Juridische vraag: mag directeur e-mail personeel inzien?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Wij bieden cloud-officediensten aan zoals mail en opslag van zakelijke bestanden. Nu wil de directeur bij een klant inzage in alle mail van medewerkers en alle bestanden. Als ik vraag om een reden, zegt hij "Ik ben de directeur en ik betaal jullie facturen, ik hóef geen reden te geven". Maar moet ik niet toch rekening houden met de privacy van zijn medewerkers?
Antwoord: Ik weet dat dit antwoord werkgevers en IT-ers kan irriteren, maar een werkgever mag niet zomaar in elk bestand en elke mail van werknemers kijken zonder dat daar een reden voor is. En "hij werkt hier" is geen reden. Ook op het werk heb je privacy, en die mag niet zonder grond geschonden worden.
Moet werk worden overgenomen, bijvoorbeeld tijdens vakantie of ziekte, dan is dat een reden om in andermans bestanden te kijken. Ook bij problemen met iemands computer is het logisch dat je in zijn computer kijkt en dan kun je dingen tegenkomen die privé zijn.
Wel moet je proberen je onderzoek te beperken tot wat nodig is voor je onderzoek. Zoek je die foto van de verhuizing van het bedrijfspand, en zie je in de zoekresultaten een foto van meneers privéverhuizing, dan is daar weinig aan te doen. Wil een pc niet starten, dan is het logisch dat je een back-up maakt van data en daarna de pc opnieuw installeert. Maar moet je dan ook kijken in de map Mijn documenten\private\vakantiefotos?
Deze directeur lijkt me te ver te gaan met zijn verzoek. Het is natuurlijk moeilijk inschatten als dienstverlener waarom iemand iets vraagt, zeker als ze zo reageren. Maar als dit zo'n directeur is die uit verveling bij de mensen op de harddisk of remote desktop gaat kijken (ja, die bestaan) dan zou ik daar als bedrijfsjurist de nodige vraagtekens bij zetten.
Je kunt hier als externe dienstverlener echter weinig mee. Jij bent geen werknemer, dus je belangen worden niet geschaad door deze vraag of door het verschaffen van toegang. De directeur is bevoegd om namens de klant dingen te vragen, en zakelijk gezien heb jij de opdracht dus uit te voeren. Tenzij er evident een zeer onzakelijke reden achter zit, maar dan hebben we het over niveau "Wil je alle privéfoto's van juffrouw Janny doorlopen en mij alles sturen dat er lekker pikant uitziet". Normaal zul je dus moeten doen wat men vraagt, ook al lijkt het jou tegen de privacywet.
Stuit dit je tegen de borst als dienstverlener, dan moet je in je algemene voorwaarden opnemen wanneer men toegang krijgt tot persoonsgebonden data. Dat lijkt me nog een hele uitdaging om goed op te schrijven, maar het kan. En dan kun je met een beroep op het contract toegang weigeren tenzij aan de betreffende voorwaarden is voldaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Een vrijwarings verklaring, lijkt me hier inderdaad wel op zijn plaats
Een vrijwaringsverklaring, lijkt me hier inderdaad wel op zijn plaats
Dat woord zocht ik inderdaad ;-)
Deze cloud dienstverlener 'hoeft' helemaal geen rekening te houden met de privacy, hij 'moet' dat doen vanuit wettelijke regelingen.
Het lijkt erop dat het management een verschuiving naar de cloud aangrijpt om de regeltjes van de eigen IT te omzeilen.
Ik zie het nog gebeuren dat zo'n directeur vragen gaat stellen over de werkgever van het bedrijf onder het mom "Ik betaal de factuur, dus ook een deel van uw werknemers salaris.". (Sorry, ik kan echt kwaad worden van dit soort mensen. Zelfs al zou het maar hypothetisch zijn.)
Die vrijwaringsbrief houd in een rechtszaal waarschijnlijk geen stand. Hooguit kun je de directeur duidelijk maken dat hij verkeerd bezig is, maar de vrijwaringsbrief lijkt mij juist een blijk van opzettelijk een wet overtreden. De persoon die de informatie verschaft weet namelijk wel dat het strafbaar is.
Zo simpel is het volgens mij niet.
Voorbeeld: de directeur kan ook een gegronde reden hebben om de email in te zien, denk bijvoorbeeld aan fraude onderzoek waarbij geen minder zwaar wegende middelen mogelijk zijn.
