image

Juridische vraag: Mag bedrijfsmail op eigen iPhone?

woensdag 20 juli 2011, 09:34 door Arnoud Engelfriet, 22 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Is het wettelijk toegestaan om via een privésmartphone bedrijfsmail te lezen en versturen? Iedereen krijgt wel eens privacygevoelige informatie in zijn mail, al is het maar telefoonnummers of adresgegevens. Overtreedt de werknemer, de werkgever of beide dan niet allerlei privacy wetten?

Antwoord: Er zijn niet zo gek veel wetten over e-mail. Over het algemeen wordt e-mail niet als anders dan welk bedrijfsmiddel ook gezien. Net zo goed als je dus bedrijfsberichten in je tas of jas mag stoppen of per telefoon bespreken, mag je ze per smartphone mailen en ontvangen. Natuurlijk kan het bedrijf wel strengere regels stellen, en dit zelfs verbieden. Dat zou dan in het IT-reglement moeten staan.

Een belangrijke wet die wel geldt bij dit soort zaken is de Wet bescherming persoonsgegevens ("de privacywet"). Deze eist namelijk "adequate" beveiliging bij iedere geautomatiseerde verwerking van persoonsgeevens, zoals klantnamen, -telefoonnummers of -adressen. Het gebruik van een onbeveiligde smartphone kan ervoor zorgen dat je beveiliging inadequaat geacht wordt, en dat kan tot schadeclaims leiden.

Als de smartphone Android draait en dus Gmail of andere Googlediensten gebruikt, dan worden er bedrijfsgegevens naar buiten Europa geëxporteerd. Dat is dan weer een heel ander probleem want dat mag niet. Ook dit kan tot schadeclaims leiden.

In beginsel is alleen de werkgever aansprakelijk voor eventuele schade die een relatie daardoor kan lijden. De werknemer is namelijk alleen aansprakelijk bij opzettelijk of grof nalatig handelen, en dat wordt niet snel aangenomen. In ieder geval is het niet genoeg om te zeggen "eigen smartphones verboden" om te mogen spreken van "opzet" en dus werknemersaansprakelijkheid als hij het toch doet.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (22)
20-07-2011, 16:37 door Anoniem
Van mij wel,de Iphone is toch van jezelf?,dus daar heeft je baas niks over te zeggen.
Misschien in een vergadering,ja dan kan het vervelend zijn,maar loop je er even uit in dringende gevallen en voer je je telefoongesprek op de gang,of check je je mail even daar.
21-07-2011, 08:36 door Anoniem
Weet iemand wat bedoeld wordt met de zin:

"Als de smartphone Android draait en dus Gmail of andere Googlediensten gebruikt, dan worden er bedrijfsgegevens naar buiten Europa geëxporteerd. Dat is dan weer een heel ander probleem want dat mag niet. Ook dit kan tot schadeclaims leiden."

Wordt hiermee bedoeld dat bedrijfsgegevens die in gmail of andere googlediensten zijn opgeslagen naar buiten worden geexporteerd? Of wordt hiermee bedoeld dat Android sowieso alles dat er op staat naar buiten exporteert (inclusief andere dan gmail account gerelateerde email, zoals een bedrijfs activesync account)?

Groet,
Jonas
21-07-2011, 09:10 door Mysterio
Door Anoniem: Van mij wel,de Iphone is toch van jezelf?,dus daar heeft je baas niks over te zeggen.
Misschien in een vergadering,ja dan kan het vervelend zijn,maar loop je er even uit in dringende gevallen en voer je je telefoongesprek op de gang,of check je je mail even daar.
Lezen en schrijven zijn beide een kunst die je niet beheerst.
21-07-2011, 11:39 door Arnoud Engelfriet
@Anoniem 8:36: Ik had persoonsgegevens moeten schrijven. Het is niet toegestaan persoonsgegevens over EU-burgers op te slaan op servers buiten de EU, tenzij in enkele bijzondere omstandigheden.

