Juridische vraag: Mag je mail van ex-collega's lezen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Kun je eens toelichten wat er nu wel en niet mag met mailboxen van ex-medewerkers? Ik krijg de indruk dat er veel misgaat op dit gebied. Mensen nemen ontslag of worden ontslagen, en vervolgens wordt er gegrasduind in die mailbox of alles wordt doorgestuurd naar een collega. Kan dat zomaar? Moet je geen rekening houden met de privacy van die medewerker?
Antwoord: Veel bedrijven gaan er vanuit dat, omdat zij de mailserver betalen, alle mail daarop bedrijfseigendom is en ze dus alles mogen doen met die mails. Dat is dus niet zo. Ok, het is wel bedrijfseigendom maar de werkgever moet desondanks rekening houden met de privacy van de werknemer. Privacy geldt namelijk ook op de werkvloer, en daarmee ook in de bedrijfsmailbox. Oftewel: de werkgever mag niet zomaar in mailboxen van medewerkers of ex-medewerkers gaan lezen.
Om dit juridisch goed te regelen, moet er allereerst een protocol voor internetgebruik en e-mail zijn. Dit protocol moet toelichten wat er wel en niet mag, en dat moet genuanceerder dan "privégebruik is verboten" of "wij mogen te allen tijde alles". Er moet expliciet ruimte zijn voor enig privégebruik van de zakelijke mailbox. Meestal wordt daarbij het criterium gehanteerd dat het privégebruik niet hinderlijk mag zijn, bv. geen kettingbrieven, spam, grote bijlagen of virussen naar binnen of buiten mailen. Sommige bedrijven werken met functionele en persoonlijke adressen, en stellen dan de regel dat privémail vanaf de persoonlijke adressen moeten.
Voor meekijken of toegang krijgen tot zo'n mailbox moet het protocol ook regels bevatten. De betreffende situaties moeten worden genoemd (ziekte, ontslag, noodsituaties) en de manier waarop men dan toegang pakt tot de mailbox. Een regel kan bijvoorbeeld zijn dat je je secretaresse of een collega moet autoriseren voor leestoegang, waarna zij in die situaties erin mogen of dat systeembeheer in die genoemde situaties een ander toegang kan verschaffen. Maar daarbij hoort dan ook een regel dat je niet zonder aantoonbare reden als geautoriseerde collega in een mailbox kijkt, en bv. niet kijkt in mapjes die "Privé" heten of mails alleen met zoekopdrachten doorzoekt en niet door ze allemaal één voor één te openen en door te lezen.
Met zulke regels voldoe je aan de privacywetgeving en wordt het mogelijk om mailboxen van (ex-) werknemers te benaderen als dat nodig is. Maar bv. standaard alle mail cc'en naar de manager of elke week even wat gaan bladeren in mailboxen van werknemers is gewoon keihard verboden.
Wil je toch systematische controle invoeren als werkgever, dan moet dat in principe zo gebeuren dat er geen individuele personen mee te herkennen zijn. Zo zou je een filter kunnen inrichten dat alle inkomende en uitgaande mail checkt op spamminess en virussen. Bij uitgaande spam zou je dan een geautomatiseerde bounce kunnen genereren waarmee de verzender een waarschuwing krijgt. Daarmee kan hij het probleem oplossen maar krijgt het management niet meteen een signaal over hem. Bijlagen kunnen worden gescand tegen een zwarte lijst met bestandsnamen ("concept jaarcijfers 2009.pdf" bijvoorbeeld) of maximale grootte - hoewel dat laatste tot frustratie zal leiden bij Powerpointrondmailende marketingfiguren (mijn record was een 79MB Powerpoint, en jullie?).
Overigens is het niet verboden om medewerkers gewoon geen toegang tot internet of e-mail te geven. Waarom zou de boekhouder of de productieafdeling dat ook nodig hebben? En zonder toegang ook geen privégebruik.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Voor meekijken of toegang krijgen tot zo'n mailbox moet het protocol ook regels bevatten. De betreffende situaties moeten worden genoemd (ziekte, ontslag, noodsituaties) en de manier waarop men dan toegang pakt tot de mailbox. Een regel kan bijvoorbeeld zijn dat je je secretaresse of een collega moet autoriseren voor leestoegang, waarna zij in die situaties erin mogen of dat systeembeheer in die genoemde situaties een ander toegang kan verschaffen. Maar daarbij hoort dan ook een regel dat je niet zonder aantoonbare reden als geautoriseerde collega in een mailbox kijkt, en bv. niet kijkt in mapjes die "Privé" heten of mails alleen met zoekopdrachten doorzoekt en niet door ze allemaal één voor één te openen en door te lezen.
Als ICT/Crisis Manager (ad interim) heb ik in het verleden vaak met dit soort zaken te maken gehad.
Zodra een werknemer of zelf een directie lid ontslagen werd of plotseling overleed, kwam er voor hem een slot op de mailbox (en natuurlijk op de normale login account)
Bij een normaal vertrek regel je dat met de persoon zelf, relevante e-mail doorsturen naar je collega's of managers en privé zaken deleten.
Vervolgens werd er door de directie één iemand aangesteld om de mailbox te beheren (vaak een manager boven die persoon of een bedrijfsjurist bij de wat grotere bedrijven of desnoods de HRM )
Deze zorgde ervoor dat privé mail (liefst ongelezen) gedelete werd en bedrijfs mail doorgestuurd werd naar collega's om dit verder af te handelen.
