Juridische vraag: personeel ontvangt privémail op werk-pc
woensdag 24 november 2010, 10:41 door Arnoud Engelfriet, 19 reacties
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Binnen onze organisatie mag een medewerker (mits beperkt) privé e-mail versturen en ontvangen vanaf de werk-pc. Deze mails staan verspreid tussen werkgerelateerde mails. Op het moment dat de medewerker de organisatie verlaat, dan is het gebruikelijk dat de (al dan niet tijdelijke) opvolger of manager toegang krijgt tot de werkgerelateerde informatie van deze medewerker, vanwege bedrijfscontinuïteit. Het is dan natuurlijk niet de bedoeling dat deze gaat grasduinen in de privémails, maar hoe regel je dat organisatorisch? Wat zou je bv. in het arbeidscontract kunnen regelen?
Antwoord: Op zich heeft deze organisatie het keurig geregeld: zoals de wet voorschrijft, is er ruimte voor enige privacy op het werk. Je mag in beperkte mate privé mailen en internetten, dat kan niet worden verboden. Wil men daarboven nog monitoren, dan moet er een privacyreglement zijn dat regelt hoe en wanneer dit mag gebeuren.
Hier is er sprake van een bijzondere situatie. Na vertrek van een medewerker ontstaat er een legitieme behoefte tot toegang tot diens mailbox. Tegelijkertijd kan daarmee toegang worden gekregen tot privémails, en dat is niet de bedoeling. Dat is vooral een praktisch probleem, de wet bevat hierover geen specifieke regels.
Ik zou zeggen, het is enerzijds de taak van de werknemer die weggaat om te zorgen dat zijn privémails afgeschermd zijn en anderzijds de taak van de werkgever om te zorgen dat er niet nodeloos in privémails gegrasduind wordt.
Hoe je dat afdwingt, is een lastige. In je privacyreglement kun je bepalen dat werknemers privémails moeten markeren als zodanig, bv. door ze in een mapje "privé" te moeten opslaan of in de subject "privé" te zetten. Je zou ook kunnen eisen dat men privémails zo veel mogelijk weggooit op de laatste werkdag. Alles mag, zolang het maar redelijk is en van een werknemer gevergd kan worden.
Kom je dan toch nog een privémail tegen, dan is dat denk ik onvermijdelijk. Natuurlijk moet de ontvanger daarover zo veel mogelijk zijn of haar mond houden, maar het is de vraag of je dat kunt afdwingen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Reacties (19)
24-11-2010, 11:20 door
capricornus
Mensen die voor hun werk een pc mogen/moeten/kunnen bedienen, zijn intelligent genoeg om in hun Obligate Outlook een mapje "privé" te maken. Het contract voorziet in vele futiliteiten, waarom dat ook niet laten ondertekenen. Ik heb in elk geval zulk mapje en ... gebruik het ook. Al vind ik het fijner dat ik mag gmail-en van mijn manager.
"Het is dan natuurlijk niet de bedoeling dat deze gaat grasduinen in de privémails, maar hoe regel je dat organisatorisch?"
Leg de verantwoording neer bij de medewerker. Bij vertrek moet men zelf zorgen voor verwijdering van de persoonlijke emails. Indien er toch emails blijven staan, dan is dat primair de eigen verantwoording van de ex-medewerker. Al moet je in dat geval ook zorgvuldig met de informatie om gaan.
Leg de verantwoording neer bij de medewerker. Bij vertrek moet men zelf zorgen voor verwijdering van de persoonlijke emails. Indien er toch emails blijven staan, dan is dat primair de eigen verantwoording van de ex-medewerker. Al moet je in dat geval ook zorgvuldig met de informatie om gaan.
24-11-2010, 11:55 door
SirDice
Gewoon, als je weggaat, al je mail verwijderen. Als het belangrijk is mailen ze heus nog wel een keer.
24-11-2010, 12:23 door
Preddie
Door SirDice: Gewoon, als je weggaat, al je mail verwijderen. Als het belangrijk is mailen ze heus nog wel een keer.
Eeuh SirDice, das leuk maar dat haalt echt niks uit........ teminste voor de mail die ouder is dan 24 uur (naar alle waarschijnlijkheid) Men maakt vaak elke 24 uur een back-up van de gegevens en dus ook de mailboxes, je kan dan wel al jou mail verwijderen maar wanneer gevraagd wordt om de back-up van gister weer terug te zetten is alle verwijderde mail gewoon weer terug.
