image

Juridische vraag: Is inloggen op webmail ex-werkgever strafbaar?

woensdag 16 februari 2011, 11:26 door Arnoud Engelfriet, 25 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Deze week een 'bezemwagen-editie' van de Juridische vraag, waarbij Arnoud elke dag één vraag kort behandelt.

Vraag: Mijn arbeidsovereenkomst eindigde per 31-12 vorig jaar. Ik heb puur uit interesse op zondag 2-1 nog één keertje ingelogd op de webmail, gewoon om te kijken of er nog mail was die ik eventueel door zou kunnen sturen voordat mijn mailbox zou worden opgeheven. Afgelopen donderdag kreeg ik echter een boze brief van het bedrijf dat ik ze "gehackt" zou hebben en dat ze aangifte van computervredebreuk overwogen. Wat moet ik nu doen?

Antwoord: Dat lijkt me wel héél erg overdreven. Strikt gesproken heb je inderdaad op 2-1-2011 geen recht op toegang tot een webmaildienst van een bedrijf als je daar per 31-12-2010 niet meer werkte. Maar ik zie zo gauw niet welke schade je zou aanrichten met deze actie. Zolang je goede bedoelingen ook blijken uit je handelen, kan ik me niet voorstellen dat een aangifte van computervredebreuk ergens toe zal leiden. Ga alleen geen mails deleten of doorsturen naar partijen buiten het bedrijf want dát kan wel worden gezien als het bedrijf schade willen toebrengen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (25)
16-02-2011, 11:44 door Walter
Ook wel slordig van het bedrijf dat ze je account niet hebben uitgeschakeld.
Een beetje handige systeembeheerder kan gewoon instellen dat een account verloopt op 01-01-2011 00:01u.

Zo spannend hoeft dat niet te zijn. Dit is dus geen hacken, maar een fout van het bedrijf zelf, waarbij er mogelijkerwijs wel ongeautoriseerde toegang is verkregen tot het netwerk.
Hoe dan ook, hacken is dit niet.
16-02-2011, 12:02 door Anoniem
Rare manier van doen daar... Blijkbaar hebben ze wel in de gaten dat je inlogt, maar niemand is op het idee gekomen om je account te disablen...

Ontkennen heeft waarschijnlijk geen zin als je een static IP address hebt. Niet reageren (en niet meer inloggen) lijkt me voor het moment de handigste actie.
16-02-2011, 13:18 door WhizzMan
Je hebt er niets te zoeken dus wettelijk gezien valt het weldegelijk onder computervredebreuk en is je handeling strafbaar.

Of het zin heeft om er wat mee te doen als ex-werkgever, is natuurlijk weer een ander verhaal. Ik denk dat ze de brief vooral hebben gestuurd om te zorgen dat er bij herhaling een goede reden is om wel aangifte te doen en vervolging te eisen. Check Arnouds blog maar op "blafbrief".

De verantwoordelijkheid ligt zowel bij je ex-werkgever (die had de account dicht moeten zetten) als bij jou. Of je nou goede bedoelingen had of niet, het is gewoon jouw probleem/verantwoordelijkheid niet meer, dus je moet er gewoon niet inloggen.
16-02-2011, 13:54 door Anoniem
Zo te zien werd er in de brief geen verzoek gedaan of extra uitleg gevraagd. Ik zou helemaal niets doen in dit geval, het is een mededeling van het bedrijf uit. Pas in actie komen dus als je wordt aangeklaagd: een advocaat zoeken.
16-02-2011, 14:03 door Wim ten Brink
Als goedwillende ex-werknemer kun je natuurlijk aanvoeren dat je dit controleerde om te zien of jouw account bij hen wel was afgesloten. Dat bleek dus niet het geval, wat dus een mogelijk beveiligingslek kan zijn. Als je je ex-werkgever dan meteen op attendeert dan ben je goed bezig. Zoniet, dan vind ik het computervredebreuk.

Alleen... Als je op je werk-adres ook nog prive-mailtjes ontving dan is een dergelijke controle achteraf ook te rechtvaardigen om zeker te zijn dat er niet meer prive-mailtjes voor jou naar dat adres werden verzonden. Alleen vraag ik mij af wat een werkgever in dat geval moet doen met dergelijke prive-mailtjes...

