Heb je nou voor pentesten óók al een verwerkersovereenkomst nodig?

Wie penetration testing oftewel securityonderzoek naar binnendringmogelijkheden uitvoert, moet een verwerkersovereenkomst sluiten met zijn opdrachtgever. Dat maak ik op uit een recente Linkedinblog die me attendeerde op een uitspraak van de Saksische Autoriteit Persoonsgegevens van die strekking. Wat natuurlijk enige onrust gaf bij professionele pentesters, want je hébt al zo’n papierwinkel voordatje aan de slag kan en moet er dan ook nog een verwerkersovereenkomst bij voor het geval je persoonsgegevens tegenkomt? Nou ja, formeel wel maar er zijn trucjes.

Bij een pentest ga je bij een klant aan de slag om zwakheden in zijn systeem te vinden. Je probeert binnen te dringen, zeg maar wat je anders computervredebreuk zou noemen. Vandaar die papierwinkel: je wilt dat je klant een pentest waiver of toestemmingsverklaring tekent waarin duidelijk vaststaat dat je niets tegen zijn wil doet, en dus niets dat wederrechtelijk en daarmee strafbaar kan worden.

Dat is voor klanten dan weer spannend, want wat als je nu iets stukmaakt tijdens dat onderzoek of verder kwam dan ingeschat en daar raak je iets dat echt niet de bedoeling was? Dat geeft dus de nodige onderhandeling vaak.

Sinds de AVG is daar een extra risico bij gekomen. Het is natuurlijk mogelijk dat je bij je security-onderzoek persoonsgegevens tegenkomt, denk aan een database met klantgegevens waar je bij kunt. Als je die database dan vervolgens downloadt (“het zal toch niet waar zijn”) dan ben je persoonsgegevens aan het verwerken, in het AVG-jargon.

En dat is dan even lastig, want hoezo mág jij dat van de AVG? Als zelfstandig ingehuurd onderzoeker heb je daar geen grondslag voor, je hebt geen toestemming van de betrokken klanten en je hebt ook geen contract met ze. Vandaar het advies: werk als verwerker, als hulpje van je opdrachtgever. Dan is wat je doet met die gegevens zijn probleem (althans; waarom dat mág dat onderzoek). Alleen zit je dan met de tegenpool dat je niet meer mag doen met die gegevens dan hij je toestaat.

Nu zou dat in de praktijk wel mee moeten vallen, want wat je gaat doen is normaliter niet meer dan een kopie maken, vastleggen wat je gevonden hebt en dan vernietigen (of teruggeven). En dat is precies wat een verwerker ook zou doen.

Het wordt alleen op formele gronden ingewikkeld: oh jee we hebben een verwerker jongens, dus hier is de standaard verwerkersovereenkomst die de boekhouder ook moet tekenen. En daarin staan dan vele dingen zoals een passend securitybeleid (met auditclausule, dus de klant komt bij jou, securityonderzoeker, kijken of je wel veilig bent – de meest hilarische case die ik had was dat de verwerker verklaarde periodiek pentests op zichzelf uit te voeren), medewerking aan inzage- en verwijderverzoeken en ga zo maar door dat echt zwaar over de top is voor zo’n onderzoek. Zeker omdat het ook nog eens aan onbeperkte aansprakelijkheid gekoppeld is.

Wat mij betreft mag je dát dus afwijzen. Je kunt in je pentest waiver of AV volstaan met een verklaring dat je verwerker bent, dat je de AVG zult naleven en dat je alle kopieën van data na logging van de gebeurtenis zult wissen, behalve eventuele kopieën die nodig zijn voor de gewenste rapportage.

Arnoud

Dus vanwege sociale media mag de krant een ophefmakende naam niet noemen?

