image

Juridische vraag: sysadmin leest voor de lol mijn e-mail

woensdag 13 juni 2012, 11:15 door Arnoud Engelfriet, 26 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Toevallig kwam ik er gisteren achter dat het systeembeheer bij ons op het werk de mail leest. Niet omdat dat nodig is voor onderhoud of storingen of zo, maar gewoon omdat ze daar soms zin in hebben. En ze zeggen dat dat mag, omdat er geen briefgeheim rust op e-mail! Klopt dat?

Antwoord: Het klopt dat er formeel geen briefgeheim op e-mail rust, maar dat wil nog niet zeggen dat e-mail dus vogelvrij is.

De Grondwet garandeert dat ‘telefoongesprekken, papieren post en telegraafberichten’ geheim zijn. Dit briefgeheim geldt echter niet voor elektronische communicatie. Een voorgestelde grondwetswijziging eind jaren negentig om dit te veranderen sneuvelde. De belangrijkste reden was dat aftappen van e-mail dan alleen nog zou mogen met tussenkomst van de rechter, wat de opsporing van strafbare feiten zou hinderen. Ahem.

Echter ook zonder grondwettelijke bescherming is het niet zomaar toegestaan om e-mail van anderen te lezen. Wanneer iemand zich met een geraden wachtwoord of andere truc toegang verschaft tot andermans mailbox, pleegt hij een misdrijf: computervredebreuk. Ook zal het al snel een privacyschending zijn (een onrechtmatige daad) om iemands mail te lezen.

Medewerkers van bedrijven die een telecommunicatiedienst aanbieden, zijn strafbaar als ze kennisnemen van de inhoud van overgebrachte privécommunicatie. Dit geldt bijvoorbeeld voor mensen die bij een internetprovider werken, maar ook voor beheerders van webmaildiensten of discussieforums en netwerksites. Zij mogen e-mail of privéberichten van gebruikers dus niet zomaar lezen. Uitzondering is als dit noodzakelijk is voor de dienst, maar dan hebben ze geheimhoudingsplicht op de inhoud.

Daarnaast geldt er voor werknemers ook een geheimhoudingsplicht ten aanzien van bedrijfsgegevens (art. 7:678 BW), en schending van die plicht is reden voor ontslag op staande voet.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (26)
13-06-2012, 11:35 door Mysterio
Naast dat het ethisch verwerpelijk is heeft deze systeembeheerder blijkbaar te veel tijd over om zich met dit soort zaken bezig te houden. Ik weet niet hoe de structuur binnen het bedrijf in kwestie is, maar het lijkt mij dat hier een stevig gesprek nodig is.

Ik vind e-mail wel een beetje een vreemd geval. Het is zeg maar als een ansichtkaart (valt ook niet onder briefgeheim) die de postbode kan lezen, want er zit geen enveloppe omheen wat de boodschap open en bloot weergeeft. De meeste e-mail wordt als het ware op deze manier verstuurd. Zou je op het lijntje kijken dan komt de boodschap open en bloot voorbij.

Maar dat is natuurlijk wat anders wanneer een voorbijganger jou brievenbus zou openen en jouw kaarten zou lezen. Al valt dat niet onder briefgeheim, dan denk ik dat er andere wetgeving geldt. Zoals inderdaad de privacywetgeving en in geval van een bedrijf, de interne regelementen.

Zelfs al is een brievenbus of postvak in, niet afgesloten, dan nog kan het niet de bedoeling zijn dat dan dus maar iedereen die het kan ook de inhoudt mag bekijken.
13-06-2012, 11:38 door Dennixx
Medewerkers van bedrijven die een telecommunicatiedienst aanbieden, zijn strafbaar als ze kennisnemen van de inhoud van overgebrachte privécommunicatie. Dit geldt bijvoorbeeld voor mensen die bij een internetprovider werken, maar ook voor beheerders van webmaildiensten of discussieforums en netwerksites.

Mja, en die systeembeheerder in de originele vraag? Valt die hier ook onder?
13-06-2012, 11:54 door [Account Verwijderd]
[Verwijderd]
13-06-2012, 12:38 door Arnoud Engelfriet
@Dennixx: Dat hangt er een beetje vanaf hoe je "telecommunicatiedienst" precies interpreteert. Die definitie is wat warrig namelijk. Als men een eigen netwerk heeft liggen dan waarschijnlijk wel. Een MKB-er met alleen een routertje van KPN waarschijnlijk niet.

