image

Juridische vraag: mag rechter BYOD-toestel in beslag nemen?

woensdag 5 juni 2013, 09:57 door Arnoud Engelfriet, 16 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Ik las dat in de VS je BYOD apparaat in beslag kan worden genomen bij een rechtszaak. Hoe zit dat bij ons?

Antwoord: In de VS kent men in de bewijsgaring een paar hele bijzondere regels. Eén daarvan heet discovery: de plicht om je wederpartij in een rechtszaak alle potentieel relevante documentatie te overhandigen, en om verklaringen af te leggen op verzoek van die wederpartij.

Wie nu denkt, "alle, dat meent ie niet": ja, dat meent 'ie wel. De eis is of het materiaal "reasonably calculated to lead to admissible evidence" is, en dat omvat echt ongeveer alles. De enige echte uitzondering is correspondentie met je advocaat. Maar zaken als e-mailberichten, chatlogs, voicemails en dergelijke moeten dus worden overhandigd bij een rechtszaak, en ze even snel wissen is een ernstige vorm van contempt of court.

Het maakt niet uit waar de data staat. Als het bewijs is, dan moet het in discovery worden overhandigd. Data op een privéapparaat kan dus zeer zeker ook in discovery worden opgeëist, en als een bedrijf BYOD beleid heeft dan kan de wederpartij hardmaken dat er dan dús ook wel zulke apparaten zullen zijn, dus laat maar even zien wat daarop staat.

In Nederland kennen we dit systeem van discovery niet. Er zijn beperkte mogelijkheden om bewijs op te vragen bij je wederpartij. Artikel 843a Rechtsvordering staat toe dat een partij "op zijn kosten inzage, afschrift of uittreksel [kan] vorderen van bepaalde bescheiden aangaande een rechtsbetrekking waarin hij of zijn rechtsvoorgangers partij zijn".

Maar hierbij moet duidelijk en specifiek om documenten worden gevraagd, waarvan de eiser zo ongeveer al moet wéten wat hij gaat krijgen. Die documenten zouden op een BYOD device kunnen staan, maar dan zou de werkgever een kopie daarvan moeten opeisen en aan de wederpartij moeten afgeven. Het apparaat zelf (of alle gegevens daarop) aan de wederpartij geven kan hiermee niet.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
05-06-2013, 10:06 door Anoniem
Arnoud, de verschillen tussen Europa en de VS worden echter lastig, wanneer je bij een bedrijf werkt met een amerikaans moederbedrijf. Hoe zit het in dan, want het moederbedrijf moet zich in dat geval houden aan VS wetgeving, maar het BYOD device kan in Europa zijn. Kun jij daar nog iets over vertellen?
05-06-2013, 10:11 door lucb1e
Misschien dat ik er overheen lees, maar wat is het antwoord nou op de gestelde vraag?

Wij kennen blijkbaar het systeem van "discovery" niet, maar kunnen mogelijk documenten opvragen die op BYOD-apparaten stonden... Maar dat betekent dus dat BYOD-apparatuur gewoon in beslag genomen kan worden bij een Nederlandse of Europeese rechtszaak? Wat ik overigens normaal zou vinden wanneer er (vermoeden is dat er) data op staat die relevant is om de volledige waarheid boven water te brengen.

Edit: Op de voorpagina van security.nl kijkend staat er een ander detail bij: Het gaat om een rechtszaak tegen de werkgever. Dan begrijp ik het stuk over documenten opeisen op een hele andere manier; namelijk dat de BYOD-apparatuur dus niet in beslag genomen kan worden.
05-06-2013, 10:59 door Anoniem
BYOD betekent Bring Your Own Device. Dat ik het eerst moest opzoeken ligt natuurlijk aan mij.
05-06-2013, 11:10 door Whacko
Door lucb1e:

Edit: Op de voorpagina van security.nl kijkend staat er een ander detail bij: Het gaat om een rechtszaak tegen de werkgever. Dan begrijp ik het stuk over documenten opeisen op een hele andere manier; namelijk dat de BYOD-apparatuur dus niet in beslag genomen kan worden.

In nederland ben je toch verplicht om een aansprakelijkheidsverzekering af te sluiten waar je werknemers onder vallen? dan is de rechtzaak dus altijd tegen de werkgever.
05-06-2013, 11:29 door lucb1e
Door Whacko: In nederland ben je toch verplicht om een aansprakelijkheidsverzekering af te sluiten waar je werknemers onder vallen? dan is de rechtzaak dus altijd tegen de werkgever.
Hmm, en als het bedrijf wordt aangeklaagd voor het een of het ander, en jouw BYOD-laptop bevat gegevens daarover?
05-06-2013, 12:04 door WhizzMan
Het lijkt mij dat als er vanuit een werkgever strafbare feiten gepleegd zijn, de bewijslast daarvoor op een BOYD-device zou kunnen staan. Los van eventuele civiele zaken waarin geen voorziening voor "discovery" is in Nederland, lijkt het me dat je in strafzaken weldegelijk je BYOD-device aan de politie moet afgeven als zij concrete aanwijzingen hebben dat daar mogelijke bewijslast op te vinden is. Wie de eigenaar van de computer die gebruikt is om het misdrijf te plegen is, is niet relevant in zo'n geval.
05-06-2013, 12:21 door lucb1e
@WhizzMan: Dat klinkt inderdaad logisch en zoiets zou ik ook verwachten, dus ik vraag me af waarom dat niet gewoon als antwoord wordt gegeven in het artikel.
05-06-2013, 12:47 door Arnoud Engelfriet
@lucb1e: Daar zeg je zo eens wat. De vraag beantwoorden was inderdaad wel fijn geweest ;)

Bij een Nederlandse dochter van een Amerikaans bedrijf kan het zeker wél. Althans, de werkgever kan eisen dat je de bedrijfsdata op je BYOD overhandigt en dat dit via een forensisch bedrijf gaat. Privézaken moeten weggelaten blijven.