NRC mag de naam van een ex-hoogleraar arbeidsrecht die zich schuldig maakte aan grensoverschrijdend gedrag niet publiceren, meldde de krant onlangs. Deze uitspraak in kort geding volgde op een uitgebreide en onderbouwde onthulling van de krant over dit wangedrag gedurende meerdere decennia, wat ondertussen al ontslag voor de man tot gevolg had. “[G]ezien de grote vlucht die de social media hebben genomen en alle commentaren die in de regel op uitingen van deze aard via internet te vinden zijn” vond de rechter het voldoende aannemelijk dat de man vervolgens aan de schandpaal genageld zou worden, zeker omdat NRC een kwaliteitskrant is en iedereen dus aanneemt dat het waar is wat daarin staat. Eh, wacht, die leggen we nog een keer uit.

Het recentste artikel van NRC beschrijft de gehele affaire, zo ongeveer beginnend in de studententijd van meneer B en ik kon mijn klompen bij het vuil zetten toen ik klaar was met lezen, zo vaak braken ze. Neem even de tijd en een goede kop koffie, of misschien een valium want het is niet goed voor je bloeddruk om dit zo allemaal te lezen.

De korte versie is dat NRC ontdekte dat de man al decennia grensoverschrijdend gedrag vertoonde naar studentes en vrouwelijke medewerkers toe, en dat dat gedrag breed geaccepteerd werd aan de Universiteit van Amsterdam. Vrouwen durfden geen klacht neer te leggen of konden daar nergens mee terecht, en iedereen die wat had kunnen doen, deed er het zwijgen toe. Pas naar aanleiding van de #MeToo beweging kwam daar verandering in, en toen ging het snel: neerleggen van zijn bijfunctie als raadsheer bij het gerechtshof, ontslag (pardon, bijzonder verlof) als hoogleraar et cetera. Over schuldbesef of verantwoordelijkheid nemen lees ik echter niets.

De publicatie van NRC zou ook de naam van de man noemen, wat me vrij logisch lijkt gezien zo’n schandaal van iemand in zo’n hoge positie. En dat past ook in de jurisprudentie rond journalistiek en privacy: namen noem je als ze relevant zijn, en bij een public figure zal dat al vrij snel zo zijn. “De bekende politicus Mark R. met een hoge functie in de ministerraad, maakte gisteren bekend..” nee kom nou.

De man stapte echter naar de rechter om nu juist vermelding van zijn naam te voorkomen. En het argument daarbij was de gevolgen die dat zou hebben: het verhaal gaat gekoppeld aan zijn naam rondzingen op social media, en omdat NRC zo’n kwaliteitskrant is zal niemand twijfelen aan de juistheid. Maar er is nog geen veroordeling geweest, dus is die rondzang disproportioneel. Bovendien:

Bovendien, zelfs – of juist – als hij verdachte zou zijn van een strafbaar feit, zouden de meeste media volstaan met vermelding van slechts zijn initialen en zou zijn portret in de regel onherkenbaar (moeten) worden gemaakt. Niet goed valt in te zien waarom de bescherming van de privacy van eiser in dit geval minder ver zou moeten gaan.

Met deze redenering heb ik wel de nodige moeite. NRC doet niet enkel verslag van een aanhouding en rechtszitting van een verdachte zonder verder de feiten te kennen. Dat je dan zegt, wees even terughoudend met naam en toenaam, dat kan ik ergens nog billijken. Maar dit was eigen onderzoeksjournalistiek met stevig onderbouwde feiten. Als je dan publiceert dan ben je lijkt mij behoorlijk zeker van je zaak, en dan is die naam plus verdachtmaking dus zo goed als een feit. Dat moet je toch kunnen melden bij iemand in zo’n positie?

Arnoud

Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

Een vraag via Twitter:

Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…

Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud

Mag je reacties gebruiken voor wetenschappelijk onderzoek?

Een lezer vroeg me:

Ik wil wetenschappelijk onderzoek doen naar stijlontwikkelingen in de taal, en wil daarvoor onder meer reacties van diverse grote forums gebruiken. De beheerders geven aan dat dat niet mag vanwege auteursrecht, maar zit er wel auteursrecht op de vaak korte en simpele reacties die je overal vindt? En is er geen uitzondering voor wetenschappelijke studie?

Auteursrechtelijk is het vrij simpel, als er een “eigen intellectuele prestatie” is geleverd dan zit er auteursrecht op de reactie. Een enkele “+1” of dergelijke opmerking is dus vrij, maar een zin of twee komt al door die toets heen. Ook als je niet weet wie de reageerder is en hem niet kunt bereiken.

