Tag: Doorzoeken

About Doorzoeken

Subscribe Feeds

Mag het systeembeheer zomaar zelf regels maken?

Geplaatst op in Ondernemingsvrijheid, Security, 19 reacties

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

Geplaatst op in Ondernemingsvrijheid, Privacy, 18 reacties

outlook-webmailEen lezer vroeg me:

Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken?

Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te allen tijde alles”. Maar zo werkt het niet. Dat reglement is wel belangrijk want de redenen voor doorzoeking moeten vooraf bekend zijn gemaakt. Maar je moet wel echt een reden hebben, en een stevige ook. Privacy geldt ook op het werk.

Een dringende reden was er bijvoorbeeld in deze zaak: er waren whatsappberichten ter kennis van de werkgever gekomen waaruit bleek dat de werknemer zich behoorlijk negatief over het bedrijf uitliet jegens derden. En daarmee was er een grond de laptop te doorzoeken.

Dat deze regels ook gelden na vertrek van een werknemer, blijkt uit een recent arrest van het Gerechtshof in Arnhem-Leeuwarden. Hier werd e-mail doorzocht na vertrek. Het Hof zegt dan:

Het feit dat de e-mailberichten niet tijdens, maar aan het eind van en/of na het dienstverband bij een standaardcontrole van de ingeleverde laptop zijn gevonden, brengt niet mee dat de beperkingen van het recht op privacy niet gelden.

Dat gold zeker nu de werknemer de laptop had gewist, waardoor hij er geen rekening mee hoefde te houden dat de werkgever zijn privédata zou gaan recoveren.

Mijn broek zakte af van dit vonnis waarin de werkgever had ingebroken in de privé-Gmail van de werknemer. Dit kon omdat inloggegevens bewaard waren op de werkcomputer. Ook werden privéchats via WhatsApp gelezen vanaf de zakelijke telefoon. Eh ja, precies. Wát.

De kantonrechter verklaart dit onrechtmatig, met name omdat er geen concrete aanleiding was en omdat de werkgever de werknemer misleidde (“updates doorvoeren” op pc en telefoon) over de reden voor het snuffelen. Zoals wel vaker bij deze zaken is er geen internetreglement. Dit ook wordt de werkgever verweten. De werkgever moet € 7500 schadevergoeding betalen voor het onrechtmatig zoeken.

Het ontslag blijft echter wel in stand omdat de werknemer de verboden heeft overtreden. Bewijs is bewijs in het Nederlands recht, óók als het onrechtmatig verkregen is. De rechter vindt dit ook logisch, de straf voor het schenden van iemands privacy is een boete of schadevergoeding:

Op deze wijze ontstaat er geen vrijbrief voor de werkgever om op onrechtmatige wijze gegevens te verkrijgen over een bepaalde handelwijze van een werknemer en blijft het tegelijkertijd mogelijk het gedrag van de werknemer te beoordelen met alle gegevens die boven tafel zijn gekomen.

Slechts in zeer uitzonderlijke gevallen zal de rechter weigeren naar het bewijs te kijken omdat het onrechtmatig verkregen is. Dat voelt gek: men schendt de wet maar mag er wél van profiteren. Maar ik vind het minder gek dan bewijs negeren terwijl er eh gewoon bewíjs is. Dan liever de bewijsverkrijger straffen voor het onjuist handelen en daarna toch gewoon naar het bewijs kijken.

Arnoud

Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

Geplaatst op in Privacy, Security, 19 reacties

zoeken-harde-schijf.jpgEen lezer vroeg me:

Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple en Google claimen nu het zelfde omdat de gebruiker de gebruiksvoorwaarden heeft geaccepteerd. Maar mag dit zomaar? Is dit niet in strijd met het briefgeheim?

Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen, maar kunnen datagraaien is voor opsporingsdiensten zo’n zware wens dat het elke keer op stevige bezwaren uit die hoek stuit. Plus, de Grondwet zou moeten worden aangepast en dat is een hele procedure.

Microsoft beroept zich vooral op het feit dat de servers bij haar staan. En als eigenaar van een server mag je nu eenmaal in serieuze gevallen kijken welke data erop staat. Bij wijze van analogie: de verhuurder van een garagebox mag deze ook openmaken als hij een brandlucht ruikt, of klachten krijgt dat er xtc wordt gedeald vanuit die box.

