Juridische vraag: Werkgever verwijdert e-mails na 90 dagen
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Wij zijn een Nederlandse vestiging van een Amerikaanse firma, tevens technisch hoofdkantoor voor het Internationale deel van het bedrijf. Alle communicatie binnen het bedrijf, en ook met onze klanten, zakenpartners, leveranciers, vindt voornamelijk via email plaats. Nu is vanuit Amerika ineens de regel ingevoerd dat alle e-mail ouder dan 90 dagen automatisch uit je email box (inbox/sent items) zal worden verwijderd. Ook wordt de mogelijkheid om email te archiveren (naar een PST bestand) geblokkeerd. Mag dit? Email is in ons land en Europa toch een officieel, erkend communicatie middel?
Antwoord: Ja, dit mag. Het is misschien onhandig, het verstoort het werk en het neemt je als bedrijf terug naar 1997, maar niet verbiedt een bedrijf te werken volgens opvattingen uit 1997. Het bedrijf kan je zelfs verbieden überhaupt nog e-mail te gebruiken en alles met ganzenveer op perkament te schrijven. De werkgever bepaalt hoe het werk wordt uitgevoerd.
De reden achter deze draconische maatregel is een juridische. In de VS geldt dat je bij een juridische procedure verplicht kunt zijn om alle documenten die relevant zijn voor de procedure, in kopie te geven aan de wederpartij. Dit heet discovery en leidt er regelmatig toe dat vrachtwagens vol kopieën van het ene bedrijf naar het andere gaan. Nee, ik overdrijf niet - hoewel het tegenwoordig meestal ingescand wordt en het dus alleen nog een kofferbak vol DVD-R's is.
Het verwijderen van belastende e-mails wanneer discovery aan de gang is, is een strafbaar feit. De enige manier om te voorkomen dat belastende mails boven water komen, is een strikte retentiepolicy
die bepaalt dat alle berichten na periode X verwijderd worden. En dat moet echt glashelder worden geformuleerd én geïmplementeerd, anders loopt het bedrijf risico. Maar óók de betrokken advocaten en bedrijfsjuristen kunnen (persoonlijk!) aansprakelijk gesteld worden.
Het is dus een minder gekke stap dan het lijkt. Het bedrijf voelt zich gedwongen door deze Amerikaanse discovery-wetgeving om zich in te dekken tegen juridische procedures. En gezien de miljoenen die zulke procedures kosten, snap ik dat wel.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
"Ja, dit mag. Het is misschien onhandig, het verstoort het werk en het neemt je als bedrijf terug naar 1997, maar niet verbiedt een bedrijf te werken volgens opvattingen uit 1997."
Zijn er geen regels die haaks hierop staan, en die je juist weer kunnen verplichten om bepaalde email te bewaren, bijvoorbeeld op het gebied van compliancy ?
Ik snap jouw reactie, echter kan jouw antwoord kort door de bocht zijn. Afhankelijk van het type van het bedrijf kan soms via andere regelgeving verplicht zijn om bepaalde gegevens voor een langere tijd te bewaren. In sommige industrieën is het verplicht om bepaalde gegevens levenslang te bewaren.
Ook kan het een probleem zijn dat de gestelde methodiek, zoals bij het bedrijf wat jij noemt, tegen Europese regelgeving ingaat. Heb je ook daar naar gekeken?
Jachra
Maak een rule aan die berichten van 89 dagen oud automatisch forward naar jezelf, probleem opgelost toch! De vraag is wel of je baas daar zo blij van wordt, als ik de achterliggende reden zo doorlees
Anderzijds kan een bestellingsmail van een klant ook handig zijn als zij na 90 dagen beweren dat ze geen bestelling hebben gedaan, nooit iets ontvangen hebben en dus niets betalen.
Overigens die " discovery" regel geldt ook in een Nederlande rechtszaak. Je zult altijd de andere partij ook jouw stukken moeten aanleveren in kopie, althans diegene waarmee je " sabelt" . Zaken die op jouw server staan doen niet ter zake zolang jij ( of de tegenpartij ) ze niet in het geding brengt. ( volgens mij althans )
Samenvattend, beetje kortzichtig van die WG, maar als ie zo bang is dat er represailles komen, dan moet je je misschien afvragen wat er allemaal gebeurd waar jij geen weet van hebt....
Nou, dat zou ik nou zeer zeker -niet- doen. Laat de juridische verantwoording bij je baas liggen.
Maak een rule aan die berichten van 89 dagen oud automatisch forward naar jezelf, probleem opgelost toch! De vraag is wel of je baas daar zo blij van wordt, als ik de achterliggende reden zo doorlees
Het is natuurlijk vervelend indien je je werk-mailbox ook voor prive-zaken gebruikt. Hoewel dat gewoon kan bij veel bedrijven vind ik dat je dat juist niet moet doen! Als je toch vanaf je werk prive wilt mailen dan gebruik je gewoon een gratis webmail-dienst zoals GMail. Daar heb je zelf volledige zeggenschap over. En als je een emailtje toch langer dan 90 dagen wilt bewaren, stuur hem dan door naar je prive-account! (Indien dat wel mag...)
Maar vraag je ook even af of een emailtje na 90 dagen nog wel belangrijk is... Misschien heel af en toe, als je een hele oude discussie wilt nalezen. Maar de krant van 90 dagen geleden is toch ook niet echt interessant meer?
Baas : ik heb nog een mail gevonden waarin je mij voor rotte vis uitmaakt.
werknemer : Oh, ik dacht dat na 90 dagen al het email verkeer gewist word, neem jij eigen regels niet serieus ?
Bovendien mag je aannemen dat een bedrijf dat zo'n retention policy invoert, nagedacht heeft over wat ze wél moeten bewaren.
