image

Juridische vraag: manager weigert inzage e-mail

woensdag 6 maart 2013, 10:57 door Arnoud Engelfriet, 25 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Ons bedrijf heeft een arbeidsconflict met een manager. Hij staat op nonactief, maar wij kunnen niet bij zijn zakelijke mailbox. Daar komen nu mails van klanten en leveranciers binnen. Maar hij stelt dat er ook privémail in zit en dat wij er dus niet in mogen kijken. Wat moeten en mogen wij nu?

Antwoord: De privacy is belangrijk, maar dat wil niet zeggen dat er spontaan niets meer mag als iemand met zijn privacy begint te zwaaien. In dit geval is de mailbox zakelijk en is de toegang tot de mailbox nodig voor het werk. Sterker nog het bedrijf lijdt schade als men niet bij de mailbox kan. Dat maakt het verkrijgen van toegang tot de mailbox rechtmatig.

Detail is dat je een reglement moet hebben waarin staat dat je dit mag doen in situaties als deze. Maar ik mag hopen dat je dát puntje wel geregeld hebt.

Natuurlijk moet je bij het vervolgens overnemen van die mailbox wel rekening houden met eventuele privémails en die niet zomaar lezen. Wellicht dat de verleiding er is (afhankelijk van de aard van het conflict) maar misbruik maken van de toegang tot die mailbox kan nadelig uitpakken in dat conflict. Het lijkt me goed om met twee mensen in die mailbox te gaan spitten en duidelijk vast te leggen wat er gedaan is en waarom.

In dat reglement zou kunnen staan dat privémails in een apart mapje moeten staan, of iets als "privé" in de onderwerpregel hebben. Als dat zo is, dan moet je dergelijke mails negeren. Ook mails van of naar zijn privérelaties (mits die bekend zijn bij het bedrijf, denk aan de partner) moet je negeren.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (25)
06-03-2013, 11:19 door Anoniem
Wat is de noodzaak van "Detail is dat je een reglement moet hebben waarin staat dat je dit mag doen in situaties als deze"?
Het gaat hier immers om een zakelijke mailbox. Naar mijn mening is dit anno nu simpelweg een bedrijfsmiddel.
De werkgever heeft er (groot) zakelijk belang bij zich toegang te verschaffen tot dit bedrijfsmiddel.
Schermen met het privacy-argument lijkt me dan ook niet ter zake doende dan wel op zijn minst niet voldoende.
Te meer daar de betreffende medewerker er zelf voor heeft gekozen dit bedrijfsmiddel ook privé te gebruiken.
Deze mailbox had en heeft in de eerste plaats een zakelijk karakter.

Het ware anders geweest indien de mailbox een privé mailbox was die later ook zakelijk gebruikt werd.
Dan zou de wrknemer mogelijk een punt hebben.
06-03-2013, 11:37 door Arnoud Engelfriet
De Wbp stelt verplicht (artikel 33) dat je mensen vooraf informeert over wat je doet met hun persoonsgegevens. Ook als je een goede reden hebt om met die gegevens te werken, je moet het gewoon zéggen.
06-03-2013, 12:10 door Jan Slot
Misschien is het een idee om de betreffende werknemer de gelegenheid te geven om langs te komen en zijn prive-mails te verwijderen. Uiteraard wel onder enige vorm van toezicht, om te voorkomen dat er "per ongeluk" zakelijke mails verwijderd worden. Hierna kan er geen bezwaar meer bestaan tegen het gebruiken van de andere, puur zakelijke, mails in zijn mailbox. Het laat ook goede wil zien, wat bij een arbeidsconflict natuurlijk mooi meegenomen is mocht het voor de rechter eindigen.
06-03-2013, 12:19 door N4ppy
@Jan Slot. Er kunnen nog steeds prive emails in die box terecht komen. Dus blijft van toepassing
06-03-2013, 12:29 door Anoniem
Nog een reden waarom je als bedrijf de touwtjes van je mailvoorziening strak in handen houdt, en dat niet door medewerkers zelf ergens anders laat regelen (*kuch* gmail, hotmail(!), etc. *kuch*).
06-03-2013, 12:42 door Anoniem
Zakelijk conflict .... op non-actief gesteld .... dan neem ik ook maar even aan dat deze manager zelf geen toegang meer heeft tot het netwerk en tot de mailbox. Anders betekent 'op non-actief' in het internettijdperk helemaal niets. En dit soort conflicten eindigt bijna altijd (99,999999%) in afscheid nemen van elkaar. Alleen de afwikkeling kan op een enigzins normale, op een zeer onfrisse of iets er tussin methode geschieden.

