Tag: Mailbox

About Mailbox

Subscribe Feeds

Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

Geplaatst op in Privacy, Security, 19 reacties

zoeken-harde-schijf.jpgEen lezer vroeg me:

Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple en Google claimen nu het zelfde omdat de gebruiker de gebruiksvoorwaarden heeft geaccepteerd. Maar mag dit zomaar? Is dit niet in strijd met het briefgeheim?

Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen, maar kunnen datagraaien is voor opsporingsdiensten zo’n zware wens dat het elke keer op stevige bezwaren uit die hoek stuit. Plus, de Grondwet zou moeten worden aangepast en dat is een hele procedure.

Microsoft beroept zich vooral op het feit dat de servers bij haar staan. En als eigenaar van een server mag je nu eenmaal in serieuze gevallen kijken welke data erop staat. Bij wijze van analogie: de verhuurder van een garagebox mag deze ook openmaken als hij een brandlucht ruikt, of klachten krijgt dat er xtc wordt gedeald vanuit die box.

Daarbij komt dat in de voorwaarden van Hotmail staat dat Microsoft in een mailbox mag kijken “[to] protect the rights or property of Microsoft or our customers, including the enforcement of our agreements or policies governing your use of the Service;”. Ik las dat zelf altijd als “als je mailbox overlast veroorzaakt dan mogen we daarin kijken”, bv. bij mailbommen of virussen, maar Microsoft leest het nu als “als onze rechten als bedrijf in gevaar komen dan mogen we kijken”. Er staat immers “including” oftewel “onder meer als”. (De voorwaarden van Apple en Google bevatten vergelijkbare clausules.)

Nu is het natuurlijk makkelijk zulke dingen op te schrijven, maar of het dan meteen rechtsgeldig is, blijft een goede vraag. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en dat betekent onder meer dat er een belangenafweging moet plaatsvinden tussen het belang van de provider om in de mailbox te mogen en het belang van de gebruiker bij zijn digitale privacy. Want hoewel je geen briefgeheim hebt online, heb je wél recht op privacy.

Het belang “uw mailbox is gecorrumpeerd waardoor onze systemen niet meer werken” lijkt me bijvoorbeeld wel goed genoeg om even iemands privacy te mogen schenden en zijn mailbox te repareren. Zeker als de systeembeheerder dan vertrouwelijkheid bewaart over wat hij ziet in die mailbox. Het belang “uw gezicht staat ons niet aan” is bij lange na niet groot genoeg.

Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da’s een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box. En waarom hij wel maar de mailserver-eigenaar niet?

Arnoud

De verdwenen mail over het bericht in het IB-Groep-portaal

Geplaatst op in Informatiemaatschappij, 18 reacties

ibg-studie-portaal-bestuursrecht-bericht.pngAls je als student een besluit van de IB-Groep niet op tijd ziet, omdat het in je Mijn IB-Portaal geschoven is maar jij daar geen mail over hebt gehad, is het dan jouw schuld dat je te laat bezwaar maakt? In korte tijd wees de rechtbank Arnhem twee vonnissen over wat rechtens is wanneer een bericht via het “Mijn IB-Groep” portaal niet aankomt, of de student geen melding per mail krijgt dat er een bericht in dat portaal zit. De redenering in met name de tweede zaak was opmerkelijk.

In beide zaken betrof het een omzetting van een beurs voor een uitwonende naar een beurs voor een thuiswonende studerende. De IB-Groep doet dat automatisch als je adres bij hen niet overeenstemt met wat in de Gemeentelijke Basisadministratie staat. Je kunt dan bezwaar maken (bv. omdat je wél op tijd wat had doorgegeven of omdat de GBA-gegevens onjuist zijn) maar dat moet je wel binnen zes weken nadat het besluit is bekendgemaakt.

