image

Hoe een versleuteld bericht toch bewijs kan zijn van schending geheimhouding

woensdag 26 april 2023, 09:14 door Arnoud Engelfriet, 15 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik vond een vonnis waar in een oud-werknemer een boete van ruim 15.000 euro moet betalen omdat hij een overeengekomen geheimhoudingsbeding en een beding over bedrijfseigendommen had geschonden door een bestand met bedrijfsgegevens naar zijn privé e-mail adres te sturen. Maar het bestand was versleuteld en kon niet meer worden geopend! Hoe kan dat leiden tot bewijs van een schending van je contractuele geheimhoudingsplicht?

Antwoord: De man was in dienst op basis van een tijdelijk arbeidscontract. Dat had een geheimhoudingsbeding, waarin was bepaald dat het sturen van vertrouwelijke informatie door de werknemer naar een privé e-mailadres wordt beschouwd als een schending van het geheimhoudingsbeding. Op overtreding ervan was een boete gesteld van grofweg vijf bruto maandsalarissen. En ja, dat mag: geheimhouding schenden is een ding waar rechters weinig sympathie voor hebben (tenzij je heel duidelijk aan het klokkenluiden bent natuurlijk). Concurrentie- en relatiebedingen krijg je nog wel omver, maar dit is echt andere koek.

Op 23 maart 2022 heeft [werkgever], na onderzoek van haar IT-afdeling, geconstateerd dat [gedaagde] op 17 maart 2022 een Excelbestand genaamd “ListeRenewableEnergyxVCMxBioMethane” heeft hernoemd tot “Stuff tot do”, dit heeft beveiligd met een wachtwoord en verzonden naar een van zijn privé emailadressen. Ook heeft [werkgever] geconstateerd dat [gedaagde] op 20 maart 2022 nog een e-mail met eveneens het beveiligde Excelbestand genaamd “Stuff to do” heeft verzonden naar een ander privé e-mailadres. [werkgever] heeft de beschikking over de laatste versie van het bestand “Stuff to do” voordat dit door [gedaagde] is versleuteld.

Wat was hier aan de hand? De werknemer legde uit:

Het was slechts een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden. Hij was van plan om in dit rekenblad ook informatie over (potentiële) klanten van [werkgever] op te nemen, om zo te komen tot een lijst met potentiële klanten waarmee hij na zijn carrière bij [werkgever] zonder risico zou kunnen werken. Zover is het echter niet gekomen omdat dit te bewerkelijk werd. Met de lijst van klanten van [werkgever] die hij had gevonden in het CRM systeem van [werkgever] heeft hij dus niets gedaan.

De sleutel wilde hij echter niet geven, en dat wekte wat wrevel op bij de rechter:

Verder valt op dat [gedaagde] weinig coöperatief is geweest tijdens de gesprekken met [werkgever], bedoeld om [werkgever] duidelijkheid te verschaffen over de inhoud van het door [gedaagde] verstuurde bestand. Zo blijkt uit een niet betwiste transcriptie van een op 28 maart 2022 gevoerd telefoongesprek (productie 25 [werkgever]) dat hij tijdens dat gesprek heeft verklaard het wachtwoord niet te willen geven omdat hij dit dagelijks gebruikt, terwijl hij op de mondelinge behandeling heeft verklaard het wachtwoord niet meer te weten. Voorts heeft [gedaagde] verklaard het bestand te hebben weggegooid.

Ik zou dit ook een ietwat irritante houding geven. Maar enkel irritant doen is natuurlijk geen reden om je een rechtszaak te laten verliezen. Dat kan wel als je de bewijslast omkeert, en de rechter ziet daar – naast bovengenoemde houding – genoeg inhoudelijke gronden voor:

[Gedaagde] heeft daarbij gewezen op de door [werkgever] overgelegde nog niet met een wachtwoord beveiligde versie, waarvan als niet (voldoende) betwist vaststaat dat die versie geen vertrouwelijke bedrijfsinformatie van [werkgever] bevat. Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen. Dat valt temeer niet uit te sluiten nu [gedaagde] niet (voldoende) heeft betwist dat de betreffende Excel sheet, gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van [werkgever] te worden gevuld. Daarbij staat onbetwist vast dat [gedaagde] voorafgaand aan de verzending van het bestand gegevens heeft gedownload uit het zg. CRM systeem van [werkgever]. Bovendien valt niet goed te begrijpen waarom [gedaagde] een bestand met – zoals hij zelf stelt – slechts openbaar toegankelijke informatie überhaupt met een wachtwoord zou moeten beveiligen.

