image

Juridische vraag: moet een ICT-dienstverlener verkeerd verstuurde mail verwijderen?

woensdag 22 oktober 2014, 11:56 door Arnoud Engelfriet, 10 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij zijn een ICT-dienstverlener die onder meer e-mailbeheer doen voor diverse klanten. Een klant belde ons omdat hij per abuis een zeer gevoelige mail naar de verkeerde werknemer had gestuurd, met het verzoek deze per direct te verwijderen. Moeten of mogen wij hier gehoor aan geven?

Antwoord: Ik krijg regelmatig vragen als deze, die er allemaal op neerkomen of een instructie van de klant moet worden opgevolgd. Als ICT-dienstverlener handel je met beheerszaken in principe in opdracht en onder verantwoordelijkheid van de klant. Daarmee ben je in principe gehouden zijn instructies op te volgen en zijn wensen uit te voeren.

In principe, want er zijn altijd uitzonderingen. Illegale dingen hoef je niet uit te voeren, en ook als je vooraf (in je algemene voorwaarden bijvoorbeeld) grenzen hebt getrokken dan mag je de klant daaraan houden.

De vraag wanneer iets illegaal is, is een lastige. In juli hadden we bijvoorbeeld de vraag of je een directeur inzage moet geven in mails van personeel. Dat is twijfelachtig maar als dienstverlener sta je buiten die discussie. Pas als het evident niet kan, ben je gerechtigd de instructie/vraag te weigeren.

Bij de vraag van deze vraagsteller heb ik er dan ook geen twijfel over dat je dit niet mag weigeren op grond van de wet of iets dergelijks. Als een bedrijf wil dat mail A verwijderd wordt uit map B, dan doe je dat. Uiteraard kun je wél weigeren als die vorm van dienstverlening niet is afgesproken of als men niet de bijbehorende prijs wenst te betalen.

Het komt anders te liggen als je de mail zou beheren van partijen A en B, en partij A per abuis naar B mailde en je dan vraagt die mail te verwijderen. Hoewel je dat technisch kan, heeft A niets te zeggen over de mailboxen van B. Natuurlijk kun je als A claimen dat je auteursrecht hebt op die mail of dat er een bedrijfsgeheim in staat, maar dat is geen argument als je zélf de mail naar B stuurt. Ook als dat een stomme fout van A was.

(Ik weet dat in de VS Goldman Sachs bij de rechter eist dat Google zo'n abuismail verwijdert maar wat daar de uitkomst van is, staat nog niet vast.)

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
22-10-2014, 12:40 door Anoniem
Thanks voor het beantwoorden Arnoud!
22-10-2014, 17:40 door spatieman
zal lastig verwijderen zijn als het ding evt al opgehaald is worden.
want dan ?
moet de ontvanger het maar niet openen en verwijderen ?
lastig xD
22-10-2014, 18:04 door Briolet
Door spatieman: zal lastig verwijderen zijn als het ding evt al opgehaald is worden.
want dan ?

Als het een IMAP account betreft (waarschijnlijk), dat zal hij ook weer bij de cliënt computer verdwijnen als je het op de server verwijderd. Alleen als het al gelezen is zul je het niet meer chirurgisch kunnen verwijderen uit het brein.

En als de cliënt computer inmiddels een backup gemaakt heeft, zal de mail ook in de backup staan.
Bij mij draait op elke computer b.v. TimeMachine die elk uur een backup maakt waardoor ik ook alle gedelete mailtjes van de laatste paar jaar nog terug kan halen. De werknemer moet natuurlijk wel weten dat er een mailtje was, om ernaar in die backup te gaan zoeken.
23-10-2014, 13:14 door _R0N_
Ook al staat het niet zwart op wit probeer ik mijzelf altijd wel in te dekken in dit soort gevallen, wettelijk valt e-mail onder briefgeheim en andermans post mag je niet zomaar openen..

Meestal zijn er 2 of meerdere verantwoordelijken bij een klant, managers, contracthouders of vertegenwoordigers van de eerder genoemden, meestal komen dit soort verzoeken van de interne support afdeling binnen zo'n bedrijf en ik ga niet zomaar in iemand mailbox roeren dus verwacht ik een goedkeuring van een bevoegd persoon, daarnaast een duidelijke omschrijving van hoe ik de mail kan herkennen.
Je wilt achteraf geen gezeur hebben natuurlijk.
23-10-2014, 19:02 door Anoniem
Door _R0N_: Ook al staat het niet zwart op wit probeer ik mijzelf altijd wel in te dekken in dit soort gevallen, wettelijk valt e-mail onder briefgeheim en andermans post mag je niet zomaar openen.

Je mag natuurlijk niet zo maar andermans post openen, maar dat heeft niets te maken met briefgeheim. Dat geldt namelijk niet voor e-mail. Bij het verwijderen van e-mail hoeft het niet zo te zijn dat je de post opent. Afhankelijk van de verstrekte informatie, kun je de mail verwijderen zonder hem te lezen.

