Juridische vraag: mag rechter BYOD-toestel in beslag nemen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Ik las dat in de VS je BYOD apparaat in beslag kan worden genomen bij een rechtszaak. Hoe zit dat bij ons?
Antwoord: In de VS kent men in de bewijsgaring een paar hele bijzondere regels. Eén daarvan heet discovery: de plicht om je wederpartij in een rechtszaak alle potentieel relevante documentatie te overhandigen, en om verklaringen af te leggen op verzoek van die wederpartij.
Wie nu denkt, "alle, dat meent ie niet": ja, dat meent 'ie wel. De eis is of het materiaal "reasonably calculated to lead to admissible evidence" is, en dat omvat echt ongeveer alles. De enige echte uitzondering is correspondentie met je advocaat. Maar zaken als e-mailberichten, chatlogs, voicemails en dergelijke moeten dus worden overhandigd bij een rechtszaak, en ze even snel wissen is een ernstige vorm van contempt of court.
Het maakt niet uit waar de data staat. Als het bewijs is, dan moet het in discovery worden overhandigd. Data op een privéapparaat kan dus zeer zeker ook in discovery worden opgeëist, en als een bedrijf BYOD beleid heeft dan kan de wederpartij hardmaken dat er dan dús ook wel zulke apparaten zullen zijn, dus laat maar even zien wat daarop staat.
In Nederland kennen we dit systeem van discovery niet. Er zijn beperkte mogelijkheden om bewijs op te vragen bij je wederpartij. Artikel 843a Rechtsvordering staat toe dat een partij "op zijn kosten inzage, afschrift of uittreksel [kan] vorderen van bepaalde bescheiden aangaande een rechtsbetrekking waarin hij of zijn rechtsvoorgangers partij zijn".
Maar hierbij moet duidelijk en specifiek om documenten worden gevraagd, waarvan de eiser zo ongeveer al moet wéten wat hij gaat krijgen. Die documenten zouden op een BYOD device kunnen staan, maar dan zou de werkgever een kopie daarvan moeten opeisen en aan de wederpartij moeten afgeven. Het apparaat zelf (of alle gegevens daarop) aan de wederpartij geven kan hiermee niet.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Wij kennen blijkbaar het systeem van "discovery" niet, maar kunnen mogelijk documenten opvragen die op BYOD-apparaten stonden... Maar dat betekent dus dat BYOD-apparatuur gewoon in beslag genomen kan worden bij een Nederlandse of Europeese rechtszaak? Wat ik overigens normaal zou vinden wanneer er (vermoeden is dat er) data op staat die relevant is om de volledige waarheid boven water te brengen.
Edit: Op de voorpagina van security.nl kijkend staat er een ander detail bij: Het gaat om een rechtszaak tegen de werkgever. Dan begrijp ik het stuk over documenten opeisen op een hele andere manier; namelijk dat de BYOD-apparatuur dus niet in beslag genomen kan worden.
Edit: Op de voorpagina van security.nl kijkend staat er een ander detail bij: Het gaat om een rechtszaak tegen de werkgever. Dan begrijp ik het stuk over documenten opeisen op een hele andere manier; namelijk dat de BYOD-apparatuur dus niet in beslag genomen kan worden.
In nederland ben je toch verplicht om een aansprakelijkheidsverzekering af te sluiten waar je werknemers onder vallen? dan is de rechtzaak dus altijd tegen de werkgever.
Bij een Nederlandse dochter van een Amerikaans bedrijf kan het zeker wél. Althans, de werkgever kan eisen dat je de bedrijfsdata op je BYOD overhandigt en dat dit via een forensisch bedrijf gaat. Privézaken moeten weggelaten blijven.
Ik ken geen zaken waarbij privéspullen van Nederlandse werknemers zijn opgeëist in verband met Amerikaanse civiele procedures.
Mogelijk dat het idee is dat je de kopie op de mailserver of backup uit de serverruimte al kunt overhandigen, je hoeft niet élke kopie van de data te laten zien. Als het bedrijf Exchange gebruikt dan doet het er niet toe of jij vanaf een werklaptop of BYOD werkt.
Bij strafbare zaken kan de politie sowieso alles in beslag nemen dat "kan dienen om de waarheid aan het licht te brengen", dus je BYOD maar ook je fietstas of broodtrommel als ze daar bewijs in vermoeden.
Natuurlijk moet er wel iets van een link zijn tussen de Europese dochter en het Amerikaanse conflict, als een loopjongen van Shell een auto bekrast van de BP dan hoeven ze écht niet de gehele Europese administratie te overleggen bij de rechtszaak daarover. Maar het is écht moeilijk als de US rechter iets wil hebben dat de EU afdeling niet mag geven.
Sommige apps word ik al wat ongemakkelijk als ik de permissions zie, maar wat Exchange default vraagt word je akelig van.
Oplossingen zoals terminal server of citrix sessies, web applicaties e.d. hebben de voorkeur boven "zet het document locaal en ga het lekker bewerken".
Nadeel is natuurlijk dat je online moet zijn. Of dat een probleem is hangt af van de situatie, er zijn zat situaties waar je zowizo online moet zijn voor nuttig werk. (bijvoorbeeld toegang tot een bedrijfsapplicatie)
Enorme voordelen zijn er niet alleen in de hier beschreven situatie, maar ook bij wegraken van het device e.d.
Wat er niet op staat kan ook niet gestolen worden.
Wat wel jammer is, is dat handige applicaties (met name op telefoons) vaak hardwired zijn om vanalles te cachen. IMAP mail programma's die alleen maar de situatie kennen waarin alles wat gedownload is ook locaal blijft staan, de beslissing of je veiligheid belangrijker vindt dan efficientie mag je helemaal niet meer nemen.
Maar het lijkt me inderdaad dat als men een copie van je mailbox wil, men deze beter bij de server kan maken dan door je telefoon op te eisen.
Slechts drie maanden? Lijkt me stug dat er zoveel verschil is tussen VS en EE(resp. EU [in enge zin NL]. Geen drie, maar zeven en ook rekenen we niet in maanden, echter jaren
Bron: http://www.dezaak.nl/bewaartermijnen-voor-zakelijke-documenten-1709058.html
Overigens geldt onze fiscale bewaarplicht niet zó breed dat alle mails en chats eronder vallen. Grofweg geldt het alleen je facturen en administratie, plus contracten en dergelijke.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.