Juridische vraag: Mag school e-mail van leerling lezen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Laatst zat ik op school te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een "grappige site" toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen op mijn PC, want ze dachten dat ik aan het hacken was ("wat voor raar zwart/wit schermpje is dat"). Ook lazen ze mijn Gmail mail die nog openstond. Ik heb ze erop gewezen dat dat computervredebreuk was, maar ze gingen gewoon door. Wat kan ik nu het beste doen?
Antwoord: Dit is natuurlijk nogal ongepast, maar of het strafbaar is durf ik zo niet te zeggen. Volgens de wet is er pas sprake van computervredebreuk als je willens en wetens ergens binnendringt waarvan je weet dat je er niet mag zijn. Het gaat er niet (meer) om of je een beveiliging doorbreekt, maar of je op verboden terrein bent.
Wanneer een systeembeheerder gevraagd wordt om een probleem te herstellen, dan heeft hij daarmee impliciet toestemming om overal te komen waar hij redelijkerwijs zou moeten zijn om het probleem te detecteren of op te lossen. Heb je bijvoorbeeld een probleem met je mailbox waar een veel te grote bijlage in zit, dan mag de systeembeheerder in je mailbox om die bijlage eruit te vissen. Hij kan en mag dan mails doorkijken om te zien waar de bijlage zit. Natuurlijk heeft hij dan wel een geheimhoudingsplicht over wat hij aantreft (zie ook hier).
Je zou zeggen dat een beetje systeembeheerder een rickroll wel herkent en snapt dat je dan de browser via taakbeheer moet afschieten. Maar als niet duidelijk is wat er precies gebeurt, dan lijkt het me logisch dat je even alle venstertjes afloopt om te zien of er iets draait dat de problemen kan veroorzaken. Lezen van Gmail lijkt me niet echt nodig. Dat hij de pagina bekijkt die toevallig open staat, zal onvermijdelijk zijn maar doorbladeren in de mailbox is echt niet toegestaan. Tenminste, tenzij daar een hele goede reden voor is - en die kan ik bij deze vraag zo niet bedenken.
Een openstaand ssh schermpje lijkt me ook niet direct relevant, maar ik kan me voorstellen dat je even wilt weten of dat niet een systeem van de school is. En nee, de titelbalk van het venster zegt daar niets over want die is eenvoudig aan te passen. Dus ook hier ben ik geneigd tot op zekere hoogte het systeembeheer gelijk te geven. Maar op het moment dat hij daar servers gaat herstarten of rootkits gaat installeren, zou ik denk ik wel tot arrestatie op staande voet overgaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Hierbij heb ik moeten leren: het inbreken en lezen van e--mails is strafbaar. Maar staat het scherm open en je kijkt is dit niet strafbaar. er is namelijk voor e-mail geen briefgeheim.
Wel mag je de inhoud van de e-mails niet doorvertellen.
In jouw verhaal staat vermeld dat de betreffende leerling heeft aangegeven dat de systeembeheerder daar niet mag kijken. In mijn ogen wordt de zaak dan toch echt even iets anders dan het oplossen van het (aangemelde) incident. De systeembeheerder mag dan ook alleen zich bezig houden met het oplossen van het incident en dus niet zomaar even alles bekijken. Immers kunnen er dan ook zaken worden gezien die niets met het incident te maken heeft.
Als de systeembeheerder een vermoeden heeft dat er een hack gaande is vanaf dat systeem, dan zal hij toch echt even anders moeten reageren. Immers kunnen zijn handelingen een forensisch onderzoek bemoeilijken dan wel onmogelijk maken.
Mijn advies aan de betreffende leerling zal dan zonder meer zijn dat deze zaak aan de directeur van de school moet worden voorgelegd. Enerzijds mist men duidelijke procedures aangaande (informatie) beveiliging. Anderzijds mist men duidelijk ook enige zaken omtrent netetiquette.
Apart is het zeker, ik betwijfel de eerlijkheid van de syadmin ook aangezien hij gewoon op mijn server wilde snuffelen en gewoon een excuus nodig had. Een directeur of leraar weet niet wat SSH is en als de sysadmin wat leuke termen in het gesprek gooit dan heb je al gezeik.
Een personal computer kan wel degelijk als server gebruikt worden.
Volgens mij negeer je daarbij dat de gebruiker ook nog eens zeer expliciet heeft gevraagd om dit niet te doen. Het lijkt mij dat dit niet is toegestaan, en naast het briefgeheim heb je ook gewoon privacy wetgeving. Daarnaast moet je om emails te lezen ook nog zelf handelingen plegen (de emails aanklikken om ze te openen). Indien je uitgaat van het argument dat het scherm open staat, dan zou het wellicht gaan om 1 enkele email welke op dat moment zichtbaar is.
Knaagt toch wel aan de vertrouwenswaardigheid.
Ik had de vraag anders geformuleerd aan Arnoud, omdat het een best groot verhaal was. Het kwam er op neer dat school de sysadmins ingeschakeld had en ik direct achter mijn pc weg moest. Niks mocht aanraken, toen ging de sysadmin mijn bladeren door mijn server via de SSH verbinding. Ik had gezegd dat ik dat niet wilde en daar het probleem niet lag. Ook herhaaldelijk gezegd dat het tegen de privacy van mij als leerling is en dergelijke.
Ik weet zelf wel hoe je een rickroll moet uitschakelen gewoon d.m.v taakbeheer maar die is geblokkeerd op school. Het kwam er op neer dat ik bij de directeur terecht kwam en bijna van school werd gestuurd omdat de conclusie was: deze leerling heeft de school server gehackt.
Sysadmin had het verhaal/conclusie verteld maar aangezien de schoolleiding leek's zijn was het een grote zooi.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.