Dit beleid is opgesteld om meer inzicht te verschaffen in de richtlijnen die LastPass heeft vastgesteld om te bepalen hoe en wanneer wij verzoeken om informatie over onze gebruikers, klanten, en/of eindgebruikers ('Gebruikersinformatie'), die wij ontvangen van de politie, de nationale veiligheid en andere regelgevende instanties ('Overheid'), behandelen en verwerken.
Hoewel dit beleid niet specifiek bedoeld is om verzoeken om Gebruikersinformatie af te dekken die voortkomen uit particuliere of zakelijke geschillen, zal LastPass waar toepasselijk voor die verzoeken dezelfde voorzorgsmaatregelen nemen als voor verzoeken van overheidsinstanties.
Beveiliging van Gebruikersinformatie
Wanneer de Overheid een verzoek om Gebruikersinformatie indient, neemt LastPass de volgende stappen alvorens te antwoorden:
- Onderwerp. LastPass is van mening dat de Overheid waar mogelijk eerst moet proberen informatie rechtstreeks te verkrijgen van de gebruiker of klant die het onderwerp van het onderzoek is, alvorens die Informatie bij LastPass op te vragen.
- Bevoegdheid. LastPass zal alleen Gebruikersinformatie verstrekken als de Overheid volgens de toepasselijke wet de juiste bevoegdheid heeft om die informatie te vragen. Als er geen sprake is van een geldige dagvaarding, of een geldig bevelschrift, gerechtelijk bevel, een ander vergelijkbaar wettelijk instrument, of een noodsituatie, is het standpunt van LastPass om geen Gebruikersinformatie aan de Overheid te verstrekken.
- Omvang.Waar mogelijk LastPass zal LastPass ervoor proberen te zorgen dat een verzoek om Gebruikersinformatie een redelijke omvang heeft en beperkt is tot een specifiek account. LastPass kan om extra context vragen als de aard van het onderzoek niet duidelijk is en kan het verzoek ook om andere redenen tegenwerken. Als LastPass toch enige Gebruikersinformatie verstrekt, zal het zich inspannen om uitsluitend de minimale hoeveelheid informatie te delen die nodig is om aan de eis te voldoen.
- Kennisgeving.Behalve in omstandigheden waarin LastPass van de Overheid het advies heeft gekregen geen kennisgeving te doen, het verboden is dit te doen, of er een duidelijke aanwijzing is voor onwettig of kwaadwillend gedrag of gevaar voor schade, zal LastPass de Gebruiker op de hoogte brengen van een verzoek alvorens enige Gebruikersinformatie te onthullen, zodat de Gebruiker eventueel de beschikbare rechtsmiddelen kan aanwenden.
Internationale verzoeken
Alle verzoeken van de overheid moeten volgens de geldende wetten worden ingediend en via officiële kanalen (zoals een uitgevaardigd bevel of een e-mailadres van de overheid). Bovendien moeten verzoeken op een passende rechtsgrondslag berusten, en kan een verzoek om wederzijdse rechtshulp (Mutual Legal Assistance Treaty),
een verzoek van een land dat voldoet aan de verplichtingen van de Amerikaanse CLOUD Act, een rogatoire commissie, of een vergelijkbaar instrument nodig zijn om de rechtsgrondslag van een internationaal verzoek vast te stellen.
Wij zullen alle internationale overheidsverzoeken per land en per geval bekijken, en onze plaatselijke wettelijke verplichtingen overwegen en afwegen tegen onze verplichtingen om de veiligheid en privacy van de gebruikers te bevorderen. Wij kunnen op verschillende manieren reageren op verzoeken uit verschillende landen, wanneer deze verbintenissen in strijd zijn met de plaatselijke wetgeving.
Informatie die we kunnen verstrekken
LastPass werkt met een beveiligingsmodel op basis van zero knowledge. Daarom heeft LastPass geen toegang tot de gevoelige inhoud van gegevens in kluizen van klanten in onversleutelde vorm, en kan het deze niet verkrijgen. LastPass is daarom niet in staat om dergelijke informatie te verstrekken op basis van een verzoek vanuit de overheid.
Verreweg de meeste informatieverzoeken die we ontvangen betreffen basisgegevens van klantenaccounts in verband met een overheidsonderzoek naar mogelijke fraude of een andere wetsovertreding.
Informatie die overheden moeten verstrekken
We vragen overheidsambtenaren ervoor te zorgen dat alle verzoeken om Gebruikersinformatie een redelijke reikwijdte hebben en dat alleen de informatie wordt opgevraagd die nodig is om hun onderzoek uit te voeren. Als u namens een overheidsinstantie om informatie verzoekt, geef ons dan zoveel mogelijk informatie, om ons in staat te stellen effectief en tijdig te reageren. Normaal gesproken is de volgende informatie het nuttigst:
- E-mailadres van de gebruiker.De meeste Gebruikersinformatie wordt geïdentificeerd aan de hand van het e-mailadres van de hoofdaccounthouder. Daarom is het e-mailadres dat bij het account hoort de belangrijkste herleidbare informatie.
- Factuuradres en/of creditcardgegevens voor betaalde accounts.In sommige gevallen kunnen we een account identificeren aan de hand van de laatste vier cijfers van de credit- of debetkaart die gebruikt werd om de diensten aan te schaffen, en de datum van de transactie. Merk op dat LastPass voor betaalde accounts uitsluitend kennis heeft van de laatste vier cijfers van creditcards en betaalkaarten. Ook zijn sommige LastPass-accounts gratis, en zijn er daarom geen bijbehorende betalingsgegevens beschikbaar.
Elk verzoek moet tevens de contactgegevens bevatten van de bevoegde overheidsambtenaar, waaronder:
- Naam van de instantie
- Naam en badge-/identificatienummer van de ambtenaar
- Door de werkgever aan de ambtenaar verstrekt e-mailadres
- Telefoonnummer van de ambtenaar, inclusief eventuele extensie
- Postadres van de ambtenaar
- Gevraagde antwoorddatum
Waar kunt u een verzoek indienen
LastPass neemt aanvragen van overheden per e-mail in ontvangst via legal@lastpass.com.
Hoewel we ermee instemmen verzoeken via deze methode te accepteren, doen noch LastPass noch onze klanten afstand van wettelijke rechten op basis van deze accommodatie. Bovendien moeten e-mailverzoeken vanaf een officieel e-mail adres van de overheid worden ingediend.