Dan snap ik het probleem niet helemaal. Technisch is de toegang zo geregeld. Je kan zeer eenvoudig een regel instellen op de mailbox/mailserver waarop elke verzender naar deze mailbox een standaard e-mail ontvangt met daarin een boodschap "indien zakelijke mail, stuur dan naar ......; deze mailbox wordt niet gelezen" oid). Ben je in ieder geval van toekomstige problemen met de mailbox af. Prive-personen zullen geen mail opnieuw sturen naar een ander emailbox, zakelijke wel.

Blijft over de mail die er nu al staat. Zoals Arnoud al aangeeft kan je er doorheen gaan, mits twee personen enzovoorts etcetera. Als er grote financiele gevolgen zouden kunnen zijn neem je er een notaris of zo iemand bij die je het laat vastleggen. Of de jurist van de manager. En als dit allemaal teveel moeite/geld/tijd kost, dan valt het ook wel mee met de zakelijke belangen denk ik.
06-03-2013, 12:52 door Anoniem
Bij de meeste berdijven is het standaard dat wanneer gebruikers vertrekken hun mailbox naar een pst bestand wordt geexporteerd ten behoeve van administratie.
06-03-2013, 13:06 door Unit 10 Forensics
Wij worden als digitaal forensisch onderzoeksbureau regelmatig benaderd bij dergelijke kwesties. Indien er géén of onvoldoende beleid is treden wij in dit soort gevallen op als onafhankelijk en objectief mediator. In voorkomende gevallen stellen wij, indien beide partijen daar mee instemmen, de mailbox op forensische wijze veilig en splitsen de zakelijke en privémail aan de hand van vooraf vastgestelde criteria. Indien het niet mogelijk is op deze wijze organiseren wij een sessie en splitsen de mail 'live' in overleg met beide partijen aan de hand van de informatie in de headers. Laatste redmiddel is op berichtniveau dat beide partijen akkoord gaan met het openen van een mail indien de header geen indicatie geeft over zakelijk of privé.

Het is overigens telkens weer situatie afhankelijk, maar het kan op deze manier veelal op goede wijze snel en zorgvuldig worden opgelost voor beide partijen.
06-03-2013, 13:45 door Anoniem
Door N4ppy: @Jan Slot. Er kunnen nog steeds prive emails in die box terecht komen. Dus blijft van toepassing

Nieuwe mail kan je toch afvangen voordat het de mailbox bereikt? Manager@bedrijf.nl wordt dan gewoon een alias van directeur@bedrijf.nl. De mailbox zelf blijft dan technisch gezien prive.
06-03-2013, 14:08 door Anoniem
met alle respect!

Een zakelijke account is bedoelt voor de zakelijk relatie(s), dus je prive leven thuis achterlaten. Of je kunt een derde partij mail service gebruiken.

Bij elke bedrijf worden e-mails als archief gedurenden periode bewaart. Een "MA = message archiver" herkent geen zakelijke of prive e-mail. Dus je werkt voor de bedrijf je loon wordt door de bedrijf betaald, je houdt zich ook nu de bedrijfsleven en regels. Er zijn geen zakelijke en prive e-mails, maar zijn allemaal zakelijke emails.

Tijdens het aannemen van sollicitanten moet het duidelijk " zwart/wit" komen staan dat je bedrijfsaccount is bedrijfaccount. Heb je nu bezwaar mag je van mij ergens anders aan de slag.


mvg
Fraidon
06-03-2013, 14:29 door Anoniem
@Anoniem 13:45

Dat klopt in Exchnge server kun je het aangeven dat e-mail behalve naar Manager@bedrijf.nl maar ook naar bijvoobeeld backup@bedrijf.nl

Maar je moet wel vooraf iedereen op de hoogte brengen.


