Juridische vraag: mag werkgever mijn e-mails lezen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vanwege het grote aantal vragen de afgelopen weken deze keer weer een "bezemwagen"-editie van de juridische vraag.
Vraag: Mijn werkgever blijkt stiekem onze mails te lezen. Een collega en ik waren wat aan het geinen per mail, en hij werd op het matje geroepen en kreeg een officiële waarschuwing. Kan dat zomaar!
Antwoord: Nee, dat kan niet zomaar. Het lezen van mails van werknemers is alleen toegestaan als daar een concrete aanleiding voor is, bijvoorbeeld klachten van collega's of klanten dat deze de mail misbruikt. Een werkgever mag niet zonder aanleiding mails van werknemers gaan scannen op mogelijk ongepast of niet-werkgerelateerd gebruik. (Laat je je mail openstaan op je monitor en zet je de screensaver niet aan, dan mag je werkgever natuurlijk wel lezen wat er op het scherm staat.)
Vraag: Welke scans mag ik met een programma zoals Nessus uitvoeren zonder toestemming van de beheerder van een website en voor welke scans moet de beheerder van die website toestemming hebben gegeven?
Antwoord: Je mag natuurlijk de informatie die een websserver normaal al afgeeft, waarnemen en vastleggen. Maar in principe heb je voor elke verder gaande scan de toestemming van de eigenaar/beheerder nodig. Ik denk dan aan portscans, opvragen van niet-bestaande URLs of XSS en aanverwante grappen. Ik kan me moeilijk een reden voorstellen waarom je zonder overleg of toestemming andermans sites zou moeten scannen op mogelijke beveiligingsfouten.
Een tijdschrift of organisatie zou wellicht in het kader van vrije nieuwsgaring bij een groep websites een scan kunnen uitvoeren om hun kwetsbaarheid te meten. De publicatie is dan in het algemeen belang, omdat je dan de veiligheid van websites in het algemeen als onderwerp neemt. Maar je moet dan echt meer dan één bedrijf onderzoeken en daarbij ervoor zorgen dat je niet verder gaat dan nodig voor het nieuwsbelang. Kijken of je een site "drop database" kunt laten uitvoeren, is journalistiek niet relevant.
Vraag: Wat zijn de juridische aspecten van het openbreken(termineren) van https verkeer? Dit openbreken gebeurt meestal om malware te kunnen bestrijden. Hiervoor is een aparte appliance(proxy) nodig, welke zich bevindt op een beveiligd segment in het netwerk. Deze appliance werkt als het ware als een man-in-the-middle en doet zich t.o.v. de webserver als een client voor. Zo kan hij al het verkeer scannen, terwijl de echte client en server denken dat ze direct met elkaar praten over een beveiligde verbinding.
Antwoord: Ik ken geen specifieke wet die dit openbreken verbiedt. Zolang het puur om het scannen op malware en aanverwante evidente beveiligingsrisico's gaat, denk ik dat het wel legaal zou moeten zijn. Maar zodra het verandert in bv. meelezen van privemail van medewerkers of het vastleggen van bankgegevens, wordt het een ander verhaal. Daar is geen legitieme reden voor, en dat kan dan ook als strafbaar "vastleggen van vertrouwelijke elektronische communicatie" gezien worden.
Vraag: Eén van onze managers heeft een conflict binnen het managementteam en heeft mij (systeembeheerder) gevraagd om al zijn mails op een DVD'tje te branden zodat hij die naar huis kan nemen. Dat is tegen ons bedrijfsbeleid, maar hij zegt dat hij bang is dat zijn mails (en daarmee bewijs van zijn standpunt) morgen ineens verdwenen blijken te zijn. Moet ik hieraan meewerken?