Als site mag je aannemen dat je een licentie krijgt voor gebruik van die reacties, maar dat zal dan altijd in combinatie met het bronartikel zijn. De reacties opnemen in een corpus is dus problematisch, in theorie. Immers, dat is gebruik dat buiten de context van de site valt en dus niet door de reageerder in de licentie is toegestaan.

Soms zie je dat een site een bredere licentie eist, maar die is dan vaak weer beperkt tot enkel de forumbeheerder. Die mag er dan alles mee doen, inclusief op mokken afdrukken of in boeken compileren. In dat geval zou de forumbeheerder aan een onderzoeker kunnen toestaan dat hij de reacties gebruikt. Maar dat moet je dan echt uitzoeken vooraf, want het moet er dan wel expliciet hebben gestaan.

Juridisch gezien kun je zeggen dat wetenschappelijk gebruik eigenlijk niet als concurrerend of oneerlijk gebruik te zien is. Er wordt geen geld verdiend met de reacties, de reacties zelf worden eigenlijk niet eens verspreid. Ze worden -zoals hier- in woorden opgehakt en gebruikt voor bijvoorbeeld sentimentanalyse, detectie van taaltrends en ga zo maar door. Ook voor dergelijk analyseren is formeel toestemming nodig, want onze auteursrecht kent geen algemeen “fair use” recht en in de Auteurswet staat nergens expliciet een wettelijk recht op wetenschappelijk onderzoek naar auteursrechtelijk beschermde werken.

Daar komt bij dat je praktisch gezien zelden tot nooit ziet dat reageerders hier een punt van maken. Vaak zijn ze niet bekend, of willen ze niet zichzelf associëren met die opmerkingen. Bij een rechtszaak zou je jezelf bekend moeten maken immers. Plus, er is geen cent te halen want welke vergoeding had je kunnen vragen om je reactie te mogen gebruiken? Daar wordt alleen de advocaat rijker van dus.

Kortom het mag niet maar ik zie praktisch eigenlijk geen bezwaar om het te doen.

Arnoud

Nee, werknemers kunnen geen toestemming geven voor privacyzaken

Energiebedrijf Uniper (tot 1 januari 2016 E.ON) heeft na onderzoek van de Autoriteit Persoonsgegevens (AP) zijn alcohol- en drugscontrolebeleid voor medewerkers ingetrokken, las ik een tikje vertraagd bij de toezichthouder. Dit beleid kwam erop neer dat het bedrijf alcohol- en drugstesten wilde inzetten om onveilige situaties te voorkomen, maar dat mag niet van de AP: dergelijke informatie wordt aangemerkt als bijzonder persoonsgegeven en dat mag als werkgever alleen worden verwerkt met aparte toestemming. En die kunnen werknemers niet geven.

Eind 2015 ontving de Autoriteit Persoonsgegevens signalen van werknemers van het bedrijf dat men akkoord moest gaan met beleid over random blaastests en drugscontroles (wangslijmtest, drugshonden, controleren van auto’s en werkplekken). Als een werknemer niet zou tekenen, zouden volgens die signalen sancties volgen, zoals plaatsing op een andere positie. Echt vrijwillig is dat dus niet te noemen. (Je zou ze de kost moeten geven, alle bedrijven waar je als werknemer moet tekenen voor allerlei beleid of gebruik van je persoonsgegevens waarna wordt geclaimd dat er ’toestemming’ is.)

Dit leidde tot onderzoek, met als conclusie dat het bedrijf die gegevens echt niet zomaar mag verzamelen. Gegevens over alcohol- of drugsgebruik tellen als bijzonder persoonsgegeven – het zijn immers gegevens over gezondheid, als je het zuiver bekijkt. En als bedrijf mag je niet beschikken over dergelijke gegevens van je personeel. Ziekteverzuim en -dossiers mogen bijvoorbeeld alleen door een bedrijfsarts worden bijgehouden; de werkgever mag niet meer weten dan “Wim is ziek en waarschijnlijk maandag weer beter”. Zelfs Wim vragen “Goh wat had je eigenlijk vrijdag” is heel formeel verboden (oké oké alleen als je dat vervolgens in een bestand opslaat, of als je het hem appt).

