image

Juridische vraag: mogen Google en Microsoft mail doorzoeken?

woensdag 26 maart 2014, 10:23 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple en Google claimen nu het zelfde omdat de gebruiker de gebruiksvoorwaarden heeft geaccepteerd. Maar mag dit zomaar? Is dit niet in strijd met het briefgeheim?

Antwoord: Strijdig met het briefgeheim is dit niet, want het briefgeheim geldt helaas nog steeds niet voor elektronische communicatie. Al sinds 2000 zijn er plannen dit te veranderen, maar kunnen datagraaien is voor opsporingsdiensten zo'n zware wens dat het elke keer op stevige bezwaren uit die hoek stuit. Plus, de Grondwet zou moeten worden aangepast en dat is een hele procedure.

Microsoft beroept zich vooral op het feit dat de servers bij haar staan. En als eigenaar van een server mag je nu eenmaal in serieuze gevallen kijken welke data erop staat. Bij wijze van analogie: de verhuurder van een garagebox mag deze ook openmaken als hij een brandlucht ruikt, of klachten krijgt dat er xtc wordt gedeald vanuit die box.

Daarbij komt dat in de voorwaarden van Hotmail staat dat Microsoft in een mailbox mag kijken "[to] protect the rights or property of Microsoft or our customers, including the enforcement of our agreements or policies governing your use of the Service;". Ik las dat zelf altijd als "als je mailbox overlast veroorzaakt dan mogen we daarin kijken", bv. bij mailbommen of virussen, maar Microsoft leest het nu als "als onze rechten als bedrijf in gevaar komen dan mogen we kijken". Er staat immers "including" oftewel "onder meer als". (De voorwaarden van Apple en Google bevatten vergelijkbare clausules.)

Nu is het natuurlijk makkelijk zulke dingen op te schrijven, maar of het dan meteen rechtsgeldig is, blijft een goede vraag. Algemene voorwaarden mogen niet onredelijk bezwarend zijn, en dat betekent onder meer dat er een belangenafweging moet plaatsvinden tussen het belang van de provider om in de mailbox te mogen en het belang van de gebruiker bij zijn digitale privacy. Want hoewel je geen briefgeheim hebt online, heb je wél recht op privacy.

Het belang "uw mailbox is gecorrumpeerd waardoor onze systemen niet meer werken" lijkt me bijvoorbeeld wel goed genoeg om even iemands privacy te mogen schenden en zijn mailbox te repareren. Zeker als de systeembeheerder dan vertrouwelijkheid bewaart over wat hij ziet in die mailbox. Het belang "uw gezicht staat ons niet aan" is bij lange na niet groot genoeg.

Het bedrijfsbelang van Microsoft om haar geheimen te beschermen tegen een potentiële dief? Da's een lastiger. Ik zeg niet meteen nee maar het riekt wel erg naar eigenrichting. Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (11)
26-03-2014, 11:01 door Anoniem
Arnoud, als je de analogie doortrekt "Aan de andere kant, dat mag die garagebox-eigenaar ook als hij zelf een reële inschatting maakt dat er iets illegaals gebeurt in zijn box"; er is niets illegaals gebeurt in die mailbox, er is alleen heen en weer gemaild met een (ex) Microsoft medewerker. Daarom riekt het sterk naar schending van iemands privacy. Ik ben benieuwd of die Franse blogger er een rechtszaak van gaat maken.
26-03-2014, 13:15 door Arnoud Engelfriet
Het illegale zou zijn dat er mailverkeer is geweest waarbij bedrijfsgeheimen zijn verstrekt aan derden. Dat is een misdrijf. Die mailbox bevat daar dan bewijs van. Even aangenomen dát er sterke aanwijzingen zijn dat die mailbox erbij betrokken was, zeg je dan ook dat je niet mag kijken in diemailbox?
26-03-2014, 15:09 door Anoniem
Arnoud, ja dat zeg ik. Leuk dat een commercieel bedrijf vermoedt dat er bedrijfsgeheimen zijn verstrekt aan derde, ze zijn echter noch een politie, OM of Rechtspraak. Bij het vermoeden van zou ik verwachten dat ze daarvan aangifte doen, waarna de juiste instanties zich gaan bemoeien met een onderzoek en vraagstelling of er een misdrijf is gepleegd. Dat laatste is volgens mij een taak van Justitie en Rechters, niet van Microsoft als commerciële partij. Dus nee: er mag wat mij betreft niet worden gekeken in de mailbox :)
26-03-2014, 19:42 door Anoniem
Door Arnoud Engelfriet: Het illegale zou zijn dat er mailverkeer is geweest waarbij bedrijfsgeheimen zijn verstrekt aan derden. Dat is een misdrijf. Die mailbox bevat daar dan bewijs van. Even aangenomen dát er sterke aanwijzingen zijn dat die mailbox erbij betrokken was, zeg je dan ook dat je niet mag kijken in diemailbox?
Bedankt voor de heldere uitleg Arnoud! Weer een mooi stukje rechtsgeleerdheid.

