Hoe een versleuteld bericht toch bewijs kan zijn van schending geheimhouding
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik vond een vonnis waar in een oud-werknemer een boete van ruim 15.000 euro moet betalen omdat hij een overeengekomen geheimhoudingsbeding en een beding over bedrijfseigendommen had geschonden door een bestand met bedrijfsgegevens naar zijn privé e-mail adres te sturen. Maar het bestand was versleuteld en kon niet meer worden geopend! Hoe kan dat leiden tot bewijs van een schending van je contractuele geheimhoudingsplicht?
Antwoord: De man was in dienst op basis van een tijdelijk arbeidscontract. Dat had een geheimhoudingsbeding, waarin was bepaald dat het sturen van vertrouwelijke informatie door de werknemer naar een privé e-mailadres wordt beschouwd als een schending van het geheimhoudingsbeding. Op overtreding ervan was een boete gesteld van grofweg vijf bruto maandsalarissen. En ja, dat mag: geheimhouding schenden is een ding waar rechters weinig sympathie voor hebben (tenzij je heel duidelijk aan het klokkenluiden bent natuurlijk). Concurrentie- en relatiebedingen krijg je nog wel omver, maar dit is echt andere koek.
Op 23 maart 2022 heeft [werkgever], na onderzoek van haar IT-afdeling, geconstateerd dat [gedaagde] op 17 maart 2022 een Excelbestand genaamd “ListeRenewableEnergyxVCMxBioMethane” heeft hernoemd tot “Stuff tot do”, dit heeft beveiligd met een wachtwoord en verzonden naar een van zijn privé emailadressen. Ook heeft [werkgever] geconstateerd dat [gedaagde] op 20 maart 2022 nog een e-mail met eveneens het beveiligde Excelbestand genaamd “Stuff to do” heeft verzonden naar een ander privé e-mailadres. [werkgever] heeft de beschikking over de laatste versie van het bestand “Stuff to do” voordat dit door [gedaagde] is versleuteld.
Wat was hier aan de hand? De werknemer legde uit:
Het was slechts een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden. Hij was van plan om in dit rekenblad ook informatie over (potentiële) klanten van [werkgever] op te nemen, om zo te komen tot een lijst met potentiële klanten waarmee hij na zijn carrière bij [werkgever] zonder risico zou kunnen werken. Zover is het echter niet gekomen omdat dit te bewerkelijk werd. Met de lijst van klanten van [werkgever] die hij had gevonden in het CRM systeem van [werkgever] heeft hij dus niets gedaan.
De sleutel wilde hij echter niet geven, en dat wekte wat wrevel op bij de rechter:
Verder valt op dat [gedaagde] weinig coöperatief is geweest tijdens de gesprekken met [werkgever], bedoeld om [werkgever] duidelijkheid te verschaffen over de inhoud van het door [gedaagde] verstuurde bestand. Zo blijkt uit een niet betwiste transcriptie van een op 28 maart 2022 gevoerd telefoongesprek (productie 25 [werkgever]) dat hij tijdens dat gesprek heeft verklaard het wachtwoord niet te willen geven omdat hij dit dagelijks gebruikt, terwijl hij op de mondelinge behandeling heeft verklaard het wachtwoord niet meer te weten. Voorts heeft [gedaagde] verklaard het bestand te hebben weggegooid.
Ik zou dit ook een ietwat irritante houding geven. Maar enkel irritant doen is natuurlijk geen reden om je een rechtszaak te laten verliezen. Dat kan wel als je de bewijslast omkeert, en de rechter ziet daar – naast bovengenoemde houding – genoeg inhoudelijke gronden voor:
[Gedaagde] heeft daarbij gewezen op de door [werkgever] overgelegde nog niet met een wachtwoord beveiligde versie, waarvan als niet (voldoende) betwist vaststaat dat die versie geen vertrouwelijke bedrijfsinformatie van [werkgever] bevat. Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen. Dat valt temeer niet uit te sluiten nu [gedaagde] niet (voldoende) heeft betwist dat de betreffende Excel sheet, gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van [werkgever] te worden gevuld. Daarbij staat onbetwist vast dat [gedaagde] voorafgaand aan de verzending van het bestand gegevens heeft gedownload uit het zg. CRM systeem van [werkgever]. Bovendien valt niet goed te begrijpen waarom [gedaagde] een bestand met – zoals hij zelf stelt – slechts openbaar toegankelijke informatie überhaupt met een wachtwoord zou moeten beveiligen.
Het is inderdaad voorstelbaar dat je aan een bestaand Excel-bestand een extra tab toevoegt met wel vertrouwelijke informatie, zeker in de context waarin je ziet dat iemand wat eerder nog vertrouwelijke gegevens heeft gedownload. En als kers op de taart dan de vraag wáárom je zo’n bestand versleutelt als er niets bijzonders in staat. Natuurlijk, daar zijn weer logische antwoorden op te verzinnen (“dat doe ik altijd”), maar dat moet je dan wel zeggen en het moet natuurlijk wel kloppen. Alles bij elkaar vindt de rechter dat het verhaal aan de kant van werknemer te zeer rammelt, en draait hij de bewijslast om. Dat mag van de wet, art. 150 Rechtsvordering:
De partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, draagt de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.