En opeens vraag ik mij nog iets anders af... Stel, ik neem een domeinnaam over dat voorheen door iemand anders werd gebruikt. Vervolgens ontvang ik op mijn nieuwe domein allerlei emailtjes die voor de vorige eigenaar bedoeld zijn! Wat mag ik vervolgens met al die mailtjes doen en stel dat die mailtjes ook koppelingen bevatten naar allerlei online accounts, mag ik dan al die accounts doorbladeren?
16-02-2011, 14:19 door xy22
Door WorkshopAlex: En opeens vraag ik mij nog iets anders af... Stel, ik neem een domeinnaam over dat voorheen door iemand anders werd gebruikt. Vervolgens ontvang ik op mijn nieuwe domein allerlei emailtjes die voor de vorige eigenaar bedoeld zijn! Wat mag ik vervolgens met al die mailtjes doen en stel dat die mailtjes ook koppelingen bevatten naar allerlei online accounts, mag ik dan al die accounts doorbladeren?
Lijkt me logisch: Wat doe je als de post per ongeluk bij jou een brief voor de buren bezorgd? Je brengt t naar de buren, en that's it.
Wellicht zie je de naam van een afzender staan, maar dat valt niet (altijd) te vermijden, tenzij het natuurlijk zo'n "discreet thuisbezorgd" pakketje zonder zichtbare afzender is ;)

Email is 'digitale post', dus het lijkt me normaal om die even door te sturen naar de vorige eigenaar met de vraag dat door te geven aan die contacten.
Dat je af en toe per ongeluk een mail inziet, dat kan als t tussen je eigen mail staat. Maar met 'door accounts bladeren' ga je denk ik toch wel een grens over.
16-02-2011, 15:32 door Wim ten Brink
Door xy22: Email is 'digitale post', dus het lijkt me normaal om die even door te sturen naar de vorige eigenaar met de vraag dat door te geven aan die contacten.
Dat je af en toe per ongeluk een mail inziet, dat kan als t tussen je eigen mail staat. Maar met 'door accounts bladeren' ga je denk ik toch wel een grens over.
Ja, het logische, daar ben ik het mee eens. Maar het gaat mij even om de strafbaarheid ervan! En niet zozeer om domeinen die ik overneem, maar als iemand anders mijn domeinen overneemt! Want emails verhuizen dan ook mee naar de nieuwe eigenaar!
Als ik een envelop in mijn brievenbus die voor de vorige bewoner bedoeld was (of verkeerd bezorgd is) dan zal ik er wel voor zorgen dat deze toch weer goed terecht komt. Maar mag ik het ook ongelezen weggooien? Mag ik het openmaken om te kijken of het wel of niet belangrijk is? En mag ik contact opnemen met de afzender om deze te informeren dat de bewoner is verhuist?
Zou je dus een email die voor de vorige domeinhouder is bedoeld moeten doorsturen naar de vorige eigenaar? Lijkt mij lastig omdat je niet eens weet wie dat is! Door account-informatie te bekijken kun je hem mogelijk nog opsporen om het bericht alsnog te bezorgen. Ze zou met geldige argumenten kunnen komen! :-)
16-02-2011, 17:08 door cjkos
Vergelijk het eens met een huis kopen.
Je koopt een huis.
Op 31/12 was de overdracht. Je gaat meteen kijken en denkt, hé dat is handig daar staat nog een mooi schilderij. Je gaat Oud en Nieuw vieren en op 3 januari kom je terug en het schilderij is verdwenen. Blijken de oude bewoners het schilderij met nog wat andere spullen weggehaald te hebben omdat ze die waren vergeten.

