Keulse rechtbank dwingt Tutanota hele postvakken inzichtelijk te maken

| AE 12369 | Ondernemingsvrijheid, Regulering | 20 reacties

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden omdat alle versleuteling bij de client plaatsvindt. Echter, toen een Keulse autoleverancier via Tutanota een afpersingsmail ontving en de politie een onderzoek startte, vonniste de Keulse rechtbank dat Tutanota dit mogelijk moet maken, omdat de webmaildienst ‘meewerkt aan het leveren van telecommunicatiediensten’. Houd de paracetamol bij de hand, want dit vergt héél veel juridische definities.

De kern van de zaak is dat telecommunicatiediensten in Europa verplicht aftapbaar moeten zijn bij ernstige misdrijven als deze. In Nederland is er dus geen twijfel dat KPN of Ziggo een telefoongesprek via haar netwerk moet laten tappen, en dat gaat dan zowel om IP-netwerkverkeer als gewone telefonie.

Tutanota is geen internetprovider maar wat juristen noemen een “dienst van de informatiemaatschappij”, en dat is wezenlijk wat anders. In ISO/OSI termen: die zitten in laag 7, en telecom zit grofweg in lagen 1 tot 5. Een ander niveau van technische werking, dat in de kern wettelijk omschreven wordt als een

gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd.
Tutanota verspreidt informatie, geen signalen. Dat voelt vrij logisch, toch duurde het tot 2019 voor het Hof van Justitie hier een definitieve uitspraak over deed:
a web-based email service which does not itself provide internet access, such as the Gmail service provided by Google LLC, does not consist wholly or mainly in the conveyance of signals on electronic communications networks [] does not constitute an ‘electronic communications service’ within the meaning of that provision.
Het maakt daarbij niet uit dat Google zelf backbone-kabels heeft liggen of andere verrichtingen doet die wél het overbrengen van signalen opleveren. Dat staat immers in principe los van de webmaildienst waar het hier om gaat.

Helaas heeft in de Tutanova-zaak de rechter niet gemotiveerd waarom zhij hier anders tegenaan kijkt. Ik zie zelf geen verschil in de werking van Tutanova en Gmail, internet-technisch bekeken. Ik hoop dus ook dat men in hoger beroep gaat, hoewel dat voor deze specifieke vordering niet uitmaakt: de Duitse justitie heeft in de tussentijd toegang tot de informatie van deze afperser.

Arnoud

Kijk die Belgen delen wél AVG boetes uit waar je wat aan hebt

| AE 12043 | Ondernemingsvrijheid | 7 reacties

De Belgische Gegevensbeschermingsautoriteit heeft een AVG-boete van 10.000 euro uitgedeeld aan een bedrijf, meldde Tweakers begin deze week. Het bedrijf stuurde “door een menselijke fout” een marketingmail naar een verkeerd persoon en deed te weinig om dat probleem op te lossen. Zo te zien was zijn mailadres zonder zijn medeweten toegevoegd aan een commercieel mailbestand waar het bedrijf een reclamebericht mee stuurde, alleen kon niemand hem vertellen waar het adres vandaan kwam of waarom het in het mailbestand stond. Oh en in de tussentijd kreeg hij gewoon nóg een keer reclame. Dat voelt wel erg rommelig dan natuurlijk. Opvallend, het gaat dus om één fout mailbericht dat door een handmatige fout (zo te lezen het overtypen van een papieren formulier) en dat zou leiden tot een boete? Kijk, dat moeten we hebben.

Het reclamebericht was voor een workshop voor kleine ondernemingen, maar de ontvanger was geen klant bij het bedrijf en had ook geen idee hoe die aan zijn mailadres was gekomen. Vandaar een vraag (artikel 15) hoe dat zat. Daar kwam de nodige uitleg op (na een irritante vraag om naam en geboortedatum, hoezo is dat relevant bij een e-mailnieuwsbrief).

Na enig heen en weer mailen kwam er niet echt soelaas. En toen kreeg meneer nóg een keer die reclame gestuurd. Dat wijst erop dat de organisatie haar processen niet op orde heeft: dat mailadres had op zijn minst direct tijdelijk bevroren moeten worden, totdat duidelijk was waar de optin of andere grondslag vandaan kwam. Maar zoals ik het lees, zat de helpdesk in het proces “AVG lastpak, afpoeieren” en wist de marketingafdeling niet van enige klacht. Niet handig natuurlijk.