Ik had begrepen dat als je op een Android smartphone/tablet wat opslaat, er een kopie op Google-servers in de VS wordt gezet. Idem als je dingen naar je Gmail doorstuurt.
21-07-2011, 14:59 door Anoniem
Beste Arnoud,

Dank voor het bericht.
Het is helder dat EU persoonsgegevens niet opgeslagen mogen worden op niet EU servers.

Allereerst lijkt het me niet heel slim om als bedrijf de communicatie te laten verlopen via gmail (of variant, zoals hotmail).
Het is neem ik aan bekend dat gmail zijn backends wereldwijd synchroniseert voor (officieel en in de eerste plaats) redunancy toepassingen (ook naar de USA). Combineer dit gegeven met de Patriot Act (of tegenwoordig USA PATRIOT Improvement and Reauthorization Act) en al je data ligt bij de Amerikanen op de stoep. :-)

Ronduit ernstig zou ik het vinden als Android per definitie lokale (ook niet gmail gerelateerde) data zou exporteren. Nog sterker: ik kan me eigenlijk niet voorstellen dat dit gebeurt. Dit zou betekenen dat de inhoud van bijv beveiligde lokale activesync accounts structureel geupload wordt naar derde partijen, hetgeen mijns inziens direct zou leiden tot rechtszaken.

Er wordt in dit artikel vrij stellig gebracht dat "Als de smartphone Android draait en dus Gmail of andere Googlediensten gebruikt, dan worden er bedrijfsgegevens naar buiten Europa geëxporteerd."

Een cruciaal verschil is of Android zelf data uploadt of Gmail. Ik denk dat dat in het geval van dit artikel de moeite is om daar uitsluitsel over te krijgen.

Groeten,
Jonas
21-07-2011, 22:34 door Anoniem
Het is natuurlijk maar geheel de vraag in hoeverre de werknemer (de mogelijkheid heeft) tot forwarden. Dan worden email services als gmail opeens veel aannemelijker. Daarnaast vraag ik me af wat de wettelijke waarde is van een IT reglement en in hoeverre is dat gebonden aan de manier waarop het bedrijf het (niet) uitdraagt, of gebaseerd is op misvattingen of in verhouding tot bepaalde persoonlijke situatie's (dom voorbeeld: denk aan blindheid)

Daarnaast weet ik haast 100% zeker dat in alle gevallen de rechten van de klanten slechts verhaald kunnen worden op de werkgever. Uiteindelijk wordt je er niet minder uitgewerkt, alleen zelfs in combinatie met een IT reglement kun je al stellingen deponeren als waarom was de mogelijkheid er in tegenstrijd met het reglement. In hoeverre moet een werknemer meer als natuurlijke persoon dan als handelende rechtspersoon de verantwoordelijkheden dragen? De functie is daarin wel van belang natuurlijk.

@anoniem hierboven: gmail load je niet up, dat is een website op de servers van google die je altijd met je browser van buitenaf komt bezoeken. die data staat dus al geupload zeg maar. android upload wel gegevens en ik heb ook de indruk van addon applicatie's. of dat een optie is die standaard aan staat weet ik niet, bovendien zit google bovendien bovenop cloud computing ook met android. en ik heb ook backup van persoonlijke files voorbij zien vliegen ook hier weet ik niet in hoeverre dat google+ nu online opslag aanbiedt ofzo of dat dat een sync optie is of wat ook ik ben namelijk wel sinds kort dat verkeer aan het analyseren maar ik heb zelf nog niet zo'n phone.
22-07-2011, 07:39 door Mysterio
Door Arnoud Engelfriet: @Anoniem 8:36: Ik had persoonsgegevens moeten schrijven. Het is niet toegestaan persoonsgegevens over EU-burgers op te slaan op servers buiten de EU, tenzij in enkele bijzondere omstandigheden.

Ik had begrepen dat als je op een Android smartphone/tablet wat opslaat, er een kopie op Google-servers in de VS wordt gezet. Idem als je dingen naar je Gmail doorstuurt.
Maar Arnoud, Google staat op de Safe Harbor List http://safeharbor.export.gov/companyinfo.aspx?id=10543 en dus zijn de regels ten opzichte van Google en Microsoft min of meer hetzelfde als voor bedrijven binnen EU-landen?
22-07-2011, 13:47 door wim-bart
Arnoud, jij stelt het volgende:

Als de smartphone Android draait en dus Gmail of andere Googlediensten gebruikt, dan worden er bedrijfsgegevens naar buiten Europa geëxporteerd. Dat is dan weer een heel ander probleem want dat mag niet. Ook dit kan tot schadeclaims leiden.