Daarbij komt dat in de voorwaarden van Hotmail staat dat Microsoft in een mailbox mag kijken “[to] protect the rights or property of Microsoft or our customers, including the enforcement of our agreements or policies governing your use of the Service;”. Ik las dat zelf altijd als “als je mailbox overlast veroorzaakt dan mogen we daarin kijken”, bv. bij mailbommen of virussen, maar Microsoft leest het nu als “als onze rechten als bedrijf in gevaar komen dan mogen we kijken”. Er staat immers “including” oftewel “onder meer als”. (De voorwaarden van Apple en Google bevatten vergelijkbare clausules.)

Nu is het natuurlijk makkelijk zulke dingen op te schrijven, maar of het dan meteen rechtsgeldig is, blijft een goede vraag. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en dat betekent onder meer dat er een belangenafweging moet plaatsvinden tussen het belang van de provider om in de mailbox te mogen en het belang van de gebruiker bij zijn digitale privacy. Want hoewel je geen briefgeheim hebt online, heb je wél recht op privacy.

Het belang “uw mailbox is gecorrumpeerd waardoor onze systemen niet meer werken” lijkt me bijvoorbeeld wel goed genoeg om even iemands privacy te mogen schenden en zijn mailbox te repareren. Zeker als de systeembeheerder dan vertrouwelijkheid bewaart over wat hij ziet in die mailbox. Het belang “uw gezicht staat ons niet aan” is bij lange na niet groot genoeg.

Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da’s een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box. En waarom hij wel maar de mailserver-eigenaar niet?

Arnoud

Mag ik ons netwerk opschonen van illegale zaken?

Geplaatst op in Privacy, Security, 66 reacties

delete.pngEen lezer vroeg me:

Ik ben systeembeheerder bij een school. Wij geven iedereen een netwerkaccount zodat ze bestanden kunnen opslaan en kunnen mailen. Nu weet ik dat leerlingen (maar ook docenten) regelmatig illegale zaken opslaan op hun account (plaatjes, filmpjes, muziek, keyloggers, hacktools, niet school gerelateerd materiaal, etcetera). Vorige week heb ik een grote schoonmaak gehouden en alle niet-schoolgerelateerde zaken verwijderd. Maar nu is een aantal gebruikers behoorlijk boos en zeggen ze dat dit niet mag! Ik kan toch als beheerder niet tolereren dat er illegale zaken op onze servers staan?

Ik zou dit niet op deze manier aanpakken. Inderdaad, als je weet hebt van illegale zaken dan mag (moet?) je ingrijpen. Maar dat is niet hetzelfde als “het zijn scholieren, die hebben dús bergen illegale meuk, ik ga alle mappen langs en alles weggooien dat ik zie”.

Dit gaat niet goed vallen bij systeembeheerders, maar zo’n netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen.

Er zijn een aantal voorwaarden waaraan voldaan moet zijn. Allereerst moet er een expliciet geaccordeerd IT-reglement zijn waarin aangegeven staat wat men mag met het account en vooral wat niet. En daarbij geldt dat “alleen schoolgerelateerde zaken” te kort door de bocht is: er moet enige ruimte voor privégebruik zijn. (Klachten dat dit onzin is, mag u bij het Europese Hof voor de Mensenrechten kwijt.)

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3’tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Bij personen die bestuurslid zijn van de vakbond of medezeggenschapsraad (of de bedrijfsarts) mag het beheer helemaal niet in hun privémappen kijken tenzij met hun toestemming of in zéér uitzonderlijke situaties.

Arnoud

Doorzoeken van een privélaptop mag ook niet zomaar

Geplaatst op in Privacy, Security, 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens had van fraude.

In het originele vonnis vond de rechter het toegelaten dat de curator toegang mocht krijgen tot de laptop, maar in dit hoger beroep wordt dat echter teruggedraaid. De laptop was geen eigendom van het failliete bedrijf, dus kan de curator die niet zomaar opeisen. Wél heeft hij recht op inzage in de bedrijfsgegevens op die laptop. Hij mag een kopie van de data laten maken en deponeren bij een notaris om deze zo veilig te stellen.

Vervolgens is de vraag of de curator er ook iets mee mag doen. Mag hij de gegevens doorzoeken, of mag hij forensisch onderzoeksbedrijf IRS aan het werk zetten? Omdat het hier gaat om privacy, geeft het Hof geen algemene rechtsregel. Bij inbreuken op de privacy is het altijd afhankelijk van alle omstandigheden van het geval of het mag. Het Hof weegt dan ook de privacy van de jurist en het bedrijfsbelang van de curator tegen elkaar af. Wegen jullie mee?