Antwoord: Ik denk niet dat je hieraan moet meewerken. Als het duidelijk vastgelegd is dat dit niet gevraagd kan worden, dan kan deze manager dat niet van je vragen. Laat je niet meeslepen in andermans arbeidsconflicten, zeker niet door informatie door te geven die mogelijk als bedrijfsgeheim gezien kan worden. Zie ook mijn antwoord van juni vorig jaar over de vraag of een systeembeheerder gedwongen kan worden tot monitoren.
Vraag: Veel internetproviders leveren modems af die slechts in beperkte mate door de gebruiker zijn aan te passen, en dus ook niet door de gebruiker zijn te beveiligen. In hoeverre is zo’n provider nu verantwoordelijk voor eventuele inbraak op het modem, en op het achterliggende (al of niet
beveiligde) netwerk?
Antwoord: Dat is juridisch gezien een open vraag. Als professioneel dienstverlener heb je een zorgplicht: je moet je diensten met een passende mate van zorgvuldigheid uitvoeren. Doe je dat niet, dan word je aansprakelijk voor de schade die daar het gevolg van is. (En nee, dat is niet uit te sluiten in je kleine lettertjes). Om een provider aansprakelijk te stellen, moet je dan wel kunnen bewijzen dat hij deze zorgplicht geschonden heeft én dat de schade niet zou zijn opgetreden als de provider wel het modem afdoende had beveiligd. En met name dat laatste is vrijwel niet te bewijzen denk ik. Maar om hier een antwoord op te krijgen, moet er echt iemand naar de rechter.
Vraag: In mijn zoektocht naar de geldigheid van elektronische handtekeningen stuitte ik in artikel 3:15a van het Burgerlijk Wetboek op de term “authentificatie”. Volgens de Van Dale bestaat dit woord niet. Authentificatie klinkt mij in de oren als een rare samentrekking van “identificatie” en “authenticatie”. Is authentificatie een typisch juridische term, of staat er een fout in het Burgerlijk Wetboek?
http://lexius.nl/BW3/15a
Antwoord: Ik heb eerlijk gezegd geen idee waar deze term vandaan komt. Of nou ja, dat weet ik wel maar het helpt niet echt: Richtlijn 99/13/EG introduceert de term in het kader van regels over elektronische handtekeningen. De Engelse versie spreekt van "authentication", de Duitse van "Authentifizierung" en de Franse van "authentifier" - wat allemaal vertaald wordt met "authenticatie".
De parlementaire behandeling van het wetsvoorstel voor artikel 3:15a geeft ook weinig opheldering. Het woord wordt zonder nadere toelichting gebruikt. Wie het weet, mag het zeggen!
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Frans.
Zelfs al lees je niet zelf alle informatie die over https wordt verstuurd, als iemand anders dit wel kan via de proxy, dan zit je met de gebakken peren. (En geloof mij, gestoofd zijn peren lekkerder dan gebakken.)
Net als dat optimalisatie in het engels optimisation is kunnen er in het nederlands nog wel eens wat letters bij worden gegooid.
Wel vreemd dat er in de wet woorden worden gebruikt die niet in het woordenboek staan.
Een van mijn favoriete quotes van jouw :)
"fouten verifieer je niet met een "; DROP DATABASE" commando. " Arnoud Engelfriet (Security.nl)
Maar goed, het is handiger om dan te zoeken of je bepaalde "CREATE" commando's kunt uitvoeren om er data bij te plaatsen. Het is ook opvallend dat men vaak beveiligt tegen het verwijderen van data, maar veel minder tegen het toevoegen van gegevens. Zo worden regelmatig bepaalde websites voorzien van extra web-pagina's met data en andere data om zo misbruik te maken van de opslagruimte van die servers om zo allerlei foute pagina's door te publiceren. (Plus, het is altijd handig als malware niet op je eigen site staat.)
Antwoord: Dat is juridisch gezien een open vraag. Als professioneel dienstverlener heb je een zorgplicht: je moet je diensten met een passende mate van zorgvuldigheid uitvoeren. Doe je dat niet, dan word je aansprakelijk voor de schade die daar het gevolg van is. (En nee, dat is niet uit te sluiten in je kleine lettertjes).