Het is inderdaad voorstelbaar dat je aan een bestaand Excel-bestand een extra tab toevoegt met wel vertrouwelijke informatie, zeker in de context waarin je ziet dat iemand wat eerder nog vertrouwelijke gegevens heeft gedownload. En als kers op de taart dan de vraag wáárom je zo’n bestand versleutelt als er niets bijzonders in staat. Natuurlijk, daar zijn weer logische antwoorden op te verzinnen (“dat doe ik altijd”), maar dat moet je dan wel zeggen en het moet natuurlijk wel kloppen. Alles bij elkaar vindt de rechter dat het verhaal aan de kant van werknemer te zeer rammelt, en draait hij de bewijslast om. Dat mag van de wet, art. 150 Rechtsvordering:

De partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, draagt de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.

De hoofdregel is dus “wie stelt, bewijst”, maar dan iets preciezer geformuleerd: wie wil profiteren van het gevolg van een stelling, moet deze bewijzen. De werkgever wil de boete incasseren, dus moet de werkgever bewijzen dat het beding geschonden is. Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild.

Dan zijn we snel klaar, want de werknemer had verklaard het wachtwoord niet meer te weten en het bestand te hebben weggegooid. Daarmee is het bewijs dus geleverd dat hij het beding heeft overtreden, zodat hij de boete moet betalen. Deze wordt wel gematigd, omdat de berekening van de werkgever meerdere keren hetzelfde feit betrof.

Merk op dat we het niet een keer hebben gehad over de gebruikte encryptietechniek of de mogelijkheden van vervalsen van berichten, deniable encryptie en ga zo maar door. Deze rechter deed precies wat rechters moeten doen: de argumentatie van partijen aanhoren en afwegen, en dan een beslissing nemen. Hoe iets technisch werkt en wat er zou kunnen is dan minder van belang dan wat er in dit specifieke geval is gebeurd. Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
26-04-2023, 10:27 door Anoniem

Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.

Het lijkt me dat hij dan wel gelijk moet hebben *dat* het bestand geen vertrouwelijke data bevatte ?

Of denk je inderdaad dat als je de schijn van cooperatie wekt "sorry, ik doe echt m'n best, en ab/cd/ef zijn wachtwoorden die ik vaak gebruikte maar hier niet werken, en ik ben het echt vergeten" - de rechter dan toch in deze situatie het overtreden van het geheimhoudingsbeding niet voldoende aangetoond acht ?
26-04-2023, 11:47 door Anoniem
Door Anoniem:

Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.

Het lijkt me dat hij dan wel gelijk moet hebben *dat* het bestand geen vertrouwelijke data bevatte ?

Of denk je inderdaad dat als je de schijn van cooperatie wekt "sorry, ik doe echt m'n best, en ab/cd/ef zijn wachtwoorden die ik vaak gebruikte maar hier niet werken, en ik ben het echt vergeten" - de rechter dan toch in deze situatie het overtreden van het geheimhoudingsbeding niet voldoende aangetoond acht ?
Ik ben geen jurist, maar naar mijn idee was de rechter sympathieker geweest als de man gewoon open kaart gespeeld had. Al helemaal omdat de bewijslast toch al omgedraaid was. Dat wil zeggen: door de acties van de oud-werknemer gaat de rechtbank uit van het ergste scenario, dus alle context en medewerking die de oud-werknemer kan geven zal dan alleen in zijn voordeel werken (tenzij de situatie nog veel erger is dan voorzien).

Dus een opstelling als "Oke, you got me, en ik begrijp dat dit fout van me was. Dit is hoe de vork in de steel steekt - dit is de reden dat ik het bestand hernoemd heb, dit is de reden dat ik het versleuteld heb, dit zijn de gegevens die ik in het bestand gezet heb, dit is de reden dat ik het bestand wilde bewaren, en ik zal een poging doen om het wachtwoord te herinneren" zou mogelijk tot een betere uitkomst hebben geleid.

