en de strafwet (art. 139c Sr) verbiedt het afluisteren van privételecommunicatie.

Voor strafbaarheid is wel vereist dat het afluisteren wederrechtelijk is, en dat wordt ingewikkeld als je in een relatie zit. Zeker als je getrouwd bent (oké, in gemeenschap van goederen) kom je al snel tot de conclusie dat er weinig strafbaars is: het is dan immers ook jouw telefoon, en je eigen spullen mag je voorzien van spyware als je wilt.

De cookiewet zou iets meer mogelijkheden moeten bieden, omdat toestemming daar nadrukkelijk door de betrokkene zelf moet worden gegeven. Maar ook dan kun je zeggen dat je als partner gemachtigd bent om namens elkaar privacytoestemming te geven. Dat kan dus ook behoorlijk ingewikkeld worden. Maar uiteindelijk kom je dan bij het algemene punt dat de strafwet (of de cookiewet) niet echt bedoeld is voor binnen relaties. Privacy en snuffelen moet je samen oplossen.

Bij kinderen geldt eigenlijk hetzelfde verhaal. Ook kinderen hebben privacy, maar daar staat de ouderlijke zorgplicht tegenover. Kort gezegd moet je als ouder een duidelijke reden hebben, een aanleiding die maakt dat je niet anders kúnt dan die spyware inzetten. En ik denk ook dat je het achteraf moet vertellen en bespreken, maar dat is niet helemaal een juridisch argument.

Zou je dit bij een losse scharrel doen of die leuke persoon m/v op het werk of in het café, dan wordt het natuurlijk anders. Dat is vrij evident strafbaar. Alleen is het dan weer lastiger om erachter te komen dat dat gebeurt.

Wie heeft er tips om zulke spyware te detecteren? Of beter, hoe voorkom je dat je partner/scharrel/ex/buurman zoiets op je telefoon zet, in een situatie waarin ahem niet te voorkomen is dat je op enig moment het fysiek beheer over je telefoon even kwijt bent.

Arnoud

Mag een gemeente me verbieden gesprekken op te nemen?

Geplaatst op in Privacy, 22 reacties

microfoon-afluisteren-interviewEen lezer vroeg me:

Bij de uitkeringsinstantie in mijn gemeente hangen huisregels aan de deur waar onder meer in staat dat je gesprekken niet mag opnemen. Doe je dat toch, dan kun je sancties opgelegd krijgen. Hoe verhoudt zich dat tot jouw bericht dat je je eigen gesprekken mag opnemen?

In dat bericht refereer ik aan de algemene regels uit het Wetboek van Strafrecht. Die zeggen dat het strafbaar is om gesprekken op te nemen waar je geen deelnemer aan bent (of in opdracht van een deelnemer handelt).

Omgekeerd, als je wél deelnemer bent of in opdracht handelt, dan mag je dus opnemen. Ook zonder het te hoeven zeggen aan de wederpartij. Publicatie van de opname kan een probleem zijn, maar het opnemen sec is gewoon legaal.

Een deelnemer aan een gesprek kan daar bezwaar tegen hebben, en om die reden dan willen afspreken dat er geen opnames worden gemaakt. Dat mag in principe, je bent vrij om afspraken te maken (of niet). Ook als de wederpartij een overheidsinstantie is.

Lastig is alleen dat dit niet echt een vrije onderhandeling is maar een door de instantie opgelegde verplichting. En dan voelt het een stuk oneerlijker. Niet voor niets adviseerde de Ombudsman alweer een dik jaar geleden dat de overheid moet toestaan dat burgers gesprekken met ambtenaren opnemen. Maar de praktijk is hardnekkig.

Ik heb er moeite mee dat een overheid zo’n regel opstelt. Je bent als burger erg afhankelijk van de overheid, en een gespreksopname is vaak de enige manier om te bewijzen wat er écht is gezegd. Als ik dan heel formeel word, dan zeg ik dat hier censuur wordt gepleegd: een voorafgaand verbod op het vergaren van informatie (art. 10 EVRM).