Er zijn natuurlijk uitzonderingen. De hier meest relevante was die van uitdrukkelijke toestemming: wie in vrijheid zegt, het is prima dat je weet wat ik heb, heft daarmee het verbod op verwerking van dat persoonsgegeven op. Daar beriep Uniper zich op, maar dat sneuvelde al snel:

Uit [de wetsgeschiedenis] blijkt dus dat de toestemming niet onder druk mag worden gevraagd en gegeven. De testen worden uitgevoerd in opdracht van de werkgever. In het ‘Beleid alcohol-, medicijn- en drugsgebruik’ van 29 oktober 2015 staat dat een werknemer die geen verklaring tekent waarmee hij aangeeft in te stemmen met de testen in ieder geval een gesprek met de leidinggevende krijgt en bovendien het risico loopt op een andere positie te worden geplaatst. Een werknemer die bij de feitelijke test niet meewerkt wordt gesanctioneerd alsof er sprake is van een positieve uitslag. De werknemer wordt derhalve onder druk gezet om toestemming te verlenen. Er kan in dit geval dan ook niet gesproken worden van een ‘vrije toestemming’.

(Uniper beriep zich ook op gronden als een vitaal belang, dronken of onder de drugs gevaarlijke apparatuur bedienen is immers levensgevaarlijk. Daarvan werd echter gesteld dat de maatregel niet proportioneel was, en die laat ik verder even buiten beschouwing.)

Die uitspraak gaat natuurlijk over een specifieke context (geef toestemming of we behandelen je als drugsverslaafde en je kunt je promotie wel vergeten, even gechargeerd) maar de achterliggende gedachte is verstrekkend: een werknemer kan dus in beginsel geen toestemming geven voor privacykwesties aan zijn werkgever. Niet voor bijzondere gegevens, maar ook niet voor normale. Want ook in normale situaties is altijd enige ‘druk’ aanwezig, al is het maar de algemene druk dat je werkgever het onthoudt en mee laat wegen bij de keuze wie straks die promotie moet krijgen.

Een werkgever zal dus eigenlijk altijd een andere grondslag moeten hebben, zoals dat het nodig is voor het werk om die gegevens te hebben (wat alleen niet kan bij bijzondere persoonsgegevens) of dat hij een eigen zwaarwegend belang heeft (wat bij bijzondere persoonsgegevens overigens een ontheffing vereist). De naam en contactgegevens van personeel op je site zetten zou onder het eerste vallen; cameratoezicht met de juiste waarborgen onder het tweede.

Arnoud

Mag je de Twitter API scrapen voor wetenschappelijk onderzoek?

twitter-agent-politieEen lezer vroeg me:

Deze meneer heeft een mooie data-analyse gemaakt van Donald Trump zijn tweets: Trump zelf gebruikt een Android-apparaat en een ghostwriter nuanceert de boel vanaf een iPhone. Daarbij vroeg ik mij af of dit zomaar mocht. Twitter zegt van wel bij onderzoeksdoeleinden (onder bepaalde voorwaarden). Zoals dat je je dataset niet mag delen met anderen, wat het weer moeilijk maakt voor écht onderzoek.

Op het eerste gezicht zou je zeggen dat onderzoek op Twitterberichten geen probleem zou zijn. Onderzoek op basis van krantenberichten is al decennia oud en geen probleem. En wat is Twitter nou anders dan een krant, zij het sneller en korter en met megaveel meer berichten?

Nou ja, om er eens eentje te noemen: Twitter is een dienst, en een krant is een product. Kranten kun je dan ook legaal inzien vanuit allerlei plekken, zoals bibliotheken, zonder dat daar allerlei gebruiksvoorwaarden gelden. Natuurlijk is het kopiëren van krantenberichten auteursrechtelijk een probleem, maar onderzoeken welke artikelen in Nederlandse kranten door ghostwriter zijn geschreven, is volgens mij volstrekt legaal.