Is dat een garantie? Nee, maar de uitgangspositie van de oud-werknemer was (door zijn eigen acties) toch al uiterst zwak. Dan is het een kwestie van, wie z'n billen brandt moet op de blaren zitten.
26-04-2023, 11:51 door Anoniem
Door Anoniem:
Of denk je inderdaad dat als je de schijn van cooperatie wekt "sorry, ik doe echt m'n best, en ab/cd/ef zijn wachtwoorden die ik vaak gebruikte maar hier niet werken, en ik ben het echt vergeten" - de rechter dan toch in deze situatie het overtreden van het geheimhoudingsbeding niet voldoende aangetoond acht ?
Het is jammer dat dit verhaal, wat al eerder als een gewoon artikel verschenen is en waar toen ook door Arnoud op
gereageerd is en waar extra details gegeven zijn, nu weer terug komt als "juridische vraag" waarbij alle wedervragen
opnieuw gesteld gaan worden...

Maar de vorige keer was al behandeld dat de verdachte eerst verteld had dat hij het wachtwoord niet wilde geven omdat
dit een door hem voor van alles gebruikt wachtwoord was wat hij niet wilde prijsgeven, en later heette het ineens dat hij
het vergeten was.
26-04-2023, 12:23 door Anoniem
Het meest schokkende in dit verhaal vind ik eigenlijk dat die Microsoft omgeving jouw bespioneert! In dit geval dat hij een bestand kennelijk heeft ge-hernoemd en vervolgens bewerkt. In ieder geval was de inhoud onbekend. Dat systeem zal ook wel weten of de grootte is veranderd, maar dat zegt eigenlijk ook niet zo veel.
Ik vind het eigenlijk een flagrante scheding van de privacy. Nog even en je uitwerpselen worden ook op de WC gecontroleerd.
Deze gast wilde gewoon niks meer met dit bedrijf te maken hebben en ik kan mij best voorstellen dat hij het wachtwoord niet meer weet. Het document kunnen ze zo uit de backup terughalen en er brute force op los laten, maar de bewijslast omdraaien vind ik echt belachelijk. Ik wist niet dat dit juridisch kon. Dan lopen we dus gevaar als onschuldigen bij een rancuneuze werkgever.

Bij mij op het werken hebben ze mydocuments op Microsoft onedrive staan en ik kreeg al een waarschuwing (van het systeem per email) dat ik blijkbaar te veel documenten had weggegooid. Ben namelijk aan het opruimen omdat mijn contract niet is verlengd (werk is af)
26-04-2023, 14:00 door Anoniem
Door Anoniem: Het meest schokkende in dit verhaal vind ik eigenlijk dat die Microsoft omgeving jouw bespioneert! In dit geval dat hij een bestand kennelijk heeft ge-hernoemd en vervolgens bewerkt. In ieder geval was de inhoud onbekend. Dat systeem zal ook wel weten of de grootte is veranderd, maar dat zegt eigenlijk ook niet zo veel.
Ik vind het eigenlijk een flagrante scheding van de privacy. Nog even en je uitwerpselen worden ook op de WC gecontroleerd.
Deze gast wilde gewoon niks meer met dit bedrijf te maken hebben en ik kan mij best voorstellen dat hij het wachtwoord niet meer weet. Het document kunnen ze zo uit de backup terughalen en er brute force op los laten, maar de bewijslast omdraaien vind ik echt belachelijk. Ik wist niet dat dit juridisch kon. Dan lopen we dus gevaar als onschuldigen bij een rancuneuze werkgever.

Bij mij op het werken hebben ze mydocuments op Microsoft onedrive staan en ik kreeg al een waarschuwing (van het systeem per email) dat ik blijkbaar te veel documenten had weggegooid. Ben namelijk aan het opruimen omdat mijn contract niet is verlengd (werk is af)
Het is een werk-systeem. Het is niet bepaald nieuwswaardig dat werksystemen gemonitord kunnen worden, en dat je hier een zeer verminderde verwachting van privacy hebt. Ook dat werk-email gemonitord kan worden is niet bepaald verrassend.

