image

Juridische vraag: Mag je mail van ex-collega's lezen?

woensdag 6 januari 2010, 13:01 door Arnoud Engelfriet, 21 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Kun je eens toelichten wat er nu wel en niet mag met mailboxen van ex-medewerkers? Ik krijg de indruk dat er veel misgaat op dit gebied. Mensen nemen ontslag of worden ontslagen, en vervolgens wordt er gegrasduind in die mailbox of alles wordt doorgestuurd naar een collega. Kan dat zomaar? Moet je geen rekening houden met de privacy van die medewerker?

Antwoord: Veel bedrijven gaan er vanuit dat, omdat zij de mailserver betalen, alle mail daarop bedrijfseigendom is en ze dus alles mogen doen met die mails. Dat is dus niet zo. Ok, het is wel bedrijfseigendom maar de werkgever moet desondanks rekening houden met de privacy van de werknemer. Privacy geldt namelijk ook op de werkvloer, en daarmee ook in de bedrijfsmailbox. Oftewel: de werkgever mag niet zomaar in mailboxen van medewerkers of ex-medewerkers gaan lezen.

Om dit juridisch goed te regelen, moet er allereerst een protocol voor internetgebruik en e-mail zijn. Dit protocol moet toelichten wat er wel en niet mag, en dat moet genuanceerder dan "privégebruik is verboten" of "wij mogen te allen tijde alles". Er moet expliciet ruimte zijn voor enig privégebruik van de zakelijke mailbox. Meestal wordt daarbij het criterium gehanteerd dat het privégebruik niet hinderlijk mag zijn, bv. geen kettingbrieven, spam, grote bijlagen of virussen naar binnen of buiten mailen. Sommige bedrijven werken met functionele en persoonlijke adressen, en stellen dan de regel dat privémail vanaf de persoonlijke adressen moeten.

Voor meekijken of toegang krijgen tot zo'n mailbox moet het protocol ook regels bevatten. De betreffende situaties moeten worden genoemd (ziekte, ontslag, noodsituaties) en de manier waarop men dan toegang pakt tot de mailbox. Een regel kan bijvoorbeeld zijn dat je je secretaresse of een collega moet autoriseren voor leestoegang, waarna zij in die situaties erin mogen of dat systeembeheer in die genoemde situaties een ander toegang kan verschaffen. Maar daarbij hoort dan ook een regel dat je niet zonder aantoonbare reden als geautoriseerde collega in een mailbox kijkt, en bv. niet kijkt in mapjes die "Privé" heten of mails alleen met zoekopdrachten doorzoekt en niet door ze allemaal één voor één te openen en door te lezen.

Met zulke regels voldoe je aan de privacywetgeving en wordt het mogelijk om mailboxen van (ex-) werknemers te benaderen als dat nodig is. Maar bv. standaard alle mail cc'en naar de manager of elke week even wat gaan bladeren in mailboxen van werknemers is gewoon keihard verboden.

Wil je toch systematische controle invoeren als werkgever, dan moet dat in principe zo gebeuren dat er geen individuele personen mee te herkennen zijn. Zo zou je een filter kunnen inrichten dat alle inkomende en uitgaande mail checkt op spamminess en virussen. Bij uitgaande spam zou je dan een geautomatiseerde bounce kunnen genereren waarmee de verzender een waarschuwing krijgt. Daarmee kan hij het probleem oplossen maar krijgt het management niet meteen een signaal over hem. Bijlagen kunnen worden gescand tegen een zwarte lijst met bestandsnamen ("concept jaarcijfers 2009.pdf" bijvoorbeeld) of maximale grootte - hoewel dat laatste tot frustratie zal leiden bij Powerpointrondmailende marketingfiguren (mijn record was een 79MB Powerpoint, en jullie?).