Vervolgens werd het stil aan de overkant, waarna de man naar de Gegevensbeschermingsautoriteit (Gba) stapte. Die nam de klacht serieus en constateert de nodige overtredingen. Geen transparantie (waar komt het mailadres vandaan), geen duidelijke uitleg (artikel 12), geen overzicht kunnen geven van de persoonsgegevens – en geen duidelijk geborgd proces met maatregelen om de verwerkingen aan de AVG laten conformeren (artikel 24). Want alleen maar netjes reageren op vragen, en zelfs de mailadressen dan snel weghalen, is niét hetzelfde als je hele organisatie AVG compliant hebben draaien.

De voornaamste reden om dan direct een boete op te leggen, is omdat dat laatste punt “verontrustend” is gezien de omvang van de organisatie. Een groot bedrijf (al heb ik geen idee hóe groot, dat blijft anoniem) kan niet gewoon doorhobbelen met enkel wat instructies voor de helpdesk en handmatig ingrijpen als er een keer een klacht komt. Die moet de boel op orde hebben. Daar staat tegenover dat de overtreding relatief gering is, zodat uiteindelijk de boete op 10.000 euro neerkomt.

Een kleine boete, voor zo’n groot bedrijf? Kennelijk dacht men er zelf anders over: er werd onmiddellijk bezwaar gemaakt tegen publicatie, omdat dat tot “onherstelbare reputatieschade” zou lijden. En daarom ben ik er ook blij mee: dit soort boetes maakt wél indruk, want het is niet leuk en laat zien dat je de boel niet op orde hebt. En omdat het gaat om het soort fout dat u of ik ook kunnen maken, is het generaal preventief effect van die boete een stuk hoger dan bij een boete van zeg 50 miljoen voor Google. Dus ik hoop dat er nog vele volgen.

Arnoud

Mag je inzage in je emailarchief weigeren onder de AVG?

| AE 12029 | Privacy | 21 reacties

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me: Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren? De AVG stelt als een van haar beginselen dat… Lees verder

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Ondernemingsvrijheid, Privacy | 13 reacties

Een lezer vroeg me: Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Privacy, Security | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

| AE 8139 | Privacy, Security | 9 reacties

Een lezer vroeg me: Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan? Er is geen wettelijke regel die… Lees verder

Engelse MP wil verbod op e-maildisclaimers, maar hoe dan?

| AE 7303 | Iusmentis, Privacy | 17 reacties

De Engelse parlementariër Alan Duncan wil een verbod op de “meaningless missives” die iedereen klakkeloos onder zijn e-mails hangt, zo las ik bij de BBC. Heerlijke speech ook. Een verbod op e-maildisclaimers, hoe w00t is dat. Alleen: is het haalbaar, en hoe ga je dat in vredesnaam opschrijven? E-maildisclaimers zijn velen al jaren een doorn… Lees verder

Hoe bewijs je nu dat een e-mail is aangekomen?

| AE 6804 | Privacy | 30 reacties

Bewijzen dat een e-mail is aangekomen, ga er maar aan staan. Het valt niet mee met voldoende zekerheid aan te tonen dat iemands mailserver een bericht heeft ontvangen, tenzij men natuurlijk een reactiemailtje heeft gestuurd. Maar in een recente rechtszaak was dit bewijs best belangrijk: per e-mail waren instructies gestuurd over het doorzetten van een… Lees verder

Elektronische communicatie gaat onder het briefgeheim vallen

| AE 6795 | Privacy | 25 reacties

Elektronische communicatie als e-mail wordt opgenomen in het brief-, telefoon- en telegraafgeheim uit de Grondwet, meldde Nu.nl vorige week. De geplande Grondwetswijziging zal een generiek ‘brief- en telecommunicatiegeheim’ vermelden, zodat alle vormen van privé telecommunicatie, dus ook berichten via bv. Facebook, in principe vertrouwelijk zijn. Hiermee komt eindelijk een eind aan de onzekere status van… Lees verder