Je moet gewoon geen privé dingen doen op je werklaptop. Dan hoef je je ook geen zorgen te maken dat je privacy geschonden wordt.
26-04-2023, 18:01 door Anoniem
Door Anoniem:
Door Anoniem: Het meest schokkende in dit verhaal vind ik eigenlijk dat die Microsoft omgeving jouw bespioneert! In dit geval dat hij een bestand kennelijk heeft ge-hernoemd en vervolgens bewerkt. In ieder geval was de inhoud onbekend. Dat systeem zal ook wel weten of de grootte is veranderd, maar dat zegt eigenlijk ook niet zo veel.
Ik vind het eigenlijk een flagrante scheding van de privacy. Nog even en je uitwerpselen worden ook op de WC gecontroleerd.
Deze gast wilde gewoon niks meer met dit bedrijf te maken hebben en ik kan mij best voorstellen dat hij het wachtwoord niet meer weet. Het document kunnen ze zo uit de backup terughalen en er brute force op los laten, maar de bewijslast omdraaien vind ik echt belachelijk. Ik wist niet dat dit juridisch kon. Dan lopen we dus gevaar als onschuldigen bij een rancuneuze werkgever.

Bij mij op het werken hebben ze mydocuments op Microsoft onedrive staan en ik kreeg al een waarschuwing (van het systeem per email) dat ik blijkbaar te veel documenten had weggegooid. Ben namelijk aan het opruimen omdat mijn contract niet is verlengd (werk is af)
Het is een werk-systeem. Het is niet bepaald nieuwswaardig dat werksystemen gemonitord kunnen worden, en dat je hier een zeer verminderde verwachting van privacy hebt. Ook dat werk-email gemonitord kan worden is niet bepaald verrassend.

Je moet gewoon geen privé dingen doen op je werklaptop. Dan hoef je je ook geen zorgen te maken dat je privacy geschonden wordt.
Ik vind het ook belachelijk dat die Microsoft tools monitoren hoe ik mijn werk doe, terwijl ik op dat moment niet met een klant communiceer. Is voor mij een eyeopener om niet meer met deze software te willen werken.
Al hernoem ik mijn werkdocument 10.000 keer in mijn eigen homefolder. Het gaat ze geen donder aan. Dat mijn mail wordt gefilterd wist ik al want ze zijn als de dood voor ransomware.
27-04-2023, 09:35 door Briolet
Door Anoniem: Het meest schokkende in dit verhaal vind ik eigenlijk dat die Microsoft omgeving jouw bespioneert! In dit geval dat hij een bestand kennelijk heeft ge-hernoemd en vervolgens bewerkt.…

Wat heeft dit met Microsoft te maken? Op mijn Linux systeem worden deze fileaanpassingen ook gelogd en ik weet zeker dat dit ook op een mac systeem aan te zetten is. Op mijn mac worden in elk geval alle filenamen van geprinte bestanden gelogd via cups.

Het is gewoon een instelling van het loggen, dat in een zakelijke omgeving waar geheimhouding belangrijk is, wat uitgebreider ingesteld zal zijn.
27-04-2023, 10:36 door Anoniem
Door Anoniem:
Ik vind het ook belachelijk dat die Microsoft tools monitoren hoe ik mijn werk doe, terwijl ik op dat moment niet met een klant communiceer. Is voor mij een eyeopener om niet meer met deze software te willen werken.
Al hernoem ik mijn werkdocument 10.000 keer in mijn eigen homefolder. Het gaat ze geen donder aan. Dat mijn mail wordt gefilterd wist ik al want ze zijn als de dood voor ransomware.
Ik vind dat niet belachelijk, ik vind dat hardstikke terecht!
Als je leest wat er tegenwoordig allemaal gebeurt in systemen en netwerken (met name die waar Windows gebruikt wordt)
dan is het eerste wat je als serieus bedrijf wilt dat alles gefilterd, gemonitord en gelogd wordt.
Ik neem aan dat je ook weet dat OneDrive en Sharepoint Online alles opslaan wat je aan een document gedaan hebt.
Je kunt precies terug halen hoe je document er vorige week dinsdag om 14:00 uit zag.
"voor je weg gaat snel alles deleten" dat is voor amateurs. Dat heeft nul effect in zo'n omgeving.
27-04-2023, 13:53 door Anoniem
"Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild."