Privé mailen met het account van het werk mag dan misschien wel in beperkte mate, maar wanneer iemand vind dat ook zijn privé mail niet gelezen mag worden na zijn vertrekt moet hij geen gebruik maken van de mogelijkheid. het is immers kinderlijk éénvoudig om werk en prive mail te scheiden en tijdens je werk je privémail via webmail op te halen .....
partijen zoals hotmail, gmail en tegewoordig ook facebook kun je dan beter proberen te vermijden omdat deze partijen meer gegevens van jou verzamelen en met de buitenwereld delen dan jou werkgever ooit zou doen ...
24-11-2010, 12:35 door
Wim ten Brink
Wie op zijn werk ook prive-mail wil ontvangen kan dit beter doen door een gratis GMail account te registreren en deze account te gebruiken, zodat spammers niet snel de werk-account gaan spammen. Want als werknemer moet je natuurlijk wel zorgvuldig met je werk-mailadres omgaan. Je kunt GMail vervolgens instellen om (bepaalde) mailtjes te forwarden naar je werk-account maar je kunt natuurlijk ook gewoon je GMail account aan Outlook toevoegen.
Werkgevers zullen sowieso problemen hebben met prive-mailtjes vooral omdat er na het ontslag nog nieuwe prive-mailtjes binnen kunnen komen! Want lang niet iedereen beseft onmiddelijk dat de account ondertussen opgeheven is.
-
Prive mailen met je werk-account vergelijk ik met het boodschappen doen met je lease-auto of het gereedschap op je werk gebruiken om je vogelhuisje voor in je tuin mee te bouwen. Je maakt gebruik van materiaal van je werkgever dus wordt je tevens geacht daar zorgvuldig mee om te gaan. Als je dus gevoelige priva-mails ontvangt op je werk-account dan is er altijd het risico dat je werkgever dit ontdekt.
-
Doet mij denken aan een anekdote bij mijn vorige werkgever. Het bedrijf stond op de rand van faillisement en mijn baas had het idee om het personeel dan maar onder te brengen bij een detacherings-bedrijf voor wat extra inkomsten. Ik was zelf ook al op zoek naar een andere werkgever en had een aanbod van een ander bedrijf gekregen om eens langs te komen. Vervolgens kwam mijn baas ook met een leuke detacherings-klus bij -toevallig genoeg- hetzelfde bedrijf als waar ik al stiekem had gesolliciteerd! Was achteraf best lollig! :-) Ben uiteindelijk bij het nieuwe bedrijf in vaste dienst gekomen.
Werkgevers zullen sowieso problemen hebben met prive-mailtjes vooral omdat er na het ontslag nog nieuwe prive-mailtjes binnen kunnen komen! Want lang niet iedereen beseft onmiddelijk dat de account ondertussen opgeheven is.
-
Prive mailen met je werk-account vergelijk ik met het boodschappen doen met je lease-auto of het gereedschap op je werk gebruiken om je vogelhuisje voor in je tuin mee te bouwen. Je maakt gebruik van materiaal van je werkgever dus wordt je tevens geacht daar zorgvuldig mee om te gaan. Als je dus gevoelige priva-mails ontvangt op je werk-account dan is er altijd het risico dat je werkgever dit ontdekt.
-
Doet mij denken aan een anekdote bij mijn vorige werkgever. Het bedrijf stond op de rand van faillisement en mijn baas had het idee om het personeel dan maar onder te brengen bij een detacherings-bedrijf voor wat extra inkomsten. Ik was zelf ook al op zoek naar een andere werkgever en had een aanbod van een ander bedrijf gekregen om eens langs te komen. Vervolgens kwam mijn baas ook met een leuke detacherings-klus bij -toevallig genoeg- hetzelfde bedrijf als waar ik al stiekem had gesolliciteerd! Was achteraf best lollig! :-) Ben uiteindelijk bij het nieuwe bedrijf in vaste dienst gekomen.
De manager van de vertrekkende medewerker heeft de verantwoordelijkheid om er op toe te zien dat de vertrekkende medewerker alle zakelijke mail uit zijn mailbox doorgeeft aan zijn opvolger of waarnemer. Daarna gaat de mailbox dicht, en kan er dus ook geen mail meer worden ontvangen. Latere toegang tot de mailbox door collega's mag alleen met expliciete toestemming van de vertrokken medewerker.
24-11-2010, 13:34 door
SirDice
Door Predjuh:
Eeuh SirDice, das leuk maar dat haalt echt niks uit........ teminste voor de mail die ouder is dan 24 uur (naar alle waarschijnlijkheid) Men maakt vaak elke 24 uur een back-up van de gegevens en dus ook de mailboxes, je kan dan wel al jou mail verwijderen maar wanneer gevraagd wordt om de back-up van gister weer terug te zetten is alle verwijderde mail gewoon weer terug.