@Peter V: Bij militairen zijn de spelregels iets anders dan bij burgers. Maar algemeen geldt dat men wél het briefgeheim mag inperken mits maar in de wet geregeld. Een zware eis maar het was en is mogelijk om brieven en pakketpost te lezen bij Justitie.

Heb je een bron over dat structurele telegrammen lezen?
13-06-2012, 12:40 door Anoniem
Door Peter V:
Garandeert ja, maar hoeveel is die garantie waard Arnoud?

Zo had men in militaire dienst tijdens een veldoefening...

<snip>

...hun reet aan afvegen. (sorry voor mijn bitter stukje)

[/quote]
Inderdaad een bitter stukje...
Jij vindt het raar dat ten tijde van de militaire dienstplicht (bijna 20 jaar geleden) de post van actieve militairen op oefening werd gelezen? Toen was het toch nog een beetje koude oorlog? Dan kan je er toch van uit gaan dat je mensen met gevoelige informatie die eventueel naar 'de vijand' zou willen doorsturen?

Gevangen - zouden die volgens jouw principe ook recht hebben op privacy en briefgeheim? Dat je ze een pakketje toestuurt en dat de cipiers er niet in mogen kijken vanwege briefgeheim? Of dat je met een gesloten envelop vol coke de douane van Schiphol probeert te passeren - je beroepend op je privacy?
13-06-2012, 12:41 door Anoniem
Peter,

"Zo had men in militaire dienst tijdens een veldoefening de plicht om de post van militairen niet door de plaatselijke brievenbus te stoppen, maar te verzenden naar NAPO VELDPOST. Niemand in die tijd wist dat het de militaire censuurafdeling was."
In het leger geef je wel meer rechten op, daar zijn redenen voor (zoals blijkt uit "bekende zwarte balken").

"In de jaren 60 kwam elk telegram (en zonder toestemming van de ontvanger en verzender) eerst op de werkdesk van de toenmalige BVD terecht en...ingezien. Vervolgens werd de besnuffelde post doorgestuurd naar het bestemmingsadres."

Waar baseer je dat op? Heb je bronnen? Ik ben benieuwd hoeveel BVD medewerkers daarvoor nodig waren?

Ik lees graag waar je dit vandaan haalt.

Groet ook
13-06-2012, 13:47 door SirDice
Door Peter V:
De Grondwet garandeert dat ‘telefoongesprekken, papieren post en telegraafberichten’ geheim zijn.
Garandeert ja, maar hoeveel is die garantie waard Arnoud?

Zo had men in militaire dienst tijdens een veldoefening de plicht om de post van militairen niet door de plaatselijke brievenbus te stoppen, maar te verzenden naar NAPO VELDPOST. Niemand in die tijd wist dat het de militaire censuurafdeling was. Bij verdachte brieven werden deze gewoon opengemaakt (wie had het ook al weer over het Grondwettelijke recht op het Briefgeheim?), vervolgens gelezen, gecensureerd en vrolijk weer doorgestuurd. De verbaasde familieleden die de brief ontvingen zullen wel gedacht hebben - wat is hier aan de hand- als bleek dat sommige delen van de brief onleesbaar waren gemaakt met de bekende zwarte balken.
Misschien moet je het "handboek van den soldaat" nog een keertje lezen. Het is voor mij inmiddels alweer 20 jaar geleden geweest maar het was ten alle tijden duidelijk dat veldpost gelezen en, indien nodig, gecensureerd werd. Dit om te voorkomen dat men (bedoeld of onbedoeld) posities doorspeelde.
13-06-2012, 15:11 door Anoniem
In het geval een burger zich op artike 13 Gw beroept en het elektronische communicatie betreft, zal de rechter het artikel gewoon interpreteren zodat ook deze communicatiemiddelen eronder vallen.
13-06-2012, 17:17 door Anoniem
Als het goed geregeld is dan zijn hierover afspraken vastgelegd in het privacyreglement of het toegangsbeleid of in gedragsregels. Als in die afspraken duidelijk staat wanneer het is toegestaan om iemands mail te lezen. En de gedragsregels zijn bekend bij de medewerkers en dus ook bij deze systeembeheerder dan handelt hij in strijd met de gedragsregels en zou ik 'm direct ontslaan.
Zijn er geen gedragsregels dan mag je de systeembeheerder gewoon een knal op zijn neus geven, gewoon omdat het kan.
13-06-2012, 18:02 door [Account Verwijderd]
[Verwijderd]
13-06-2012, 18:15 door Anoniem
Door Anoniem: In het geval een burger zich op artike 13 Gw beroept en het elektronische communicatie betreft, zal de rechter het artikel gewoon interpreteren zodat ook deze communicatiemiddelen eronder vallen.