Groetjes,

Fraidon
06-03-2013, 14:57 door Whacko
Door Anoniem:
Door N4ppy: @Jan Slot. Er kunnen nog steeds prive emails in die box terecht komen. Dus blijft van toepassing

Nieuwe mail kan je toch afvangen voordat het de mailbox bereikt? Manager@bedrijf.nl wordt dan gewoon een alias van directeur@bedrijf.nl. De mailbox zelf blijft dan technisch gezien prive.

dan komen de prive emails dus aan bij de directeur :S wil je ook niet.
06-03-2013, 15:29 door Anoniem
"@Jan Slot. Er kunnen nog steeds prive emails in die box terecht komen. Dus blijft van toepassing"

Dan stuur je prive contacten een verzoek om voortaan naar een prive email adres correspondentie te sturen.
06-03-2013, 23:02 door cjkos
Door Anoniem: met alle respect!

Tijdens het aannemen van sollicitanten moet het duidelijk " zwart/wit" komen staan dat je bedrijfsaccount is bedrijfaccount. Heb je nu bezwaar mag je van mij ergens anders aan de slag.


mvg
Fraidon

Met alle respect, maar wettelijk heb je geen poot om op te staan. Het kan je (werkgever) ook veel geld kosten als je dit illegale beleid ook inderdaad uitvoert als zijnde in strijd met de privacywetgeving.

Misschien zou je je een beetje meer moeten verdiepen in het principe van 'privé mail'. Dit kan namelijk ook een 'lekker weer hé, ga je tijdens de lunch mee wandelen?' mailtje naar je collega zijn. Of wat te zeggen van vertrouwelijke mailtjes naar de OR, of je collega of manager die niet voor iemand anders bestemt zijn.

Wat je catch-all mailbox betreft, je kan vooraf iedereen op de hoogte brengen, maar het blijft illegaal en strafbaar.

De wetgever heeft bepaald dat de werkgever niet zomaar in iemands mailbox mag meekijken.


Aan de hand van je opmerking lijk je me ook het type dat enige waarde hecht aan die lappen tekst onderaan een mailtje met de mededeling dat je het mailtje niet mag lezen als je niet de geadresseerde bent. Als ik zo'n mailtje in mijn mailbox krijgt is dat (al dan niet per abuis) naar mij verzonden en ben ik de geadresseerde. Het kan per abuis verzonden zijn, maar het lezen van dit soort mailtjes heeft mij in het verleden al twee keer veel geld bespaart.
07-03-2013, 06:46 door freediver
Nou dan zou ik eerst maar es zorgen dat je met die manager geen conflict meer hebt. Heb je gelijk ook toegang tot de beste man vrouw en behoudt je de kennis binnen het bedrijf. Het is onvermijdelijk als je werkt dat je het zakelijke emailadres wel eens gebruikt, vooral als iedereen over je schouder heen zit te kijken wat je doet wil je niet dat er een HOtmail scherm op je computer te zien is. Ook het bezoeken aan de hotmail site levert gelijk al een vermelding in het routerlog op wat nog meer pottekijkers oplevert. Laat staan dat je serieus genomen wordt door je hotmailadres. Soms is het gewoon noodzakelijk dat niet iedereen alles weet. Als je dan door het management uitgespuwd wordt omdat je zogenaamd niet meer bij het team past, weten ze gelijk wat ze gaan missen! Die werkgever die betaald de manager voor zijn werk en als dat bedrijf niet meer betalen wil dan stopt het ook met de vruchten van dat werk van de werknemer. Voor niks gaat de zon op. Werkgevers hebben hun beweegredenen om geld te verdienen maar werknemers net zo goed hebben ook beweegredenen om hun boterham waar ze van moeten leven te beschermen. Groot gelijk dat die werknemer het wachtwoord niet geeft. Het zou de werkgever duidelijk moeten zijn, dat er gewoon geen winnaars zijn als je je werknemer in een spagaat zet. Die manager doet dat dus dan ook en met recht van zelfbescherming. Dit is mijn mening en heb vergelijkbaars meegemaakt dus ik weet waarover ik praat. Werkgevers zijn ook mensen, maar dat zijn werknemers ook dus terug met zn allen om de tafel en blijf praten en vragen stellen en zoek naar oplossingen in verbale communicatie.
07-03-2013, 09:05 door Jan Slot
@freediver: Het komt op mij over dat u overtuigd bent van de onschuld en goede bedoelingen van die bewuste medewerker.
Dit hoeft natuurlijk helemaal niet het geval te zijn, de vraag was daarover niet duidelijk maar dat hoeft ook niet omdat de vraag niet over het conflict ging, maar over de juridische afhandeling van een gevolg ervan.
Wellicht heeft de bewuste medewerker wel fraude gepleegd, geweld gebruikt, iemand bedreigd, iets gestolen, kinderporno gedownload op zijn werk, zich laten omkopen, sexuele intimidatie, er zijn legio oorzaken waarbij er voor en bedrijf weinig andere mogelijkheden zijn dan iemand op non-actief plaatsen en daarna verder kijken.