Ik vind het persoonlijk niet meer dan logisch dat Google, MS, Mail.com en al die anderen inzage hebben in het mailverkeer, niet alleen omdat het op hun servers en in de voorwaarden staat (ik weet dat de Wet zwaarder weegt dan voorwaarden!), maar vooral ook omdat er geen betaald(e) product / dienst wordt afgenomen, voor niets gaat de zon op.
Niet dat ik het acceptabel vind, maar ik snap dat het zo geregeld is.

Maar mijn mening is maar mijn mening natuurlijk, want hoe is dit geregeld bij gratis diensten???

Ik snap je voorbeeld van die gehuurde garagebox, maar als ik bijvoorbeeld een zwerver gratis in mijn tuin laat slapen, mag ik dan in z'n tent kijken? Of eisen dat ik inzage krijg? En als ik weet dat deze zwerver verslaaft is aan de heroïne en meerdere malen voor diefstal e/o inbraak veroordeeld is? Is er nog een verschil tussen mét of zonder medeweten?
En hoe zit dat dan bij mijn kinderen? Mag ik hun kamer eigenlijk doorzoeken als ik gerede twijfel heb dat daar iets 'niet pluis' is?

Erg interessant onderwerp in ieder geval, nogmaals bedankt!
26-03-2014, 23:06 door wallum
De overheid stoot al decennia steeds meer taken af naar het bedrijfsleven; een steeds groter deel van het leven van burgers wordt medebepaald door het bedrijfsleven. Bijna allemaal hebben ze bepalingen in het voorwaarden zoals 'als onze rechten als bedrijf in gevaar komen dan mogen we kijken, of anderszins optreden'. Er is nog weinig jurisprudentie tegen onredelijke bepalingen in algemene voorwaarden. Dat is wel belangrijk, want het is niets minder dan een bom onder de rechtstaat als bedrijven hun eigen belangen mogen laten prevaleren boven die van de burgers.
27-03-2014, 10:41 door Anoniem
Het valt me op dat de vraag over een medewerker van Microsoft gaat, terwijl hier in zowel het antwoord als de reacties helemaal niks over gezegd wordt. Daar wordt ervan uit gegaan dat het om een random "gebruiker" van een Microsoft mailbox gaat. Dit zijn toch twee volledig verschillende situaties?
De random "gebruiker" van een Microsoft mailbox is klant van het bedrijf en daarmee gebonden aan de algemene voorwaarden. Als daar inderdaad in staat dat Microsoft de mailbox mag bekijken bij een redelijk vermoeden van ongepast gebruik zal dit wel mogen, maar valt het nog te betwisten zoals Arnoud in zijn initiële antwoord al aangeeft. Een medewerker van het bedrijf is echter ook gebonden aan interne policies. Als bij Microsoft intern een ICT-beveiligingspolicy van toepassing is waar duidelijk in staat dat bij een redelijk vermoeden van bijvoorbeeld bedrijfsspionage de mailbox gelezen mag worden, heeft de medewerker natuurlijk geen poot meer om op te staan. Toch?
27-03-2014, 11:50 door [Account Verwijderd] - Bijgewerkt: 27-03-2014, 11:50
[Verwijderd]
27-03-2014, 13:13 door Anoniem
Als ik het beetje begrijp zou dit betekenen dat de verhuurder de in brand staande garage mag blussen, openen en mag deze vervolgens leeghalen om alle dozen met privémateriaal en in eigendom van de huurder door te spitten op zoek naar interessant materiaal met als argument dat een van de dozen de brand mogelijk kan hebben veroorzaakt en de andere boxen hiermee beschermd worden.

Dit lijkt me overduidelijk een gevalletje van ernstige privacyschending.

En in geval van klachten krijgt dat er xtc wordt gedeald vanuit die box, mag er alleen worden gesignaleerd en melding van worden gemaakt. Als er een verdenking is, moeten dan bij de opsporingsinstanties worden gemeld. Zij zijn immers daartoe bevoegd, niet de garageverhuurder; die mag alleen signaleren, melden en desnoods de huurder er op aanspreken, aan te houden totdat de politie komt of de huur opzeggen wegens contractbreuk.

Openen en doorzoeken va de box door de verhuurder lijkt me ook hier een onrechtmatige daad.
28-03-2014, 10:26 door [Account Verwijderd]
[Verwijderd]
29-03-2014, 10:21 door Anoniem
Door Anoniem: Het valt me op dat de vraag over een medewerker van Microsoft gaat, terwijl hier in zowel het antwoord als de reacties helemaal niks over gezegd wordt. Daar wordt ervan uit gegaan dat het om een random "gebruiker" van een Microsoft mailbox gaat. Dit zijn toch twee volledig verschillende situaties?
Het is de mailbox van de blogger die onderzocht is, en die leidde naar de Microsoft-medewerker die gegevens aan de blogger toegespeeld heeft. Zie het in het artikel gelinkte artikel op security.nl daarover.
01-04-2014, 07:37 door athrropos
We weten allemaal dat privacy, net als het recht op privacy al lang een bijna gestorven broertje is.
Of gaan we een jarenlange rechtzaak beginnen tegen bedrijven met amper hoop op slagen?
Deze discussie is/was nodig, maar dan een tiental jaren geleden.
Toen het nog wel wat uitmaakte.
Nu, nu zijn we wat laat met de privacy,
En helaas zal het niet beter worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.