Gekke vergelijking? Ja en nee, op 2 januari heb je er niets meer te zoeken. In het geval van het huis kan de oude bewoner aansprakelijk gesteld worden. Daar heet het inbraak. Hoe het met de e-mail zit weet ik niet. Maar wat ik altijd doe is een auto reply instellen. Als ik nieuwsgierig wordt of hij nog werkt stuur ik 'mezelf' en mailtje. En geloof me, van een bedrijf waar ik 4 jaar geleden voor het laatst was hebben ze mijn e-mail account nog niet op non-actief gezet! Ondanks meerdere aangeven van mij. En bij een ander bedrijf was het dezelfde dag nog verwijderd. Het excuus van mailtjes doorsturen slaat natuurlijk nergens op, dan ben je gewoon te laat.

Aan de andere kant zou jij aan kunnen geven dat je per ongeluk automatisch inlogte via bijvoorbeeld OWA.
Mocht je daarna nog een aantal keren ingelogt hebben staat je werkgever aanmerkelijk sterker en kun je per ongeluk niet meer aantonen. En zouden ze het onder de noemer oneigenlijke toegang tot een netwerk kunnen scharen.
17-02-2011, 08:02 door Syzygy
Vergelijk het eens met een huis kopen.
Je koopt een huis.
Op 31/12 was de overdracht. Je gaat meteen kijken en denkt, hé dat is handig daar staat nog een mooi schilderij. Je gaat Oud en Nieuw vieren en op 3 januari kom je terug en het schilderij is verdwenen. Blijken de oude bewoners het schilderij met nog wat andere spullen weggehaald te hebben omdat ze die waren vergeten.

Buiten de data om slaat deze vergelijking nergens op.
1. Het gaat niet om diefstal want hij heeft geen mail gestolen
2. Het gaat niet om goederen maar informatie

Als je deze vergelijking wil gebruiken dan zou je eigenlijk moeten zeggen dat iemand na 01-01-20xx 0.00 uur langs is geweest met zijn oude sleutel binnnen is gekomen om te zien of er nog post voor hem was.

~

Inloggen op je mail account na je ontslag is geen slimme zet maar ook geen halsmisdaad.
Ik zou wel even voorzichtig zijn met het gebruik van dit bedrijf als referentie in de toekomst ;-)

Maar wat kunnen ze doen ??

Het enige (mag ik hopen) bewijs dat ze hebben is dat er met jouw Username en Password is ingelogd op die (jouw) mail account.
Dit is echter nog geen bewijs dat JIJ dat bent geweest. Het kan net zo goed zijn dat je je username en password aan een manager, systeembeherder of collega hebt gegeven om je mailbox te beheren.
Het bedrijf zal dus met bewijs moeten komen dat JIJ ingelogd hebt. Als ze dus kunnen bewijzen, bijvoorbeeld dat er op die tijd sessie vanuit jouw IP adres (thuis) met die mailbox heet plaats gevonden dan staan ze pas sterk.
Ik zou dus gewoon zeggen, ik was het niet, ga maar naar de rechter met je beschuldiging en dan klaag ik jullie
later wel aan voor laster, prettige wedstrijd.

Hoor je nooit meer wat van !
17-02-2011, 09:42 door cjkos
Door Syzygy:
Vergelijk het eens met een huis kopen.
Je koopt een huis.
Op 31/12 was de overdracht. Je gaat meteen kijken en denkt, hé dat is handig daar staat nog een mooi schilderij. Je gaat Oud en Nieuw vieren en op 3 januari kom je terug en het schilderij is verdwenen. Blijken de oude bewoners het schilderij met nog wat andere spullen weggehaald te hebben omdat ze die waren vergeten.

Buiten de data om slaat deze vergelijking nergens op.
1. Het gaat niet om diefstal want hij heeft geen mail gestolen
2. Het gaat niet om goederen maar informatie

Als je deze vergelijking wil gebruiken dan zou je eigenlijk moeten zeggen dat iemand na 01-01-20xx 0.00 uur langs is geweest met zijn oude sleutel binnnen is gekomen om te zien of er nog post voor hem was.



Ik ben van mening dat het wel degelijk een goed voorbeeld is, hoewel dat voorbeeld van jou in dit geval een betere was..

