Waarom vragen Wifi hotspots nog zo vaak om akkoord op vage disclaimers?

| AE 13763 | Ondernemingsvrijheid | 3 reacties

Een lezer vroeg me:

Zou je eens kunnen uitleggen of uitzoeken waarom zoveel WiFi hotspots een soort van bevestiging, of login vragen? Met daarbij een pagina met allerlei disclaimers of voorwaarden.
Wat een leuke vraag om het nieuwe jaar mee te beginnen, disclaimers én juridisch cargoculten.

Mijn inschatting is dat iedereen het doet omdat iedereen het doet (dat heet cargoculten). Er is inderdaad geen enkele juridische reden, maar het inlogscherm bevat zo’n vakje dus de leverancier vraagt ‘wat zal ik hier zetten’ en de directeur van IT googelt even een standaardtekst. Of iedereen laat het staan want het zal wel prima zijn.

De gedachte er achter is natuurlijk dat iemand iets illegaals kan doen vanaf de aangeboden internettoegang, en dat een derde jou daarvoor aansprakelijk houdt. Maar dat is al sinds grofweg eind jaren negentig geen ding meer, omdat je wettelijk gezien niet aansprakelijk bent voor wat mensen via jouw internetverbinding uithalen. Nee, ook niet als je het weet. Een hoster moet dan optreden, maar een toegangsprovider niet.

Ook zie je wel dat men dit soort teksten publiceert met de gedachte dan toestemming te kunnen eisen voor het monitoren of filteren van internetverkeer. Want ja, toestemming moet je vragen. Maar specifiek bij het kunnen monitoren of filteren van internetverkeer heb je helemaal geen toestemming nodig, nog los van dat men die drie seconden na het inloggen weer kan intrekken zonder gevolgen. 

Je kunt je hier prima beroepen op een legitiem belang (netwerkbeveiliging) en dan mag je monitoren, mits je maar informeert dat je dat doet. Dus dat is dan de énige reden om een tussenscherm te doen: je wilt mensen keurig tijdig informeren waar op wordt gemonitord, wat er wordt tegengehouden en wanneer je kunt worden afgeknepen/afgesloten. Maar dat kun je ook doen op het bordje waar je mensen vertelt wat de SSID of het wachtwoord is, met een link naar de privacyverklaring.

Arnoud

Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.

Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.
Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.
Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.

Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud

 

Mag ik een klant persoonsgegevens over zijn logins verschaffen?

| AE 9761 | Informatiemaatschappij, Security | 8 reacties

Een lezer vroeg me:

Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account – en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud

Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

| AE 7067 | Security | 22 reacties

Een lezer vroeg me: Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?… Lees verder