Betekent dit ook dat de kleine lettertjes onder overeenkomsten met softwareleveranciers (zoals Microsoft), betreffende het feit dat ze nergens voor aansprakelijk gehouden kunnen worden, niet per definitie rechtsgeldig zijn?
Zie ook m'n thread over het kennelijke ontbreken van een server voor Windows Mobile (security) updates (https://secure.security.nl/artikel/34699/1/WinMobile_update_werkt_niet%3F.html). Het lijkt er sterk op dat geen van de partijen (Microsoft, telefoon-fabrikanten en telecom-providers) zich verantwoordelijk voelt hier iets aan te doen.
Inderdaad, die kleine lettertjes zijn zeker naar consumenten toe niet per definitie rechtsgeldig. Je mag je aansprakelijkheid niet zomaar inperken. De wet zegt dat ze "vermoedelijk onredelijk bezwarend" zijn. Oftewel: de bewijslast ligt bij een eventuele rechtszaak bij de leverancier dat zij toch echt die uitsluiting van aansprakelijkheid moeten hebben omdat ze anders geen zaken kunnen doen. Bij b2b mag zo ongeveer alles afgesproken worden, tot en met totale uitsluiting van aansprakelijkheid.
Bedankt voor de informatie
Ik heb in het verlengde hiervan een beetje rare hypothetische vraag.
Het gaat hier dus om de wettelijke aansprakelijkheid of zoals men wil, wat zegt de wet hierover !
Stel:
Iemand op een Forum heeft een vraag over een scriptje.
Ik antwoord: Ik schrijf dat scriptje wel voor je en je kunt het downloaden op mijn FTP server
Ik geef de persoon de URL van de FTP server maak voor hem een account aan met password (voor tijdelijk gebruik)
Omdat er mijns inziens verder NIETS SPANNEND op de ftp site staat plaats ik het antwoord openbaar op het Forum !
Iedereen kan dus met die usernaam en wachtwoord inloggen als men dat wil !!!!!!!!!!
Nou staat er op mijn ftp site een map "backup"
Daarin staat een iso van een door mij gekochte CD (met licentie) van Windows XP.
Iemand van MS komt op dit Forum en kijkt op mijn FTP site (terwijl ik alleen die ENE PERSOON permissie heb gegevens om op de FTP te komen)
Vervolgens deponeert de persoon van MS een klacht omdat er een iso van de XP CD staat.
( DIT IS HYPOTHETISCH DUS GEEN REACTIE OVER DE STUPIDITEIT GRAAG ;-)
Arnoud:
Mag de persoon van MS (maar iedere ander buiten de persoon waarvoor het geschreven is) met die USERNAME en PASSWORD op mijn FTP site inloggen , dus valt dat dan onder HACKEN of iets onder gelijke noemer.
of
Mag dat wel en kan de persoon van MS (of elk ander) zich beroepen op NALATIGHEID van de eigenaar/beheerder van de FTP site.
Wat zegt de wet hierover ????????
Ik ben erg benieuwd.
Los daarvan: zelfs als MS bij je in zou breken en dan zou zien dat je illegaal Windows draait, dan mogen ze je een proces aan doen en schadevergoeding eisen. Jij kunt de inbrekende Microsofter dan laten vervolgen maar dat heft jouw aansprakelijkheid niet op. (Verhaaltjes over onrechtmatig verkregen bewijs en poisonous tree komen uit Amerikaanse rechtbankseries, niet uit ons wetboek.)
Vergelijk het iets realistischer voorbeeld: jij werkt als systeembeheerder ergens en je ziet grootschalig illegaal Microsoftsoftware in gebruik. Je kaart het aan, men doet niets. Je besluit klokkenluider te gaan spelen en je schendt je contractuele geheimhouding door het MS te gaan vertellen. MS mag nu in actie komen. Dat jij je geheimhouding schondt, staat daar los van. Dat jij mogelijk op staande voet ontslagen wordt, eveneens. Of dat ontslag rechtmatig is (want klokkenluiden mag, onder omstandigheden), is voor hen irrelevant.