Zo’n besluit mag elektronisch worden verzonden, mits de ontvanger eerder kenbaar heeft gemaakt dat hij langs deze weg voldoende bereikbaar is (art. 2:14 Awb). En dat doe je als je je aanmeldt bij “Mijn IB-Groep”, omdat de (overigens niet online staande) Algemene Voorwaarden bepalen dat je dat doet. Je krijgt dan geen post meer met besluiten maar je berichten worden in het portal geplaatst. Wel kun je een alert krijgen als er een nieuw bericht is.

De rechtbank leidt uit de voorwaarden af dat je vanwege deze regels uit de AV erop mag vertrouwen dat je een e-mailbericht gaat krijgen als er een nieuw Bericht (ja, met hoofdletter) in je portaal is geplaatst. In beide zaken was er bewijs dat de mail was verstuurd. In de eerste zaak werd dat bewijs als volgt gewogen:

Uit het door verweerder in geding gebrachte outputbestand, waarop het e-mailadres van eiseres staat vermeld in combinatie met het Bericht van 10 april 2009, blijkt dat deze lijst is aangeboden aan Procesbeheer Multimedia. Op basis van deze lijst verzendt Procesbeheer Multimedia telkens op vrijdagmiddag na 17.00 uur de betreffende e-mailberichten aan de studerenden. De daadwerkelijke verzending van een e-mailbericht aan een studerende wordt daarmee naar het oordeel van de rechtbank echter niet aangetoond.

De studente verliest het echter toch, maar om een heel andere reden: ze was op 19 mei 2009 naar het servicekantoor van de IB-Groep gegaan waar ze werd gewezen op het bestaan van het omzettingsbesluit van 10 april 2009. Het is een vaste regel dat als je weet van een besluit, je zo spoedig als mogelijk tegen dat besluit bezwaar moet maken. En dat was hier niet gebeurd.

In de tweede rechtszaak liggen de feiten volgens mij precies hetzelfde, maar daar verliest de student.Meelezende postmasters, graag uw commentaar:

Blijkens de door verweerder verschafte informatie is het proces digitale verzending binnen verweerders organisatie zo ingericht dat het outputbestand van het “proces versturen” automatisch wordt ingelezen in een e-mailpakket, “Kanamarketing” geheten, dat per studerende een e-mailbericht aanmaakt. De ingelezen e-mailberichten worden vervolgens aangeboden aan de mailservers, die de e-mailberichten verzenden. In het e-mailpakket zelf wordt gezien of alle e-mailberichten zijn verzonden. Indien e-mailberichten niet worden verzonden, dan wordt dat door middel van een naar nul aflopende teller gesignaleerd en wordt geprobeerd het gesignaleerde e-mailbericht alsnog te verzenden.

Deze werkwijze en de registratie van de controle in het computersysteem zijn naar het oordeel van de rechtbank zodanig klein dat de kans op een fout verwaarloosbaar is. Er was ook geen bounce geregistreerd of andere indicatie dat het bericht onbestelbaar was.

U mag nu gaan gillen:

De door verweerder overgelegde uitdraaien van het outputbestand en het ontbreken van het e-mailadres op de hardbounce-lijst vormen daarbij naar het oordeel van de rechtbank voldoende bewijs voor de verzending naar, en ontvangst van het e-mailbericht op, het e-mailadres van de studerende.

Dit is namelijk écht fout: bewijs van verzending is geen bewijs van ontvangst. De HR formuleerde dat in 2004 zo:

Van een onjuiste rechtsopvatting is sprake, indien het oordeel berust op de gedachte dat een juiste adressering en aangetekende verzending op zichzelf voldoende aannemelijk maken dat de brief (tijdig) aan de geadresseerde is aangeboden. … Van een onvoldoende motivering is sprake indien het vermoeden dat de brief [eiser] heeft bereikt, alleen is gebaseerd op het gegeven dat de juist geadresseerde brief niet is geretourneerd.