Ik ken geen zaken waarbij privéspullen van Nederlandse werknemers zijn opgeëist in verband met Amerikaanse civiele procedures.

Mogelijk dat het idee is dat je de kopie op de mailserver of backup uit de serverruimte al kunt overhandigen, je hoeft niet élke kopie van de data te laten zien. Als het bedrijf Exchange gebruikt dan doet het er niet toe of jij vanaf een werklaptop of BYOD werkt.

Bij strafbare zaken kan de politie sowieso alles in beslag nemen dat "kan dienen om de waarheid aan het licht te brengen", dus je BYOD maar ook je fietstas of broodtrommel als ze daar bewijs in vermoeden.
05-06-2013, 14:40 door [Account Verwijderd]
[Verwijderd]
05-06-2013, 16:03 door Arnoud Engelfriet
@Anoniem 10:06: De Amerikanen zijn in zulke gevallen altijd buitengewoon simpel: lieve Amerikaanse directeur, kom maar op met dat apparaat of u gaat de cel in wegens contempt of court. Rare Europeanen met hun rare privacy-ideeën moeten maar buiten gaan spelen.

Natuurlijk moet er wel iets van een link zijn tussen de Europese dochter en het Amerikaanse conflict, als een loopjongen van Shell een auto bekrast van de BP dan hoeven ze écht niet de gehele Europese administratie te overleggen bij de rechtszaak daarover. Maar het is écht moeilijk als de US rechter iets wil hebben dat de EU afdeling niet mag geven.
05-06-2013, 23:49 door schele
Dit sluit aan bij een van de redenen waarom ik indertijd mijn bedrijfsmail via exchange niet meer op mijn android zette: via Exchange server werden de gekste permissions op mijn device afgedwongen: op afstand blokkeren, op afstand wipen, pincode wijzigen, toegang tot contacten en data, was een waanzinnige lijst. Dan heb je geen inbeslagname nodig, alles is remote op te vragen.

Sommige apps word ik al wat ongemakkelijk als ik de permissions zie, maar wat Exchange default vraagt word je akelig van.
06-06-2013, 10:06 door Anoniem
Ik denk dat je bij het kiezen van de werkmethode bij BYOD zowizo de voorkeur moet geven aan technologieen waarbij er geen copie van bedrijfsinformatie op het device komt te staan.
Oplossingen zoals terminal server of citrix sessies, web applicaties e.d. hebben de voorkeur boven "zet het document locaal en ga het lekker bewerken".
Nadeel is natuurlijk dat je online moet zijn. Of dat een probleem is hangt af van de situatie, er zijn zat situaties waar je zowizo online moet zijn voor nuttig werk. (bijvoorbeeld toegang tot een bedrijfsapplicatie)
Enorme voordelen zijn er niet alleen in de hier beschreven situatie, maar ook bij wegraken van het device e.d.
Wat er niet op staat kan ook niet gestolen worden.

Wat wel jammer is, is dat handige applicaties (met name op telefoons) vaak hardwired zijn om vanalles te cachen. IMAP mail programma's die alleen maar de situatie kennen waarin alles wat gedownload is ook locaal blijft staan, de beslissing of je veiligheid belangrijker vindt dan efficientie mag je helemaal niet meer nemen.
Maar het lijkt me inderdaad dat als men een copie van je mailbox wil, men deze beter bij de server kan maken dan door je telefoon op te eisen.
06-06-2013, 17:08 door Anoniem
Hoe zit het met mogelijke data die door bijvoorbeeld de FIOD of de Autoriteit Consument en Markt (onder andere de voormalige NMa) vordert bij een inval?
07-06-2013, 12:11 door RickDeckardt
Veel amerikaanse bedrijven hanteren hierom een maximale retentietijd van 3 maanden voor emailberichten en chatlogs. Alles ouder dan 3 maanden wordt automatisch gewist, tenzij de gebruiker het lokaal archiveert.
10-06-2013, 15:25 door Patio
Door RickDeckardt: Veel amerikaanse bedrijven hanteren hierom een maximale retentietijd van 3 maanden voor emailberichten en chatlogs. Alles ouder dan 3 maanden wordt automatisch gewist, tenzij de gebruiker het lokaal archiveert.

Slechts drie maanden? Lijkt me stug dat er zoveel verschil is tussen VS en EE(resp. EU [in enge zin NL]. Geen drie, maar zeven en ook rekenen we niet in maanden, echter jaren

Bron: http://www.dezaak.nl/bewaartermijnen-voor-zakelijke-documenten-1709058.html
10-06-2013, 17:15 door Arnoud Engelfriet
@Patio: Rick heeft het niet over de wettelijke bewaarplicht maar over het bedrijfsbeleid om gegevens na drie maanden te wissen. Als je namelijk dergelijk beleid hebt, dan is het niet erg dat je daardoor geen 'discoverable' bewijs hebt. (Zolang je maar niet dingen wist nádat de dagvaarding is uitgebracht.) Heb je geen beleid dan is het idee dat je gericht bewijs hebt zitten vernietigen.

Overigens geldt onze fiscale bewaarplicht niet zó breed dat alle mails en chats eronder vallen. Grofweg geldt het alleen je facturen en administratie, plus contracten en dergelijke.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.