Als dit verzoek gedaan wordt bij een externe dienstverlener, dan mag die directeur ook niet zomaar zeggen "ik heb toegang nodig omdat persoon X van fraude wordt verdacht". Dat is ook vanuit het oogpunt van het beschermen van privacy van die persoon.
Wel kudos voor de vraagsteller dat hij/zij er over nadenkt, en niet puur de kop in het zand steekt!
Overigens zou ik als directeur me eerder afvragen wat het betekend voor de beveiliging van de informatie van mijn bedrijf, als een leverancier "gewoon" iemand toegang kan geven tot de data in een email account. ;)
(En ja, ik weet dat dit niet automatisch betekend dat mensen buiten het bedrijf er ook bij kunnen, maar het gaat om het principe....)
Een soort melding van inzage zeg maar? Of moet je het mogelijk maken deze inzage 'stiekum' te doen?
Er worden bijbvoorbeeld altijd backups gemaakt welke offline toegankelijk zijn voor de cloud service provider.
Wanneer de informatie niet encrypt is in deze backup of gedecrypt kan worden door een ongeauthoriseerde derde dan is het juridisch oncontroleerbaar of deze ongeauthoriseerde derde ook toegang heeft (gehad) tot de broninformatie.
Deze cloud dienstverlener 'hoeft' helemaal geen rekening te houden met de privacy, hij 'moet' dat doen vanuit wettelijke regelingen.
Het lijkt erop dat het management een verschuiving naar de cloud aangrijpt om de regeltjes van de eigen IT te omzeilen.
Arnoud?
Volgens mij hoef je als cloudleverancier hier niet aan mee te werken. Je kunt de directeur. voor toegang tot de data, verwijzen naar de bedrijfsprocessen zoals deze binnen zijn bedrijf geregeld en hopelijk tegen ongeautoriseerde toegang beveiligd zijn.
Daar heeft een directeur mogelijk te maken met een privacyreglement en misschien ook nog met een ondernemingsraad waarmee het één en ander is afgesproken.
Wel is het natuurlijk verstandig dit op voorhand in contracten vast te leggen. Je wilt natuurlijk niet door onduidelijkheid over dit soort zaken een klant verliezen.
Dit is ook een waarschuwing voor ondernemingsraden om goed op te letten wanneer bedrijfsdata welke privacygevoelig is buiten het eigen bedrijf terecht komt. Want wat bijvoorbeeld als het "cloudbedrijf" onderdeel uitmaakt van de holding waaronder jouw bedrijf valt. Ongeautoriseerd gebruik door de holding ligt dan op de loer.
Maar het gaat hier over een zakelijk mail account. Daar zouden toch geen privé mails tussen moeten staan. Op de PC kan ik me voorstellen dat je ook mail van je privé account binnenhaalt, maar op de server van de bedrijfsmail mag je toch alleen de bedrijfgerelateerde mail verwachten. Misschien stelt het bedrijf zelfs een voorwaarde dat het bedrijfsaccount niet privé gebruikt mag worden.
Op mijn PC heb ik 3 IMAP accounts gekoppeld in mijn mail programma. (1 account is de bedrijfsserver) En als ik iets privé binnen krijg, zet ik dat niet op de bedrijfsserver. En als ik iets privé op het zakelijke account binnen krijg, verplaats k het direct naar mijn privé account. Het zal dan hooguit in de backups van de zakelijke server terug te vinden zijn.
Hoezo, was de policy voor migratie naar de cloud dan anders ? Jij en ik kennen de policies binnen dat bedrijf niet. Policies zijn overigens ook gewoon van toepassing op data die je bij een (cloud) leverancier onderbrengt.
Hoezo zou dat geen stand houden. Of het mag heeft te maken met de policies, en met de vraag of het belang dat de werkgever denkt te hebben volgens de rechter zwaar genoeg weegt om deze maatregel te treffen. Het is niet de taak van een leverancier om dit te regelen, of om dit te controleren.
Verder is er nog een verschil tussen de technische mogelijkheid hebben om bij de email te kunnen, en je daadwerkelijk toegang verschaffen tot die email. Dat laatste is de (eventueel strafbare) handeling die de directeur pleegt.
Hij mag ook vragen om op iedere server root access te hebben. Dat is volstrekt legaal, zolang hij zich verder aan de wet houdt.
Hoezo zou dat geen stand houden. Of het mag heeft te maken met de policies, en met de vraag of het belang dat de werkgever denkt te hebben volgens de rechter zwaar genoeg weegt om deze maatregel te treffen. Het is niet de taak van een leverancier om dit te regelen, of om dit te controleren.