Dat kan men ook als je er nog werkt. Waar het om gaat is dat een manager (of iemand anders) niet direct toegang meer heeft. Om een backup terug te zetten zal er enige moeite gedaan moeten worden. Over het algemeen is het gewoon makkelijker om te vragen of ze die belangrijke email nog een keer willen sturen.Door SirDice: Gewoon, als je weggaat, al je mail verwijderen. Als het belangrijk is mailen ze heus nog wel een keer.
Eeuh SirDice, das leuk maar dat haalt echt niks uit........ teminste voor de mail die ouder is dan 24 uur (naar alle waarschijnlijkheid) Men maakt vaak elke 24 uur een back-up van de gegevens en dus ook de mailboxes, je kan dan wel al jou mail verwijderen maar wanneer gevraagd wordt om de back-up van gister weer terug te zetten is alle verwijderde mail gewoon weer terug.
Door SirDice: Gewoon, als je weggaat, al je mail verwijderen. Als het belangrijk is mailen ze heus nog wel een keer.
Da's een goede manier om een aanklacht te krijgen, hetzij van je ex-werkgever of in sommige gevallen van de overheid (in sectoren waar mail x jaar bewaard moet blijven). Bovendien wordt kan je niet alle mail opnieuw laten sturen, denk aan eenmalige mails met licentiecodes, of mails waarbij de verzendende partij er baat bij heeft deze niet opnieuw te sturen("mail met een afspraak? nee hoor, die heb ik nooit gestuurd."). Zelfs als het legaal zou zijn, het is nogal asociaal en dat soort zaken komen op 1 of andere manier vaak bij toekomstige werkgevers terecht.
24-11-2010, 14:28 door
WhizzMan
Ik zet altijd in de privacyreglementen, dat het privegebruik van de zakelijke account wordt ontmoedigd, maar niet verboden is. Dat de werkgever altijd inzage heeft in deze mails en dat alle mail wordt opgeslagen en dat daar backups van worden gemaakt. Verder zet ik er in dat werknemers, mits dit geen beveiligingsproblemen oplevert of anderszijds policies schendt zoals installatie van software, hun privemail op het werk mogen controleren en beantwoorden. De werknemer weet zo dus dat hij geen privacy heeft op z'n werkmail en je biedt de mogelijkheid om de eigen mail wel te controleren.
Als bedrijf heb je de plicht om een administratie van je binnengekomen en uitgaande stukken bij te houden, dus je moet sowieso de ontvangers, verzenders en het tijdstip al opslaan van elk e-mailbericht. Voor eventuele aansprakelijkheid is het verstandig om gewoon alles in z'n geheel op te slaan, dus dat adviseer ik dan ook meestal.
Als bedrijf heb je de plicht om een administratie van je binnengekomen en uitgaande stukken bij te houden, dus je moet sowieso de ontvangers, verzenders en het tijdstip al opslaan van elk e-mailbericht. Voor eventuele aansprakelijkheid is het verstandig om gewoon alles in z'n geheel op te slaan, dus dat adviseer ik dan ook meestal.
Door SirDice: Gewoon, als je weggaat, al je mail verwijderen. Als het belangrijk is mailen ze heus nog wel een keer.
Vergeet dan niet via outlook web access in te loggen als dat kan. Standaard worden verwijderde e-mails pas na 30 dagen geheel verwijderd uit een soort 2e prullenbak die via OWA bereikbaar is.Waarom een probleem oplossen die er niet hoeft te zijn. Ik heb Twee prive mails, een universiteit mail en verder nog een werkmail. De privemail, staat in een scherm geopend, en mijn privemails+ universiteitmail komen binnen op 1 emailadres. Maakelijk in te stellen. Eens per uur even verversen. Mijn werkmail komt binnen op de outlook. Zelfs mijn vrouw kent mijn werkmail niet. Waarom niet? Omdat het een werkmail is. Nooit iets prives mee verstuurd. Tenzij het een leuke grap is voor collega's, denk aan videos en plaatjes e.d. Mijn email blijft schoon en het mooie van allemaal. Ik hoe nooit een mail te verwijderen. Als ik wegga mag het complete bedrijf er in kijken.
24-11-2010, 16:40 door
SirDice
Door Anoniem:
En daar hebben ze backups voor. Om nog maar even te zwijgen over een mailquota, die je bijna altijd hebt, die het simpelweg onmogelijk maakt om al je mail van een aantal jaar te bewaren. Ik kan nu niet eens alle mail van de afgelopen 4 weken bewaren voordat ik tegen een quota aanloop.Door SirDice: Gewoon, als je weggaat, al je mail verwijderen. Als het belangrijk is mailen ze heus nog wel een keer.