De rechtvaardiging is meestal dat er misbruik gemaakt kan worden van de opname. Mensen gaan knippen in de opname en zetten dat op internet, of gebruiken de opname om de ambtenaar persoonlijk een hak te zetten. Dat is zeer kwalijk en moet kunnen worden aangepakt, maar het is nogal een paardenmiddel om dan te zeggen, dan mag niemand meer opnemen.

Arnoud

De strafbaarheid van luisteren naar iemands broekzak

Geplaatst op in Regulering, Security, 21 reacties

broekzak-telefoon-afluisterenEen rechter in Amerika heeft besloten dat broekzakbellers hun recht op privacy verliezen door het per ongeluk bellen van derden, las ik bij Webwereld (en ik reageerde bij RTL waar ze me advocaat durven te noemen).

Uit het Amerikaanse arrest blijkt maar weer eens hoe anders men daar tegen privacy aankijkt. Privacy heb je als je thuis de gordijnen dicht doet, punt. Als jij niet goed oplet en anderen komen iets over je te weten, sucks to be you en moet je de handleiding maar lezen volgende keer. ZOals men het in dit arrest formuleert:

Under the plain-view doctrine, if a homeowner neglects to cover a window with drapes, he would lose his reasonable expectation of privacy with respect to a viewer looking into the window from outside his property.

De grens daarbij ligt bij wat mensen met “technology in general public use” niet meer kunnen. Die NSA-satelliet die dwars door je dak heen filmt, schendt dus je privacy. Die drone boven je achtertuin filmt daar legaal. Of natuurlijk wanneer de ander het initieert: als ik je telefoon pak, mezelf bel en het toestal dan met uitgeschakeld scherm terug in je zak steek, dan ben ik aan het afluisteren.

Die telefoon in je broekzak die een billenbelletje pleegt, is dus ook legaal. Algemeen bekende technologie waarvan eveneens algemeen bekend is hoe je dat voorkomt: je telefoon locken, of de appstore doorsnuffelen op zoek naar anti-butt dial apps. Oftewel, je doet je best maar om het te voorkomen want anders is het jouw probleem. Ja, dat is een tikje hard.

Bij ons ligt dat anders. Het is strafbaar een gesprek af te luisteren of op te nemen als je daar geen deelnemer aan bent en ook niet in opdracht van een deelnemer handelt (art. 139a Strafrecht als het in een besloten ruimte is en 139b Strafrecht elders). En dat is precies de situatie als je een broekzakbelletje krijgt en vervolgens meeluistert naar wat je via die broekzak kunt horen. Natuurlijk, je initieert het afluisteren niet, maar zodra je doorkrijgt dat je per abuis gebeld bent en iets hoort dat eigenlijk een gesprek zonder jou had moeten zijn, kom je toch een heel eind in het strafrechtelijk gebied. Ik denk dat je over de grens gaat zelfs.

Wat vinden jullie? Amerikaans: je moet maar opletten? Of Europees: hang op in plaats van als nieuwsgierig Aagje mee te luisteren?

Arnoud

Mag mijn werkgever structureel chatberichten monitoren?

Geplaatst op in Ondernemingsvrijheid, Privacy, 13 reacties

lync-chat-schermEen lezer vroeg me:

Op mijn werk gaat het hardnekkige gerucht dat het management monitort wat we met elkaar bespreken via Lync, het chatprogramma dat onderdeel is van Microsoft Office. Stel dat dit waar is, wat kunnen we daaraan doen?

In theorie zou het gerucht eenvoudig te verifiëren moeten zijn. Om ICT-handelingen van werknemers te mogen monitoren, is een ICT-reglement waar dat in uitgelegd staat verplicht. Je kunt dus het reglement erbij pakken en nagaan of erin staat dat men Lync (of in het algemeen, chatdiensten etc) mag monitoren.

Natuurlijk kan men dingen doen zonder dat gedocumenteerd te hebben maar dat is toch echt tegen de wet. Een werkgever mag geen privacy van werknemers schenden zonder een duidelijke gedocumenteerde basis. Doen ze dat toch, dan kan de werknemer een schadeclaim indienen mits hij kan onderbouwen welke financiële schade hij heeft.

