Juridische vraag: moet een ICT-dienstverlener verkeerd verstuurde mail verwijderen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Wij zijn een ICT-dienstverlener die onder meer e-mailbeheer doen voor diverse klanten. Een klant belde ons omdat hij per abuis een zeer gevoelige mail naar de verkeerde werknemer had gestuurd, met het verzoek deze per direct te verwijderen. Moeten of mogen wij hier gehoor aan geven?
Antwoord: Ik krijg regelmatig vragen als deze, die er allemaal op neerkomen of een instructie van de klant moet worden opgevolgd. Als ICT-dienstverlener handel je met beheerszaken in principe in opdracht en onder verantwoordelijkheid van de klant. Daarmee ben je in principe gehouden zijn instructies op te volgen en zijn wensen uit te voeren.
In principe, want er zijn altijd uitzonderingen. Illegale dingen hoef je niet uit te voeren, en ook als je vooraf (in je algemene voorwaarden bijvoorbeeld) grenzen hebt getrokken dan mag je de klant daaraan houden.
De vraag wanneer iets illegaal is, is een lastige. In juli hadden we bijvoorbeeld de vraag of je een directeur inzage moet geven in mails van personeel. Dat is twijfelachtig maar als dienstverlener sta je buiten die discussie. Pas als het evident niet kan, ben je gerechtigd de instructie/vraag te weigeren.
Bij de vraag van deze vraagsteller heb ik er dan ook geen twijfel over dat je dit niet mag weigeren op grond van de wet of iets dergelijks. Als een bedrijf wil dat mail A verwijderd wordt uit map B, dan doe je dat. Uiteraard kun je wél weigeren als die vorm van dienstverlening niet is afgesproken of als men niet de bijbehorende prijs wenst te betalen.
Het komt anders te liggen als je de mail zou beheren van partijen A en B, en partij A per abuis naar B mailde en je dan vraagt die mail te verwijderen. Hoewel je dat technisch kan, heeft A niets te zeggen over de mailboxen van B. Natuurlijk kun je als A claimen dat je auteursrecht hebt op die mail of dat er een bedrijfsgeheim in staat, maar dat is geen argument als je zélf de mail naar B stuurt. Ook als dat een stomme fout van A was.
(Ik weet dat in de VS Goldman Sachs bij de rechter eist dat Google zo'n abuismail verwijdert maar wat daar de uitkomst van is, staat nog niet vast.)
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
want dan ?
moet de ontvanger het maar niet openen en verwijderen ?
lastig xD
want dan ?
Als het een IMAP account betreft (waarschijnlijk), dat zal hij ook weer bij de cliënt computer verdwijnen als je het op de server verwijderd. Alleen als het al gelezen is zul je het niet meer chirurgisch kunnen verwijderen uit het brein.
En als de cliënt computer inmiddels een backup gemaakt heeft, zal de mail ook in de backup staan.
Bij mij draait op elke computer b.v. TimeMachine die elk uur een backup maakt waardoor ik ook alle gedelete mailtjes van de laatste paar jaar nog terug kan halen. De werknemer moet natuurlijk wel weten dat er een mailtje was, om ernaar in die backup te gaan zoeken.
Meestal zijn er 2 of meerdere verantwoordelijken bij een klant, managers, contracthouders of vertegenwoordigers van de eerder genoemden, meestal komen dit soort verzoeken van de interne support afdeling binnen zo'n bedrijf en ik ga niet zomaar in iemand mailbox roeren dus verwacht ik een goedkeuring van een bevoegd persoon, daarnaast een duidelijke omschrijving van hoe ik de mail kan herkennen.
Je wilt achteraf geen gezeur hebben natuurlijk.
Je mag natuurlijk niet zo maar andermans post openen, maar dat heeft niets te maken met briefgeheim. Dat geldt namelijk niet voor e-mail. Bij het verwijderen van e-mail hoeft het niet zo te zijn dat je de post opent. Afhankelijk van de verstrekte informatie, kun je de mail verwijderen zonder hem te lezen.
@Arnoud: Voor zover ik me kan herinneren, wordt de mail vaak verwijderd door een verbinding te maken met de mailbox van de ontvanger. De beheerder ziet dan de hele mailbox en, afhankelijk van de instelling, ook de eerste regels van alle andere mail. In hoeverre is het dan nog toegestaan. Volgens mij wordt er dan inbreuk gemaakt op de privacy van de betreffende medewerker.
Peter
Meestal zijn er 2 of meerdere verantwoordelijken bij een klant, managers, contracthouders of vertegenwoordigers van de eerder genoemden, meestal komen dit soort verzoeken van de interne support afdeling binnen zo'n bedrijf en ik ga niet zomaar in iemand mailbox roeren dus verwacht ik een goedkeuring van een bevoegd persoon, daarnaast een duidelijke omschrijving van hoe ik de mail kan herkennen.
Je wilt achteraf geen gezeur hebben natuurlijk.
Je hoeft die mail toch helemaal niet te openen, of de mailbox te bekijken?
Je vraagt wat de message-ID is van het bericht wat verwijderd moet worden en je delete de mails met die message-ID.
Dat is toch een kwestie van het juiste commando geven in de beheer omgeving? Daar hoef je toch niet voor in
mailboxen te roeren?
Deze vraag krijg ik namelijk ook wanneer het gaat om extern beheerde data. Je wilt namelijk wel dat er goed beheer gedaan wordt maar dat de inhoud geheim blijft. In Nederland wordt de systeembeheerder bijna altijd vertrouwd.
En dit werkt ook de andere kant op. Je wilt als systeembeheerder niet aangekeken worden wanneer data gelekt zou zijn. Door het gebruik van versleuteling bescherm je de systeembeheerder ook tegen data.
aangaande deze zin: Als een bedrijf wil dat mail A verwijderd wordt uit map B, dan doe je dat.
Er bestaat zoiets als "bewaarplicht", welke wettelijk is geregeld. Bij verwijderen ben je als uitvoerder "strafbaar" en is de mogelijke gevolgschade op jou te verhalen. ?
Zonder getekende schriftelijke opdracht gaat de opdrachtgever vrijuit.... ?
Ad
Maar je inbox is wel aan jou toegekend en anderen die er in kijken schenden daarmee je privacy. Dat mag alleen als daar gegronde reden voor is. Waarmee de originele vraag boven reduceert tot "mag een bedrijf een verzonden email uit de inbox van een werknemer (laten) verwijderen?"
Het lijkt me dat dit in zwaarwegende gevallen wel zal mogen, zoals "privacy" naar goed Nederlands gebruik altijd wijkt als er maar iemand gewichtig genoeg doet. Al loop je kans dat er heibel van komt. Er zijn inderdaad mensen die inboxvolgnummers bijhouden en gaan piepen als er eentje mist, weet ik uit ervaring.
Deze vraag krijg ik namelijk ook wanneer het gaat om extern beheerde data. Je wilt namelijk wel dat er goed beheer gedaan wordt maar dat de inhoud geheim blijft. In Nederland wordt de systeembeheerder bijna altijd vertrouwd.
En dit werkt ook de andere kant op. Je wilt als systeembeheerder niet aangekeken worden wanneer data gelekt zou zijn. Door het gebruik van versleuteling bescherm je de systeembeheerder ook tegen data.
Allemaal leuk en aardig, maar als de klant geen zin heeft in sleutelbeheer etc, dan rollen wij het als (IT-dienstverlener) niet uit.
Hier is (nog) geen marktvraag naar bij het MKB.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
