Achtergrond

Juridische vraag: mag werkgever mijn e-mails lezen?

woensdag 6 oktober 2010, 11:14 door Arnoud Engelfriet, 17 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vanwege het grote aantal vragen de afgelopen weken deze keer weer een "bezemwagen"-editie van de juridische vraag.

Vraag: Mijn werkgever blijkt stiekem onze mails te lezen. Een collega en ik waren wat aan het geinen per mail, en hij werd op het matje geroepen en kreeg een officiële waarschuwing. Kan dat zomaar!

Antwoord: Nee, dat kan niet zomaar. Het lezen van mails van werknemers is alleen toegestaan als daar een concrete aanleiding voor is, bijvoorbeeld klachten van collega's of klanten dat deze de mail misbruikt. Een werkgever mag niet zonder aanleiding mails van werknemers gaan scannen op mogelijk ongepast of niet-werkgerelateerd gebruik. (Laat je je mail openstaan op je monitor en zet je de screensaver niet aan, dan mag je werkgever natuurlijk wel lezen wat er op het scherm staat.)

Vraag: Welke scans mag ik met een programma zoals Nessus uitvoeren zonder toestemming van de beheerder van een website en voor welke scans moet de beheerder van die website toestemming hebben gegeven?

Antwoord: Je mag natuurlijk de informatie die een websserver normaal al afgeeft, waarnemen en vastleggen. Maar in principe heb je voor elke verder gaande scan de toestemming van de eigenaar/beheerder nodig. Ik denk dan aan portscans, opvragen van niet-bestaande URLs of XSS en aanverwante grappen. Ik kan me moeilijk een reden voorstellen waarom je zonder overleg of toestemming andermans sites zou moeten scannen op mogelijke beveiligingsfouten.

Een tijdschrift of organisatie zou wellicht in het kader van vrije nieuwsgaring bij een groep websites een scan kunnen uitvoeren om hun kwetsbaarheid te meten. De publicatie is dan in het algemeen belang, omdat je dan de veiligheid van websites in het algemeen als onderwerp neemt. Maar je moet dan echt meer dan één bedrijf onderzoeken en daarbij ervoor zorgen dat je niet verder gaat dan nodig voor het nieuwsbelang. Kijken of je een site "drop database" kunt laten uitvoeren, is journalistiek niet relevant.

Vraag: Wat zijn de juridische aspecten van het openbreken(termineren) van https verkeer? Dit openbreken gebeurt meestal om malware te kunnen bestrijden. Hiervoor is een aparte appliance(proxy) nodig, welke zich bevindt op een beveiligd segment in het netwerk. Deze appliance werkt als het ware als een man-in-the-middle en doet zich t.o.v. de webserver als een client voor. Zo kan hij al het verkeer scannen, terwijl de echte client en server denken dat ze direct met elkaar praten over een beveiligde verbinding.

Antwoord: Ik ken geen specifieke wet die dit openbreken verbiedt. Zolang het puur om het scannen op malware en aanverwante evidente beveiligingsrisico's gaat, denk ik dat het wel legaal zou moeten zijn. Maar zodra het verandert in bv. meelezen van privemail van medewerkers of het vastleggen van bankgegevens, wordt het een ander verhaal. Daar is geen legitieme reden voor, en dat kan dan ook als strafbaar "vastleggen van vertrouwelijke elektronische communicatie" gezien worden.

Vraag: Eén van onze managers heeft een conflict binnen het managementteam en heeft mij (systeembeheerder) gevraagd om al zijn mails op een DVD'tje te branden zodat hij die naar huis kan nemen. Dat is tegen ons bedrijfsbeleid, maar hij zegt dat hij bang is dat zijn mails (en daarmee bewijs van zijn standpunt) morgen ineens verdwenen blijken te zijn. Moet ik hieraan meewerken?

Antwoord: Ik denk niet dat je hieraan moet meewerken. Als het duidelijk vastgelegd is dat dit niet gevraagd kan worden, dan kan deze manager dat niet van je vragen. Laat je niet meeslepen in andermans arbeidsconflicten, zeker niet door informatie door te geven die mogelijk als bedrijfsgeheim gezien kan worden. Zie ook mijn antwoord van juni vorig jaar over de vraag of een systeembeheerder gedwongen kan worden tot monitoren.