Veel bedrijven of werknemers van bedrijven gebruiken diensten zoals dropbox. Hiervan staan de servers niet binnen de EU. In jouw stelling zeg je dan ook, dat deze dienst niet gebruikt mag worden voor vertrouwelijke informatie waarin personen genoemd worden (privacy). Klopt mijn redenatie?

Wim-Bart
22-07-2011, 14:18 door Arnoud Engelfriet
Inderdaad Wim-Bart, dat is een privacyprobleem. Zoals Mysterio echter al aangeeft (dank!) als er een Safe Harbor-overeenkomst is dan ligt het iets makkelijker. Je mag er dan op vertrouwen dat die Amerikaanse bedrijven zich netjes aan de Europese regels houden. Hoewel je je kunt afvragen hoe veel dat waard is, gezien de PATRIOT act en de plicht tot inzage geven aan FBI, CIA, NSA en andere TLA's die dat willen.
22-07-2011, 14:27 door Mysterio
Artikel 76 Wet bescherming persoonsgegevens vereist dat persoonsgegevens slechts buiten Europa mogen worden doorgegeven indien dat land een passend beschermingsniveau biedt. ‘Passend’ wil zeggen gelijkwaardig of beter beschermd dan in Nederland. Buiten Europa voldoen weinig landen aan dit hoge beschermingsniveau wat Nederland kent.

Het kan dus zomaar zijn dat een cloud oplossing zich niet aan de regels houdt. Echter is dit de verantwoordelijkheid van de organisatie die de dienst afneemt. Als Dropbox zich niet aan de regels houdt, dan is het aan de organisatie om ervoor te waken dat er geen persoonsgegevens op komen.

By the way: Dropbox staat niet op de safe harbor lijst.
22-07-2011, 14:46 door wim-bart
Dank je wel. Handige lijst trouwens. Ik wist niet dat deze lijst bestond, maar vult de benodigde kennis aan :) Dank!
23-07-2011, 12:46 door Anoniem
Door Mysterio:
Door Arnoud Engelfriet: @Anoniem 8:36: Ik had persoonsgegevens moeten schrijven. Het is niet toegestaan persoonsgegevens over EU-burgers op te slaan op servers buiten de EU, tenzij in enkele bijzondere omstandigheden.

Ik had begrepen dat als je op een Android smartphone/tablet wat opslaat, er een kopie op Google-servers in de VS wordt gezet. Idem als je dingen naar je Gmail doorstuurt.
Maar Arnoud, Google staat op de Safe Harbor List http://safeharbor.export.gov/companyinfo.aspx?id=10543 en dus zijn de regels ten opzichte van Google en Microsoft min of meer hetzelfde als voor bedrijven binnen EU-landen?
Maar die lijst is toch van de USA en niet van de EU? Waarom zou dat een goede lijst zijn voor dit doel? De Amerikanen kunnen alles zeggen. Als die lijst nu van de EU was....
25-07-2011, 11:46 door Mysterio
Door Anoniem:
Maar die lijst is toch van de USA en niet van de EU? Waarom zou dat een goede lijst zijn voor dit doel? De Amerikanen kunnen alles zeggen. Als die lijst nu van de EU was....
Omdat we een trust hebben met de USA. Voor bedrijven uit China of Rusland zou het inderdaad andersom gelden. Nu certificeert Amerika Amerikaanse bedrijven en ze kunnen niet alles zeggen wat ze willen, want daar is juist die certificering voor.