Bij Twitter ligt dat anders. Twitter is een dienst, en kan daar voorwaarden aan verbinden. Die hebben ze dan ook, maar ik kan er geen specifieke regels over wetenschappelijk onderzoek in vinden. Deze API licentie gaat primair over het kunnen vertonen van tweets in je eigen dienst, eventueel licht gemasseerd om ze passend te krijgen. Het is bijvoorbeeld expliciet verboden de berichten op te slaan, wat onderzoek al bemoeilijkt – helemaal voor het verifieerbaar maken van je onderzoek want je mag de dataset dus niet vrijgeven.

Op zich is dat legaal. Een dienstverlener mag zelf weten wat ze toestaat met de resultaten van haar dienst, er is geen regeling zoals de auteursrechtelijke uitputting die bepaalt dat beschermde producten zoals boeken of kranten vrij bruikbaar zijn voor legale verkrijgers.

In de praktijk lijkt het wel mee te vallen. Ik heb nog nooit gezien dat Twitter een sommatie stuurde naar een researcher, en kan me dat (afgezien van research dat de servers overbelast) ook eigenlijk niet voorstellen. Twitter zou er weinig mee te winnen hebben en veel te verliezen. Maar afhankelijk zijn van een welwillende opstelling van een dienstverlener is natuurlijk wat anders dan iets mógen.

Arnoud

Mag een museum oude computervirussen tentoon stellen?

oud-virus-drop-charactesHet Internetarchief heeft een collectie van virussen en andere ‘schadelijke’ software gepubliceerd die in 1980 en 1990 werd verspreid, meldde Nu.nl vorige week. Sommige van die virussen herinner ik me ook nog wel – ja, ik word oud. Vooral die ene waarbij ineens letters verticaal omlaag vielen, maar die zie ik er dan net weer niet tussen. Maar goed, juridische blog: mag dat?

Het is natuurlijk strafbaar om gegevens zoals software te verspreiden die “zijn bestemd om schade aan te richten in een geautomatiseerd werk” (art. 350a Strafrecht), en vrijwel elk virus, worm of Trojan valt daaronder. Vroegâh stond er bij dat wetsartikel nog “door zichzelf te vermenigvuldigen”, zodat Trojans er niet onder vielen en je zelfs bij gewone virussen vraagtekens kon hebben (moet de schade komen door het vermenigvuldigen, hoe dan). Maar goed, dat is gefixt.

Er is een uitzondering op dit verspreidingsverbod, lid 4:

Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.

Deze uitzondering is toegevoegd om ervoor te zorgen dat virusonderzoekers legaal hun bevindingen met elkaar kunnen delen. Soms moet je daarvoor ook immers viruscode aan elkaar geven, en dat zou toch niet strafbaar moeten zijn. Een museum heeft echter niet het oogmerk om “schade te beperken”, dat wil gewoon laten zien hoe die virussen eruit zagen.

Het “Malware Museum” heeft een andere oplossing gevonden – de code is gedeeltelijk onschadelijk gemaakt, ongeveer zoals je zou doen met een oud geweer voordat je het tentoon stelt. Zo’n aangepaste versie zou dan niet meer zijn “bestemd” om schade aan te richten, zodat je in principe niet meer strafbaar bent. Maar het zou er voor mij wel vanaf hangen hoe eenvoudig die aanpassing ongedaan te maken is. Hoewel? Iedere virusscanner is toch in staat om dit oud grut tegen te houden?

Arnoud

Mag een PC-reparateur aangifte doen van wat hij op je harddisk vindt?

Een lezer vroeg me:

Als je je pc voor reparatie aanbiedt, kan men daarbij bijvoorbeeld zien dat je illegale software gebruikt. Of, als je pech hebt, dat je echt illegale zaken hebt staan (gestolen bedrijfsgegevens, terroristische literatuur, kinderporno, vul maar in). Mogen ze daar aangifte van doen? Ze hebben toch een geheimhoudingsplicht als opdrachtnemer?