Daarnaast is er altijd de eis dat de schending gerechtvaardigd wordt door een dringende noodzaak én dat de maatregel proportioneel en subsidiair is: het kon niet anders dan op deze manier.

Bij gericht monitoren van een medewerker die al is aangesproken op bv. ongepast taalgebruik of overmatig chatten kan ik me daar wat bij voorstellen. Maar bij het algemeen loggen en monitoren van iedereen zijn of haar chats eigenlijk niet. Het is haast per definitie niet proportioneel om alles te loggen of met alles mee te luisteren.

Het verbaast me wel eens dat dit soort dingen binnen een ICT context normaal lijken te zijn. Terwijl als je het vertaalt naar een analoge context het snel bizar wordt: welke directie gaat onder elk bureau een verborgen microfoon ophangen of met richtmicrofoons de kantine afluisteren?

Arnoud

Nederland mag gegevens blijven uitwisselen met NSA

Geplaatst op in Privacy, Security, 7 reacties

prismDe Nederlandse inlichtingendiensten AIVD en MIVD mogen gegevens blijven uitwisselen met de Amerikaanse NSA, las ik bij Nu.nl. In een loei van een vonnis bepaalt de rechtbank Den Haag dat de samenwerking met buitenlandse inlichtingendiensten een dringende noodzaak in de zin van het Europees Verdrag voor de Rechten van de Mens oplevert, op grond waarvan grondrechten geschonden mogen worden. Verschillende burgers en organisaties hadden de rechtszaak aangespannen tegen de Staat naar aanleiding van de Snowden-onthullingen over grootschalig gebruik van data door de Amerikaanse NSA.

Allereerst is er een stuk discussie over óf deze burgers en organisaties wel een rechtszaak mogen beginnen. Je kunt niet zomaar naar de rechter, je moet wel een “redelijk belang” hebben zoals de wet dat noemt. En dat belang moet wel over jou gaan. Als mijn buurmans auto bekrast wordt, kan ik niets eisen. Hier erkent de rechter dat dat het geval is: de burgers (waaronder Rop Gonggrijp, Brenno de Winter en Mathieu Paapst) hebben een meer dan gemiddelde kans

dat zij door hun activiteiten een gevaar voor de nationale veiligheid zouden kunnen opleveren en derhalve op grond van de Wiv 2002 onderwerp zouden kunnen zijn van onderzoek door de diensten.

Het zal je maar gezegd worden.

Afijn. De inhoudelijke discussie is een stuk lastiger. De grootschalige uitwisseling van persoonsgegevens levert juridisch gezien een schending van de privacy op, en die is beschermd in het Europees Verdrag voor de Rechten van de Mens (EVRM) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (IVBPR). Ook is dit te rekenen onder de informatievrijheid, het beschermen van je bronnen is daar voor journalisten deel van.

Het grootste probleem zit hem in het ‘witwassen’ van gegevens: de NSA verkrijgt gegevens langs illegale weg, en verstrekt ze dan via het uitwisselingsprogramma aan de Nederlandse AIVD die dan vrolijk kan zeggen ze legaal van een buitenlandse partner verkregen te hebben.

Hoewel de NSA in principe legaal handelt naar Amerikaans recht, en er uitgebreid imbedding en controle is binnen het Amerikaanse rechtssysteem, moet er rekening worden gehouden met de mogelijkheid dat de diensten in het kader van de internationale samenwerking gegevens ontvangen die zijn verzameld op een wijze die niet in overeenstemming is met het EVRM en IVBPR. Die verdragen eisen allereerst een duidelijke wettelijke basis, daarna een legitiem doel en vervolgens een noodzakelijkheidstoets – moet dat nou écht op deze manier, kan het niet een onsje minder.