Mijn 'voorbeeld' was bekeken vanuit het oogpunt van de werkgever. Met een draai naar een privé situatie waarmee hij zich zelf misschien zou kunnen vergelijken. Die werkgever kan niet zien of er iets gestolen is, dat is ook niet belangrijk. Feit is dat er iemand op het netwerk is geweest die daar niet meer thuishoort.
17-02-2011, 11:22 door Syzygy
@ cjkos

;-) we houden elkaar scherp, goede zaak vind ik.

Okay let's play

De vraag is, IS HET HEM EXPLICIET VERBODEN OM NOG IN TE LOGGEN OP ZIJN ACCOUNT !!

Nu de stof tot nadenken:

Stel dat bedrijf heeft zijn website draaien op zijn eigen netwerk.
Als ik dan op die website kom, kom ik dus ook op hun netwerk (hopelijk in een DMZ maar toch hun netwerk)
Ik heb daar echter geen toestemming voor gehad van iemand met procuratie van dat bedrijf.

We gaan er even van uit dat die mailserver daar ook draait dus wie verbiedt hem met zijn gegevens in te loggen.
Niemand heeft hem gezegd dat het niet meer mag.

Hij mag ook dat bedrijf binnenkomen (wellicht niet verder tot aan de receptie en vaak staat er dan op en deur die je verder kan leiden alleen toegang voor employees)

Wat dacht je daar van ??
17-02-2011, 11:43 door Wim ten Brink
Als we op scherp spelen, laten we het dan interessanter maken! Stel, voor mijn werkgever heb ik tevens accounts gemaakt op Twitter, Facebook, LinkedIn en andere sociale netwerken, waarbij ik het email adres heb gebruikt van mijn werkgever en deze pagina's deels onder werktijd en soms in opdracht van mijn manager heb bijgewerkt. Daarnaast ben ik ook prive (thuis) aktief op deze sites...
Wat is dan de status voor al deze accounts? Mag ik ze overschrijven nar mijn prive-mail account nadat ik een ex-werknemer werd? Zijn ze van mij of van mijn voormalige werkgever? En als mijn voormalige werkgever deze accounts claimt, mag ik dan eisen dat ze worden verwijderd omdat er prive-informatie over mij in staat en ik niet wil dat ze die nog op deze sites gebruiken? En wat als ik toegang tot mijn oude email adres nodig heb om mijn accounts over te plaatsen?

Volgens mij is er namelijk nog helemaal niets bepaald over dit soort accounts!
17-02-2011, 12:04 door Anoniem
nee
17-02-2011, 16:42 door Syzygy
Door Anoniem: nee

Voel je vooral niet geremd om enige tekst en uitleg te geven hahahaha
17-02-2011, 16:42 door Syzygy
Sorry - dubbel post (sticky fingers)
21-02-2011, 12:30 door PJW9779
Even terzake.

Computervredebreuk bestaat uit 2 essentiele componenten : 'onbevoegd' en 'binnendringen'.
Zie http://wetten.overheid.nl/BWBR0001854/TweedeBoek/TitelV/Artikel138ab/geldigheidsdatum_21-02-2011
Daarnaast moet je opzet gericht zijn op het plegen van dit feit.

1 . 'Onbevoegd' was je zeker.
Je werkte er niet meer, je had er in beginsel niets meer te zoeken en er was ook bijv. geen afspraak om langer gebruik te maken van je account.
Handigste in dit soort gevallen is tijdig je contacten informeren over je vertrek en evt. een uitwijk-mailadres doorgeven. Maar vooral op de dag voor je vertrek de Autoanswer aanzetten dat je per [datum] vertrokken bent en dat je mail niet meer gelezen wordt en evt. uitwijk-contact. Daardoor kunnen mensen je op de dag van je daadwerkelijk vertrek evt. nog bereiken met vragen.

2. 'Binnendringen' was het uitdrukkelijk niet.
Voor binnendringen moet je een beveiliging doorbreken, bijv. een password challenge, of gebruik maken van een 'valse sleutel' zoals het password van iemand anders.
Het account was echter van jezelf, het password ook, je account was niet disabled.
Beetje onhandig dus van de werkgever. In de praktijk krijgt Systeembeheer vaak als laatste - en dus te laat - te horen dat een werknemer vertrekt/vertrokken is. Dat laatste had jijzelf kunnen/moeten managen (zie 1).

