Keulse rechtbank dwingt Tutanota hele postvakken inzichtelijk te maken

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden omdat alle versleuteling bij de client plaatsvindt. Echter, toen een Keulse autoleverancier via Tutanota een afpersingsmail ontving en de politie een onderzoek startte, vonniste de Keulse rechtbank dat Tutanota dit mogelijk moet maken, omdat de webmaildienst ‘meewerkt aan het leveren van telecommunicatiediensten’. Houd de paracetamol bij de hand, want dit vergt héél veel juridische definities.

De kern van de zaak is dat telecommunicatiediensten in Europa verplicht aftapbaar moeten zijn bij ernstige misdrijven als deze. In Nederland is er dus geen twijfel dat KPN of Ziggo een telefoongesprek via haar netwerk moet laten tappen, en dat gaat dan zowel om IP-netwerkverkeer als gewone telefonie.

Tutanota is geen internetprovider maar wat juristen noemen een “dienst van de informatiemaatschappij”, en dat is wezenlijk wat anders. In ISO/OSI termen: die zitten in laag 7, en telecom zit grofweg in lagen 1 tot 5. Een ander niveau van technische werking, dat in de kern wettelijk omschreven wordt als een

gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd.
Tutanota verspreidt informatie, geen signalen. Dat voelt vrij logisch, toch duurde het tot 2019 voor het Hof van Justitie hier een definitieve uitspraak over deed:
a web-based email service which does not itself provide internet access, such as the Gmail service provided by Google LLC, does not consist wholly or mainly in the conveyance of signals on electronic communications networks [] does not constitute an ‘electronic communications service’ within the meaning of that provision.
Het maakt daarbij niet uit dat Google zelf backbone-kabels heeft liggen of andere verrichtingen doet die wél het overbrengen van signalen opleveren. Dat staat immers in principe los van de webmaildienst waar het hier om gaat.

Helaas heeft in de Tutanova-zaak de rechter niet gemotiveerd waarom zhij hier anders tegenaan kijkt. Ik zie zelf geen verschil in de werking van Tutanova en Gmail, internet-technisch bekeken. Ik hoop dus ook dat men in hoger beroep gaat, hoewel dat voor deze specifieke vordering niet uitmaakt: de Duitse justitie heeft in de tussentijd toegang tot de informatie van deze afperser.

Arnoud

Kijk die Belgen delen wél AVG boetes uit waar je wat aan hebt

De Belgische Gegevensbeschermingsautoriteit heeft een AVG-boete van 10.000 euro uitgedeeld aan een bedrijf, meldde Tweakers begin deze week. Het bedrijf stuurde “door een menselijke fout” een marketingmail naar een verkeerd persoon en deed te weinig om dat probleem op te lossen. Zo te zien was zijn mailadres zonder zijn medeweten toegevoegd aan een commercieel mailbestand waar het bedrijf een reclamebericht mee stuurde, alleen kon niemand hem vertellen waar het adres vandaan kwam of waarom het in het mailbestand stond. Oh en in de tussentijd kreeg hij gewoon nóg een keer reclame. Dat voelt wel erg rommelig dan natuurlijk. Opvallend, het gaat dus om één fout mailbericht dat door een handmatige fout (zo te lezen het overtypen van een papieren formulier) en dat zou leiden tot een boete? Kijk, dat moeten we hebben.

Het reclamebericht was voor een workshop voor kleine ondernemingen, maar de ontvanger was geen klant bij het bedrijf en had ook geen idee hoe die aan zijn mailadres was gekomen. Vandaar een vraag (artikel 15) hoe dat zat. Daar kwam de nodige uitleg op (na een irritante vraag om naam en geboortedatum, hoezo is dat relevant bij een e-mailnieuwsbrief).

Na enig heen en weer mailen kwam er niet echt soelaas. En toen kreeg meneer nóg een keer die reclame gestuurd. Dat wijst erop dat de organisatie haar processen niet op orde heeft: dat mailadres had op zijn minst direct tijdelijk bevroren moeten worden, totdat duidelijk was waar de optin of andere grondslag vandaan kwam. Maar zoals ik het lees, zat de helpdesk in het proces “AVG lastpak, afpoeieren” en wist de marketingafdeling niet van enige klacht. Niet handig natuurlijk.

Vervolgens werd het stil aan de overkant, waarna de man naar de Gegevensbeschermingsautoriteit (Gba) stapte. Die nam de klacht serieus en constateert de nodige overtredingen. Geen transparantie (waar komt het mailadres vandaan), geen duidelijke uitleg (artikel 12), geen overzicht kunnen geven van de persoonsgegevens – en geen duidelijk geborgd proces met maatregelen om de verwerkingen aan de AVG laten conformeren (artikel 24). Want alleen maar netjes reageren op vragen, en zelfs de mailadressen dan snel weghalen, is niét hetzelfde als je hele organisatie AVG compliant hebben draaien.