Als je een PC ter reparatie aanbiedt, dan is het logisch dat de reparateur kennis neemt van bepaalde informatie of onderdelen als dat relevant is voor de inhoud. Een expliciete geheimhoudingsplicht kent de wet niet. Er is wel de “zorgplicht van een goed opdrachtnemer”, waar je “wees discreet over privézaken van je klant” best onder kunt rekenen.

Zie je iets strafbaars, dan mag een ieder daar aangifte van doen. Dat staat los van die zorgplicht, het recht aangifte te doen als je kennis hebt van een strafbaar feit bestaat altijd. Het is dus toegestaan. Of het handig is en of het echt wat oplevert, is dan weer een andere vraag.

(Een aangifte doen is niet verplicht, behalve bij een setje zeer ernstige misdrijven zoals een dreigende aanslag op regering of Koningshuis. Ook bij moord, doodslag, hulp bij zelfdoding en bij abortus, mensenroof en verkrachting geldt deze plicht. Voor kinderporno strikt gesproken niet, tenzij je die foto’s aanvoert als bewijs van verkrachting en dan dáár aangifte van doet.)

Wanneer je illegale software aantreft, is strikt gesproken sprake van een strafbaar feit: opzettelijke inbreuk op het auteursrecht is immers een misdrijf, zo staat in de Auteurswet. Er zal echter niets met die aangifte worden gedaan, want het staand beleid van het OM is om alleen te vervolgen bij grootschalige commerciële inbreuk, bedreigingen voor de volksgezondheid en banden met georganiseerde misdaad. Dat betekent natuurlijk niet dat aangifte niet mág maar het voelt wel wat zinloos. Plus, je bent gegarandeerd die klant kwijt. Ik zou dat dus afraden.

Arnoud

Doorzoeken van een privélaptop mag ook niet zomaar

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens had van fraude.

In het originele vonnis vond de rechter het toegelaten dat de curator toegang mocht krijgen tot de laptop, maar in dit hoger beroep wordt dat echter teruggedraaid. De laptop was geen eigendom van het failliete bedrijf, dus kan de curator die niet zomaar opeisen. Wél heeft hij recht op inzage in de bedrijfsgegevens op die laptop. Hij mag een kopie van de data laten maken en deponeren bij een notaris om deze zo veilig te stellen.

Vervolgens is de vraag of de curator er ook iets mee mag doen. Mag hij de gegevens doorzoeken, of mag hij forensisch onderzoeksbedrijf IRS aan het werk zetten? Omdat het hier gaat om privacy, geeft het Hof geen algemene rechtsregel. Bij inbreuken op de privacy is het altijd afhankelijk van alle omstandigheden van het geval of het mag. Het Hof weegt dan ook de privacy van de jurist en het bedrijfsbelang van de curator tegen elkaar af. Wegen jullie mee?

In het voordeel van de jurist:

  1. het betreft een laptop in privé-eigendom;
  2. de privélaptop bevat ook “privacygevoelige privacybestanden”;
  3. de bedrijfsjurist werkte voor zakelijke doeleinden altijd via het zakelijke netwerk, zodat de betreffende gegevens ook via dat netwerk te vinden (zouden moeten) zijn.

In het voordeel van de curator:

  1. de curator heeft recht op de aan de failliet toebehorende informatie over haar administratie;
  2. de curator heeft belang heeft bij onderzoek daarvan;
  3. de bedrijfsjurist werkte dagelijks op deze laptop in het kader van zijn werk;
  4. de bedrijfsjurist was lid van het managementteam en dicht bij het bestuur werkzaam;
  5. de laptop is zowel zakelijk als privé gebruikt, zodat de bedrijfsjurist daarmee zelf heeft bewerkstelligd dat de gegevens vermengd zijn geraakt;
  6. niet is uit te sluiten dat zakelijke bestanden uitsluitend op de harde schijf van de laptop zijn opgeslagen.

De curator had aangeboden dat de jurist er de hele tijd bij mocht blijven, zodat hij kon piepen als er sprake zou zijn van privégegevens. Maar dat vond het Hof niet genoeg. De curator had namelijk te weinig instrumenten om toezicht op IRS te houden, bv. een contract waarin stond hoe IRS met de gegevens om zou gaan.