ik weet nu wel dat er een deur open staat om dmv spooffing oid het een van je collega's het erg moeilijk te maken als er dit soort redeneringen plaats gaan vinden. de lat is wel heel erg omlaag gehaald nu.
27-04-2023, 14:30 door Anoniem
Even on the side. In een overeenkomst kan een boetebeding worden opgenomen. Maar enkel een rechter kan een boete opleggen. Nadat een zaak van alle kanten is bekeken en nogeens is omgedraaid. Je komt per contract enkel een schadevergoeding overeen indien je aan jou kant volledig in gebreke staat terwijl de andere kant niks verweten kan worden.

"Boetes geven." Daar mogen bedrijven wel eens wat correcter mee omgaan. Het is politietje spelen terwijl als je door rood rijdt zelfs de politie je portmonnee niet mag afpakken en leeghalen.

Mooi voorbeeld van zulke blufkutterij is de Buma. Eenzijdig boetes opleggen kan niet. Je kunt wel bij voorbaat overeenkomen als je jou deel van een overeenkomst schendt. Maar daar zou je ook een goede reden voor kunnen hebben, of overmacht aan kunnen tonen. Dat ge-politiespelen en douanetje met paspoorten vragen. Dat zou een tikje beschaafder mogen.
27-04-2023, 20:49 door Anoniem
Door Anoniem: Even on the side. In een overeenkomst kan een boetebeding worden opgenomen. Maar enkel een rechter kan een boete opleggen. Nadat een zaak van alle kanten is bekeken en nogeens is omgedraaid.
En dat is precies wat er gebeurd is. Dus wat is nou je punt?
28-04-2023, 10:50 door Anoniem
Door Briolet:
Door Anoniem: Het meest schokkende in dit verhaal vind ik eigenlijk dat die Microsoft omgeving jouw bespioneert! In dit geval dat hij een bestand kennelijk heeft ge-hernoemd en vervolgens bewerkt.…

Wat heeft dit met Microsoft te maken? Op mijn Linux systeem worden deze fileaanpassingen ook gelogd en ik weet zeker dat dit ook op een mac systeem aan te zetten is. Op mijn mac worden in elk geval alle filenamen van geprinte bestanden gelogd via cups.

Het is gewoon een instelling van het loggen, dat in een zakelijke omgeving waar geheimhouding belangrijk is, wat uitgebreider ingesteld zal zijn.
Onder LInux worden dit soort acties niet gelogd!!
28-04-2023, 10:55 door Anoniem
Door Anoniem: "Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild."

ik weet nu wel dat er een deur open staat om dmv spooffing oid het een van je collega's het erg moeilijk te maken als er dit soort redeneringen plaats gaan vinden. de lat is wel heel erg omlaag gehaald nu.
Dat betekend dat je documenten op je BYOD device moet bewaren om je onschuld later te bewijzen ook na 5 jaar? omdat er er een pipo in het bedrijf is gekomen die denkt ergens nog wat te kunnen vangen zoals vroeger een manager van een bekend autobedrijf bij toeleveranciers deed.
28-04-2023, 13:34 door Anoniem
Door Anoniem:
Onder LInux worden dit soort acties niet gelogd!!
Dat ligt er maar aan wat je geinstalleerd en geconfigureerd hebt.
Op een standaard WIndows installatie wordt het ook niet gelogd, maar je kunt dat allemaal aanzetten.
En het blijkt maar weer hoe nuttig dat kan zijn!
01-05-2023, 10:46 door Anoniem
ik weet nu wel dat er een deur open staat om dmv spooffing oid het een van je collega's het erg moeilijk te maken als er dit soort redeneringen plaats gaan vinden. de lat is wel heel erg omlaag gehaald nu.
Kunnen jouw collega's uit naam van jou email versturen, dusdanig dat het werkelijk niet herleidbaar is?
Dan moest de afd. IT en afd. management maar beter één en dezelfde personen zijn.
Plus, dan nog kun je zoiets aangeven bij de rechter; werkt waarschijnlijk beter dan 3 tegenstrijdige verklaringen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.