3. Opzet
Je opzet was goedbedoelend gericht op het 'afhechten van losse eindjes'. Dat is heel aardig van je, maar niet slim (zie 2) en niet nodig (zie 1).
Je opzet was niet gericht op strafbaar handelen, zoals 'nog lekker effe frutten op het bedrijfssysteem'.
_______________________________________

Gezien 2 is per definitie geen sprake van computervredebreuk, maar hooguit van 'insluiping'.
Gezien 2 en 3 zal het OM de zaak op eerste blik terzijde leggen, de politie is - vrees ik - vermoedelijk niet slim genoeg om de aangifte te weigeren of terzijde te leggen.

Conclusie:
- Wat betreft de dreiging van de ex-werkgever is sprake van een blaffende hond die niet weet waarover hij blaft. Niet al teveel om je druk over te maken.
- het kan wel verstandig zijn om een kort briefje te sturen aan je ex-werkgever waarin je aangeeft 'pijnlijk getroffen - zelfs beledigd - te zijn door deze onheuse behandeling door je ex-werkgever', 'dat je bedoelingen goed waren' en 'dat je je niet geraakt voelt door de beschuldiging', 'dat je je zonodig van juridische bijstand zult voorzien en een evt. prodedure met vertrouwen tegemoet ziet'.
NB!! : dit aangezien toekomstige werkgevers mogelijk (via-via) navraag doen bij vroegere werkgevers, en omdat geruchten binnen het bedrijf ook buiten het bedrijf kunnen raken (Socal Media!). Voordat je het weet heb je geheel onterecht echt een probleem.
21-02-2011, 12:54 door Anoniem
In de wet staat "in ieder geval in de volgende..." dus er kunnen best meerdere situaties zijn.

Uiteraard mag dit niet, en hoort dit niet. De systeembeheerder de schuld geven "hadden ze maar...." is een slap verweer. Je werkt er niet meer , heb er niets meer te zoeken, geld ook voor sleutels en toegangspasje. Uiteraard dreigt de ex-werkgever, direct aanspreken kan hij niet meer, want je werkt er niet meer.
Een sematische discussie over hacken is niet van belang.
21-02-2011, 14:27 door PJW9779
Door Anoniem: In de wet staat "in ieder geval in de volgende..." dus er kunnen best meerdere situaties zijn.

Uiteraard mag dit niet, en hoort dit niet. De systeembeheerder de schuld geven "hadden ze maar...." is een slap verweer. Je werkt er niet meer , heb er niets meer te zoeken, geld ook voor sleutels en toegangspasje. Uiteraard dreigt de ex-werkgever, direct aanspreken kan hij niet meer, want je werkt er niet meer.
Een sematische discussie over hacken is niet van belang.

Klopt; dit zijn met opzet expliciet genoemde voorbeelden, maar het feit blijft dat er een beveiliging omzeild moet worden. 'Welkom' als password geldt als onvoldoende. Nalatigheid van de systeembeheerder kan in niet-strafbaarheid van de dader resulteren.
24-02-2011, 13:12 door Anoniem
Ik ben nog wat verder en dommer geweest. Mijn verhaal is als volgt:

Ik heb zelf 5 jaar gewerkt bij een bedrijf, en bijna de meeste klanten zelf binnengehaald. Na 5 jaar heb ik de beslissing genomen om voor mezelf te beginnen in hetzelfde branche, de meeste klanten zijn zelf meegegaan. Ik heb verder ook nooit een concurrenctie of relatiebeding moeten ondertekenen. Nu heb ik wel regelmatig in exchange server ingelogd, omdat ik de regiomanager was had ik codes van de meeste collega's (met die wachtwoorden logte ik dus ook in)
Ik heb zelf geen schade toegebracht aan hun bedrijf, maar keek meer uit nieuwsgierigheid, hoe de cijfers zijn, of dat ze nog klanten binnen hebben gehad, ook had ik toegang tot hun emails.
Ook ik weet dat dit een (ernstige) vorm van computervredebreuk is. Sinds gister is er conservatoir beslag op me betaalrekeningen gelegd. Er komt een zaak, maar heb nog geen dagvaardiging gekregen.