Er is in het algemeen geen regel in de wet dat je e-mails moet bewaren als bedrijf. Volgens de belastingwetgeving moet je bewijzen van overeenkomsten bewaren zodat je je financiële positie kunt aantonen. Natuurlijk kun je contracten per mail sluiten, en dan moet je die mails dus bewaren. Daar moet dan een archiveringsmogelijkheid voor zijn. Dat is normaal ook een uitzondering op die 90-dagentermijn.
Zeker zakelijk is het belangrijk als je wat vergeten bent en je wilt het terug zoeken in je e-mails.
Voor overheidsorganisaties komt daar de Archiefwet 1995 nog bovenop: alles wat niet in een selectielijst is beschreven valt onder de bewaartermijn "Voor altijd bewaren" mits het 'document' is ontvangen of opgemaakt in het kader van de uitvoering van taken.
Zeker zakelijk is het belangrijk als je wat vergeten bent en je wilt het terug zoeken in je e-mails.
Ikzelf hanteer de regel dat wat in mijn mailbox staat, niet belangrijk genoeg is om te bewaren. Is een mailtje belangrijk dan kun je in Outlook gewoon met drag&drop het mailtje naar de verkenner slepen en in een archief-folder opslaan. Kun je het ook nog zippen, extra encrypten en wat dan nog meer.
Op zich vind ik het dus geen slechte regel. Ruimt ook nog lekker op.
Bovendien mag je aannemen dat een bedrijf dat zo'n retention policy invoert, nagedacht heeft over wat ze wél moeten bewaren.
Er is in het algemeen geen regel in de wet dat je e-mails moet bewaren als bedrijf. Volgens de belastingwetgeving moet je bewijzen van overeenkomsten bewaren zodat je je financiële positie kunt aantonen. Natuurlijk kun je contracten per mail sluiten, en dan moet je die mails dus bewaren. Daar moet dan een archiveringsmogelijkheid voor zijn. Dat is normaal ook een uitzondering op die 90-dagentermijn.
Voor overheidsorganisaties komt daar de Archiefwet 1995 nog bovenop: alles wat niet in een selectielijst is beschreven valt onder de bewaartermijn "Voor altijd bewaren" mits het 'document' is ontvangen of opgemaakt in het kader van de uitvoering van taken.
Arnoud,
Het lijkt erop dat eerste gedacht tot juist is. Zoals 'Anoniem' al vermelde, kan het dus voorkomen dat e-mail dus ook 7 jaar na afsluiting van het boekjaar bewaard dient te worden. Je hebt in jouw antwoord wel een verklaring gegeven waarom de e-mails verwijderd kunnen worden door de Amerikaanse moederbedrijf, maar de vraag zag ik niet echt beantwoord.
Hopelijk is het nu wel beantwoord.
Jachra
De wet eist inderdaad dat je je administratie 7 jaar bewaart. Dat betekent niet dat je dus je mail 7 jaar moet kunnen bewaren. Je kunt ook invoeren (zoals veel bedrijven doen) dat mails die relevant zijn voor de belastingdienst of de administratie, uitgeprint moeten worden en in het archief gaan. Of digitaal als PDF geupload naar het archief, dat kan ook. De mailbox wordt dan nog steeds geleegd na 90 dagen maar zulke belangrijke mails zitten in een officieel dossier.
Dat dossier wordt dan dus discoverable bij een rechtszaak in de VS, maar dat is dan niet anders. Het gaat de advocaten juist om de kattebelletjes en de informele mailtjes. Beruchtste voorbeeld zijn de mails van Microsofft in het antitrustproces over Netscape, met opmerkingen als "we gaan ze KAPODT maken". Dat soort taal is handig om te bewijzen dat je uit was op het verpesten van de concurrentie.
\
De archiefwet heb ik buiten beschouwing gelaten omdat Nederlandse overheidsinstellingen zich geen zorgen maken over Amerikaanse discoverywetgeving. De kans dat een NL gemeente in de VS gedaagd wordt is te klein om je druk over te maken.
Weinig mensen weten dit overigens, maar in Outlook (en Outlook Express) kun je emails zo verslepen naar je harde schijf. En eenmaal op schijf worden ze niet meer door Outlook gewist of ge-archiveerd. Ook andere email applicaties kunnen dergelijke functionaliteit hebben.
Het is natuurlijk vervelend indien je je werk-mailbox ook voor prive-zaken gebruikt. Hoewel dat gewoon kan bij veel bedrijven vind ik dat je dat juist niet moet doen! Als je toch vanaf je werk prive wilt mailen dan gebruik je gewoon een gratis webmail-dienst zoals GMail. Daar heb je zelf volledige zeggenschap over. En als je een emailtje toch langer dan 90 dagen wilt bewaren, stuur hem dan door naar je prive-account! (Indien dat wel mag...)
Maar vraag je ook even af of een emailtje na 90 dagen nog wel belangrijk is... Misschien heel af en toe, als je een hele oude discussie wilt nalezen. Maar de krant van 90 dagen geleden is toch ook niet echt interessant meer?
PDF is toch evil ? xD
Ik vond jouw antwoord "Ja, dat mag" kort door de bocht. De uitleg die onstaan is de discussie werpt er een andere licht op.
In plaats van "Ja, dat mag" zou het antwoord kunnen zijn "Ja, mits". En dan aangevuld met de gegevens zoals deze in de discussie is ontstaan.
Voor de rest is het weer een goede kolumn en met een zeer interresante vraagstelling.
Kan je misschien ook antwoord geven op de eerder vermelde vraag of er een nog Europese regelgeving is waaraan men dan eventueel zouden moeten houden?
Jachra
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