Vraag: Veel internetproviders leveren modems af die slechts in beperkte mate door de gebruiker zijn aan te passen, en dus ook niet door de gebruiker zijn te beveiligen. In hoeverre is zo’n provider nu verantwoordelijk voor eventuele inbraak op het modem, en op het achterliggende (al of niet
beveiligde) netwerk?

Antwoord: Dat is juridisch gezien een open vraag. Als professioneel dienstverlener heb je een zorgplicht: je moet je diensten met een passende mate van zorgvuldigheid uitvoeren. Doe je dat niet, dan word je aansprakelijk voor de schade die daar het gevolg van is. (En nee, dat is niet uit te sluiten in je kleine lettertjes). Om een provider aansprakelijk te stellen, moet je dan wel kunnen bewijzen dat hij deze zorgplicht geschonden heeft én dat de schade niet zou zijn opgetreden als de provider wel het modem afdoende had beveiligd. En met name dat laatste is vrijwel niet te bewijzen denk ik. Maar om hier een antwoord op te krijgen, moet er echt iemand naar de rechter.

Vraag: In mijn zoektocht naar de geldigheid van elektronische handtekeningen stuitte ik in artikel 3:15a van het Burgerlijk Wetboek op de term “authentificatie”. Volgens de Van Dale bestaat dit woord niet. Authentificatie klinkt mij in de oren als een rare samentrekking van “identificatie” en “authenticatie”. Is authentificatie een typisch juridische term, of staat er een fout in het Burgerlijk Wetboek?
http://lexius.nl/BW3/15a

Antwoord: Ik heb eerlijk gezegd geen idee waar deze term vandaan komt. Of nou ja, dat weet ik wel maar het helpt niet echt: Richtlijn 99/13/EG introduceert de term in het kader van regels over elektronische handtekeningen. De Engelse versie spreekt van "authentication", de Duitse van "Authentifizierung" en de Franse van "authentifier" - wat allemaal vertaald wordt met "authenticatie".

De parlementaire behandeling van het wetsvoorstel voor artikel 3:15a geeft ook weinig opheldering. Het woord wordt zonder nadere toelichting gebruikt. Wie het weet, mag het zeggen!

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Column: De veiligheid voorbij (deel 2)

Column: De veiligheid voorbij (deel1)

Reacties (17)

06-10-2010, 11:34 door Anoniem

Het woord Authentificatie werdt vroeger veel gebruikt door mensen die het niet helemaal snapte. Professionals gebruiken dit woord niet meer juist omdat het verkeerd is. Het woord werd vroeger idd gebruikt als samentrekking van Identificeren en Authenticeren. De uitspraak als "Je kunt een persoon authentificeren doormiddel van zijn/haar id en wachtwoord" was vroegr algemeen. We weten nu dat dit verkeerd is en dat er bedoeld wordt "Je kunt een persoon authenticeren doormiddel van zij/haar ID en een wachtwoord." Wachtwoord is hier slechts een voorbeeld.

Frans.

06-10-2010, 13:58 door Wim ten Brink

Wat zijn de juridische aspecten van het openbreken(termineren) van https verkeer?

Hier zit nog een ander aspect bij, namelijk dat je verantwoordelijk bent voor de privacy van de betrokkenen. Als de proxy die je in het midden hebt gep[laatst bijvoorbeeld een beveiligingslek heeft waardoor login-gegevens van online bankieren stiekem door een hacker worden opgeslagen en misbruikt dan heb je daar als werkgever natuurlijk wel de verantwoording voor. Als werknemer moet je er toch op kunnen vertrouwen dat je in een veilige omgeving werkt en kennelijk levert het gebruik van verkeerde proxy-software dan alsnog een gevaar op.
Zelfs al lees je niet zelf alle informatie die over https wordt verstuurd, als iemand anders dit wel kan via de proxy, dan zit je met de gebakken peren. (En geloof mij, gestoofd zijn peren lekkerder dan gebakken.)

08-10-2010, 10:33 door Prlzwitsnovski

Authentificatie is Nederlands, Authentication is engels.
Net als dat optimalisatie in het engels optimisation is kunnen er in het nederlands nog wel eens wat letters bij worden gegooid.

Wel vreemd dat er in de wet woorden worden gebruikt die niet in het woordenboek staan.

