Deze richtlijnen bieden instructies en meer transparantie ten aanzien van de manier waarop wij aanvragen afhandelen van wetshandhavingsinstanties, nationale veiligheidsinstanties en andere regelgevende instanties om informatie over onze gebruikers, klanten en/of eindgebruikers ('Gebruikersinformatie').
LastPass zal, indien van toepassing, een soortgelijk proces volgen voor juridische aanvragen van particulieren.
Informatie die we kunnen verstrekken
LastPass maakt gebruik van een 'zero-knowledge'-beveiligingsmodel dat is ontworpen om ervoor te zorgen dat de gegevens van klanten privé en beschermd blijven, zowel van LastPass zelf als van ieder ander. De LastPass-service bevat een kluis voor gebruikers waarin gevoelige gegevens versleuteld worden opgeslagen en alleen op gebruikers- en apparaatniveau kunnen worden ontsleuteld met het hoofdwachtwoord van de gebruiker. De service zo ontworpen dat LastPass zelf ook niet weet wat het hoofdwachtwoord van de gebruiker is: LastPass slaat het hoofdwachtwoord van een gebruiker niet op en heeft er geen toegang toe. Daarom kan niemand bij LastPass de kluisgegevens op de servers van LastPass ontsleutelen en kan niemand dergelijke informatie verstrekken als reactie op een juridische aanvraag.LastPass is van mening dat de aanvrager waar mogelijk eerst rechtstreeks informatie moet inwinnen bij de gebruiker of klant die het onderwerp is van het onderzoek, voordat deze informatie bij LastPass wordt opgevraagd.
Informatie die aanvragers moeten verstrekken
Om ervoor te zorgen dat alle aanvragen om Gebruikersinformatie een redelijk toepassingsgebied hebben, en er uitsluitend informatie wordt opgevraagd die nodig is om het onderzoek te verrichten, moet de aanvraag zijn voorzien van een geldig bevelschrift, dagvaarding, gerechtelijk bevel, gelijkwaardig juridisch proces of (beschrijving van) een noodsituatie, die in zijn oorspronkelijke vorm als een onbewerkte PDF is uitgegeven door de juiste autoriteit.
De aanvraag moet zo gedetailleerd mogelijk zijn, zodat we snel en effectief kunnen reageren. Let op: de meeste Gebruikersinformatie en accountgegevens kunnen alleen worden geïdentificeerd aan de hand van het e-mailadres van een gebruiker. Daarom is het e-mailadres dat aan het account is gekoppeld de nuttigste identificatie-informatie.
Elke aanvraag moet ook de contactgegevens van de bevoegde aanvrager bevatten, waaronder:
- Naam
- Badge- of identificatienummer (indien van toepassing)
- Door werkgever verstrekt e-mailadres
- Telefoonnummer, inclusief eventueel doorkiesnummer
- Postadres
- Gewenste uiterlijke datum van reactie
Verwerkingsaanvragen
Na ontvangst van een aanvraag om Gebruikersinformatie neemt LastPass eerst de volgende stappen alvorens te reageren:
- Bevoegdheid. LastPass zal de identiteit van de aanvrager verifiëren en nagaan of deze de juiste bevoegdheid heeft onder de toepasselijke wetgeving om de Gebruikersinformatie op te vragen. Zonder een geldig bevelschrift, dagvaarding, gerechtelijk bevel, gelijkwaardig juridisch proces of geldige noodsituatie, zal LastPass in principe géén Gebruikersinformatie verstrekken aan een aanvrager.
- Toepassingsgebied. Waar mogelijk zal LastPass ervoor te zorgen dat elke aanvraag om Gebruikersinformatie een redelijk toepassingsgebied heeft en beperkt wordt tot een specifieke account. LastPass kan om aanvullende context vragen als de aard van het onderzoek onduidelijk is, en kan waar nodig bezwaar maken tegen de aanvraag. In het geval LastPass Gebruikersinformatie verstrekt, zal het alleen de minimale hoeveelheid informatie te delen die nodig is om aan de aanvraag te voldoen.
- Kennisgeving. Behalve in omstandigheden waarin LastPass door de juiste juridische autoriteit is geïnstrueerd om geen kennisgeving te doen, het verboden is om dit te doen, of er een duidelijke indicatie is van illegaal of kwaadwillig gedrag of risico op schade, zal LastPass de klant op de hoogte stellen van enige aanvraag voordat Gebruikersinformatie wordt vrijgegeven, zodat de klant de mogelijkheid heeft om beschikbare juridische middelen aan te wenden.
Internationale aanvragen
Alle aanvragen moeten worden gedaan in overeenstemming met de toepasselijke wetgeving en via officiële kanalen (bijv. executoriale titel, officieel e-mailadres, etc.). Daarnaast moeten aanvragen worden gedaan op basis van de juiste rechtsgrondslag, en kan een aanvraag in het kader van een verdrag voor wederzijdse rechtshulp, een aanvraag van een land dat voldoet aan de verplichtingen onder de Amerikaanse CLOUD Act, een rogatoire commissie, of een andere vorm van vaststelling nodig zijn om de rechtsgrondslag van een internationale aanvraag te kunnen controleren.
We zullen alle internationale aanvragen per land en per geval bekijken om onze lokale wettelijke verplichtingen na te gaan en af te wegen tegen onze verplichtingen om de veiligheid en privacy van gebruikers te beschermen. We kunnen ervoor kiezen om anders te reageren op aanvragen uit verschillende landen als deze verplichtingen in strijd zijn met de lokale wetgeving.
Aanvragen indienen
Aanvragen voor wetshandhaving en Gebruikersinformatie kunnen via e-mail bij LastPass worden ingediend op het adres: subpoenas@lastpass.com.
Hoewel LastPass het op deze manier indienen van aanvragen aanvaardt, doen noch LastPass noch onze klanten afstand van enige wettelijke rechten op basis van deze wijze van afhandeling. Bovendien moeten e-mailverzoeken, indien van toepassing, worden ingediend vanaf een officieel e-mailadres van de overheid.