De voornaamste reden om dan direct een boete op te leggen, is omdat dat laatste punt “verontrustend” is gezien de omvang van de organisatie. Een groot bedrijf (al heb ik geen idee hóe groot, dat blijft anoniem) kan niet gewoon doorhobbelen met enkel wat instructies voor de helpdesk en handmatig ingrijpen als er een keer een klacht komt. Die moet de boel op orde hebben. Daar staat tegenover dat de overtreding relatief gering is, zodat uiteindelijk de boete op 10.000 euro neerkomt.

Een kleine boete, voor zo’n groot bedrijf? Kennelijk dacht men er zelf anders over: er werd onmiddellijk bezwaar gemaakt tegen publicatie, omdat dat tot “onherstelbare reputatieschade” zou lijden. En daarom ben ik er ook blij mee: dit soort boetes maakt wél indruk, want het is niet leuk en laat zien dat je de boel niet op orde hebt. En omdat het gaat om het soort fout dat u of ik ook kunnen maken, is het generaal preventief effect van die boete een stuk hoger dan bij een boete van zeg 50 miljoen voor Google. Dus ik hoop dat er nog vele volgen.

Arnoud

Mag je inzage in je emailarchief weigeren onder de AVG?

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot vijf uur, dan moet ik misschien maar een andere baan zoeken?! Mag dat überhaupt wel, me aanspreken op zo’n privémail naar collega’s?

Dit is een nogal overdreven reactie van die manager. Nog even afgezien van het pedante punt dat de mail zegt bijna vijf uur, en je dus kunt zeggen dat hij wel degelijk wil blijven werken tot vijf uur. Ik snap het punt dat die man wil maken, maar gezien de aard van deze mail kun je hier écht niets mee, arbeidsrechtelijk gezien.

Het is op zich niet verboden om zulke mails door te sturen, omdat het interne berichten binnen een organisatie zijn. Ik zie daar niets principieels verkeerds aan, nog even los van briefgeheim dat niet geldt op e-mail. En ja, je hebt privacy op je werk maar wel binnen grenzen: stel je had dit gezégd tegen je collega’s en de de manager had het toevallig gehoord, dan zouden we dat ook geen privacykwestie vinden. Als de informatie ter kennis komt van de manager, dan mag hij daar wat mee. Ik zie niets illegaals aan dat doorsturen binnen de organisatie. Maar sjonge.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

spam-verboden.pngEen lezer vroeg me:

Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?

Er is geen wettelijke regel die expliciet zegt dat e-mail te allen tijde versleuteld moet worden getransporteerd. Je bent als bedrijf dus vrij om te kiezen of en welke beveiliging je hanteert.

Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens), die stelt dat persoonsgegevens te allen tijde “adequaat” moeten zijn beveiligd tegen misbruik en ongeautoriseerde toegang. Die norm bestaat al jaren, de aanscherping komt erop neer dat je in theorie acht ton boete kunt krijgen vanaf januari als je hem schendt.

Wat is nu “adequaat” bij e-mail? Helaas zijn daar geen harde regels voor. Het hangt er namelijk vanaf wat voor gegevens er in die e-mail staan. Gaat het alleen om afzender en ontvanger (relatief weinig gevoelig) of worden er in de bijlage medische dossiers verstuurd (nogal gevoelig)? Dat bepaalt voor een groot deel de vereiste beveiligingsmaatregelen om “adequaat” te mogen heten.

E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan. Dus de factor is dat wel het minimum, net zoals SSL op een bestelformulier van een webwinkel de facto vereist is. Als je dat weglaat, dan heb je dus wat uit te leggen.

De logica achter dit proces begrijp ik niet helemaal. Natuurlijk, je kunt geen mails scannen als ze door een beveiligde verbinding lopen, maar waarom zet je dan niet een beveiligde verbinding op naar de virusscannersite?

Arnoud

Engelse MP wil verbod op e-maildisclaimers, maar hoe dan?

email-e-mail-elektronische-post-envelopDe Engelse parlementariër Alan Duncan wil een verbod op de “meaningless missives” die iedereen klakkeloos onder zijn e-mails hangt, zo las ik bij de BBC. Heerlijke speech ook. Een verbod op e-maildisclaimers, hoe w00t is dat. Alleen: is het haalbaar, en hoe ga je dat in vredesnaam opschrijven?

E-maildisclaimers zijn velen al jaren een doorn in het oog. Vooral omdat het werkelijk nérgens op slaat, zo’n eenzijdige mededeling die dan juridische kracht zou moeten hebben. Of een volslagen zinloze mededeling bevat, zoals dat het bericht alleen bedoeld is voor de geadresseerde. Eh ja, voor wie anders? Waarom stuur je mij iets dat niet voor mij bestemd is en waarom zou ik daar vervolgens een probleem door moeten krijgen?