En precies datzelfde lijkt me op te gaan voor e-mail. Sterker nog, juist voor e-mail aangezien het ondertussen wel gemeengoed is dat e-post regelmatig stilletjes verdwijnt in spamfilters tussen verzender en ontvanger.

Wie het verschil snapt, mag het zeggen.

Arnoud

Mijn mededirecteur leest mijn mail, mag dat?

Geplaatst op in Privacy, 6 reacties

Een lezer vroeg me:

Samen met een vriendin ben ik directeur van een Nederlands bedrijf. Sinds kort heb ik het onprettige gevoel dat zij mijn mail kan lezen. Ze laat zich dingen ontglippen die ze alleen uit mijn mail kan weten, en ook relaties vragen aan mij hoe zij dingen kan weten die wij alleen per mail besproken hebben. Ik vermoed dus dat de IT-afdeling haar toegang heeft gegeven tot mijn mail. Wat kan ik nu doen? Kan ik hen een dienstbevel geven dit te staken op straffe van ontslag?

Normaal zou ik zeggen, nee, een directeur mag niet zomaar mails van een medewerker lezen. Dat is een privacyschending. Dit moet in het bedrijfsreglement uitgewerkt zijn én er moet een gegronde reden zijn om de mails te lezen (ziekte, opvolging, sterk vermoeden van misstanden).

Hier gaat echter om twee directeuren. Ik kan ik dan voorstellen dat er iets eerder een reden is om elkaars bedrijfsmail te lezen. Het gaat dan sneller om bedrijfskritische zaken. Maar nog steeds zou er een goede reden moeten zijn, of je moet vooraf hebben besproken dat je continu toegang tot elkaars mailbox hebt.

Dit is alleen niet iets om via dienstbevelen aan de IT-afdeling op te lossen. Nee, een IT-er mag niet zelf beslissen of toegang tot een mailbox gegeven mag worden. Maar als twee directeuren elkaar tegenspreken, dan komen de medewerkers in een zéér moeilijke positie. Hoe geef je gehoor aan de simultane instructies van de ene directeur “geef me toegang tot die mail” en van de andere “ik verbied je die mail toegankelijk te maken”? Er zijn ICT-ers die zich dan gedwongen zien ontslag te nemen.

Ik zou dus zeer dringend willen adviseren dit níet via de ICT te spelen maar direct de mededirecteur hierop aan te spreken. (Als je een conflict met je medebestuurders zó laat oplopen dan kun je misschien maar beter stoppen met het bedrijf, of overdrijf ik nu?)

Arnoud

Mag een serveradmin alle berichten van klanten lezen?

Geplaatst op in Privacy, Security, 7 reacties

Een lezer vroeg me:

Mag een server-admin/eigenaar de mail van klanten op zijn server lezen? Aan de ene kant lijkt het logisch van wel: het is zijn apparatuur dus hij bepaalt wat er mag en wat er gebeurt. Aan de andere kant hebben de klanten toch recht op privacy, dus zomaar meelezen met chats of mails lijkt me dan niet de bedoeling.

Inderdaad, het is zijn apparatuur, maar dat wil nog niet zeggen dat hij dan maar alles mag met wat klanten opslaan op of verzenden met die apparatuur. Zodra je anderen toelaat op je systemen, heb je ook rekening te houden met hun belangen. Je mag niet zomaar mensen eraf gooien of zomaar meelezen met privécommunicatie.

Medewerkers van bedrijven die een telecommunicatiedienst (”dienst die geheel of gedeeltelijk bestaat in het overbrengen van signalen via een elektronisch communicatienetwerk”) aanbieden, zijn strafbaar als ze kennisnemen van de inhoud van die overgebrachte communicatie. artikel 273d Wetboek van Strafrecht. Afhankelijk van hoe je de definities leest is het verdedigbaar dat de beheerder van een forum daar ook onder valt. Het CBP vond dat in ieder geval begin vorig jaar.