Dit is altijd een onderwerp van discussie geweest maar je moet als bedrijf toch iets.
Men is dan van mening dat wanneer het project of de inhuurperiode afloopt, mijn gehele mailbox tot de beschikking komt van een collega of meerdere. Ik los dit zelf op door noodzakelijke mails direct te kopieren naar openbare mappen (als men deze gebruikt) zodat collega's direct inzage hebben. De rest (of wanneer er geen openbare mappen zijn) word automatisch (dagelijks) ge-archiveerd naar een beveiligde (meestal) PST file die ik achteraf op eigen initiatief kan filteren en overhandigen. Deze file bewaar ik op m'n Ironkey om de integriteit van de klant extra te waarborgen uiteraard.
Wie privé-zaken opslaat op bedrijfsvoorzieningen neemt altijd een risico. Het bedrijf is eigenaar van de informatie en heeft het recht de informatie in te zien. Het maakt daarbij niets uit of je er nog werkt of niet. Informatie opslaan in een mapje "privé" biedt wel meer zekerheid op privacy, maar het is geen garantie. Het blijft altijd hopen dat de inhoud hiervan niet wordt gelezen door anderen.
Gewoon niet doen, hou privé en zakelijk gescheiden!
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.
Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.
Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?
Vaak is dit makkelijker dan iemand te bellen op zijn of haar werk
Dan kan hij of zij dat lezen wanneer het hem of haar uitkomt i.p.v. telefonisch storen.
Jups, vandaar dat ik ook een bedrijfslaptop en bedrijfsgsm heb, zodat ik ook buiten die 8 uur voor mijn baas kan internetten en mailen.
"Ik snap echt niet waarom mensen op het werk moeten Internetten, c.q mailen voor prive gebruik."
Ik zie het probleem niet, thuis moet ik ook internetten, c.q. mailen voor zakelijk gebruik.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.
Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?
Volslagen onzin, en ik zou het artikel van Arnoud nog maar eens lezen. Juridisch gezien klopt je reactie niet, en je kunt als werkgever niet zonder meer een mailbox van een werknemer gaan lezen. De privacy wetgeving geldt ook op de werkplek, en heeft ook betrekking op je bedrijfsemail.
Volslagen onzin, en ik zou het artikel van Arnoud nog maar eens lezen. Juridisch gezien klopt je reactie niet, en je kunt als werkgever niet zonder meer een mailbox van een werknemer gaan lezen. De privacy wetgeving geldt ook op de werkplek, en heeft ook betrekking op je bedrijfsemail.
Ik bedoelde: Het bedrijf is eigenaar van de bedrijfsinformatie en heeft het recht de informatie in te zien. Ik begrijp het artikel wel, maar het het onduidelijk opgeschreven. Uiteraard dient het bedrijf af te blijven van de privé-gegevens, maar waar het om gaat is dat je als werknemer er rekening mee moet houden dat privé-gegevens kunnen worden gelezen en dat het slimmer is om het gewoon niet te doen.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.
Of zijn we inmiddels zo verslaafd, c.q afhankelijk dat we niet eens 8 uurtjes kunnen zonder internet en mail ?
Uiteraard word het een ander verhaal wanneer je plaatjes, filmpjes en powerpoint presentaties met afgestorven ledematen rond mailt. Maar dat is een kwestie van je gezond verstand gebruiken.
Overigens merk en weet ik uit ervaring dat men een mail naar vriend(in)/partner omtrent het eten oid minder privacy gevoelig vind dan een mailtje met een pps bestand. Bij een hoop werknemers zijn schuldgevoel en privacy dus erg dicht met elkaar verbonden.
Bijvoorbeeld de knowledgebase van Microsoft of McAfee en andere technische sites, forums en log ik in op website van BT om netwerk performance bij klanten te kunnen bekijken..
Dus is toegang tot het internet op het werk is voor mij een must, anders kan ik mijn werk niet doen.
Het ligt er dus maar aan op wat voor afdeling je werkt.
Doe dit toch gewoon thuis, dan zijn er ook geen problemen.
http://www.hrpraktijk.nl/nieuws/nieuws/internetten-voor-de-lol-verhoogt-productiviteit.347467.lynkx
Freedom to surf: workers more productive if allowed to use the internet for leisure
http://uninews.unimelb.edu.au/news/5750/
Overigens moet ik er toch niet aan denken dat ik als administrateur geen toegang tot internet zou hebben.
Wil de auteur dat ik alle betlaingen nog via een acceptgiro uitschrijf?
N.A.W gegevens van cliënten, etc. zoek je veelal via internet op.
Maar een paar voorbeelden.
Goed artikel, maar van boekhouden, of de werkzaamheden van een boekhouder heeft de auteur blijkbaar geen kaas gegeten!
Groet,
Bert van Gelswijk
Overigens moet ik er toch niet aan denken dat ik als administrateur geen toegang tot internet zou hebben.
Wil de auteur dat ik alle betlaingen nog via een acceptgiro uitschrijf?
N.A.W gegevens van cliënten, etc. zoek je veelal via internet op.
Maar een paar voorbeelden.
Goed artikel, maar van boekhouden, of de werkzaamheden van een boekhouder heeft de auteur blijkbaar geen kaas gegeten!
Groet,
Bert van Gelswijk
Bert,
Het gaat over het lezen van de mail van je collega.
Niet over het Pornosurfen van boekhouders
Groeten je vriemdje Ernie
lees het nog eens.
hij had het over een PPS van 79MB die INTERN gemailt werdt, en geen meuk downloaden....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