Misschien spiegelt u ten onrechte uw eigen vervelende ervaring aan de situatie?
07-03-2013, 09:22 door cjkos
Door Jan Slot: @freediver: Het komt op mij over dat u overtuigd bent van de onschuld en goede bedoelingen van die bewuste medewerker.

Wellicht heeft de bewuste medewerker wel fraude gepleegd, geweld gebruikt, iemand bedreigd, iets gestolen, kinderporno gedownload op zijn werk, zich laten omkopen, sexuele intimidatie, er zijn legio oorzaken waarbij er voor en bedrijf weinig andere mogelijkheden zijn dan iemand op non-actief plaatsen en daarna verder kijken.

Misschien spiegelt u ten onrechte uw eigen vervelende ervaring aan de situatie?

In dat geval had deze vraag niet gesteld hoeven worden, want de wet stelt dat er in deze gevallen bedrijfskritische redenen als grondslag liggen voor de toegang.

Het ligt in dit geval eerder voor de hand dat er een meningsverschil is ontstaan met een wederzijdse vertrouwensgeschil als gevolg. Dat is een reden om iemand op non-actief te zetten, maar niet genoeg reden om zich toegang te verschaffen tot een e-mail box.
07-03-2013, 11:55 door Anoniem
Door Anoniem: met alle respect!

Tijdens het aannemen van sollicitanten moet het duidelijk " zwart/wit" komen staan dat je bedrijfsaccount is bedrijfaccount. Heb je nu bezwaar mag je van mij ergens anders aan de slag.

Fraidon

Bij veel mensen heerst nog steeds de overtuiging dat zakelijke mail geen persoonsgegevens betreffende de ontvanger (of afzender) kan bevatten. Dat is zeker niet het geval. Denk alleen maar aan het verslag van een bespreking met de HR afdeling. Of, nog erger, dat van een bedrifjsarts.

Peter
07-03-2013, 13:43 door Anoniem
Sneaky bastard pet op.

1 Via Exchange een pst van zijn mailbox maken.

2 transport rule configureren dat van elke mail die op zijn mailbox binnenkomt een copy wordt gestuurd naar een andere mailbox.

3 Niks zeggen tegen de medewerkeer waarmee je een dispuut hebt.

4 Al deze acties worden opde achtergrond uitgevoerd er is geen manier waarop hij kan bewijzen dat deze acties zijn uitgevoerd.

Sneaky bastard pet af

Dit is natuurlijk volstrekt illegaal en ik wil zeker niet dat iemand deze informatie voor boze doeleinden gebruikt ;-)
07-03-2013, 14:00 door Anoniem
prive mail op je werk mail box laten toekomen
retarted !
07-03-2013, 15:18 door freediver
Door Jan Slot: @freediver: Het komt op mij over dat u overtuigd bent van de onschuld en goede bedoelingen van die bewuste medewerker.
Dit hoeft natuurlijk helemaal niet het geval te zijn, de vraag was daarover niet duidelijk maar dat hoeft ook niet omdat de vraag niet over het conflict ging, maar over de juridische afhandeling van een gevolg ervan.
Wellicht heeft de bewuste medewerker wel fraude gepleegd, geweld gebruikt, iemand bedreigd, iets gestolen, kinderporno gedownload op zijn werk, zich laten omkopen, sexuele intimidatie, er zijn legio oorzaken waarbij er voor en bedrijf weinig andere mogelijkheden zijn dan iemand op non-actief plaatsen en daarna verder kijken.