Maar ook als die strafwet niet geldt, heb je als gebruiker van een systeem nog steeds enige aanspraak op privacy. Als het beheer je een faciliteit biedt die “privéberichten” heet, of e-mail waarvan iedereen die min of meer privé beschouwt, dan hoort daar de gerechtvaardigde verwachting bij dat het beheer die niet zomaar gaat lezen.

Natuurlijk kunnen er redenen zijn (spam, virussen, klachten) waarom het beheer dat wel gaat doen. Maar ze moeten er wel terughoudend mee zijn – en geheim houden wat ze lezen als ze vanwege zo’n reden gaan spitten in privéberichten.

Arnoud

Snuffelen in mailboxen: het mag

Geplaatst op in Ondernemingsvrijheid, Privacy, 12 reacties

Het is één van de meest gestelde vragen die ik krijg: mag mijn baas snuffelen in mijn mailbox? Hoofdregel is dat dat niet zomaar mag, tenzij er een zeer zwaarwegende reden is om het wel te doen. En zo’n reden leek er te zijn in de zaak uit dit arrest van de Centrale Raad van Beroep, de hoogste bestuursrechter in (o.a.) ambtenarenzaken. In deze zaak was een ambtenaar ontslagen, en de inhoud van haar mailbox stond daarbij centraal.

Het bestuur van de KVK Midden Nederland had een anonieme brief ontvangen in een interne envelop, waar de nodige zwartmakerij en ander moddergooien in stond. Daar werd een recherchebureau op gezet (waarom is dat altijd Hoffman). Dat had het originele idee om de mailboxen van medewerkers te doorzoeken om na te gaan van welke computer die brief afkomstig was. Inderdaad, mailboxen doorzoeken om de oorsprong van een papieren brief na te gaan.

Niet zo gek als het lijkt, want de brief bevatte een aantal zeer specifieke termen, en die werden ook teruggevonden in een aantal e-mails van de betrokken ambtenaar. De anonieme brief zelf werd niet aangetroffen, maar uit de mails en de rest van het onderzoek bleek dat zij “uiterst denigrerende uitlatingen had gedaan over collega’s, leidinggevenden en de organisatie, alsmede … frequent het internet voor privédoeleinden raadpleegde.” Op grond van deze bevindingen werd zij uiteindelijk ontslagen.

Bij het beroep tegen haar ontslag voerde de ambtenaar aan dat de KVK niet zomaar haar mailboxen mocht doorzoeken. De Raad verwerpt dit beroep:

Het bestuur had voldoende grond om één van zijn mede-werkers te verdenken van het schrijven van de anonieme brief en heeft in redelijkheid kunnen besluiten hiernaar een onderzoek in te stellen. De wijze waarop dit onderzoek heeft plaatsgevonden acht de Raad niet disproportioneel, nu dit werd uitgevoerd door een extern bureau en zich in eerste instantie uitstrekte tot het anoniem doorzoeken van alle e-mailboxen op de aanwezigheid van (twee) zoektermen, ontleend aan de inhoud van de anonieme brief.

Het bestuur had daarmee een gerechtvaardigd belang had om de e-mailbox van de betrokkene in te zien. En op grond van dat belang mocht zij optreden tegen de in die mails gedane uitlatingen. Dat de mails niet direct met de anonieme brief te maken hadden, was daarbij niet relevant:

Dat daarbij ook berichten zijn aangetroffen, die niet onmiddellijk zijn te herleiden tot de aan Hoffmann gegeven onderzoeksopdracht, betekent niet dat het bestuur die berichten niet ook bij zijn oordeelsvorming mocht betrekken.

Echter, het Hof vindt de sanctie van ontslag uiteindelijk te zwaar. De mails waren niet aan de hele afdeling gericht, maar alleen aan een beperkt aantal (oud-)collega’s. Ook op andere wijze had zij niet de sfeer op de afdeling negatief beïnvloed. En daarnaast zat zij al in een ‘verbetertraject’ vanwege haar eerder functioneren. Om daar nu ineens vanaf te wijken en tot ontslag over te gaan, was voor het Hof niet gepast.

