image

Juridische vraag: Mag school e-mail van leerling lezen?

woensdag 12 mei 2010, 13:41 door Arnoud Engelfriet, 15 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Laatst zat ik op school te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een "grappige site" toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen op mijn PC, want ze dachten dat ik aan het hacken was ("wat voor raar zwart/wit schermpje is dat"). Ook lazen ze mijn Gmail mail die nog openstond. Ik heb ze erop gewezen dat dat computervredebreuk was, maar ze gingen gewoon door. Wat kan ik nu het beste doen?

Antwoord: Dit is natuurlijk nogal ongepast, maar of het strafbaar is durf ik zo niet te zeggen. Volgens de wet is er pas sprake van computervredebreuk als je willens en wetens ergens binnendringt waarvan je weet dat je er niet mag zijn. Het gaat er niet (meer) om of je een beveiliging doorbreekt, maar of je op verboden terrein bent.

Wanneer een systeembeheerder gevraagd wordt om een probleem te herstellen, dan heeft hij daarmee impliciet toestemming om overal te komen waar hij redelijkerwijs zou moeten zijn om het probleem te detecteren of op te lossen. Heb je bijvoorbeeld een probleem met je mailbox waar een veel te grote bijlage in zit, dan mag de systeembeheerder in je mailbox om die bijlage eruit te vissen. Hij kan en mag dan mails doorkijken om te zien waar de bijlage zit. Natuurlijk heeft hij dan wel een geheimhoudingsplicht over wat hij aantreft (zie ook hier).

Je zou zeggen dat een beetje systeembeheerder een rickroll wel herkent en snapt dat je dan de browser via taakbeheer moet afschieten. Maar als niet duidelijk is wat er precies gebeurt, dan lijkt het me logisch dat je even alle venstertjes afloopt om te zien of er iets draait dat de problemen kan veroorzaken. Lezen van Gmail lijkt me niet echt nodig. Dat hij de pagina bekijkt die toevallig open staat, zal onvermijdelijk zijn maar doorbladeren in de mailbox is echt niet toegestaan. Tenminste, tenzij daar een hele goede reden voor is - en die kan ik bij deze vraag zo niet bedenken.

Een openstaand ssh schermpje lijkt me ook niet direct relevant, maar ik kan me voorstellen dat je even wilt weten of dat niet een systeem van de school is. En nee, de titelbalk van het venster zegt daar niets over want die is eenvoudig aan te passen. Dus ook hier ben ik geneigd tot op zekere hoogte het systeembeheer gelijk te geven. Maar op het moment dat hij daar servers gaat herstarten of rootkits gaat installeren, zou ik denk ik wel tot arrestatie op staande voet overgaan.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (15)
12-05-2010, 14:01 door Acces Denied
Oke ik heb nu een duidelijk antwoord, bedankt Arnoud!
12-05-2010, 17:38 door Anoniem
Ik heb pas de cursus particulier onderzoeker gehad.

Hierbij heb ik moeten leren: het inbreken en lezen van e--mails is strafbaar. Maar staat het scherm open en je kijkt is dit niet strafbaar. er is namelijk voor e-mail geen briefgeheim.

Wel mag je de inhoud van de e-mails niet doorvertellen.
13-05-2010, 19:30 door maarten03
F*cking rickroll in bit.ly
14-05-2010, 04:45 door Jachra
Arno,

In jouw verhaal staat vermeld dat de betreffende leerling heeft aangegeven dat de systeembeheerder daar niet mag kijken. In mijn ogen wordt de zaak dan toch echt even iets anders dan het oplossen van het (aangemelde) incident. De systeembeheerder mag dan ook alleen zich bezig houden met het oplossen van het incident en dus niet zomaar even alles bekijken. Immers kunnen er dan ook zaken worden gezien die niets met het incident te maken heeft.

Als de systeembeheerder een vermoeden heeft dat er een hack gaande is vanaf dat systeem, dan zal hij toch echt even anders moeten reageren. Immers kunnen zijn handelingen een forensisch onderzoek bemoeilijken dan wel onmogelijk maken.