Ronduit geweldig
Bedankt voor je snelle ractie
Even een voetnoot, in dit geval is de FTP dus niet openbaar benaderbaar (vandaar dus de login en het password)
De XP iso is tevens NIET illegaal, gewoon een backup van je eigen cd i.g.v. een kras op de fysieke CD
Toevallig staat hij op je FTP server als backup
Een online kopie van een XP CD waar derden erbij kunnen is wel illegaal. Backups horen in je kluis of in een prive-FTP site voor mijn part, maar als derden erbij kunnen dan is dat geen backup meer. Je mag geen backups voor anderen beschikbaar stellen.
Daarnaast heb je meer nodig dan alleen de XP ISO. Je moet je XP versie immers ook registreren en daarbij wordt je registratie-code bij MS aangemeldt, waarna je ook nog eens de benodigde updates binnen gaat krijgen. Zonder registratie-code is die ISO eigenlijk redelijk waardeloos.
-
Een beter voorbeeld zou een Windows 7 ISO zijn met een readme.txt bestandje erbij met licentiecode en overige informatie. Jammer alleen dat Microsoft ook nog eens controleert of een licentiecode al eerder is geregistreerd en zo ja, met welke hardware... Eigenlijk geef je op die manier je Windows licentie weg aan de eerste de beste die jouw licentiecode gaat gebruiken. Als jij hem daarna wilt gebruiken is de kans groot dat je pech hebt. En wie zegt dat dit niet mag?
Inderdaad goed opgemerkt, het had dus ook een ISO van 7 kunnen zijn, het gaat om het idee erachter en niet zo zeer om de versie. Het had ook Office of een ander product van wie dan ook kunnen zijn dat niet vrij te downloaden is.
Tevens ging het in dit geval niet om een apart bestand met de licentiecode dat op de site zou staan maar louter om een backup van de originele CD (waarvan de licentiecode wel in mijn bezit is, in dit voorbeeld ).
@ Arnoud
Geweldig om te weten want dat vroeg ik me dus al tijden af.
Meer in de trend van, wat als iemand geen toestemming heeft om op een site te komen maar daar toch software aantreft die niet vrij verkrijgbaar is.
De rest heb ik er voor het voorbeeld bij verzonnen om een mogelijk reële situatie te creëren om dit te verduidelijken en de wet aan te toetsen.
Erg bedankt , nogmaals
Inderdaad goed opgemerkt, het had dus ook een ISO van 7 kunnen zijn, het gaat om het idee erachter en niet zo zeer om de versie. Het had ook Office of een ander product van wie dan ook kunnen zijn dat niet vrij te downloaden is.
Tevens ging het in dit geval niet om een apart bestand met de licentiecode dat op de site zou staan maar louter om een backup van de originele CD (waarvan de licentiecode wel in mijn bezit is, in dit voorbeeld ).
En ook de code zonder iso of CD is waardeloos. Als je wel de code hebt maar niet de software, kun je nog steeds weinig.
Stel voor dat jij een geldige registratie-code van office hebt, maar je office-cd is uiteen gespat in je CD-speler.... (Heb ik 1 keer meegemaakt!) Dan kun je office niet gebruiken en moet je bij MS een nieuwe CD vragen en wachten tot je die krijgt. Maar als ik jou een iso met dezelfde versie erop geef die jij op cd brandt en vervolgens met jouw eigen code registreert, ben jij dan een copyright aan het schenden?
Best een lastig vraagpunt. :-)
Ga dus géén sites opzetten met "download hier je ISO's van Microsoft voor het geval je CD stuk gaat en je niet kunt wachten op Microsoft". Dat is echt vragen om een veroordeling.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.