08-10-2010, 10:54 door Anoniem

"Kijken of je een site "drop database" kunt laten uitvoeren, is journalistiek niet relevant."

Een van mijn favoriete quotes van jouw :)
"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)

08-10-2010, 12:14 door Wim ten Brink

Een drop database lijkt mij anders wel leuk om bij te houden. Ben wel een zoetekauw... :-) Toch is het volgens mij niet handig om op sites te zoeken naar drop databases, of drop tabellen. Er zijn immers bijwerkingen die lastig te herstellen zijn. Erg schadelijk voor je onderzoek.
Maar goed, het is handiger om dan te zoeken of je bepaalde "CREATE" commando's kunt uitvoeren om er data bij te plaatsen. Het is ook opvallend dat men vaak beveiligt tegen het verwijderen van data, maar veel minder tegen het toevoegen van gegevens. Zo worden regelmatig bepaalde websites voorzien van extra web-pagina's met data en andere data om zo misbruik te maken van de opslagruimte van die servers om zo allerlei foute pagina's door te publiceren. (Plus, het is altijd handig als malware niet op je eigen site staat.)

10-10-2010, 15:42 door Bitwiper

Door Arnoud Engelfriet: Vraag: Veel internetproviders leveren modems af die slechts in beperkte mate door de gebruiker zijn aan te passen, en dus ook niet door de gebruiker zijn te beveiligen. In hoeverre is zo’n provider nu verantwoordelijk voor eventuele inbraak op het modem, en op het achterliggende (al of niet beveiligde) netwerk?

Antwoord: Dat is juridisch gezien een open vraag. Als professioneel dienstverlener heb je een zorgplicht: je moet je diensten met een passende mate van zorgvuldigheid uitvoeren. Doe je dat niet, dan word je aansprakelijk voor de schade die daar het gevolg van is. (En nee, dat is niet uit te sluiten in je kleine lettertjes).

Arnoud, zoals altijd weer interessant leesvoer van jou (elk van de items had wat mij betreft een eigen bijdrage gerechtvaardigd).

Betekent dit ook dat de kleine lettertjes onder overeenkomsten met softwareleveranciers (zoals Microsoft), betreffende het feit dat ze nergens voor aansprakelijk gehouden kunnen worden, niet per definitie rechtsgeldig zijn?

Zie ook m'n thread over het kennelijke ontbreken van een server voor Windows Mobile (security) updates (https://secure.security.nl/artikel/34699/1/WinMobile_update_werkt_niet%3F.html). Het lijkt er sterk op dat geen van de partijen (Microsoft, telefoon-fabrikanten en telecom-providers) zich verantwoordelijk voelt hier iets aan te doen.

12-10-2010, 11:29 door Arnoud Engelfriet

Bitwiper, excuses voor de late reactie.

Inderdaad, die kleine lettertjes zijn zeker naar consumenten toe niet per definitie rechtsgeldig. Je mag je aansprakelijkheid niet zomaar inperken. De wet zegt dat ze "vermoedelijk onredelijk bezwarend" zijn. Oftewel: de bewijslast ligt bij een eventuele rechtszaak bij de leverancier dat zij toch echt die uitsluiting van aansprakelijkheid moeten hebben omdat ze anders geen zaken kunnen doen. Bij b2b mag zo ongeveer alles afgesproken worden, tot en met totale uitsluiting van aansprakelijkheid.

13-10-2010, 23:07 door Bitwiper

Dank voor jouw -interessante- reactie! Wie weet ga ik nog wel eens gebruik maken van deze kennis... (bijv. die smartphone is m'n prive eigendom).

15-10-2010, 08:44 door Syzygy

Interessante materie Arnoud,
Bedankt voor de informatie

Ik heb in het verlengde hiervan een beetje rare hypothetische vraag.
Het gaat hier dus om de wettelijke aansprakelijkheid of zoals men wil, wat zegt de wet hierover !

Stel:

Iemand op een Forum heeft een vraag over een scriptje.
Ik antwoord: Ik schrijf dat scriptje wel voor je en je kunt het downloaden op mijn FTP server
Ik geef de persoon de URL van de FTP server maak voor hem een account aan met password (voor tijdelijk gebruik)
Omdat er mijns inziens verder NIETS SPANNEND op de ftp site staat plaats ik het antwoord openbaar op het Forum !
Iedereen kan dus met die usernaam en wachtwoord inloggen als men dat wil !!!!!!!!!!