Ik vind het wel een beetje merkwaardig hoe men van een brief naar mailboxen naar ontslag vanwege roddelmails naar ex-collega’s gaat, maar eerlijk gezegd zie ik niet waarom dit niet zou moeten kunnen.

Arnoud

Mag de baas privée-mail op het werk lezen?

Geplaatst op in Privacy, 13 reacties

Een lezer mailde me:

Ik stuur een e-mail naar een kennis bij een groot bedrijf. Heeft de meerdere binnen dat bedrijf recht om mijn e-mail aan die persoon te lezen? En zo ja, gaat dit ook op als ik specifiek in het onderwerp “privé” zet?

Privacy bestaat ook op het werk. Een manager mag niet zomaar de mails van werknemers gaan lezen, daar zal een dringende reden voor moeten zijn.

Een reden kan zijn dat de werknemer ziek, overleden of ontslagen is. Maar, zoals ik bij dat blogbericht al schreef, je mag dan wel in de mailbox kijken, maar je moet wel heel zorgvuldig zijn met wat je aantreft.

Als het onderwerp van een mail al aangeeft dat deze privé is, dan zou ik zeggen dat de manager die eigenlijk gewoon niet mag lezen. Hoewel, dit is recht dus er zijn altijd uitzonderingen. Ok, niet, tenzij een heel dringende reden waarbij zo goed als zeker is dat die mail iets belangrijks voor het bedrijf bevat. Al zou ik niet weten wat.

Het beste is en blijft om het privéadres van de medewerker te gebruiken voor privézaken. Wat volgens mij vandaag geen probleem meer zou moeten zijn; of zijn er nog bedrijven die Hotmail, Gmail en dergelijke blokkeren?

Arnoud

Toegang tot een mailbox na overlijden?

Geplaatst op in Security, 12 reacties

Een lezer mailde me:

Wie is eigenaar van een zakelijke mailbox wanneer de werknemer ontslag neemt of komt te overlijden. Kunnen nabestaanden de inhoud claimen? Mogen wij als bedrijf daarin kijken? Wat moet je doen met mail die na vertrek of overlijden nog binnenkomt?

Dit is een lastige situatie. In oktober 2007 blogde ik over een artikel van advocate Eva Visser over de contractuele situatie als de eigenaar van een e-mailaccount komt te overlijden. Waarschijnlijk kun je dan als erfgenaam aanspraak maken op voortzetting van het contract, zodat je de toegang tot de mailbox kunt eisen.

Hier ligt het iets anders: het gaat om een zakelijke mailbox, en er is dus geen contract dat je als erfgenaam zou kunnen overnemen. (Een arbeidscontract eindigt automatisch bij overlijden van de werknemer.) Toegang eisen tot privémails uit deze mailbox lijkt me dus iets moeilijker. Ik denk dat je hier eigenlijk alleen op de coulance van het bedrijf kunt gooien.

Een ander punt is wat collega’s mogen doen met die mailbox. Er komen tenslotte zakelijke mails op binnen en het bedrijf moet nu eenmaal verder. Ik adviseer bedrijven altijd dat je dan wel in de mailbox mag kijken, maar dat je wel heel zorgvuldig moet zijn met wat je aantreft. De collega die erin kijkt moet met andere woorden strikt vertrouwelijk omgaan met wat hij in de mailbox aantreft, en het liefst alles weggooien wat niet zakelijk relevant is.

Ik moet nog steeds een lijstje maken met accounts, wachtwoorden en wie te contacteren als ik kom te overlijden. Jullie ongetwijfeld ook. Maar waar begin je met zoiets? En wil je wel dat bv. je ouders in al je mailboxen kunnen om je vrienden te mailen dat je dood bent? Want dan lezen ze wellicht ook mails die ouders niet zouden moeten lezen.

Arnoud