De hoofdregel is dus “wie stelt, bewijst”, maar dan iets preciezer geformuleerd: wie wil profiteren van het gevolg van een stelling, moet deze bewijzen. De werkgever wil de boete incasseren, dus moet de werkgever bewijzen dat het beding geschonden is. Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild.
Dan zijn we snel klaar, want de werknemer had verklaard het wachtwoord niet meer te weten en het bestand te hebben weggegooid. Daarmee is het bewijs dus geleverd dat hij het beding heeft overtreden, zodat hij de boete moet betalen. Deze wordt wel gematigd, omdat de berekening van de werkgever meerdere keren hetzelfde feit betrof.
Merk op dat we het niet een keer hebben gehad over de gebruikte encryptietechniek of de mogelijkheden van vervalsen van berichten, deniable encryptie en ga zo maar door. Deze rechter deed precies wat rechters moeten doen: de argumentatie van partijen aanhoren en afwegen, en dan een beslissing nemen. Hoe iets technisch werkt en wat er zou kunnen is dan minder van belang dan wat er in dit specifieke geval is gebeurd. Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.
Het lijkt me dat hij dan wel gelijk moet hebben *dat* het bestand geen vertrouwelijke data bevatte ?
Of denk je inderdaad dat als je de schijn van cooperatie wekt "sorry, ik doe echt m'n best, en ab/cd/ef zijn wachtwoorden die ik vaak gebruikte maar hier niet werken, en ik ben het echt vergeten" - de rechter dan toch in deze situatie het overtreden van het geheimhoudingsbeding niet voldoende aangetoond acht ?
Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.
Het lijkt me dat hij dan wel gelijk moet hebben *dat* het bestand geen vertrouwelijke data bevatte ?
Of denk je inderdaad dat als je de schijn van cooperatie wekt "sorry, ik doe echt m'n best, en ab/cd/ef zijn wachtwoorden die ik vaak gebruikte maar hier niet werken, en ik ben het echt vergeten" - de rechter dan toch in deze situatie het overtreden van het geheimhoudingsbeding niet voldoende aangetoond acht ?
Dus een opstelling als "Oke, you got me, en ik begrijp dat dit fout van me was. Dit is hoe de vork in de steel steekt - dit is de reden dat ik het bestand hernoemd heb, dit is de reden dat ik het versleuteld heb, dit zijn de gegevens die ik in het bestand gezet heb, dit is de reden dat ik het bestand wilde bewaren, en ik zal een poging doen om het wachtwoord te herinneren" zou mogelijk tot een betere uitkomst hebben geleid.
Is dat een garantie? Nee, maar de uitgangspositie van de oud-werknemer was (door zijn eigen acties) toch al uiterst zwak. Dan is het een kwestie van, wie z'n billen brandt moet op de blaren zitten.
Of denk je inderdaad dat als je de schijn van cooperatie wekt "sorry, ik doe echt m'n best, en ab/cd/ef zijn wachtwoorden die ik vaak gebruikte maar hier niet werken, en ik ben het echt vergeten" - de rechter dan toch in deze situatie het overtreden van het geheimhoudingsbeding niet voldoende aangetoond acht ?
gereageerd is en waar extra details gegeven zijn, nu weer terug komt als "juridische vraag" waarbij alle wedervragen
opnieuw gesteld gaan worden...
Maar de vorige keer was al behandeld dat de verdachte eerst verteld had dat hij het wachtwoord niet wilde geven omdat
dit een door hem voor van alles gebruikt wachtwoord was wat hij niet wilde prijsgeven, en later heette het ineens dat hij
het vergeten was.
Ik vind het eigenlijk een flagrante scheding van de privacy. Nog even en je uitwerpselen worden ook op de WC gecontroleerd.
Deze gast wilde gewoon niks meer met dit bedrijf te maken hebben en ik kan mij best voorstellen dat hij het wachtwoord niet meer weet. Het document kunnen ze zo uit de backup terughalen en er brute force op los laten, maar de bewijslast omdraaien vind ik echt belachelijk. Ik wist niet dat dit juridisch kon. Dan lopen we dus gevaar als onschuldigen bij een rancuneuze werkgever.
Bij mij op het werken hebben ze mydocuments op Microsoft onedrive staan en ik kreeg al een waarschuwing (van het systeem per email) dat ik blijkbaar te veel documenten had weggegooid. Ben namelijk aan het opruimen omdat mijn contract niet is verlengd (werk is af)
Ik vind het eigenlijk een flagrante scheding van de privacy. Nog even en je uitwerpselen worden ook op de WC gecontroleerd.
Deze gast wilde gewoon niks meer met dit bedrijf te maken hebben en ik kan mij best voorstellen dat hij het wachtwoord niet meer weet. Het document kunnen ze zo uit de backup terughalen en er brute force op los laten, maar de bewijslast omdraaien vind ik echt belachelijk. Ik wist niet dat dit juridisch kon. Dan lopen we dus gevaar als onschuldigen bij een rancuneuze werkgever.