Maatschappijleer zal wel niet meer in de basisvorming zitten.

Als de nederlandse burger zich bij de rechter op artikel xx Gw beroept is de rechter snel klaar, want hij heeft geen toetsingsrecht.
"Overtreding van de grondwet" , of ongrondwettige wetgeving kun je hier dus niet voor procederen.

De grondwet is alleen een leidraad voor de wetgever, die bij het aanmaken van wet en regelgeving de grondwet in gedachten moet houden.
14-06-2012, 01:14 door Duck-man
Het is heel simpel je vraag die systeembeheerder of zijn baas er ook zo over denkt. Zo ja dan even na vragen natuurlijk. krijgt hij het een beetje warm op z'n stoel lijkt mij het probleem op gelost. Vind zijn leidinggevende dit geen probleem dan zal ik toch eens naar een andere baan kijken.

PS wil je van de vent af kan je altijd gelijk naar zijn leiding gevende stappen.
14-06-2012, 09:51 door Sokolum
Door Anoniem: erecht en...ingezien. Vervolgens werd de besnuffelde post doorgestuurd naar het bestemmingsadres."

Waar baseer je dat op? Heb je bronnen? Ik ben benieuwd hoeveel BVD medewerkers daarvoor nodig waren?

Ik lees graag waar je dit vandaan haalt.

Groet ook

Niet van alle informatie kan je een bron zomaar vrijgeven. Ik vraag mij af hoeveel telegrammen in de jaren 60 verstuurd werden. Was het folk toen ook zo communicatie geil zoals wij dat nu zijn? Vast, maar het versturen van een telegram deed je toen niet vanuit je luie stoel huis, je moest hiervoor de deur uit. Dus massaal kan het niet zijn geweest. Jaren 60, dat was de hoogtij van de koude oorlog met de Cubacrisis. Reken maar dat hoe dan ook alle beetje intel (niet van de CPU, maar waar heeft Intel zijn naam aan te danken?) die vergaard kon worden, dat werd uitgevoerd.


Dus ja, dat BVD in de jaren 60 alle telegrammen (voor een periode) onderschepte, geloof ik. Klinkt wel plausibel, zeker als je weet dat Nederland met kop en schouders op nr.1 staat met het afluisteren van telefoon gesprekken.
14-06-2012, 10:03 door Anoniem
Door Anoniem:
Door Anoniem: In het geval een burger zich op artike 13 Gw beroept en het elektronische communicatie betreft, zal de rechter het artikel gewoon interpreteren zodat ook deze communicatiemiddelen eronder vallen.

Maatschappijleer zal wel niet meer in de basisvorming zitten.

Als de nederlandse burger zich bij de rechter op artikel xx Gw beroept is de rechter snel klaar, want hij heeft geen toetsingsrecht.
"Overtreding van de grondwet" , of ongrondwettige wetgeving kun je hier dus niet voor procederen.

De grondwet is alleen een leidraad voor de wetgever, die bij het aanmaken van wet en regelgeving de grondwet in gedachten moet houden.

Dat geldt echter alleen voor wetten in formele zin. Lagere regelgeving mag zeker wel getoetst worden aan de grondwet.
14-06-2012, 13:15 door Whoops
Wettelijk toegestaan of niet, ik zou de betreffende sysadmin bij de eerst volgende mogelijkheid eruit gooien. Geen verlenging van het flex contract of ontslaan wegens overbodig, hij heeft immers voldoende tijd om irrelevante zaken te doen zoals het lezen van mailtjes. Indien ontslaan onmoglijk blijkt, dan maar een hoop extra werk op z'n bureau leggen, gewoon omdat het kan.
15-06-2012, 00:47 door Ilja. _V V
Originele Hackers Ere-Code (White- & Red-Hat natuurlijk):