In een uitspraak van het Europese Hof voor de Rechten van de Mens (de hoogste privacyhandhaver, niet te verwarren met het Europese Hof van Justitie) is bepaald dat voor legaal aftappen duidelijk moet zijn:

the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their telephones tapped; a limit for the duration of telephone tapping; the procedure to be followed for examening, using and storing of the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which recordings may or must be erased or the tapes destroyed.

Dit geldt ook voor ongericht aftappen van personen. Maar het grootschalig in bulk vergaren van data zoals de NSA doet, is nóg een stapje verder en de rechtbank wil er niet aan dat ook dáár zulke specifieke grenzen moeten worden getrokken. Dat voelt minder erg, net zoals het minder erg is om iemands locatie via GPS ontvangers bij te houden dan zijn gesprekken consequent af te luisteren. De vraag is dan of de nationale wetgeving toereikende en effectieve waarborgen biedt tegen een willekeurige inbreuk op de persoonlijke levenssfeer.

Voor toepassing van deze laatste maatstaf, meer dan voor toepassing van de gestelde minimumwaarborgen, is naar het oordeel van de rechtbank ook aanleiding in het geval van de ontvangst van gegevens in bulk, waarbij immers ten tijde van de ontvangst niet bekend is wat de aard van de gegevens is en op welk(e) individu(en) deze gegevens betrekking hebben.

Volgens de rechter hoeven we ons geen zorgen te maken: De Wiv 2002 bevat voorts voldoende waarborgen voor de verdere verwerking (waaronder het gebruik) van die gegevens. Immers in de wet staat

In artikel 12 Wiv 2002 is immers geborgd dat de verwerking van gegevens slechts plaatsvindt voor een bepaald doel en slechts voor zover dat noodzakelijk is voor een goede uitvoering van de Wiv 2002 of de Wet veiligheidsonderzoeken, en ook dat dit in overeenstemming met de Wiv 2002 en op behoorlijke en zorgvuldige wijze geschiedt. In artikel 13 van de Wiv 2002 zijn de categorieën van personen genoemd ten aanzien van wie gegevens kunnen worden verwerkt.

En er is niet bewezen dat de Nederlandse veiligheidsdiensten deze artikelen overtreden. Verder kun je als burger individueel naar de rechter als blijkt dat de veiligheidsdiensten specifiek informatie over jou delven uit NSA-bulkdata. Een tikje formele opstelling, ahem.

Dan komt nog de algemene vraag: is het doel en de noodzaak duidelijk aanwezig? Dat is immers nodig onder het EVRM en het IVBPR. Daarvan is sprake omdat het gewoon zo is en het gewoon niet anders kan:

Het gaat om een dringende maatschappelijke behoefte dat met buitenlandse diensten wordt samengewerkt en dat in dat verband verzamelingen gegevens in bulk worden uitgewisseld. Zoals de Staat ter zitting naar voren heeft gebracht, kan wel naar de herkomst van informatie worden geïnformeerd, maar zal daarop in de regel geen antwoord worden gegeven. Dat, als een partner eenmaal aan de voor samenwerking geldende criteria voldoet, de aard en inhoud van die samenwerking, op voorhand niet zijn beperkt, is ook gerechtvaardigd gelet op de risico’s voor de nationale veiligheid die aan een andere benaderingswijze zouden kunnen zijn verbonden.

Wat nu specifiek met de bulkgegevens die men van de VS kan verkrijgen die in strijd met het EVRM of IVBPR zijn verkregen? Die zijn in beginsel ook legaal. Immers:

Daarbij gelden voor het onderscheppen van (ruwe) gegevens in bulk zonder dat deze op relevantie zijn beoordeeld – hetgeen in deze procedure centraal staat – minder strikte eisen dan voor het kennisnemen van de inhoud van de communicatie. Er is bovendien een relevant onderscheid tussen het ontvangen van gegevens en het vervolgens gebruikmaken van die gegevens in individuele gevallen.

Dus ga maar op individuele basis naar de rechter als specifiek jij aangepakt wordt op basis van informatie die uit bulkgegevens is verkregen. “Het zwaarwegende belang van de nationale veiligheid geeft hier de doorslag.”