Da's een goede manier om een aanklacht te krijgen, hetzij van je ex-werkgever of in sommige gevallen van de overheid (in sectoren waar mail x jaar bewaard moet blijven).Bovendien wordt kan je niet alle mail opnieuw laten sturen, denk aan eenmalige mails met licentiecodes,
Licentiecodes horen niet opgeslagen te worden in iemands mailbox.of mails waarbij de verzendende partij er baat bij heeft deze niet opnieuw te sturen("mail met een afspraak? nee hoor, die heb ik nooit gestuurd.").
Dergelijke mails horen van of naar een groepsmailbox gestuurd te worden.Zelfs als het legaal zou zijn, het is nogal asociaal en dat soort zaken komen op 1 of andere manier vaak bij toekomstige werkgevers terecht.
Nog nooit last van gehad.De argumenten zijn leuk maar ze geven eerder aan dat er iets procesmatig niet klopt en dat heeft niets met mail te maken.
24-11-2010, 16:47 door
SirDice
Door WhizzMan: Ik zet altijd in de privacyreglementen, dat het privegebruik van de zakelijke account wordt ontmoedigd, maar niet verboden is. Dat de werkgever altijd inzage heeft in deze mails en dat alle mail wordt opgeslagen en dat daar backups van worden gemaakt. Verder zet ik er in dat werknemers, mits dit geen beveiligingsproblemen oplevert of anderszijds policies schendt zoals installatie van software, hun privemail op het werk mogen controleren en beantwoorden. De werknemer weet zo dus dat hij geen privacy heeft op z'n werkmail en je biedt de mogelijkheid om de eigen mail wel te controleren.
Dat geeft je nog steeds niet het recht om iemands prive mail, die via het zakelijke account is verzonden/ontvangen, te lezen.
25-11-2010, 09:23 door
Preddie
Door WhizzMan: Ik zet altijd in de privacyreglementen, dat het privegebruik van de zakelijke account wordt ontmoedigd, maar niet verboden is. Dat de werkgever altijd inzage heeft in deze mails en dat alle mail wordt opgeslagen en dat daar backups van worden gemaakt. Verder zet ik er in dat werknemers, mits dit geen beveiligingsproblemen oplevert of anderszijds policies schendt zoals installatie van software, hun privemail op het werk mogen controleren en beantwoorden. De werknemer weet zo dus dat hij geen privacy heeft op z'n werkmail en je biedt de mogelijkheid om de eigen mail wel te controleren.
Als bedrijf heb je de plicht om een administratie van je binnengekomen en uitgaande stukken bij te houden, dus je moet sowieso de ontvangers, verzenders en het tijdstip al opslaan van elk e-mailbericht. Voor eventuele aansprakelijkheid is het verstandig om gewoon alles in z'n geheel op te slaan, dus dat adviseer ik dan ook meestal.
Als bedrijf heb je de plicht om een administratie van je binnengekomen en uitgaande stukken bij te houden, dus je moet sowieso de ontvangers, verzenders en het tijdstip al opslaan van elk e-mailbericht. Voor eventuele aansprakelijkheid is het verstandig om gewoon alles in z'n geheel op te slaan, dus dat adviseer ik dan ook meestal.
leuk dat je dat er in zet, maar zelf hun werk e-mail mag jij als werkgever niet zo maar lezen. Wanneer je dit ongevraagd doet overtreed je als nog gewoon de wet en bij jij als werkgever strafbaar of je dit nu in een reglement zet of niet, de wet is leidend.
"Ik zet altijd in de privacyreglementen, dat het privegebruik van de zakelijke account wordt ontmoedigd, maar niet verboden is. Dat de werkgever altijd inzage heeft in deze mails en dat alle mail wordt opgeslagen en dat daar backups van worden gemaakt."
Bovengenoemd regelement is in strijd met de wet. De werkgever heeft namelijk geen inzage in prive mails, ook niet wanneer deze onder werk vanaf een zakelijk account worden verstuurd. Het regelement is daardoor op dit punt niet rechtsgeldig.
"De werknemer weet zo dus dat hij geen privacy heeft op z'n werkmail en je biedt de mogelijkheid om de eigen mail wel te controleren. "
Dat recht heeft de werknemer dus wel degelijk.
Bovengenoemd regelement is in strijd met de wet. De werkgever heeft namelijk geen inzage in prive mails, ook niet wanneer deze onder werk vanaf een zakelijk account worden verstuurd. Het regelement is daardoor op dit punt niet rechtsgeldig.