Je kan roepen dat de USA een grote bedreiging is voor onze privacy en meer van dien, maar dat is nog lang niet het geval. Veel Europese landen hebben hun handhaving van het beleid nog lang niet op orde. Ook in Nederland zijn er nog zat bedrijven waar het mis gaat. Ik vertrouw dan eerder een gecertificeerd Amerikaans bedrijf dan een schimmige Spaanse webshop met mijn gegevens.
25-07-2011, 14:32 door Anoniem
Het gaat er bij wetgeving niet om wat je er als persoon van vindt. Het gaat de risico's die je loopt dat je door de Nederlandse dan wel Europese wetgeving kan aangesproken worden, waardoor kan worden aangeklaagd en bestaft kunt worden.
By the way: Amerikaanse certificatie zegt ook niets, daar hebben we toch de laatste tijd voorbeelden genoeg van.
26-07-2011, 08:50 door Mysterio
Door Anoniem: Het gaat er bij wetgeving niet om wat je er als persoon van vindt. Het gaat de risico's die je loopt dat je door de Nederlandse dan wel Europese wetgeving kan aangesproken worden, waardoor kan worden aangeklaagd en bestaft kunt worden.
By the way: Amerikaanse certificatie zegt ook niets, daar hebben we toch de laatste tijd voorbeelden genoeg van.
Nee, ja, daarom zijn er dus die afspraken. Omdat je wel zaken wilt doen aan de andere kant, de Amerikaanse wetgeving hebt te respecteren maar ook die wetgeving kan hanteren. In de praktijk hoeft het niets uit te maken welke acties je kan ondernemen wanneer jouw gegevens misbruikt worden. Je kunt gewoon een rechtszaak beginnen, zolang er maar regels zijn overtreden. De certificering is een stukje papier (nog niet eens trouwens) waar hackers maling aan hebben. Het zegt op zich niets over hoe veilig die bedrijven zijn, alleen dat ze zich houden aan een aantal afspraken. Of die afspraken waterdicht en toereikend zijn is een andere discussie.

Aangezien wij als Europa de USA vertrouwen, maken we samen afspraken over de eisen van veiligheid.
26-07-2011, 13:18 door Anoniem
als je vanaf een willekeurige iphone je bedrijfsmail kan ophalen is er sowieso iets mis lijkt me, dat is natuurlijk de verantwoordelijkheid van de werkgever. Bedrijfsmail hoort in een bedrijf en niet daarbuiten.
27-07-2011, 09:36 door Anoniem
Beste Arnoud,

Ik heb als Google apps partner toegang tot de google enterprise support en met hen een uitgebreide
mail wisseling gehad over de locatie van Google data.

zijn antwoord:
deze link: http://www.google.com/support/a/bin/answer.py?hl=en&answer=60762
en dit antwoord

Thank you for your message. I understand one of your customers want to have
> his data stored in datacenters in Europe.
>
> I don't know what article he has read but the location of our data centers
> is very confidential and the media doesn't know anything about it. So your
> customer must rest assured, we have datacenters all around the world and if
> he asked his data to be stored in Europe, they will be still stored in
> Europe.
>
> Sincerely,
>

> Enterprise Support


Hoe weet jij dan dat de data naar de US gaat ?

grtx

Frans
27-07-2011, 09:37 door cryptomannetje
Interessante discussie die ik nu volg vanaf m'n Android tablet. Ik denk dat we te maken hebben met het onderwerp 'bring your own device' ofwel BYOD :-). Er zijn momenteel beveiligingsoplossingen in de markt die op een smart phone een scheiding kunnen aanbrengen tussen het prive en het zakelijke deel. Op dit laatste kan het bedrijf haar security policy aanbrengen met daarin de nodige voorzorgen tav persoonsgevoelige en bedrijfsdata.
Als ik security officer van een firma zou zijn, zou ik strikte regelgeving invoeren tav zakelijk gebruik van privemiddelen.
27-07-2011, 09:41 door cryptomannetje
Door Mysterio:
Door Anoniem: Het gaat er bij wetgeving niet om wat je er als persoon van vindt. Het gaat de risico's die je loopt dat je door de Nederlandse dan wel Europese wetgeving kan aangesproken worden, waardoor kan worden aangeklaagd en bestaft kunt worden.
By the way: Amerikaanse certificatie zegt ook niets, daar hebben we toch de laatste tijd voorbeelden genoeg van.
Nee, ja, daarom zijn er dus die afspraken. Omdat je wel zaken wilt doen aan de andere kant, de Amerikaanse wetgeving hebt te respecteren maar ook die wetgeving kan hanteren. In de praktijk hoeft het niets uit te maken welke acties je kan ondernemen wanneer jouw gegevens misbruikt worden. Je kunt gewoon een rechtszaak beginnen, zolang er maar regels zijn overtreden. De certificering is een stukje papier (nog niet eens trouwens) waar hackers maling aan hebben. Het zegt op zich niets over hoe veilig die bedrijven zijn, alleen dat ze zich houden aan een aantal afspraken. Of die afspraken waterdicht en toereikend zijn is een andere discussie.

Aangezien wij als Europa de USA vertrouwen, maken we samen afspraken over de eisen van veiligheid.
Wie zegt dat wij de USA vertrouwen? Zij hebben veel minder met privacy dan wij, zie alle Acts op dat gebied (Patriot):-) .
27-07-2011, 11:36 door Anoniem
zij hebben juist heel veel met de privacy (van eigen amerikanen) vandaar ook de patriot act om daar omheen te komen, terrorisme is wat losjes gedefinieerd thats all xD
27-07-2011, 11:51 door Anoniem
Door Anoniem: Beste Arnoud,

Ik heb als Google apps partner toegang tot de google enterprise support en met hen een uitgebreide
mail wisseling gehad over de locatie van Google data.

zijn antwoord:
deze link: http://www.google.com/support/a/bin/answer.py?hl=en&answer=60762

Op deze pagina staat niets over de locatie van de data. Ja, dat die in een veilig datacentrum van Google staat.

en dit antwoord

Thank you for your message. I understand one of your customers want to have
> his data stored in datacenters in Europe.
>
> I don't know what article he has read but the location of our data centers
> is very confidential and the media doesn't know anything about it. So your
> customer must rest assured, we have datacenters all around the world and if
> he asked his data to be stored in Europe, they will be still stored in
> Europe.
>
> Sincerely,
>
> Enterprise Support

Hoe weet jij dan dat de data naar de US gaat ?

Ik heb nog nooit iemand van Google gehoord die beweert dat data op een bepaalde locatie staat als de klant daar om verzoekt. Het Google opslagsysteem is daar volgens mij ook helemaal niet op gebouwd. Volgens mij kan het zelfs zo zijn dat een deel van de data (of misschien zelfs van een specifiek document) op de ene plek staat en een ander deel ergens anders.

Dit is namelijk 1 van de pluspunten die Microsoft aangeeft in hun promotie. Dat zij de data in Europa neerzetten als de klant daar om vraagt. Google heeft die opmerkingen van Microsoft nooit bestreden. Ze hebben alleen aangegeven dat het niet uitmaakt waar de data staat omdat ze zich hebben te houden aan het contract met de gebruiker t.a.v. toegang tot die data. En ook Microsoft moet gewoon jouw data overhandigen aan Amerikaanse overheidsorganisaties als die er om vragen. Onafhankelijk van de plaats van die data. Dus ook in Europa.

Peter
28-07-2011, 21:15 door Anoniem
Microsoft is bezig om Europese juridische entiteiten op te zetten die niet onder die Amerikaanse wetgeving vallen om dit argument de wereld uit te helpen. Dan hoeven ze niet meer aan die verplichting te voldoen omdat ze zelf ook wel inzien dat ze dan geen klanten gaan krijgen...

De vraag is hoe realistisch dit is omdat de geheime diensten van de westerse landen in de praktijk al jaren samenwerken en allerlei data domweg commercieel te koop is in de vrije wereld. Dus van die privacy die men hiermee tracht te bewerkstelligen zal nooit heel veel terecht komen. Iedereen laat domweg al een megaspoor achter op allerlei plekken en de handel in dat soort gegevens in combinatie met producten zoals Silent Runner (Intel uitvoering) maakt de correlatie hiervan relatief eenvoudig... Dus weer een leuk stukje perceptie management maar inhoudelijk niks realistisch...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.