Luc Golvers
Luc Golvers
IR. Luc Golvers is voorzitter van de club de la sécurité informatique Belge (Clusib) en gerechtelijk expert informatica.
Opinie

13/09/13 om 11:39 - Bijgewerkt om 11:39

Handen af, klootzak... !

Fouten die je niet mag maken bij het verzamelen van computerbewijzen.

... of fouten die je niet mag maken bij het verzamelen van computerbewijzen.

Een van je medewerkers wordt verdacht van een onrechtmatige daad (fraude, ongerechtvaardigd e-mailgebruik, zonder toelating raadplegen van bepaalde sites, ongeoorloofd kopiëren van vertrouwelijke gegevens, ...). Je denkt dat je voldoende eensluidende elementen hebt om dit te bewijzen en besluit hem te ontslagen wegens ernstige fout.

Opgelet! Inzake toezicht op de e-mails van je werknemers of de websites die ze raadplegen, moeten de wettelijke voorschriften worden nageleefd, meer bepaald CAO nr. 81. Dit artikel gaat niet in op deze juridische aspecten, maar alleen op de technische aspecten van het verzamelen van bewijzen in computersystemen.

Je denkt, en in de praktijk is dat inderdaad vaak het geval, dat de computer van de ontslagen werknemer waarschijnlijk bulkt van de bewijzen waarmee je voor een rechter de gegrondheid van het ontslag onweerlegbaar kunt bewijzen, indien nodig. De kans is groot dat je grove fouten begaat die je kansen in een gerechtelijke procedure zullen verpesten. Er zijn inderdaad fouten die je beter niet maakt.

Wanneer je een werknemer ontslaat, moet zijn computer worden achtergelaten in de staat waarin deze zich bevond op het moment van het ontslag, zonder enige latere wijziging. Zorg er dus voor dat deze computer wordt verzegeld in aanwezigheid van de werknemer, en in bewaring wordt gegeven bij een ambtenaar, zoals een gerechtsdeurwaarder, totdat een deskundige of een gespecialiseerde politiebeambte een "inforensische" kopie heeft kunnen nemen van de harde schijf (schijven).

In feite moet niet zozeer de computer zelf maar wel de harde schijf of schijven worden bewaard volgens een procedure die elke mogelijke vervalsing voorkomt.

Als je de computer opnieuw wilt gebruiken, laat dan de harde schijf of schijven verwijderen in aanwezigheid van de werknemer en de deurwaarder. Je kunt dan nieuwe harde schijven in de computer installeren en hem hergebruiken. Een nieuwe computer kost hoe dan ook aanzienlijk minder dan een misgelopen ontslag wegens grove fout, waarbij de werkgever een compenserende opzegvergoeding moet betalen die erg hoog kan zijn bij ontslag van een werknemer met een hoge anciënniteit.

Het is belangrijk dat de computer niet opnieuw wordt opgestart na het ontslag van de betrokkene. Het loutere feit dat een computer opnieuw wordt opgestart, zal als gevolg hebben dat het besturingssysteem de datum van de laatste toegang tot honderden bestanden zal wijzigen, door er een datum aan toe te kennen die valt na het ontslag van de werknemer, waardoor alle geloofwaardigheid van je bewijs verloren gaat. De advocaat van de ontslagen werknemer zal dan gemakkelijk kunnen bewijzen dat er na het ontslag nog gewerkt werd met de harde schijf (schijven).

Geef dus niet toe aan de verleiding om "alleen eens te gaan kijken" na het ontslag! Laat je informatici of service provider ook geen kopie maken van schijf naar schijf van de harde schijf van de computer. Het loutere feit dat de schijf zonder speciale voorzorgsmaatregelen wordt aangesloten op een computer, zal de datum van de laatste toegang tot meerdere bestanden ook veranderen! Hetzelfde risico bestaat wanneer je de inhoud van een USB-stick raadpleegt zonder eerst de USB-poort te vergrendelen tegen schrijven!

De juiste aanpak is om een specialist een "inforensische" kopie te laten maken van de schijf. Hiervoor moet gebruik gemaakt worden van gespecialiseerde software en hardware, een zogenaamde "write blocking device". Dit is een hardwareapparaat dat geplaatst wordt tussen de te kopiëren schijf en de computer die de kopie maakt. Het verhindert dat er iets geschreven wordt op de te kopiëren schijf. Door dit procedé krijg je bit-voor-bit een volledig beeld van de inhoud van de harde schijf, zonder gevaar voor wijzigingen.

Dit is de benadering die wordt gevolgd door de politiediensten, de gerechtelijke experts en gespecialiseerde auditeurs. Deze inforensische kopie bevat onder meer de "niet-toegewezen" sectoren van de schijf en de verwijderde bestanden, die vaak waardevol bewijs opleveren, maar ze zijn niet terug te vinden op een gewone kopie of back-up! Deze methode garandeert de betrouwbare en onveranderlijke aard van de kopie, die zonder risico op betwisting gebruikt kan worden in het kader van een gerechtelijke procedure.

De analyse en verzameling van bewijsmateriaal op de computer van de ontslagen persoon gebeuren altijd op basis van dit inforensisch materiaal en nooit van het originele systeem. Dit voorkomt elk risico op corruptie van het bewijsmateriaal. Wees dus voorzichtig. De niet-naleving van deze voorzorgsmaatregelen vernietigt of schaadt ernstig je kans op slagen in het kader van rechtszaak. Als je dit niet doet, wijzig je immers de "plaats delict"... !

Onze partners