Mijn advies aan de betreffende leerling zal dan zonder meer zijn dat deze zaak aan de directeur van de school moet worden voorgelegd. Enerzijds mist men duidelijke procedures aangaande (informatie) beveiliging. Anderzijds mist men duidelijk ook enige zaken omtrent netetiquette.
14-05-2010, 10:56 door Anoniem
Waarschijnlijk was die "grappige site" per mail door gestuurd. Het lijkt me dan ook zeer redelijk dat je dan als systeembeheerder kijkt of de problemen die er kwamen door het mailtje kwam.
14-05-2010, 14:26 door spatieman
een systeembeheerder die niet weet wat SSH is, apart..
14-05-2010, 15:03 door Acces Denied
Door spatieman: een systeembeheerder die niet weet wat SSH is, apart..

Apart is het zeker, ik betwijfel de eerlijkheid van de syadmin ook aangezien hij gewoon op mijn server wilde snuffelen en gewoon een excuus nodig had. Een directeur of leraar weet niet wat SSH is en als de sysadmin wat leuke termen in het gesprek gooit dan heb je al gezeik.
15-05-2010, 10:52 door [Account Verwijderd]
[Verwijderd]
15-05-2010, 14:05 door Anoniem
@ Unaniem

Een personal computer kan wel degelijk als server gebruikt worden.
15-05-2010, 17:24 door Anoniem
Kunnen jullie die link in 't artikel nie ffe fixen, Rick Ashley is zoooooooo fout..
16-05-2010, 09:53 door Anoniem
"Hierbij heb ik moeten leren: het inbreken en lezen van e--mails is strafbaar. Maar staat het scherm open en je kijkt is dit niet strafbaar. er is namelijk voor e-mail geen briefgeheim."

Volgens mij negeer je daarbij dat de gebruiker ook nog eens zeer expliciet heeft gevraagd om dit niet te doen. Het lijkt mij dat dit niet is toegestaan, en naast het briefgeheim heb je ook gewoon privacy wetgeving. Daarnaast moet je om emails te lezen ook nog zelf handelingen plegen (de emails aanklikken om ze te openen). Indien je uitgaat van het argument dat het scherm open staat, dan zou het wellicht gaan om 1 enkele email welke op dat moment zichtbaar is.
17-05-2010, 14:01 door Anoniem
Belachelijk dat een site als Security.nl een link laat staan naar die RickRoll.
Knaagt toch wel aan de vertrouwenswaardigheid.
12-06-2010, 19:07 door Anoniem
Je hebt een eigen server die je beheert via SSH en je kan niet de gevolgen van een "grappige site" oplossen? En was het jouw eigen pc of een pc van school waar jij toevallig op zat te werken?
21-11-2010, 16:08 door Acces Denied
Door Anoniem: Je hebt een eigen server die je beheert via SSH en je kan niet de gevolgen van een "grappige site" oplossen? En was het jouw eigen pc of een pc van school waar jij toevallig op zat te werken?

Ik had de vraag anders geformuleerd aan Arnoud, omdat het een best groot verhaal was. Het kwam er op neer dat school de sysadmins ingeschakeld had en ik direct achter mijn pc weg moest. Niks mocht aanraken, toen ging de sysadmin mijn bladeren door mijn server via de SSH verbinding. Ik had gezegd dat ik dat niet wilde en daar het probleem niet lag. Ook herhaaldelijk gezegd dat het tegen de privacy van mij als leerling is en dergelijke.

Ik weet zelf wel hoe je een rickroll moet uitschakelen gewoon d.m.v taakbeheer maar die is geblokkeerd op school. Het kwam er op neer dat ik bij de directeur terecht kwam en bijna van school werd gestuurd omdat de conclusie was: deze leerling heeft de school server gehackt.

Sysadmin had het verhaal/conclusie verteld maar aangezien de schoolleiding leek's zijn was het een grote zooi.
21-11-2010, 16:09 door Acces Denied
Het was trouwens pc van school.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.