Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

| AE 6519 | Privacy, Security | 18 reacties

zoeken-harde-schijf.jpgEen lezer vroeg me:

Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple en Google claimen nu het zelfde omdat de gebruiker de gebruiksvoorwaarden heeft geaccepteerd. Maar mag dit zomaar? Is dit niet in strijd met het briefgeheim?

Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen, maar kunnen datagraaien is voor opsporingsdiensten zo’n zware wens dat het elke keer op stevige bezwaren uit die hoek stuit. Plus, de Grondwet zou moeten worden aangepast en dat is een hele procedure.

Microsoft beroept zich vooral op het feit dat de servers bij haar staan. En als eigenaar van een server mag je nu eenmaal in serieuze gevallen kijken welke data erop staat. Bij wijze van analogie: de verhuurder van een garagebox mag deze ook openmaken als hij een brandlucht ruikt, of klachten krijgt dat er xtc wordt gedeald vanuit die box.

Daarbij komt dat in de voorwaarden van Hotmail staat dat Microsoft in een mailbox mag kijken “[to] protect the rights or property of Microsoft or our customers, including the enforcement of our agreements or policies governing your use of the Service;”. Ik las dat zelf altijd als “als je mailbox overlast veroorzaakt dan mogen we daarin kijken”, bv. bij mailbommen of virussen, maar Microsoft leest het nu als “als onze rechten als bedrijf in gevaar komen dan mogen we kijken”. Er staat immers “including” oftewel “onder meer als”. (De voorwaarden van Apple en Google bevatten vergelijkbare clausules.)

Nu is het natuurlijk makkelijk zulke dingen op te schrijven, maar of het dan meteen rechtsgeldig is, blijft een goede vraag. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en dat betekent onder meer dat er een belangenafweging moet plaatsvinden tussen het belang van de provider om in de mailbox te mogen en het belang van de gebruiker bij zijn digitale privacy. Want hoewel je geen briefgeheim hebt online, heb je wél recht op privacy.

Het belang “uw mailbox is gecorrumpeerd waardoor onze systemen niet meer werken” lijkt me bijvoorbeeld wel goed genoeg om even iemands privacy te mogen schenden en zijn mailbox te repareren. Zeker als de systeembeheerder dan vertrouwelijkheid bewaart over wat hij ziet in die mailbox. Het belang “uw gezicht staat ons niet aan” is bij lange na niet groot genoeg.

Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da’s een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box. En waarom hij wel maar de mailserver-eigenaar niet?

Arnoud

Afgifte persoonsgegevens achter Gmail-account verplicht

| AE 1271 | Privacy | 5 reacties

Ruzie met je mede-directeur, in echtscheiding liggen en er dan ook achterkomen dat allebei die wederpartijen weten wat je mailt. Daar zou ik ook boos om worden. De directeur van een bedrijf had ruzie met een compagnon, en lag ook nog eens in een zo te lezen niet prettig verlopende echtscheidingsprocedure. Tijdens de afwikkeling bleek dat zowel die compagnon als zijn vrouw kennis hadden van dingen die alleen in e-mails van en naar anderen stonden, zo wisten Zibb en de Telegraaf te vertellen. Enig onderzoek door een ingehuurde systeembeheerder bracht een stiekem ingestelde forwarding regel aan het licht, die alle mail kopieerde naar een Gmail-mailbox.

Het lag redelijk voor de hand dat die compagnon die regel had ingesteld, omdat hij als enige de gelegenheid en vakkennis had om dit te kunnen doen. Maar om dat te bewijzen, valt nog niet mee. Vandaar dat deze directeur Google voor de rechter sleepte en eiste dat het bedrijf de persoonsgegevens zou afgeven van de eigenaar van de mailbox.

De rechtbank toetst het verzoek aan het Lycos/Pessers-arrest, en herformuleert de eisen die daarin gesteld zijn in het vonnis als volgt:

  1. Het moet voldoende aannemelijk zijn dat sprake is van onrechtmatig handelen van de desbetreffende gebruiker.
  2. Het dient buiten redelijke twijfel te zijn dat degene van wie de gevraagde persoonlijke gegevens ter beschikking dienen te worden gesteld ook daadwerkelijk degene is die zich aan dit handelen schuldig zou hebben gemaakt.

Als hieraan is voldaan, moet de rechter nog een afweging maken tussen de privacybelangen van de betrokkenen bij het geheim houden van hun gegevens en het belang van de eiser om tegen het onrechtmatig handelen op te treden. Met andere woorden, wat is erger, de privacyschending door te onthullen wie er achter zit, of de onrechtmatige daad gepleegd door die persoon?

In deze zaak had de rechter er geen moeite mee om de afweging in het voordeel van de eiser uit te laten vallen. De belangrijkste overweging:

4.8. Zoals onder 4.5 overwogen is aannemelijk dat het Gmail-adres ook is gebruikt om de inhoud van aan [bestuurder] gerichte e-mails aan derden te overhandigen. Dit levert misbruik jegens [eiseres c.s.] op. De ernst van dit misbruik van het Gmail-adres en de gevolgen daarvan voor [eiseres c.s.] leveren een zo zwaarwegend belang van [eiseres c.s.] op dat het belang van Google bij de bescherming van de privacygevoelige informatie van haar gebruikers in dit geval dient te wijken.

Google moest dan ook de IP-adressen achter het account afgeven, plus het secundaire (backup) e-mailadres dat daaraan gekoppeld was.

Via Boek9.nl.

Arnoud