Alle NIET digitaal afgetekende &/of versleutelde e-mail is vogelvrij & mag gelezen worden. Anders laten we het met rust.
15-06-2012, 10:19 door Anoniem
Dat gebeurt trouwens nog steeds. Zolang je email naar externe personen gaat vanuit MINDEF in bijvoorbeeld uitzendgebieden word alles gescreend!
15-06-2012, 14:40 door Anoniem
"Misschien moet je het "handboek van den soldaat" nog een keertje lezen. Het is voor mij inmiddels alweer 20 jaar geleden geweest maar het was ten alle tijden duidelijk dat veldpost gelezen en, indien nodig, gecensureerd werd. Dit om te voorkomen dat men (bedoeld of onbedoeld) posities doorspeelde."

Het spreekt voor zich dat je bij defensie met dat soort maatregelen wordt geconfronteerd. Als soldaat zou ik dat helemaal niet erg vinden, want uiteindelijk gaan dergelijke controles ook om je -eigen- veiligheid als soldaat. Wil je liever dat communicatie gecontroleerd wordt, of dat dat niet gebeurd, en gevoelige informatie mogelijk bij je tegenstander komt, die deze informatie kan gebruiken t.b.v. een aanval ? Iedere soldaat weet dat operational security (opsec) van levensbelang is.
15-06-2012, 14:48 door Anoniem
"Niet van alle informatie kan je een bron zomaar vrijgeven. Ik vraag mij af hoeveel telegrammen in de jaren 60 verstuurd werden. Was het folk toen ook zo communicatie geil zoals wij dat nu zijn? Vast, maar het versturen van een telegram deed je toen niet vanuit je luie stoel huis, je moest hiervoor de deur uit. Dus massaal kan het niet zijn geweest."

Het lijkt mij zeer goed mogelijk. In de Verenigde Staten werden destijds bijvoorbeeld ook alle telegrammen gecontroleerd, zie onder. Ik heb geen bron over Nederland, maar het is goed denkbaar dat de praktijk hier niet zoveel anders was.

"Vlak na de oorlog werden nog alle internationale telegrammen, die Amerika in en uit gingen, elke dag per bestelbus bij de NSA afgeleverd door de Amerikaanse posterijen. Analisten ploeterden zich door de papierberg heen. Later werd er een lijntje aangelegd, waardoor de telegrammen automatisch op de burelen van de NSA belandden."

http://ac.home.xs4all.nl/controle/rodeoortjes.html
15-06-2012, 14:52 door [Account Verwijderd]
[Verwijderd]
15-06-2012, 15:29 door Anoniem
Email is altijd al wat wazig geweest..
Zo is het volgens mij in Duitsland verplicht een email archive te hebben als bedrijf zijnde.

Dus ja wat wil je.. Het is tenslotte wel zakelijke communicatie (althans dat zou het moeten zijn).
16-06-2012, 13:37 door wim-bart
Als werknemer mag je altijd verwachten dat de door je werkgever aangeboden voorzieningen voldoen aan een aantal basisregels. Zo mag je veronderstellen dat je niet zomaar gefilmd wordt op je werkplek of elders zonder dat de werkgever dit mede heeft gedeeld. Hiernaast zijn er ook een aantal andere zaken die goed geregeld moeten zijn:

Zo dient de afdeling automatisering te voorkomen door een goed beveiligingsbeleid dat ander werknemers niet kunnen komen op plaatsen welke bestempeld zijn als jouw persoonlijke omgeving. Hieronder vallen je home-drive, je e-mail box, je bureau lade's en wat je nog meer kan bedenken.

Dat de afdeling automatisering toevallig de "loper" heeft, net zoals de afdelings-chef de loper van je bureau, wil nog niet zeggen dat ze bij de data mogen. Sterker nog bij heel veel bedrijven staat hier de "virtuele"-doodstraf op.

