Juridische vraag: Mag klant e-mail van ex-werknemer lezen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Als IT-beheerders zijn wij verantwoordelijk voor de IT-omgeving van diverse klanten. Zo beheren wij hun mailboxen en ook de opslag (en back-ups) van bedrijfsgegevens. Regelmatig vragen klanten ons om toegang tot opgeslagen bestanden of mailbox van ontslagen en vertrokken medewerkers. Kunnen wij daar altijd aan meewerken, of schenden wij dan de privacywet?
Antwoord: In principe is naleving van de wet de zorg van de klant. Het zijn immers zijn gegevens en mails. Op zich zou je dus als IT-beheerder kunnen zeggen "het is op uw verantwoording, hierbij de data".
Echter, specifiek voor persoonsgegevens (persoonlijke data) ligt dat iets anders. De IT-beheerder heeft dan ook een eigen verantwoordelijkheid. De wet schrijft namelijk voor dat wie persoonsgegevens 'bewerkt', oftewel voor een ander opslaat en verwerkt, zelf óók onder de Wet bescherming persoonsgegevens valt. Hij moet onder meer adequate beveiligingsmaatregelen nemen om datalekken en ongeautoriseerde toegang tot die gegevens te voorkomen. Als het goed is, heeft de klant hem hiertoe ook contractueel verplicht.
Of en wanneer een bedrijf bij mailboxen of data van medewerkers mag, is een discussie die hier ongeveer elke maand langskomt. :)
- Mijn baas leest mijn e-mail
- Mag werkgever mijn e-mails lezen
- Werkgever verbiedt eigen wachtwoord
- Baas dwingt sysadmin tot monitoren personeel
- Mag baas uitgaand verkeer monitoren
- Mag baas Hyves-gebruik monitoren
- Mag admin illegaal materiaal verwijderen
Als externe IT-beheerder krijg je hier dus ook mee te maken. Je hebt wel een heel lastige positie, want je wéét niet eens welke redenen er zijn om bij de data te kunnen. Hier kun je dus weinig anders doen dan jezelf contractueel indekken en zorgen dat je eventuele claims van boze werknemers kunt doorschuiven naar de klant.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
"Als externe IT-beheerder krijg je hier dus ook mee te maken. Je hebt wel een heel lastige positie, want je wéét niet eens welke redenen er zijn om bij de data te kunnen."
Kan je als dienstverlener een klant uberhaupt toegang tot zijn eigen gegevens ontzeggen ? Het lijkt mij dat de klant als data-eigenaar recht heeft op de data, of ze vervolgens de mail mogen lezen is hun eigen probleem en staat los van het terugzetten van de backup.
Ook vraag ik mij af in het genoemde voorbeeld waarom de dienstverlener op de hoogte zou moeten zijn of de eigenaar van een mailbox vertrokken of ontslagen is. Ik zou als leverancier nimmer vragen of de eigenaar van een mailbox nog in dienst is, of dat deze is ontslagen, aangezien mij dat helemaal niet aan gaat.
Wij zitten onsite dus bij de klant in house.
Onze organisatie maakt deel uit van de IT organisatie bij de klant.
Omdat de klant zo groot is, zijn er erg veel processen om e.e.a. geregeld te krijgen (ook wel bekend als burocratie).
Als bijvoorbeeld een afdelinghoofd perse toegang wil tot persoonlijke date zoals mailbox op naam en homeshares, of andere locaties waar hij geen toegang toe heeft, zal hij toch echt een formele aanvraag moeten doen.
In het geval van TS zou bij ons die aanvraag ook langs IT-security moeten (onderdeel van de burocratische molen).
Zij en een aantal andere hogere managers bepalen dan of de toegang wordt verleend.
In de aanvraag zal ook moeten staan welke data gezocht wordt. De rest wordt niet gegeven (staat in contract).
Voor TS lijkt het handiger om daar vooraf afspraken over te maken met de klant.
In het geval van ontslagen werknemers is het van belang dat je erg voorzichtig bent met rechten geven op data omdat deze vaak gebruikt wordt in rechtzaken.
Niet handig dat als de advocaat van de ontslagen werknemer de (mogelijk belastende) mailcorrespondentie eist, je deze niet kan leveren alleen maar omdat de (inmiddels) voormalige werkgever/manager deze heeft verwijderd.
Leesrechten geven, of nog beter, data kopieren en toegang geven tot de kopie lijkt het veiligst. Als was het maar om uit te sluiten dat met bewijsmateriaal wordt geklooid.
1) Bij persoonlijke schade kan je gewoon de opensteller aansprakelijk stellen voor alle voortvloeiende schade,
2) Wanneer er een juridisch conflict is en er wordt informatie gebruikt wat mogelijkerwijs uit deze mailbox is gehaald zonder juridische grondslag kan je dat bewijs gewoon ongegrond laten verklaren en zelfs een zaak aanspannen op basis van schending van briefgeheim.
Belangrijk is:
1) Openstellen van een mailbox ook na verlaten van een bedrijf kan alleen doormiddel van toestemming door de eigenaar, zijnde de gebruiker (mits dit anders in de gebruikersovereenkomst of arbeidscontract is vastgelegd);
2) Monitoren van verkeer van en naar je mailbox mag, mits deze gegevens niet inzichtelijk zijn, na schriftelijke toestemming van jezelf (mits dit anders in de gebruikersovereenkomst of arbeidscontract is vastgelegd);
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