Misschien spiegelt u ten onrechte uw eigen vervelende ervaring aan de situatie?

Deze werknemer zal niet zomaar een conflict gekregen hebben bij de werkgever. Daar een werkgever ook mens is, is deze ook extreem vatbaar voor prikkelingen van geroddel. Je moet maar net een zichtbare werknemer hebben die een onzichtbare handicap heeft en uitgelachen wordt. U probeert de algemene discussie het goed te laten vinden met uw relaas dat werkgevers in brievenbusjes mogen snuffelen. Ik zeg aan werkgever doet u maar eens moeite voor deze werknemer die door de roedel buiten de boot valt, en onderzoek waarom deze werknemer zich anders gedraagt. Misschien is er wel een goede onderliggende reden voor. Kijk (goed) naar wat iemand doet, en wat iemand zegt. Doe dat ook bij diegene die dit precedent geschapen heeft en u zult grote verschillen waarnemen. Ik zou zeggen beoordeel hem op zn werk en ga niet af op praatjes van zwartpraters. Draai de situatie eens om. Maar ja zoals ook door anderen gezegd zijn er genoeg middelen om te observeren. En porno kijken via het bedrijfsnetwerk is inderdaad iets wat niet representatief is, maar die informatie is niet gegeven in bovenstaand artikel dus ik heb het daar ook niet over. Ik neem alleen de zwakkere positie van de werknemer vanuit een ander perspectief in bescherming, en dat zijn vaak mensen die uitzendkracht of detacheringskracht zijn en vaak op de rottigste werkplekken neergezet worden. Nogmaals het is mijn mening en als er iemand een minnetje aangeeft duidt dat op onvermogen van iemand om deze kant van de zaak te bekijken. De werkgever moet van de brievenbus werknemer afblijven.Het lijkt me sterk dat een bedrijf failliet zal gaan op basis van wat emailtjes. Ga maar terug aan tafel praten. Veel effectiever.
07-03-2013, 15:30 door freediver
en minder destructief!
09-03-2013, 17:22 door prikpost
@freediver Ik ben het geheel met je eens.
Stel dat er in de mailbox correspondentie zit met bijvoorbeeld een vertrouwenspersoon en/of een bedrijfsarts. Dat is prive.
Wie controleert de beheerder van de mailserver? (zie sneaky bastard hierboven)
12-03-2013, 15:33 door Anoniem
Het is heel eenvoudig: werknemer tekent vooraf (beste in het arbeidscontract opgenomen) ervoor dat zijn mail;

A] Wordt bewaard door het bedrijf;
B] Er inzage volgt in het geval van een conflict, diefstal of enige andere strubbeling
C] de werknemer ermee bekend is dat de zakelijke mail periodiek wordt doorgenomen door een daartoe bevoegd persoon (Security Officer) binnen de onderneming.

Gewoon duidelijk stellen, zelf akkoord laten geven en het is altijd afgedekt.
15-03-2013, 10:30 door Arnoud Engelfriet
Item c is in die algemene, ongenuanceerde vorm NIET rechtsgeldig in Nederland. Een goed werkgever móet respecteren dat er privémails in de zakelijke mailbox kunnen staan, en móet daar rekening mee houden bij dergelijke protocollen.

Dit betekent:
- dat de werkgever een apart aantoonbaar belang moet hebben bij élke doorzoeking van de mailbox (dus niet de blabla "security" frase maar pér geval een duidelijke reden waarom nú, deze keer)
- dat duidelijk gemaakt moet zijn hoe men privémails buiten zo'n doorzoeking gaat houden (bv. door te vragen dat er privé in de subject staat)

Bij functionele mailboxen die naar hun aard gedeeld worden (info, sales) ligt dit anders, daarvan heeft de werknemer geen redelijke privacyverwachting.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.