Jammer. Het is een láng en uitgebreid vonnis maar toch valt de onderbouwing me bij eerste lezing wat tegen. Waaróm is het zo dringend nodig dat er wordt samengewerkt en bulkdata wordt uitgewisseld? Waarom accepteren we dat een partner niet zegt waar de data vandaan komt? En daarbij komt de ergerlijke houding van “je kunt individueel een zaak aanspannen hoor”. Nee. Grmbl.

Arnoud

Is een stiekeme geluidsopname bruikbaar als bewijs?

Geplaatst op in Privacy, Security, 32 reacties

Een lezer vroeg me:

Mag je telefoongesprekken (of gewone gesprekken) opnemen zonder de wederpartij dat te zeggen? En zijn zulke opnames dan bruikbaar als bewijs?

Ja en ja.

Het Wetboek van strafrecht verbiedt het opnemen van gesprekken (telefonisch of mondeling gevoerd) als je daar geen deelnemer aan bent. Dat betekent dus dat wie wél deelnemer is, niet in strijd met dit verbod handelt. Publiceren van die opname zal vaak wel een schending van de privacy van de wederpartij opleveren, dus daar zul je een fors nieuwsbelang voor moeten hebben.

Een bedrijf dat structureel telefoongesprekken opneemt en opslaat, verwerkt daarmee persoonsgegevens van zijn klanten. Dergelijke verwerkingen kunnen gerechtvaardigd zijn: bewijs vergaren van contractsluiting is een legitiem doel, net als zorgen dat je klantenservice goed gaat. Maar men moet dat dan wél melden op grond van de Wbp, vandaar al die “dit gesprek kan worden opgenomen” meldingen bij grote callcenters. Hoewel het dan overigens weer niet de bedoeling is dat een opname met een klant nog jarenlang op de opleidingsafdeling rondzwerft als voorbeeld hoe het wel of niet moet.

Een privépersoon die voor zichzelf structureel gesprekken opneemt, verwerkt ook persoonsgegevens maar er is een uitzondering in de privacywet voor “uitsluitend persoonlijke en huishoudelijke doeleinden”, en ik meen dat je zulke privéopnames daar wel onder kunt rekenen. Dus ook onder de Wbp hoef je je privéopnames niet te melden.

Gebruik als bewijs naar de wederpartij is natuurlijk toegestaan. Maar gebruik bij de rechter, daar voelen mensen nog wel eens wat aarzeling. Uit de rechtspraak die ik ken, kan ik daarvoor geen rechtvaardiging halen. Bewijs in rechtszaken tussen burgers onderling is eigenlijk zelden tot nooit onrechtmatig. Ook niet bij privacyschendingen. De Hoge Raad oordeelde al in 1987 dat voor uitsluiting van bewijs sprake moet zijn van een “rechtens ontoelaatbare inbreuk op de privacy, zulks op basis van bijkomende omstandigheden die deze conclusie rechtvaardigen”. Oftewel: een inbreuk op zich is niet genoeg, het moet wel een hele erge zijn.

Veelal zal het gaan om zakelijke gesprekken, daarbij kunnen immers conflicten ontstaan waarbij je wilt bewijzen dat er iets wel of niet is gezegd. En in zulke gesprekken is het privacybelang toch een stuk kleiner. In deze zaak ging het om gesprekken tussen een werkgever en werknemer die bij deze rechter stonden toen de werknemer ontslagen werd. De werknemer had de gesprekken stiekem opgenomen en zelfs ontkend toen de manager in kwestie vroeg of er iets werd opgenomen. Geen probleem:

De gesprekken met [werknemer] heeft [naam 1] gevoerd in zijn hoedanigheid als directeur van NAM, als werkgever van [verweerder], waarbij deze gesprekken in overwegende mate een zakelijk karaker hadden. Het enkele feit dat [naam 1] er niet bedacht op hoefde te zijn dat zijn gesprekken met [werknemer] zouden worden opgenomen – zeker niet nadat hij [werknemer] daarnaar had gevraagd en deze dit ontkende – leidt niet tot de conclusie dat sprake is van een rechtens ontoelaatbare inbreuk op de privacy. Wel acht de kantonrechter dit een omstandigheid die bij de beoordeling van het goed werknemerschap in het kader van toepassing van de kantonrechtersformule aan de orde kan komen.