In het voordeel van de jurist:

  1. het betreft een laptop in privé-eigendom;
  2. de privélaptop bevat ook “privacygevoelige privacybestanden”;
  3. de bedrijfsjurist werkte voor zakelijke doeleinden altijd via het zakelijke netwerk, zodat de betreffende gegevens ook via dat netwerk te vinden (zouden moeten) zijn.

In het voordeel van de curator:

  1. de curator heeft recht op de aan de failliet toebehorende informatie over haar administratie;
  2. de curator heeft belang heeft bij onderzoek daarvan;
  3. de bedrijfsjurist werkte dagelijks op deze laptop in het kader van zijn werk;
  4. de bedrijfsjurist was lid van het managementteam en dicht bij het bestuur werkzaam;
  5. de laptop is zowel zakelijk als privé gebruikt, zodat de bedrijfsjurist daarmee zelf heeft bewerkstelligd dat de gegevens vermengd zijn geraakt;
  6. niet is uit te sluiten dat zakelijke bestanden uitsluitend op de harde schijf van de laptop zijn opgeslagen.

De curator had aangeboden dat de jurist er de hele tijd bij mocht blijven, zodat hij kon piepen als er sprake zou zijn van privégegevens. Maar dat vond het Hof niet genoeg. De curator had namelijk te weinig instrumenten om toezicht op IRS te houden, bv. een contract waarin stond hoe IRS met de gegevens om zou gaan.

Collega Wouter Dammers van Solv advocaten maakt me nieuwsgierig met zijn opmerking dat de curator “op andere wijze(n) inzicht kunnen krijgen in de betreffende zakelijke gegevens, zonder een inbreuk te maken op de bescherming van de persoonlijke levenssfeer van de bedrijfsjurist.”

Ik ben heel benieuwd hoe dan. Dit is namelijk écht een lastig probleem. Je ontkomt er niet aan dat je als onderzoeker privégegevens tegenkomt als je gaat zoeken. Afgaan op wat de jurist in dit geval zegt, gaat niet: hij zou natuurlijk te kwader trouw belastende gegevens zogenaamd als privédata kunnen aanmerken zodat je daar niet kijkt.

Oftewel: hoe doorzoek je een privélaptop naar zakelijke gegevens zonder kennis te nemen van privégegevens?

(Ook het doorzoeken van een bedrijfspc mag niet zomaar trouwens.)

Arnoud

Doorzoeken van een bedrijfspc mag niet zomaar

Geplaatst op in Ondernemingsvrijheid, Privacy, 21 reacties

Ik ken een paar werkgevers die nu gaan schuimbekken. Je geeft je werknemers een PC te leen, die gaan ze dan een beetje privé zitten gebruiken en dan mag je er niet eens meer in zoeken als blijkt dat die werknemers disfunctioneren. Maar dat is toch echt waar deze uitspraak van het College van Beroep voor het bedrijfsleven op neerkomt. Het ging hier om tuchtrecht voor accountants, maar tussen de regels door zie je duidelijk dat het College afkeurt dat er in privé gebruikte apparatuur wordt gezocht als daar geen héél goede reden voor is.

Een ambtenaar werkte als systeembeheerder bij een gemeente. Ze werd geschorst omdat ze zonder toestemming van B&W een personal computer met toebehoren, eigendom van de gemeente, bij haar thuis had geplaatst. Om redenen die me niet helemaal duidelijk zijn, werd vervolgens de fraudeafdeling van Deloitte losgelaten om die computer te doorzoeken.

De ambtenaar vocht de schorsing aan, en diende ook een klacht in tegen de onderzoeker. Die was accountant, en dus onderworpen aan hun tuchtrecht. Van een accountant mag in rapportage verwacht worden dat deze objectief, neutraal en volledig is. Maar daarvan was hier geen sprake:

Het onderzoek was immers juist gericht op het – totale – gebruik van de personal computer. Bij een feitelijke weergave van de aangetroffen computerprogramma’s is het niet aan betrokkene een keuze te maken in wat hij wel of niet opneemt in zijn rapportage. Bovendien heeft hij met de opsomming, zoals opgenomen in het rapport, de indruk gewekt een volledige weergave te hebben gegeven. Uit het rapport blijkt geenszins dat dit slechts een beperkte weergave behelst. … Betrokkene heeft er hiermee blijk van gegeven op selectieve wijze te rapporteren, hetgeen hem tuchtrechtelijk aan te rekenen is.