Overigens is het niet verboden om medewerkers gewoon geen toegang tot internet of e-mail te geven. Waarom zou de boekhouder of de productieafdeling dat ook nodig hebben? En zonder toegang ook geen privégebruik.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (21)
06-01-2010, 13:26 door Syzygy

Voor meekijken of toegang krijgen tot zo'n mailbox moet het protocol ook regels bevatten. De betreffende situaties moeten worden genoemd (ziekte, ontslag, noodsituaties) en de manier waarop men dan toegang pakt tot de mailbox. Een regel kan bijvoorbeeld zijn dat je je secretaresse of een collega moet autoriseren voor leestoegang, waarna zij in die situaties erin mogen of dat systeembeheer in die genoemde situaties een ander toegang kan verschaffen. Maar daarbij hoort dan ook een regel dat je niet zonder aantoonbare reden als geautoriseerde collega in een mailbox kijkt, en bv. niet kijkt in mapjes die "Privé" heten of mails alleen met zoekopdrachten doorzoekt en niet door ze allemaal één voor één te openen en door te lezen.


Als ICT/Crisis Manager (ad interim) heb ik in het verleden vaak met dit soort zaken te maken gehad.
Zodra een werknemer of zelf een directie lid ontslagen werd of plotseling overleed, kwam er voor hem een slot op de mailbox (en natuurlijk op de normale login account)
Bij een normaal vertrek regel je dat met de persoon zelf, relevante e-mail doorsturen naar je collega's of managers en privé zaken deleten.
Vervolgens werd er door de directie één iemand aangesteld om de mailbox te beheren (vaak een manager boven die persoon of een bedrijfsjurist bij de wat grotere bedrijven of desnoods de HRM )
Deze zorgde ervoor dat privé mail (liefst ongelezen) gedelete werd en bedrijfs mail doorgestuurd werd naar collega's om dit verder af te handelen.

Dit is altijd een onderwerp van discussie geweest maar je moet als bedrijf toch iets.
06-01-2010, 13:59 door iluvatar
Ik heb deze discussie al een aantal maal gehad bij klanten waar ik ingehuurd word. Op de wat langer durende projecten word er een mailbox verschaft omdat men liever niet wil dat ik met mijn eigen mail adres communiceer of omdat toegang tot externe (web)maildiensten geblokkeerd word.
Men is dan van mening dat wanneer het project of de inhuurperiode afloopt, mijn gehele mailbox tot de beschikking komt van een collega of meerdere. Ik los dit zelf op door noodzakelijke mails direct te kopieren naar openbare mappen (als men deze gebruikt) zodat collega's direct inzage hebben. De rest (of wanneer er geen openbare mappen zijn) word automatisch (dagelijks) ge-archiveerd naar een beveiligde (meestal) PST file die ik achteraf op eigen initiatief kan filteren en overhandigen. Deze file bewaar ik op m'n Ironkey om de integriteit van de klant extra te waarborgen uiteraard.
06-01-2010, 15:09 door root
Ik ben het eens met dit verhaal, maar heb wel een toevoeging:

Wie privé-zaken opslaat op bedrijfsvoorzieningen neemt altijd een risico. Het bedrijf is eigenaar van de informatie en heeft het recht de informatie in te zien. Het maakt daarbij niets uit of je er nog werkt of niet. Informatie opslaan in een mapje "privé" biedt wel meer zekerheid op privacy, maar het is geen garantie. Het blijft altijd hopen dat de inhoud hiervan niet wordt gelezen door anderen.

Gewoon niet doen, hou privé en zakelijk gescheiden!
06-01-2010, 15:20 door Anoniem
Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.

Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?
06-01-2010, 17:34 door Syzygy
Door Anoniem: Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.

Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?



Vaak is dit makkelijker dan iemand te bellen op zijn of haar werk
Dan kan hij of zij dat lezen wanneer het hem of haar uitkomt i.p.v. telefonisch storen.
06-01-2010, 17:39 door Anoniem
"Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?"

