Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Kun je eens toelichten wat er nu wel en niet mag met mailboxen van ex-medewerkers? Ik krijg de indruk dat er veel misgaat op dit gebied. Mensen nemen ontslag of worden ontslagen, en vervolgens wordt er gegrasduind in die mailbox of alles wordt doorgestuurd naar een collega. Kan dat zomaar? Moet je geen rekening houden met de privacy van die medewerker?
Antwoord: Veel bedrijven gaan er vanuit dat, omdat zij de mailserver betalen, alle mail daarop bedrijfseigendom is en ze dus alles mogen doen met die mails. Dat is dus niet zo. Ok, het is wel bedrijfseigendom maar de werkgever moet desondanks rekening houden met de privacy van de werknemer. Privacy geldt namelijk ook op de werkvloer, en daarmee ook in de bedrijfsmailbox. Oftewel: de werkgever mag niet zomaar in mailboxen van medewerkers of ex-medewerkers gaan lezen.
Om dit juridisch goed te regelen, moet er allereerst een protocol voor internetgebruik en e-mail zijn. Dit protocol moet toelichten wat er wel en niet mag, en dat moet genuanceerder dan "privégebruik is verboten" of "wij mogen te allen tijde alles". Er moet expliciet ruimte zijn voor enig privégebruik van de zakelijke mailbox. Meestal wordt daarbij het criterium gehanteerd dat het privégebruik niet hinderlijk mag zijn, bv. geen kettingbrieven, spam, grote bijlagen of virussen naar binnen of buiten mailen. Sommige bedrijven werken met functionele en persoonlijke adressen, en stellen dan de regel dat privémail vanaf de persoonlijke adressen moeten.
Voor meekijken of toegang krijgen tot zo'n mailbox moet het protocol ook regels bevatten. De betreffende situaties moeten worden genoemd (ziekte, ontslag, noodsituaties) en de manier waarop men dan toegang pakt tot de mailbox. Een regel kan bijvoorbeeld zijn dat je je secretaresse of een collega moet autoriseren voor leestoegang, waarna zij in die situaties erin mogen of dat systeembeheer in die genoemde situaties een ander toegang kan verschaffen. Maar daarbij hoort dan ook een regel dat je niet zonder aantoonbare reden als geautoriseerde collega in een mailbox kijkt, en bv. niet kijkt in mapjes die "Privé" heten of mails alleen met zoekopdrachten doorzoekt en niet door ze allemaal één voor één te openen en door te lezen.
Met zulke regels voldoe je aan de privacywetgeving en wordt het mogelijk om mailboxen van (ex-) werknemers te benaderen als dat nodig is. Maar bv. standaard alle mail cc'en naar de manager of elke week even wat gaan bladeren in mailboxen van werknemers is gewoon keihard verboden.
Wil je toch systematische controle invoeren als werkgever, dan moet dat in principe zo gebeuren dat er geen individuele personen mee te herkennen zijn. Zo zou je een filter kunnen inrichten dat alle inkomende en uitgaande mail checkt op spamminess en virussen. Bij uitgaande spam zou je dan een geautomatiseerde bounce kunnen genereren waarmee de verzender een waarschuwing krijgt. Daarmee kan hij het probleem oplossen maar krijgt het management niet meteen een signaal over hem. Bijlagen kunnen worden gescand tegen een zwarte lijst met bestandsnamen ("concept jaarcijfers 2009.pdf" bijvoorbeeld) of maximale grootte - hoewel dat laatste tot frustratie zal leiden bij Powerpointrondmailende marketingfiguren (mijn record was een 79MB Powerpoint, en jullie?).
Overigens is het niet verboden om medewerkers gewoon geen toegang tot internet of e-mail te geven. Waarom zou de boekhouder of de productieafdeling dat ook nodig hebben? En zonder toegang ook geen privégebruik.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Deze posting is gelocked. Reageren is niet meer mogelijk.