Belangrijker, hij had deze PC niet zomaar mogen doorzoeken, omdat de PC thuis stond en niet (via VPN of anderszins) aangesloten was op het bedrijfsnetwerk.

Betrokkene heeft de computer behandeld als een werk-computer, deel uitmakend van het computer-netwerk van de werkgever. Nu hiervan evenwel geen sprake was, had betrokkene meer terughoudendheid moeten betrachten bij het onderzoeken van het privé-gebruik van de computer.

En die regel geldt ook voor gewone werkgevers. Ook op het werk heb je recht op privacy, en dat betekent dat je als werkgever niet zomaar mag gaan snuffelen in de spullen die je werknemers ter beschikking stelt.

Arnoud

Doorzoeken van computers in andermans huis, mag dat?

Geplaatst op in Privacy, 12 reacties

Een computer van de wederpartij in een civiele procedure doorzoeken mag niet zomaar. Tot die conclusie komt het Gerechtshof Leeuwarden in een arrest (via Boek9.nl) tussen twee bedrijven die een geschil hadden over een exclusieve distributieovereenkomst. Er zou namelijk informatie zijn ‘gelekt’ die gebruikt was bij de beëindiging daarvan. De eiser liet conservatoir beslag leggen op diverse gegevensdragers en schriftelijke informatie die relevant kon zijn voor de zaak. Daardoor kon men het huis doorzoeken en alles meenemen dat onder het verlof viel, inclusief een computer die later door bedrijfsrecherchebureau werd onderzocht.

Pardon, huiszoeking bij een civiele ruzie? Kan dat zomaar dan? Nou, niet helemaal. Inderdaad kun je beslag laten leggen op “bescheiden”, waaronder ook gegevensdragers vallen, als je daarbij een rechtmatig belang hebt. Het idee achter die wetsbepaling is vooral te voorkomen dat de wederpartij die gauw door de shredder haalt. Maar om dan op eigen houtje die computer te gaan doorzoeken, is nog weer een stap verder. Om nog maar niet te spreken van andermans huis binnengaan met een deurwaarder en daar uit alle kamers en kastjes spullen meenemen.

Het Gerechtshof haalt dan ook terecht artikel 8 EVRM en artikel 12 Grondwet van stal, die bescherming van de persoonlijke levenssfeer garanderen en meer in het bijzonder verbieden dat de overheid zomaar gaat snuffelen in je privéspullen.

Uit die artikelen volgt in ieder geval dat er alléén in huizen gezocht mag worden als daar een expliciete wettelijke bepaling voor is. En die is er niet volgens het Hof. Het beslag was aangevraagd op grond van artikel 843a Rechtsvordering, maar dat artikel gaat alleen over het opvragen (vorderen) van gegevens. Niet het zelf in beslag nemen daarvan. En ook de andere regels over beslag in civiele zaken zijn volgens het Hof echt onvoldoende om zomaar bij mensen binnen te gaan en zaken mee te nemen. Daarom was dit binnentreden dus niet legaal.

Het doorzoeken van een computer tegen de wil van de eigenaar is om dezelfde reden illegaal:

Het hof is van oordeel dat de kennisneming, tegen de wil van de eigenaren van de inhoud van de computer, onder dit recht valt. Artikel 843a Rv is een wettelijke beperking op dit recht. Een wettelijke regeling die het mogelijk maakt dat, alvorens een rechterlijke beslissing op deze grondslag is gegeven, derden bij wege van conservatoire maatregel een computer op zijn inhoud mogen onderzoeken, ontbreekt evenwel. Voor het onderzoek door [betrokkene 5] van de computers van [appellant 1] en [appellant 2] ontbreekt dan ook een voldoende wettelijke grondslag, zodat op dit punt artikel 10 van de Grondwet is geschonden.

Terecht, lijkt me. Ik moet zeggen, ik voel me niet vaak emotioneel bij het lezen van vonnissen maar bij deze gingen de haren in mijn nek toch even overeind staan. Dat de politie je huis kan doorzoeken is één ding, maar een andere burger die meent juridische ruzie met mij te hebben?

Arnoud