Wat kan ik verwachten?
Wat kan ik doen?
bekennen of niet bekennen?
Heb dringend jullie advies nodig
24-02-2011, 13:30 door [Account Verwijderd]
[Verwijderd]
24-02-2011, 13:49 door PJW9779
ADVOCAAT!!
24-02-2011, 13:54 door [Account Verwijderd]
[Verwijderd]
24-02-2011, 13:56 door Wim ten Brink
Door Fiod:
Wat kan ik verwachten?
Wat kan ik doen?
bekennen of niet bekennen.

alvast bedankt
Wat je kunt verwachten is dat je een tijd behoorlijk in de put zult zitten en je eigen bedrijf wel eens over de kop kan gaan. Hou er serieus rekening mee dat je straks van de bijstand moet leven en begin vast te bezuinigen op alles waar je maar op kunt bezuinigen. Je zult het nodig hebben!

Wat je kunt doen is simpel: mond houden en eerst met een advokaat overleggen. En ik meen het! Je zegt vanaf nu geen woord meer over deze zaak tot je een advokaat hebt! En daarna volg je zijn aanwijzingen op. Dus niets meer over zeggen tegen je vrouw, je kinderen, je klanten, je maitresse, je sport-instructeur en zeker niet tegen je ex-werkgever en en-collega's! En ook hier niets meer inhoudelijk vertellen!

En nee, niet bekennen voor je een advokaat hebt gesproken...

En dan even vragen, maar je mag hier geen antwoord op geven: Waarom ben je in de gegevens van je ex-werkgever blijven bladeren? En nee, nieuwsgierigheid is niet het juiste antwoord!
En nee, geef daat geen antwoord op! Overleg eerst met je advocaat!
24-02-2011, 14:02 door PJW9779
Conservatoir beslag staat los van dagvaarding en is gegeven het vergrijp ook niet direct voor de hand liggend.
Vraag is ook of er aangifte is gedaan door het slachtoffer.
Een advocaat kan dus genoeg doen. En dat lijkt hij ook al te doen.

Gesteld dat je zeker weet dat je een goede advocaat hebt, no worries, gewoon afwachten en doen wat z/hij zegt (zonder zelf op te houden met kritisch meedenken).
Je advocaat zal je wel gaan vragen om het hele verhaal op papier te zetten.
24-02-2011, 14:04 door Wim ten Brink
Door Fiod: Bedankt voor je advies!
Dat is ook het eerste wat ik heb gedaan, alleen de advocaat kan nog niks doen er is nog geen dagvaardiging. We hebben nu een kort geding aagespannen.
Andere advocaat nemen! :-)
Nee, je advocaat is wel al wat aan het doen! Je hebt nu immers een kort geding aangespannen. Blijft nog steeds dat je moet zwijgen over deze zaak, zeker op een forum als deze. Laat je advocaat rustig zijn werk doen en vraag desnoods voor een "second opinion" rechtstreeks bij een andere advocaat of jurist. Niet op een publiek forum als deze.

In het ergste geval kun je erop rekenen dat je een forse schadeclaim moet betalen, je bedrijf failliet gaat en jijzelf een tijdje de cel in moet. (Denk in jaren!) Dat is het meest extreme wat er kan gebeuren. De werkelijkheid valt waarschijnlijk nog wel mee maar besef dat dit erg schadelijk is voor je bedrijf en mogelijk ook voor je klanten. (Zeker als jij nu een tijdje geen zaken kunt doen wegens een geblokkeerde rekening en zo.)
Maar bereid ook voor dat de rechter je ex-werkgever op de vingers tikt, om bewijs zal vragen wat ze niet kunnen leveren en uiteindelijk je ex-werkgever in het ongelijk stelt en jij dus een schadeclaim kunt neerleggen. Wat je dus kunt doen is uitrekenen hoeveel schade je hebt door die acties van je ex-werkgever en de rekening daarvan alvast aan hen presenteren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.