Verder is er nog een verschil tussen de technische mogelijkheid hebben om bij de email te kunnen, en je daadwerkelijk toegang verschaffen tot die email. Dat laatste is de (eventueel strafbare) handeling die de directeur pleegt.
Hij mag ook vragen om op iedere server root access te hebben. Dat is volstrekt legaal, zolang hij zich verder aan de wet houdt.
Als antwoord op je twee vragen:
Rechtstreeks van het internet, ook van de hand van Arnout Engelfriet:
(ISP is in feite vervangbaar door cloudservice, aangezien ik dit niet zeker weet schreef ik 'naar alle waarschijnljikheid'.)
"Een Internet provider beheert onder andere de mailserver waar alle e-mails van zijn klanten op worden opgeslagen. E-mail bestemd voor een bepaalde klant wordt op deze server ontvangen en bewaard totdat deze klant online komt. Totdat de klant met een e-mail programma zijn berichten naar zijn eigen computer overhaalt, kan de provider al deze mail in theorie lezen.
<knip>
Op grond van de Wet Computercriminaliteit is schending van deze geheimhouding door medewerkers van een ISP strafbaar gesteld. Er staat een jaar cel op het opzettelijk en wederrechtelijk met een technisch hulpmiddel aftappen of opnemen van gegevens uit een telecommunicatiewerk of computer, als die gegevens niet voor de tapper bestemd zijn (art. 139c Wetboek van Strafrecht).
<knip>
Verderop, in artikel 273d, wordt nog eens expliciet vastgelegd dat een medewerker van (bijvoorbeeld) een telecombedrijf (inclusief Internet-providers) die opzettelijk en wederrechtelijk van gegevens kennisneemt van klanten, daarvoor maximaal anderhalf jaar cel kan krijgen. Dit geldt ook voor niet-openbare netwerken zoals bedrijfsnetwerken. En wie "opzettelijk toelaat" dat dit gebeurt, kan dezelfde maximumstraf krijgen."
bron: http://www.iusmentis.com/technologie/email/briefgeheim/
In feite moet de directeur dus naar de werknemer voor deze toegang. En is degene die deze kennis deelt dus ook zelf strafbaar. In het stuk staat ook een stukje over die disclaimers, ook interessant voor u denk ik.
Ik ken dit bedrijf inderdaad niet, maar zie het helaas in de praktijk bij meerdere bedrijven. Een directeur denkt vaak boven zijn eigen regeltjes te staan. Een IT afdeling kan dat vaak afhouden, maar proberen bij een derde partij is altijd te proberen. Nee heeft hij, ja kan het worden.
Maar het gaat hier over een zakelijk mail account. Daar zouden toch geen privé mails tussen moeten staan. Op de PC kan ik me voorstellen dat je ook mail van je privé account binnenhaalt, maar op de server van de bedrijfsmail mag je toch alleen de bedrijfgerelateerde mail verwachten. Misschien stelt het bedrijf zelfs een voorwaarde dat het bedrijfsaccount niet privé gebruikt mag worden.
Mail van personeelszaken, arbo/bedrijfsarts, ondernemingsraad.
Al deze mensen werken voor dat bedrijf en vallen mogelijk onder deze directeur.
Echt niet dat hij de wettelijke bevoegdheid heeft om inzage te eisen in deze emails.
Je vergeet dat er ook vertrouwelijke werk-emails kunnen zijn.
Mail van personeelszaken, arbo/bedrijfsarts, ondernemingsraad.
Al deze mensen werken voor dat bedrijf en vallen mogelijk onder deze directeur.
Echt niet dat hij de wettelijke bevoegdheid heeft om inzage te eisen in deze emails.
Helemaal correct! en dat gebeurt toch bedoeld danwel onbedoeld doorlopend.
Het juiste antwoord, ook juridisch, is dat jij een dienst levert die onderhavig is aan het beleid en de wettelijke voorwaarden van diegene aan wie je de dienst levert. Je bent daar in niets meer of minder dan een stukje hardware ;)
Waar je wel voor moet waken, en dat is moeilijk, is dat je niet in een juridische boobytrap valt door jezelf dat niet te realiseren.
Dat kan alleen maar door uitsluiting van dit soort zaken. Anders moet het bedrijf jouw dienst maar in huis zelf lekker doen.
Das ongeveer ook wat Arnoud zegt.
Jij moet niet kunnen of willen beoordelen.... zeker niet met zaken als ondernemingsraad en bedrijfsarts. Daar wil je verre van weg zijn als dienstverlener.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