Bij mij op het werken hebben ze mydocuments op Microsoft onedrive staan en ik kreeg al een waarschuwing (van het systeem per email) dat ik blijkbaar te veel documenten had weggegooid. Ben namelijk aan het opruimen omdat mijn contract niet is verlengd (werk is af)
Je moet gewoon geen privé dingen doen op je werklaptop. Dan hoef je je ook geen zorgen te maken dat je privacy geschonden wordt.
Ik vind het eigenlijk een flagrante scheding van de privacy. Nog even en je uitwerpselen worden ook op de WC gecontroleerd.
Deze gast wilde gewoon niks meer met dit bedrijf te maken hebben en ik kan mij best voorstellen dat hij het wachtwoord niet meer weet. Het document kunnen ze zo uit de backup terughalen en er brute force op los laten, maar de bewijslast omdraaien vind ik echt belachelijk. Ik wist niet dat dit juridisch kon. Dan lopen we dus gevaar als onschuldigen bij een rancuneuze werkgever.
Bij mij op het werken hebben ze mydocuments op Microsoft onedrive staan en ik kreeg al een waarschuwing (van het systeem per email) dat ik blijkbaar te veel documenten had weggegooid. Ben namelijk aan het opruimen omdat mijn contract niet is verlengd (werk is af)
Je moet gewoon geen privé dingen doen op je werklaptop. Dan hoef je je ook geen zorgen te maken dat je privacy geschonden wordt.
Al hernoem ik mijn werkdocument 10.000 keer in mijn eigen homefolder. Het gaat ze geen donder aan. Dat mijn mail wordt gefilterd wist ik al want ze zijn als de dood voor ransomware.
Wat heeft dit met Microsoft te maken? Op mijn Linux systeem worden deze fileaanpassingen ook gelogd en ik weet zeker dat dit ook op een mac systeem aan te zetten is. Op mijn mac worden in elk geval alle filenamen van geprinte bestanden gelogd via cups.
Het is gewoon een instelling van het loggen, dat in een zakelijke omgeving waar geheimhouding belangrijk is, wat uitgebreider ingesteld zal zijn.
Ik vind het ook belachelijk dat die Microsoft tools monitoren hoe ik mijn werk doe, terwijl ik op dat moment niet met een klant communiceer. Is voor mij een eyeopener om niet meer met deze software te willen werken.
Al hernoem ik mijn werkdocument 10.000 keer in mijn eigen homefolder. Het gaat ze geen donder aan. Dat mijn mail wordt gefilterd wist ik al want ze zijn als de dood voor ransomware.
Als je leest wat er tegenwoordig allemaal gebeurt in systemen en netwerken (met name die waar Windows gebruikt wordt)
dan is het eerste wat je als serieus bedrijf wilt dat alles gefilterd, gemonitord en gelogd wordt.
Ik neem aan dat je ook weet dat OneDrive en Sharepoint Online alles opslaan wat je aan een document gedaan hebt.
Je kunt precies terug halen hoe je document er vorige week dinsdag om 14:00 uit zag.
"voor je weg gaat snel alles deleten" dat is voor amateurs. Dat heeft nul effect in zo'n omgeving.
ik weet nu wel dat er een deur open staat om dmv spooffing oid het een van je collega's het erg moeilijk te maken als er dit soort redeneringen plaats gaan vinden. de lat is wel heel erg omlaag gehaald nu.
"Boetes geven." Daar mogen bedrijven wel eens wat correcter mee omgaan. Het is politietje spelen terwijl als je door rood rijdt zelfs de politie je portmonnee niet mag afpakken en leeghalen.
Mooi voorbeeld van zulke blufkutterij is de Buma. Eenzijdig boetes opleggen kan niet. Je kunt wel bij voorbaat overeenkomen als je jou deel van een overeenkomst schendt. Maar daar zou je ook een goede reden voor kunnen hebben, of overmacht aan kunnen tonen. Dat ge-politiespelen en douanetje met paspoorten vragen. Dat zou een tikje beschaafder mogen.
Wat heeft dit met Microsoft te maken? Op mijn Linux systeem worden deze fileaanpassingen ook gelogd en ik weet zeker dat dit ook op een mac systeem aan te zetten is. Op mijn mac worden in elk geval alle filenamen van geprinte bestanden gelogd via cups.
Het is gewoon een instelling van het loggen, dat in een zakelijke omgeving waar geheimhouding belangrijk is, wat uitgebreider ingesteld zal zijn.
ik weet nu wel dat er een deur open staat om dmv spooffing oid het een van je collega's het erg moeilijk te maken als er dit soort redeneringen plaats gaan vinden. de lat is wel heel erg omlaag gehaald nu.
Onder LInux worden dit soort acties niet gelogd!!
Op een standaard WIndows installatie wordt het ook niet gelogd, maar je kunt dat allemaal aanzetten.
En het blijkt maar weer hoe nuttig dat kan zijn!
Dan moest de afd. IT en afd. management maar beter één en dezelfde personen zijn.
Plus, dan nog kun je zoiets aangeven bij de rechter; werkt waarschijnlijk beter dan 3 tegenstrijdige verklaringen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.