Het kan dus wel “niet goed werknemerschap” zijn, oftewel in die specifieke verhouding kan het tegen je werken als je stiekeme dingen doet. Dit omdat je als werknemer en werkgever goed – netjes – naar elkaar moet zijn. In de relatie klant/leverancier moet je redelijk naar elkaar zijn, maar ik vind niet dat dat hetzelfde is als de eis van goed werknemer/-geverschap. Dus in die relatie lijkt het me veel lastiger om te zeggen, misschien mag het dan wel maar ik ga het tóch tegen je laten werken.

Ik neem eigenlijk standaard mijn gesprekken op, en snap eigenlijk niet waarom anderen dat nou niet doen. Het scheelt zó veel discussie als je gewoon de opname kunt terugluisteren. Of mis ik iets?

Arnoud

Wat is er juridisch te doen tegen al dat aftappen, afluisteren en bespioneren?

Geplaatst op in Informatiemaatschappij, 31 reacties

wifi-satelliet-draadloos-auto.pngDe helft van de Nederlanders denkt wel eens telefonisch te worden afgeluisterd, las ik bij Nu.nl. Niet geheel ten onrechte, als je alle verhalen sinds Snowden leest. Zoals zaterdag: de AIVD breekt in bij internetfora en sluist gegevens van alle gebruikers vervolgens door, blijkt uit Snowden-documenten die NRC heeft ingezien. Eh, wut. Het onderwerp heeft ook mijn mailbox bereikt: ik krijg nu 2 à 3 mails per dag met vragen in de trant van “mag dit zomaar” en “wat is eraan te doen”.

Eh, tsja. Nee, dit mag niet. De AIVD mag veel, maar zomaar databanken vol met gegevens kraken en kopiëren voor het geval er een rechtsextremistische jihad-kraker tussen zit, nee dat mag niet. Men wijst op artikel 24 Wet inlichtingen- en veiligheidsdiensten, waar in lid 1 inderdaad staat:

De diensten zijn bevoegd tot het al dan niet met gebruikmaking van technische hulpmiddelen, valse signalen, valse sleutels of valse hoedanigheid, binnendringen in een geautomatiseerd werk.

Maar artikel 19 maakt heel duidelijk dat hiervoor aparte toestemming nodig is, en dat die toestemming elke paar maanden opnieuw moet worden aangevraagd. Logisch ook, dat artikel is geschreven om in een concrete situatie een AIVD-hack te kunnen rechtvaardigen. Daar zit een staatsgevaarlijk figuur, snel hack zijn PC en zie wat hij van plan is. Dat is toch even wat anders dan “breek overal in waar je kunt, kopieer alles en zoek het thuis op je gemak even na”. Plus, volgens artikel 18 moet er een duidelijke noodzaak zijn in het kader van onderzoek

met betrekking tot organisaties en personen die door de doelen die zij nastreven, dan wel door hun activiteiten aanleiding geven tot het ernstige vermoeden dat zij een gevaar vormen voor het voortbestaan van de democratische rechtsorde, dan wel voor de veiligheid of voor andere gewichtige belangen van de staat;

Het probleem is alleen: wat dóe je eraan. Juridisch dan. Niet heel veel, ben ik bang. Want toetsing of dit klopt, is een beetje moeilijk. De bewijzen dat hiervan sprake is, zijn immers staatsgeheimen en daar kan men dan ook helaas verder niet op ingaan. En tsja, tegen geheim bewijs is het lastig discussiëren, zeker als je wederpartij niet terugpraat.

En zo is het ook met de NSA-sleepnetten en alle andere massale aftapperij waar we de laatste maanden steeds meer over lezen. Nee, dat mag niet, of de grenzen van wat wél mag worden ahem stevig opgerekt, maar wat gaan we eraan doen?

Arnoud