Nou staat er op mijn ftp site een map "backup"
Daarin staat een iso van een door mij gekochte CD (met licentie) van Windows XP.

Iemand van MS komt op dit Forum en kijkt op mijn FTP site (terwijl ik alleen die ENE PERSOON permissie heb gegevens om op de FTP te komen)

Vervolgens deponeert de persoon van MS een klacht omdat er een iso van de XP CD staat.

( DIT IS HYPOTHETISCH DUS GEEN REACTIE OVER DE STUPIDITEIT GRAAG ;-)

Arnoud:

Mag de persoon van MS (maar iedere ander buiten de persoon waarvoor het geschreven is) met die USERNAME en PASSWORD op mijn FTP site inloggen , dus valt dat dan onder HACKEN of iets onder gelijke noemer.

of

Mag dat wel en kan de persoon van MS (of elk ander) zich beroepen op NALATIGHEID van de eigenaar/beheerder van de FTP site.

Wat zegt de wet hierover ????????

Ik ben erg benieuwd.

15-10-2010, 08:50 door Arnoud Engelfriet

Volgens mij is zelf publiceren van een inlognaam en wachtwoord hetzelfde als het wachtwoord ergens afhalen. Als jij een publieke FTP-site hebt, mag iedereen inloggen en dus ook MS. Dus het lijkt me dat als jij op het forum adverteert met een wachtwoord, andere geïnteresseerden ook mogen kijken. Heel misschien wordt het voor hen illegaal als je erbij zet "Deze login is ALLEEN voor pietje, verder mag niemand inloggen hoor!" - de wet computercriminaliteit eist "kennis dat je op verboden terrein bent" (ook als je geen beveiliging doorbreekt). Maar ik kan dit moeilijk als zulke kennis zien.

Los daarvan: zelfs als MS bij je in zou breken en dan zou zien dat je illegaal Windows draait, dan mogen ze je een proces aan doen en schadevergoeding eisen. Jij kunt de inbrekende Microsofter dan laten vervolgen maar dat heft jouw aansprakelijkheid niet op. (Verhaaltjes over onrechtmatig verkregen bewijs en poisonous tree komen uit Amerikaanse rechtbankseries, niet uit ons wetboek.)

Vergelijk het iets realistischer voorbeeld: jij werkt als systeembeheerder ergens en je ziet grootschalig illegaal Microsoftsoftware in gebruik. Je kaart het aan, men doet niets. Je besluit klokkenluider te gaan spelen en je schendt je contractuele geheimhouding door het MS te gaan vertellen. MS mag nu in actie komen. Dat jij je geheimhouding schondt, staat daar los van. Dat jij mogelijk op staande voet ontslagen wordt, eveneens. Of dat ontslag rechtmatig is (want klokkenluiden mag, onder omstandigheden), is voor hen irrelevant.

15-10-2010, 09:03 door Syzygy

Arnoud,

Ronduit geweldig

Bedankt voor je snelle ractie

Even een voetnoot, in dit geval is de FTP dus niet openbaar benaderbaar (vandaar dus de login en het password)
De XP iso is tevens NIET illegaal, gewoon een backup van je eigen cd i.g.v. een kras op de fysieke CD
Toevallig staat hij op je FTP server als backup

15-10-2010, 09:14 door Arnoud Engelfriet

De FTP server is wel openbaar want je hangt de usernaam/password op een openbaar forum. Dat vind ik hetzelfde als een open FTP server.

Een online kopie van een XP CD waar derden erbij kunnen is wel illegaal. Backups horen in je kluis of in een prive-FTP site voor mijn part, maar als derden erbij kunnen dan is dat geen backup meer. Je mag geen backups voor anderen beschikbaar stellen.