"De werknemer weet zo dus dat hij geen privacy heeft op z'n werkmail en je biedt de mogelijkheid om de eigen mail wel te controleren. "
Dat recht heeft de werknemer dus wel degelijk.
Door capricornus: Mensen die voor hun werk een pc mogen/moeten/kunnen bedienen, zijn intelligent genoeg om in hun Obligate Outlook een mapje "privé" te maken. Het contract voorziet in vele futiliteiten, waarom dat ook niet laten ondertekenen. Ik heb in elk geval zulk mapje en ... gebruik het ook. Al vind ik het fijner dat ik mag gmail-en van mijn manager.
Tsja, ik weet niet of je het privacy beleid van Gmail wel eens hebt bekeken.....
26-11-2010, 08:37 door
root
>Je mag in beperkte mate privé mailen en internetten, dat kan niet worden verboden.
Dat klopt, maar je kan wel verbieden dat hierbij de zakelijke mailbox wordt gebruikt. Privémailen doe je maar lekker via je eigen mailprovider, gmail, hotmail of wat dan ook.
Dat klopt, maar je kan wel verbieden dat hierbij de zakelijke mailbox wordt gebruikt. Privémailen doe je maar lekker via je eigen mailprovider, gmail, hotmail of wat dan ook.
Ik zou niet weten waarom managers toegang moeten hebben tot een mailbox als diens eigenaar daarvan uit dienst is. Zakelijk belangrijke mail hoort niet in een persoonlijke mailbox te staan. In het ergste geval zou iemand van HR toegang kunnen krijgen om te checken of er inderdaad verder geen belangrijke zaken in staan maar daarna kan een mailbox gewoon weg. Kwestie van goede afspraken maken met de medewerkers, zeker als iemand aangeeft weg te gaan is dat het moment om zaken te laten overdragen.
Veel managers en directeuren leven alleen nog in het jaar 0 en denken nog te veel normatief en snappen daardoor niet dat je mensen positief moet betrekken in de processen en dat je daardoor helemaal geen zaken hoeft af te dwingen.
Veel managers en directeuren leven alleen nog in het jaar 0 en denken nog te veel normatief en snappen daardoor niet dat je mensen positief moet betrekken in de processen en dat je daardoor helemaal geen zaken hoeft af te dwingen.
01-12-2010, 11:56 door
Wim ten Brink
Door Anoniem: Ik zou niet weten waarom managers toegang moeten hebben tot een mailbox als diens eigenaar daarvan uit dienst is. Zakelijk belangrijke mail hoort niet in een persoonlijke mailbox te staan. In het ergste geval zou iemand van HR toegang kunnen krijgen om te checken of er inderdaad verder geen belangrijke zaken in staan maar daarna kan een mailbox gewoon weg. Kwestie van goede afspraken maken met de medewerkers, zeker als iemand aangeeft weg te gaan is dat het moment om zaken te laten overdragen.
Veel managers en directeuren leven alleen nog in het jaar 0 en denken nog te veel normatief en snappen daardoor niet dat je mensen positief moet betrekken in de processen en dat je daardoor helemaal geen zaken hoeft af te dwingen.
Laat ik het anders stellen... Ik zou niet weten waarom personeel een email adres van hun werk voor prive-doeleinden zouden gebruiken! Een beetje GMail account kan 7 gigabytes aan mail aan en daar hoef je dus je systeem op werk dus niet mee te belasten. GMail kun je ook nog instellen over IMAP zodat je in Outlook toch je GMail kunt bekijken en als je weggaat hoeft je manager alleen je GMail account weer te verwijderen.Veel managers en directeuren leven alleen nog in het jaar 0 en denken nog te veel normatief en snappen daardoor niet dat je mensen positief moet betrekken in de processen en dat je daardoor helemaal geen zaken hoeft af te dwingen.
De rest van de emailtjes zijn in principe gedaan uit naam van je werkgever, want je hebt zijn mailserver daarvoor gebruikt. Gezien het aantal email-alternatieven zou je als werkgever dus gewoon kunnen claimen dat je personeel geen eigen email accounts hebben maar dat het allen bedrijfs-accounts zijn die per werknemer zijn onderverdeeld. Dan zijn alle emailtjes dus ook van de werkgever, niet van de werknemer, en mag de manager er zonder problemen door bladeren.
Maar dat moet dan wel duidelijk in de arbeids-voorwaarden staan! Je moet namelijk als werknemer weten dat de mail accounts van het bedrijf niet voor prive-zaken zijn bedoeld. Voor prive-zaken kun je gewoon je prive-account gebruiken...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