Jups, vandaar dat ik ook een bedrijfslaptop en bedrijfsgsm heb, zodat ik ook buiten die 8 uur voor mijn baas kan internetten en mailen.

"Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik."

Ik zie het probleem niet, thuis moet ik ook internetten, c.q. mailen voor zakelijk gebruik.
06-01-2010, 18:37 door [Account Verwijderd]
[Verwijderd]
07-01-2010, 01:12 door Anoniem
Door Anoniem: Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.

Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?


Spijker en Kop! Lukte ons 25 jaar geleden ook, en toen was er nog (bijna) geen Internet en email.
07-01-2010, 06:42 door [Account Verwijderd]
[Verwijderd]
07-01-2010, 07:52 door Anoniem
"Wie privé-zaken opslaat op bedrijfsvoorzieningen neemt altijd een risico. Het bedrijf is eigenaar van de informatie en heeft het recht de informatie in te zien. Het maakt daarbij niets uit of je er nog werkt of niet. "

Volslagen onzin, en ik zou het artikel van Arnoud nog maar eens lezen. Juridisch gezien klopt je reactie niet, en je kunt als werkgever niet zonder meer een mailbox van een werknemer gaan lezen. De privacy wetgeving geldt ook op de werkplek, en heeft ook betrekking op je bedrijfsemail.
07-01-2010, 09:04 door Anoniem
hahaha 79Mb? Wat te denken van 4Gb (Ja een DVD!!!) En klagen dat de mail traag is....
07-01-2010, 10:45 door Anoniem
mmm, 33 MB was ook al wel veel, vooral als je bedenkt dat het aan 500 medewerkers was. De mailserver had er wel enige tijd problemen mee, zeg maar.
07-01-2010, 12:08 door root
Door Anoniem: "Wie privé-zaken opslaat op bedrijfsvoorzieningen neemt altijd een risico. Het bedrijf is eigenaar van de informatie en heeft het recht de informatie in te zien. Het maakt daarbij niets uit of je er nog werkt of niet. "

Volslagen onzin, en ik zou het artikel van Arnoud nog maar eens lezen. Juridisch gezien klopt je reactie niet, en je kunt als werkgever niet zonder meer een mailbox van een werknemer gaan lezen. De privacy wetgeving geldt ook op de werkplek, en heeft ook betrekking op je bedrijfsemail.

Ik bedoelde: Het bedrijf is eigenaar van de bedrijfsinformatie en heeft het recht de informatie in te zien. Ik begrijp het artikel wel, maar het het onduidelijk opgeschreven. Uiteraard dient het bedrijf af te blijven van de privé-gegevens, maar waar het om gaat is dat je als werknemer er rekening mee moet houden dat privé-gegevens kunnen worden gelezen en dat het slimmer is om het gewoon niet te doen.
07-01-2010, 14:10 door iluvatar
Door Anoniem: Spijker en Kop! Lukte ons 25 jaar geleden ook, en toen was er nog (bijna) geen Internet en email.
Klopt, toen belde me moeder nog naar de taxicentrale om te vragen of ze m'n vader (was chauffeur voor alle duidelijkheid) konden oproepen over 't "bakkie" om de mededeling te geven dat hij ff naar huis moest bellen.

Door Anoniem: Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.

Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?
Het hoort nu eenmaal bij de hedendaagse manier van communiceren!! Wat hierboven al gezegd werd stoor je iemand niet direct met een mailtje in tegenstelling tot wanneer je hem belt. Prive zitten bellen onder de baas z'n tijd hoort toch ook niet?! En in mijn ogen is er niets mis mee als je de bedrijfsmail gebruikt om tegen je vriend(in)/partner te melden dat je een half uurtje later thuis bent, of te melden dat je geen zin hebt om te koken en ff uit eten te gaan. Of misschien wil je je broer wel ff melden dat je geen zin hebt om te gaan sporten.. Kleine prive berichten die naar mijn idee door bijna iedereen wel verstuurd worden.
Uiteraard word het een ander verhaal wanneer je plaatjes, filmpjes en powerpoint presentaties met afgestorven ledematen rond mailt. Maar dat is een kwestie van je gezond verstand gebruiken.
Overigens merk en weet ik uit ervaring dat men een mail naar vriend(in)/partner omtrent het eten oid minder privacy gevoelig vind dan een mailtje met een pps bestand. Bij een hoop werknemers zijn schuldgevoel en privacy dus erg dicht met elkaar verbonden.
07-01-2010, 14:34 door Anoniem
Ik maak heel veel gebruik van het internet op het werk om oplossingen te zoeken voor problemanalyse tijdens mij IT werk.
Bijvoorbeeld de knowledgebase van Microsoft of McAfee en andere technische sites, forums en log ik in op website van BT om netwerk performance bij klanten te kunnen bekijken..
Dus is toegang tot het internet op het werk is voor mij een must, anders kan ik mijn werk niet doen.

Het ligt er dus maar aan op wat voor afdeling je werkt.
07-01-2010, 17:45 door Anoniem
Door Anoniem: Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.
Internetten voor de lol verhoogt productiviteit
http://www.hrpraktijk.nl/nieuws/nieuws/internetten-voor-de-lol-verhoogt-productiviteit.347467.lynkx

Freedom to surf: workers more productive if allowed to use the internet for leisure
http://uninews.unimelb.edu.au/news/5750/
08-01-2010, 09:21 door Anoniem
Zelfs bij ons -een advocaten kantoor- is niets omtrent het gebruik van internet geregeld!

Overigens moet ik er toch niet aan denken dat ik als administrateur geen toegang tot internet zou hebben.

Wil de auteur dat ik alle betlaingen nog via een acceptgiro uitschrijf?

N.A.W gegevens van cliënten, etc. zoek je veelal via internet op.

Maar een paar voorbeelden.

Goed artikel, maar van boekhouden, of de werkzaamheden van een boekhouder heeft de auteur blijkbaar geen kaas gegeten!

Groet,

Bert van Gelswijk
09-01-2010, 20:23 door Syzygy
Door Anoniem: Zelfs bij ons -een advocaten kantoor- is niets omtrent het gebruik van internet geregeld!

Overigens moet ik er toch niet aan denken dat ik als administrateur geen toegang tot internet zou hebben.

Wil de auteur dat ik alle betlaingen nog via een acceptgiro uitschrijf?

N.A.W gegevens van cliënten, etc. zoek je veelal via internet op.

Maar een paar voorbeelden.

Goed artikel, maar van boekhouden, of de werkzaamheden van een boekhouder heeft de auteur blijkbaar geen kaas gegeten!

Groet,

Bert van Gelswijk


Bert,

Het gaat over het lezen van de mail van je collega.
Niet over het Pornosurfen van boekhouders

Groeten je vriemdje Ernie
18-01-2010, 15:08 door spatieman
Door Anoniem: hahaha 79Mb? Wat te denken van 4Gb (Ja een DVD!!!) En klagen dat de mail traag is....

lees het nog eens.
hij had het over een PPS van 79MB die INTERN gemailt werdt, en geen meuk downloaden....
22-01-2010, 01:14 door Anoniem
"mijn record was een 79MB Powerpoint, en jullie?" - een Excel bestand van bijna 80Mb waardoor een mailserver onderuit ging
26-09-2013, 12:21 door Anoniem
Even een aanvullende vraag. Hoe zit het wanneer een medewerker (langdurig) ziek is en de bestuurder / aandeelhouder de mail van deze persoon wil lezen en deze ook automatisch laat CC' en naar een buitenstaander die niets met het bedrijf te maken heeft. De mail wordt verder afgehandeld door een collega inhoduelijk, dus deze acties zijn eigenlijk niet noodzakelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.