De beste methode om te voorkomen dat automatiseringsmedewerkers misbruik maken is om te werken met rbac op systeembeheer niveau. Dus niet alleen op werknemer niveau. En is een systeembeheerder hardleers dan kan je gewoon naar personeelszaken en aangifte doen van computervredebreuk, is hier geen mogelijkheid toe dan kan je ook aangifte doen van ongewenste initimiteiten, want de systeembeheerder breekt namelijk in op de intimiteit van je persoonlijke beschermde omgeving. Indien je afgescheept wordt met "we zullen opletten", dan kan je zelfs verder gaan, trap hier namelijk niet in. Een systeembeheerder welke namelijk al in de fout is gegaan zal ooit weer in de fout gaan, het is namelijk inherent aan het feit dat deze persoon niet om kan gaan met toebedeelde rechten en de daarbij behorende plichten. Eis afname van de rechten en op non-actief stelling zodat ze een afvloeiingsregeling voor die beheerder kunnen treffen. Dit soort dingen is namelijk niet 3-strikes out, maar 1-strike out! Doen ze dat niet, verzamel dan bewijs, praat met collega's, form een front en doe aangifte bij de CBP (http://http://www.cbpweb.nl/Pages/home.aspx), desnoods eerst overleggen met een manager, ik denk dat het dan snel gebeurd is met die beheerder.
16-06-2012, 13:52 door AA_CS
Uit de vraag leid ik af dat het niet om een enkele systeembeheerder gaat maar om de hele afdeling systeembeheer. Kennelijk heerst daar het idee dat het normaal is andermans mail te lezen. De hele afdeling er uit knikkeren lijkt me een wat rigoureuze actie en levert wellicht een hoop praktische problemen op. Een zeer goed gesprek de betrokkenen en het vervangen van de leidinggevende van de afdeling lijkt me een betere stap. Is het probleem daarna niet of niet voldoende opgelost dan kan je kijken wat vervolgstappen zouden kunnen zijn.
Het lijkt me inderdaad wel handiger dit met meerdere collega's samen aan te pakken. In je eentje de klokkenluider uithangen kan (onterecht) verkeerd voor je uitpakken.
19-06-2012, 08:04 door cjkos
Dit had ook heel kort gehouden kunnen worden.

nee het mag niet. Er is geen wet die dat expliciet regetl, maar er zijn wel uitspraken in rechtszaken geweest die inmiddels de regel zijn geworden.

Hoofdregel is dat een werkgever onder bepaalde voorwaarden het emailverkeer van werknemers mag inzien en monitoren, mits dit in het belang van het bedrijf is.
Lijkt me duidelijk. Er is dus een opdracht nodig om dit te lezen. En dat mag alleen als er dwingende bedrijfsbelangen spelen. Het voor de 'lol' lezen van e-mails mag dus niet. Aangezien er geen onderscheid gemaakt wordt tussen bedrijfs- en privé mail.


Privémail lezen mag niet, zoals nota bene de Arbeidsinspectie ondervond toen zij de privémail las van een zieke werkneemster. De ombudsman stelde: “De werkgever hoort de privacy van de privé contacten te waarborgen. ....

http://www.wieringa-advocaten.nl/nl/weblog/2008/09/08/privacy-en-email-op-de-werkvloer

Overigens begeeft deze beheerder zich op glad ijs. Want als hij gesnapt wordt en er blijkt geen reden voor te zijn is hij het haasje. Terwijl zijn baas het misschien wel door de vingers ziet juist omdat hij zo toch controle heeft zonder zijn/haar vingers te branden.
19-06-2012, 20:21 door Anoniem
IK weet wel zeker dat dat dat niet is toegestaan.
Je hebt wel het recht op enige privacy.
De hele wereld hoeft toch niet te weten met wie je communiceerd?.
21-06-2012, 13:43 door rverwaart
Door Peter V:
Handboek soldaat had ik helemaal gelezen, maar nergens stond iets over NAPO VELDPOST in onze editie. En bij navraag bij andere ex-dienstplichtigen bleken zij ook niet op de hoogte. Dat posities niet doorgegeven mochten worden wist elke soldaat (daar kregen we ook een training voor). Maar over NAPO VELDPOST werd gewoonweg gezwegen.

Peter,

Of deze informatie nu in het handboek gestaan heeft of niet, kun je ons vertellen waar jij jouw informatie vandaan hebt die je in je eerste bericht met ons hebt gedeeld? Mijns inziens is het slechts een persoonlijke mening, krachtig uitgewerkt in een stellig bericht, welliswaar.

Daarnaast houd ik mij in m'n achterhoofd dat de wet- en regelgeving ruim 20 jaar geleden anders zou zijn geweest als dat deze nu is. Ik neem aan dat je dit niet zal ontkennen.

Mvg,

Robbert Verwaart
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.