De wet geeft wel mogelijkheid om in mailboxen te kijken: het controleren van werkmail is toegestaan, maar is wel gebonden aan een aantal voorwaarden.

Volgens de Autoriteit Persoonsgegevens moet de universiteit een gerechtvaardigd belang hebben dat zwaarder weegt dan de privacy van de werknemer, en moet degene die de universiteit controleert worden ingelicht. Daarbij moet de universiteit van vertrouwelijke communicatie van de werknemer afblijven, privé-mails mogen niet worden gelezen.

In het geval van heimelijke controle gelden die voorwaarden ook, maar moet er daarnaast een redelijke verdenking zijn dat er een strafbaar feit heeft plaatsgevonden en zijn er geen andere mogelijkheden om dat strafbare feit te beëindigen dan door inbreuk te maken op bijvoorbeeld de e-mails. Ook mag de heimelijke controle slechts incidenteel zijn, en niet structureel. De werknemer mag in dit geval wel pas achteraf op de hoogte worden gesteld.

De precieze regels hoe onderzoek plaats hoort te vinden aan de universiteit zijn vastgelegd in de gebruikersovereenkomst voor universitaire ICT, de zogenoemde Regeling ICT- en internetgebruik. Ook daarin staat dat de universiteit de mogelijkheid heeft om onderzoek te doen naar de online activiteiten van medewerkers en studenten op het universiteitsnetwerk, met als doel om vast te stellen of er oneigenlijk gebruik is gemaakt van ICT-middelen, bijvoorbeeld voor het downloaden of verspreiden van illegaal materiaal.

Dat is niet de enige reden voor nader onderzoek. Een andere reden kan zijn om ‘van negatieve publiciteit over de Universiteit te voorkomen’. Elders in de overeenkomst staat ook dat ‘de gebruiker zich bij het ICT- en Internetgebruik van handelingen onthoudt die de goede naam van de universiteit schade kunnen toebrengen.’ Wat hiermee precies bedoeld wordt, legt de regeling niet verder uit.

Mare vroeg de universiteit of deelname aan protesten ook reden zou kunnen zijn voor een gericht onderzoek. Universiteitswoordvoerder Caroline van Overbeeke laat weten dat niet het geval is. ‘Het (eventueel) schaden van de goede naam van de universiteit vormt geen zelfstandige aanleiding voor het initiëren van een dergelijk onderzoek.’

Een rondgang van Mare langs verschillende actiegroepen en uitgesproken studenten en medewerkers leverde geen gevallen op van mensen die bericht hadden gekregen dat hun online activiteiten of e-mail waren onderzocht. Ook Van Overbeeke zegt stellig dat ‘er uiteraard geen mailboxen geopend worden van bijvoorbeeld demonstrerende studenten op basis van het enkele feit dat zij demonstreren of willen demonstreren’.

De Autoriteit Persoongegevens wilde niet in detail treden over de specifieke situatie aan de Universiteit Leiden.