Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Bij mijn huidige werkgever gebruik ik al sinds het begin een GPG-sleutel, gekoppeld aan mijn zakelijk mailadres. Deze sleutel is bekend bij al mijn professionele relaties, en hij is getekend door bekende personen in mijn vakgebied. Dus die authenticiteit is belangrijk. Mag ik nu met deze sleutel een nieuwe sleutel van mezelf signeren, om aan te geven dat deze ook echt van mij is? Zo ‘erft’ deze een beetje die betrouwbaarheid van de oude.
Antwoord: GPG, voor wie het niet wist, is het vrijesoftwarealternatief voor PGP, oftewel Pretty Good Privacy, het encryptie- en digitalehandtekeningenpakket waarmee ineens iedereen cryptografie kon toepassen. (Lees er alles over in mijn nieuwe boek.) De opzet is decentraal, er is geen hiërarchische autoriteit die bepaalt wie wie is of onder welke naam je mag werken.
Daarom kent het systeem een eigen, decentraal web of trust, waarbij je iemands sleutel kunt voorzien van een testimonial: “Dit is inderdaad Arnouds sleutel”. Als je dan een sleutel vindt die vermeldt van mij te zijn, en je ziet testimonials van mensen die jij vertrouwt, dan mag je er vanuit gaan dat het mijn sleutel is. Je kunt dan handtekeningen onder berichten van mij verifiëren met die sleutel.
Naamsvermeldingen (identifiers) in een sleutel zijn in principe gekoppeld aan een e-mailadres. Als je van mailadres wisselt, is het dus handig je nieuwe adres toe te voegen. Zo zou je dus je werkadres en je priveadres aan dezelfde sleutel kunnen verbinden. Deze vraagsteller wil dat niet; hij wil overstappen naar een nieuwe sleutel omdat de oude in het kader van zijn werk is gemaakt en daarmee te zien is als “iets van de werkgever”. Door een nieuwe sleutel te maken, en de oude daar als testimonial aan te koppelen (“Dit ben ik, maar dan privé”) profiteert hij van alle bestaande testimonials: een ontvanger zal overtuigd zijn dat de oude sleutel van hem is, en mag dan de testimonial op de nieuwe sleutel ook vertrouwen.
Ik zie hier eerlijk gezegd geen probleem mee, ook niet als de oude sleutel inderdaad als gereedschap van het werk te zien zou zijn en/of er enig recht van intellectueel eigendom op die sleutel zou rusten. Ik zou zelf niet weten welk recht dat zou moeten zijn. Maar een heel welwillende lezing van het goed werknemerschap zou met zich meebrengen dat de werknemer zo’n werksleutel niet meer gebruikt als hij er niet meer werkt. Hoe veel mensen lopen nog rond met de mok of polo van hun oude werkgever als ze ergens anders gaan werken?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.