Collega Wouter Dammers van Solv advocaten maakt me nieuwsgierig met zijn opmerking dat de curator “op andere wijze(n) inzicht kunnen krijgen in de betreffende zakelijke gegevens, zonder een inbreuk te maken op de bescherming van de persoonlijke levenssfeer van de bedrijfsjurist.”

Ik ben heel benieuwd hoe dan. Dit is namelijk écht een lastig probleem. Je ontkomt er niet aan dat je als onderzoeker privégegevens tegenkomt als je gaat zoeken. Afgaan op wat de jurist in dit geval zegt, gaat niet: hij zou natuurlijk te kwader trouw belastende gegevens zogenaamd als privédata kunnen aanmerken zodat je daar niet kijkt.

Oftewel: hoe doorzoek je een privélaptop naar zakelijke gegevens zonder kennis te nemen van privégegevens?

(Ook het doorzoeken van een bedrijfspc mag niet zomaar trouwens.)

Arnoud

Massale laptopcontroles Schiphol leveren niets op

koffer-bagage-douane.pngDe Marechaussee op Schiphol heeft vorig jaar meer dan duizend maal gecontroleerd op digitale gegevensdragers, meldde nu.nl afgelopen vrijdag. Vorig jaar begon men met een proef voor het doorzoeken van digitale gegevensdragers van reizigers, met als voornaamste doel het afschrikken van mensen die digitale kinderporno Nederland in zouden willen smokkelen. De juridische basis was en is behoorlijk onduidelijk.

Journalist Brenno “Bigwobber” de Winter kreeg via de Wet Openbaarheid van Bestuur inzage in de werkwijze van de Marechaussee. Succes hadden de onderzoeken niet: geen enkele keer is iemand vervolgd naar aanleiding van zo’n onderzoek, ondanks dat 900 GSM’s, 62 harde schijven en een kleine honderd andere zaken digitaal onderzocht werden.

De aankondiging van vorig jaar zette me een beetje op het verkeerde been: ik dacht eerst dat het over de douane ging, die zeer brede doorzoekingsbevoegdheden heeft, gebaseerd op art. 1:24 Algemene Douanewet. Maar het is de Koninklijke Marechaussee, die (hoewel onderdeel van Defensie), gewoon onder de Politiewet valt en dus net als politieagenten alleen dingen kan doorzoeken op grond van het Wetboek van Strafvordering. En dan moet er toch echt sprake zijn van een verdachte (art. 27 Strafvordering) voordat zaken als inbeslagnemen of doorzoeken van goederen mogelijk worden.

Helemaal opmerkelijk vond ik wat een woordvoerder van de Marechaussee tegen Security.nl meldde:

Als we bij de inbeslaggenomen goederen gegevensdragers aantreffen die beveiligd zijn met codes of wachtwoorden hoeft de verdachte, wat u terecht al vraagt, niet mee te werken door die codes of wachtwoorden te geven”, erkent de woordvoerder van de marechaussee. Of weigeraars langer worden vastgehouden is onduidelijk, het lot van de gegevensdrager lijkt wel bezegeld. “De gegevensdrager kan wel verder worden onderzocht, met of zonder medewerking van de eigenaar/houder.”

Hier spreekt men van ‘verdachte’, wat op zichzelf al opmerkelijk is want de doorzoekingen gebeuren zonder nadere aanleiding. De criteria zijn gebaseerd op de omstandigheden – alleenstaande mannen van middelbare leeftijd die naar Thailand reizen bijvoorbeeld worden sneller geselecteerd dan getrouwde vrouwen van 65.

Maar het lijkt er zelfs op dat men gegevensdragers in beslag neemt als de eigenaar weigert deze te ontsleutelen. Dat gaat m.i. gewoon tegen de wet in: een verdachte mag niet worden gevraagd om gegevens te ontsleutelen. En dan mag er ook geen sanctie worden gekoppeld aan de weigering om die gegevens te ontsleutelen.

Arnoud