15-10-2010, 09:54 door Wim ten Brink

Het is natuurlijk nog wel de vraag in hoeverre die Windows XP ISO illegaal is. Per slot van rekening is MS gestopt met het ondersteunen van XP t/m service pack 2. De rest van XP is binnenkort vast ook over de kling gejaagd en dan is XP eigenlijk een dood product. Je kunt je dan ook afvragen hoeveel schade MS heeft aan het illegaal kopieren van een product dat ze zelf niet meer verkopen en niet meer ondersteunen!
Daarnaast heb je meer nodig dan alleen de XP ISO. Je moet je XP versie immers ook registreren en daarbij wordt je registratie-code bij MS aangemeldt, waarna je ook nog eens de benodigde updates binnen gaat krijgen. Zonder registratie-code is die ISO eigenlijk redelijk waardeloos.
-
Een beter voorbeeld zou een Windows 7 ISO zijn met een readme.txt bestandje erbij met licentiecode en overige informatie. Jammer alleen dat Microsoft ook nog eens controleert of een licentiecode al eerder is geregistreerd en zo ja, met welke hardware... Eigenlijk geef je op die manier je Windows licentie weg aan de eerste de beste die jouw licentiecode gaat gebruiken. Als jij hem daarna wilt gebruiken is de kans groot dat je pech hebt. En wie zegt dat dit niet mag?

15-10-2010, 11:09 door Syzygy

@WorkshopAlex

Inderdaad goed opgemerkt, het had dus ook een ISO van 7 kunnen zijn, het gaat om het idee erachter en niet zo zeer om de versie. Het had ook Office of een ander product van wie dan ook kunnen zijn dat niet vrij te downloaden is.
Tevens ging het in dit geval niet om een apart bestand met de licentiecode dat op de site zou staan maar louter om een backup van de originele CD (waarvan de licentiecode wel in mijn bezit is, in dit voorbeeld ).

@ Arnoud

Geweldig om te weten want dat vroeg ik me dus al tijden af.
Meer in de trend van, wat als iemand geen toestemming heeft om op een site te komen maar daar toch software aantreft die niet vrij verkrijgbaar is.
De rest heb ik er voor het voorbeeld bij verzonnen om een mogelijk reële situatie te creëren om dit te verduidelijken en de wet aan te toetsen.

Erg bedankt , nogmaals

15-10-2010, 12:14 door Wim ten Brink

Door Syzygy: @WorkshopAlex

Inderdaad goed opgemerkt, het had dus ook een ISO van 7 kunnen zijn, het gaat om het idee erachter en niet zo zeer om de versie. Het had ook Office of een ander product van wie dan ook kunnen zijn dat niet vrij te downloaden is.
Tevens ging het in dit geval niet om een apart bestand met de licentiecode dat op de site zou staan maar louter om een backup van de originele CD (waarvan de licentiecode wel in mijn bezit is, in dit voorbeeld ).

Tja, de vraag is uiteindelijk tot hoever je mag gaan met het doorgeven van een iso bestand. Het bestand op zich doorgeven is nog niet een duidelijke overtreding, zeker niet als niemand de iso gebruikt om de software illegaal mee te installeren. En als je tevens een registratie-code nodig hebt om de software mee te activeren dan is de iso zelf waardeloos voor iedereen zonder deze code.
En ook de code zonder iso of CD is waardeloos. Als je wel de code hebt maar niet de software, kun je nog steeds weinig.
Stel voor dat jij een geldige registratie-code van office hebt, maar je office-cd is uiteen gespat in je CD-speler.... (Heb ik 1 keer meegemaakt!) Dan kun je office niet gebruiken en moet je bij MS een nieuwe CD vragen en wachten tot je die krijgt. Maar als ik jou een iso met dezelfde versie erop geef die jij op cd brandt en vervolgens met jouw eigen code registreert, ben jij dan een copyright aan het schenden?
Best een lastig vraagpunt. :-)

15-10-2010, 16:25 door Syzygy

Vandaar mijn vraag dus !! ;-)

15-10-2010, 16:36 door Arnoud Engelfriet

Ik zie persoonlijk geen enkele legitieme reden binnen de Auteurswet om een ISO bestand van software online te zetten. Iets online zetten is in beginsel een schending van de Auteurswet, tenzij jij kunt aantonen dat je een reden hebt om dat te mogen doen. Wellicht dat je die kunt vinden in "alléén onze gelicentieerde gebruikers (OEM of sitelicentie) kunnen erbij", maar "niemand gaat er illegale dingen mee doen" is echt geen reden. Hoe weet je dat? Hoe garandeer je dat er niemand toch illegale dingen gaat doen? Jij bent daarvoor aansprakelijk.

Ga dus géén sites opzetten met "download hier je ISO's van Microsoft voor het geval je CD stuk gaat en je niet kunt wachten op Microsoft". Dat is echt vragen om een veroordeling.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer