Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Wij bieden cloud-officediensten aan zoals mail en opslag van zakelijke bestanden. Nu wil de directeur bij een klant inzage in alle mail van medewerkers en alle bestanden. Als ik vraag om een reden, zegt hij "Ik ben de directeur en ik betaal jullie facturen, ik hóef geen reden te geven". Maar moet ik niet toch rekening houden met de privacy van zijn medewerkers?
Antwoord: Ik weet dat dit antwoord werkgevers en IT-ers kan irriteren, maar een werkgever mag niet zomaar in elk bestand en elke mail van werknemers kijken zonder dat daar een reden voor is. En "hij werkt hier" is geen reden. Ook op het werk heb je privacy, en die mag niet zonder grond geschonden worden.
Moet werk worden overgenomen, bijvoorbeeld tijdens vakantie of ziekte, dan is dat een reden om in andermans bestanden te kijken. Ook bij problemen met iemands computer is het logisch dat je in zijn computer kijkt en dan kun je dingen tegenkomen die privé zijn.
Wel moet je proberen je onderzoek te beperken tot wat nodig is voor je onderzoek. Zoek je die foto van de verhuizing van het bedrijfspand, en zie je in de zoekresultaten een foto van meneers privéverhuizing, dan is daar weinig aan te doen. Wil een pc niet starten, dan is het logisch dat je een back-up maakt van data en daarna de pc opnieuw installeert. Maar moet je dan ook kijken in de map Mijn documenten\private\vakantiefotos?
Deze directeur lijkt me te ver te gaan met zijn verzoek. Het is natuurlijk moeilijk inschatten als dienstverlener waarom iemand iets vraagt, zeker als ze zo reageren. Maar als dit zo'n directeur is die uit verveling bij de mensen op de harddisk of remote desktop gaat kijken (ja, die bestaan) dan zou ik daar als bedrijfsjurist de nodige vraagtekens bij zetten.
Je kunt hier als externe dienstverlener echter weinig mee. Jij bent geen werknemer, dus je belangen worden niet geschaad door deze vraag of door het verschaffen van toegang. De directeur is bevoegd om namens de klant dingen te vragen, en zakelijk gezien heb jij de opdracht dus uit te voeren. Tenzij er evident een zeer onzakelijke reden achter zit, maar dan hebben we het over niveau "Wil je alle privéfoto's van juffrouw Janny doorlopen en mij alles sturen dat er lekker pikant uitziet". Normaal zul je dus moeten doen wat men vraagt, ook al lijkt het jou tegen de privacywet.
Stuit dit je tegen de borst als dienstverlener, dan moet je in je algemene voorwaarden opnemen wanneer men toegang krijgt tot persoonsgebonden data. Dat lijkt me nog een hele uitdaging om goed op te schrijven, maar het kan. En dan kun je met een beroep op het contract toegang weigeren tenzij aan de betreffende voorwaarden is voldaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.