Je aansprakelijkheid uitsluiten naar je ontvangers voor bijvoorbeeld virussen of onjuiste informatie kan natuurlijk, maar dat vereist wel een áfspraak tussen jou en je ontvangers. En die is er eigenlijk nooit. Los daarvan vind ik het wel erg dom staan om te zeggen “hier is een mail met advies, maar als het niet klopt dan heb je pech”. Je stáát toch voor je advies?

Melden dat een bericht mógelijk vertrouwelijk is en dat je het dan moet uitprinten en opeten, ook zo’n veel voorkomend ding. Wie bedenkt dat? Wat voor informatiewaarde heeft dat, in een standaardtekst zeggen dat iets mógelijk vertrouwelijk is? Oké als je nu na zorgvuldige afweging een op maat gesneden “Dit bericht is topgeheim, meteen weggooien” erboven zet, dan voegt het wat toe. Maar als standaardtekst?

Waarom doet iedereen dit? Omdat iedereen het doet. Verder kom ik niet. En nee “omdat onze advocaat dat zegt” is geen rechtvaardiging: die zegt het óók omdat iedereen het doet. Ik daag iedere meelezende jurist uit om één vonnis te produceren waarin een standaarddisclaimer onderaan een mail iets nuttigs deed.

Oké, verbieden dus die hap. Maar hoe? Helaas is de bill van de Right Honorable Gentleman Duncan nog niet gepubliceerd, want ik was wel érg nieuwsgierig hoe je juridisch kunt omschrijven dat nutteloze zooi onderin een mail niet mag. Immers, wat is nutteloos?

“Het is verboden in elektronische communicatie standaardteksten toe te voegen die geen rechtskracht hebben” is natuurlijk vragen om problemen: iedereen zal denken, misschien heeft het wél rechtskracht dus laten we het maar blijven doen. “Bepalingen op te nemen die aanvaarding door de wederpartij vereisen”? Nee, dat werkt niet bij vertrouwelijkheidsgereutel.

“Standaardteksten in elektronische communicatie mogen niet langer zijn dan 4 regels van 80 tekens elk.” Ja. Gewoon ouderwets de RFC van toen e-mail nog, eh, gewoon was?

Arnoud

Hoe bewijs je nu dat een e-mail is aangekomen?

email-e-mail-elektronische-post-envelopBewijzen dat een e-mail is aangekomen, ga er maar aan staan. Het valt niet mee met voldoende zekerheid aan te tonen dat iemands mailserver een bericht heeft ontvangen, tenzij men natuurlijk een reactiemailtje heeft gestuurd. Maar in een recente rechtszaak was dit bewijs best belangrijk: per e-mail waren instructies gestuurd over het doorzetten van een octrooiaanvraag, en die instructies waren niet uitgevoerd. Zou de mail zijn aangekomen, dan zou dat nalatigheid (wanprestatie) van het octrooikantoor opleveren. Was de mail niet aangekomen, dan zou het verlies voor rekening van de octrooi-aanvrager moeten komen.

De octrooiaanvraag in kwestie bevond zich in de zogeheten PCT- of internationale procedure. Middels deze procedure krijg je tot 30 maanden uitstel om te beslissen in welke landen je precies octrooi wil hebben. De keuze voor een aantal landen werd in dit geval per e-mail doorgegeven aan het octrooikantoor, alleen had het octrooikantoor de instructie niet uitgevoerd. Mail niet aangekomen of instructie genegeerd? Dat was hier dus de centrale vraag.

Om die vraag te beantwoorden, had het bedrijf trackinginformatie opgevraagd bij haar hostingprovider. De provider had nog de beschikking over de “envelope and header information”, die wordt bijgehouden door mailservers. En daarin was te lezen:

Message delivery
February 28, 2008 15.54:08 +0100  Message successfully delivered to […]
                                  Message accepted 

February 28, 2008 15:54:08 +0100 Message successfully delivered to […] Message accepted

(Ik weet niet zeker of ik de regelafbrekingen et cetera goed teruggezet heb.) Deze logs laten zien, aldus de provider, dat het mailbericht is afgegeven aan de mailserver van het octrooikantoor. Althans, van Cleanport, zo te lezen een externe partij die onder meer spambestrijding doet. Daarom komt de vraag neer op: is de mail dáár aangekomen? Als de mail immers tussen Cleanport en het kantoor zou zijn kwijtgeraakt, dan is dat het probleem van het octrooikantoor. Cleanport is dan hun assistent en dus hun verantwoordelijkheid.

De rechter ziet in de trackinginformatie en de verklaring van de provider genoeg informatie om te concluderen dat de mail is aangekomen. Zonder aflevering zou die regel niet in de trackinglog komen te staan. Bovendien had het octrooikantoor samen met Cleanport niet meer daar tegenover kunnen stellen dan “het is niet zeker”, en dat is te weinig tegen deze informatie:

Het tracking document van Interconnect geeft geen informatie over de inhoud van het bericht. Het document kan kloppen, maar er is geen garantie dat de mail ook echt bij Cleanport is bezorgd. Daarvoor zijn de gegevens van Cleanport nodig. Dan is duidelijk dat er mail is ontvangen, en wat er vervolgens mee is gebeurd. In de log files die Cleanport maakt, is te zien wie de afzender is, van welke server het bericht wordt verstuurd en voor welke ontvanger de mail bestemd is.

Dit is te weinig als onderbouwing om te weerspreken dat het bericht werkelijk succesvol afgeleverd en geaccepteerd is op een mailserver van Cleanport. En ik moet zeggen, ik zou ook niet weten wat er wél tegen gezegd kan worden. Je hebt een onafhankelijke partij die met logs aantoont dat de mailserver van de ontvanger “message accepted” zei. Dan is er dus iets aangekomen. Natuurlijk kan in theorie een leeg of gecorrumpeerd bericht zijn aangekomen, maar dan zou je verwachten dat de ontvanger daar iets van kan aandragen.

Het blijft natuurlijk lastig zolang er geen expliciete ontvangstbevestiging is mét terugkoppeling over de inhoud. Maar hoe je het in de gegeven omstandigheden wel zou moeten bewijzen als dit niet genoeg is, ik weet het niet.

Arnoud

Elektronische communicatie gaat onder het briefgeheim vallen

email-e-mail-elektronische-post-envelopElektronische communicatie als e-mail wordt opgenomen in het brief-, telefoon- en telegraafgeheim uit de Grondwet, meldde Nu.nl vorige week. De geplande Grondwetswijziging zal een generiek ‘brief- en telecommunicatiegeheim’ vermelden, zodat alle vormen van privé telecommunicatie, dus ook berichten via bv. Facebook, in principe vertrouwelijk zijn. Hiermee komt eindelijk een eind aan de onzekere status van het briefgeheim voor e-mail en socialemediacommunicatie.

Het plan artikel 13 Grondwet te wijzigen loopt al sinds 2011 maar al begin jaren nul waren er plannen om het brief-, telefoon- en telegraafgeheim aan te passen. Naast de diverse struikelende kabinetten in die tijd was ook een probleem hoe de overheid mocht inbreken op dat telecomgeheim – zou er altijd een rechter nodig zijn, of zou bijvoorbeeld de AIVD makkelijker bij elektronische communicatie moeten mogen?

Nu lijkt men daar dan toch eindelijk uit te zijn:

Beperking van dit recht is mogelijk in de gevallen bij de wet bepaald met machting van de rechter of, in het belang van de nationale veiligheid, met machtiging van een of meer bij de wet aangewezen ministers.

De “nationale veiligheid”-uitzondering is bedoeld voor de inlichtingen- en veiligheidsdiensten. Zo werkt het op dit moment al: de AIVD hoeft “alleen maar” toestemming van de minister en niet van een onafhankelijke rechter te krijgen om in mailboxen te kijken.

Het wijzigen van de Grondwet is een stuk lastiger dan het ‘gewoon’ invoeren van een wet. Er moet twee maal over gestemd worden in de Tweede Kamer, en tussentijds moeten er verkiezingen zijn geweest voor diezelfde Tweede Kamer. De theorie daarachter was dat je zo zeker wist dat ook het volk achter de wijziging stond: na het aannemen van de Grondwetswijziging in eerste lezing zouden aparte verkiezingen worden uitgeschreven met als onderwerp die wijziging. In de praktijk wordt er gewoon gewacht tot de eerstvolgende gewone verkiezingen. Verder moet er een tweederde meerderheid zijn bij die tweede keer stemmen. Natuurlijk moet ook de Eerste Kamer er in beide ‘lezingen’ van de wijziging mee akkoord zijn.

Voegt het wat toe? Ik weet het niet. Het feit dat er geen andere wetten aangepast hoeven te worden, wijst er voor mij op dat de status quo hetzelfde blijft. We leggen er alleen een mooiere formele regeling onder.

Een belangrijk gemis vind ik dat dit grondrecht enkel bedoeld is tegen de overheid. Er is geen “horizontale werking”, oftewel werking tussen burgers onderling. Dat wil zeggen dat als je buurman, internetprovider of werkgever in privécommunicatie snuffelt, je hem niet van schending van je telecommunicatiegeheim kunt beschuldigen. Je zult het moeten gooien op de algemene regel van een schending van je privacy, en dat is altijd een lastige. Wel is er nog een glimpje licht: de Grondwet zal ook vermelden dat er nadere wettelijke regels gemaakt mogen worden voor horizontale bescherming van het briefgeheim.

Arnoud