@Arnoud: Voor zover ik me kan herinneren, wordt de mail vaak verwijderd door een verbinding te maken met de mailbox van de ontvanger. De beheerder ziet dan de hele mailbox en, afhankelijk van de instelling, ook de eerste regels van alle andere mail. In hoeverre is het dan nog toegestaan. Volgens mij wordt er dan inbreuk gemaakt op de privacy van de betreffende medewerker.

Peter
23-10-2014, 19:56 door Anoniem
Door _R0N_: Ook al staat het niet zwart op wit probeer ik mijzelf altijd wel in te dekken in dit soort gevallen, wettelijk valt e-mail onder briefgeheim en andermans post mag je niet zomaar openen..

Meestal zijn er 2 of meerdere verantwoordelijken bij een klant, managers, contracthouders of vertegenwoordigers van de eerder genoemden, meestal komen dit soort verzoeken van de interne support afdeling binnen zo'n bedrijf en ik ga niet zomaar in iemand mailbox roeren dus verwacht ik een goedkeuring van een bevoegd persoon, daarnaast een duidelijke omschrijving van hoe ik de mail kan herkennen.
Je wilt achteraf geen gezeur hebben natuurlijk.

Je hoeft die mail toch helemaal niet te openen, of de mailbox te bekijken?
Je vraagt wat de message-ID is van het bericht wat verwijderd moet worden en je delete de mails met die message-ID.
Dat is toch een kwestie van het juiste commando geven in de beheer omgeving? Daar hoef je toch niet voor in
mailboxen te roeren?
24-10-2014, 08:44 door Anoniem
Wanneer je encryptie toepast op dit soort 'gevoelige' data zorg je ervoor dat wanneer een email per abuis verstuurd is, de ontvanger er nog steeds geen inzage in heeft. Alleen wanneer de ontvangende partij in bezit is van de juiste 'sleutels' kan die de inhoud van de email lezen.
Deze vraag krijg ik namelijk ook wanneer het gaat om extern beheerde data. Je wilt namelijk wel dat er goed beheer gedaan wordt maar dat de inhoud geheim blijft. In Nederland wordt de systeembeheerder bijna altijd vertrouwd.
En dit werkt ook de andere kant op. Je wilt als systeembeheerder niet aangekeken worden wanneer data gelekt zou zijn. Door het gebruik van versleuteling bescherm je de systeembeheerder ook tegen data.
25-10-2014, 13:48 door AdKoolen
Beste Arnoud,

aangaande deze zin: Als een bedrijf wil dat mail A verwijderd wordt uit map B, dan doe je dat.

Er bestaat zoiets als "bewaarplicht", welke wettelijk is geregeld. Bij verwijderen ben je als uitvoerder "strafbaar" en is de mogelijke gevolgschade op jou te verhalen. ?
Zonder getekende schriftelijke opdracht gaat de opdrachtgever vrijuit.... ?

Ad
27-10-2014, 17:59 door Anoniem
Door _R0N_: Ook al staat het niet zwart op wit probeer ik mijzelf altijd wel in te dekken in dit soort gevallen, wettelijk valt e-mail onder briefgeheim en andermans post mag je niet zomaar openen..
Dat doet het niet. Wat niet wil zeggen dat je zomaar in andermans inbox mag kijken, maar dat is niet wegens briefgeheim. Het zou ook een beetje raar zijn om, zeg, postkaarten ook onder briefgeheim te laten vallen. Email is per slot van rekening niet beschermd met een deugdelijke envelop.

Maar je inbox is wel aan jou toegekend en anderen die er in kijken schenden daarmee je privacy. Dat mag alleen als daar gegronde reden voor is. Waarmee de originele vraag boven reduceert tot "mag een bedrijf een verzonden email uit de inbox van een werknemer (laten) verwijderen?"

Het lijkt me dat dit in zwaarwegende gevallen wel zal mogen, zoals "privacy" naar goed Nederlands gebruik altijd wijkt als er maar iemand gewichtig genoeg doet. Al loop je kans dat er heibel van komt. Er zijn inderdaad mensen die inboxvolgnummers bijhouden en gaan piepen als er eentje mist, weet ik uit ervaring.
04-11-2014, 11:05 door Anoniem
Door Anoniem: Wanneer je encryptie toepast op dit soort 'gevoelige' data zorg je ervoor dat wanneer een email per abuis verstuurd is, de ontvanger er nog steeds geen inzage in heeft. Alleen wanneer de ontvangende partij in bezit is van de juiste 'sleutels' kan die de inhoud van de email lezen.
Deze vraag krijg ik namelijk ook wanneer het gaat om extern beheerde data. Je wilt namelijk wel dat er goed beheer gedaan wordt maar dat de inhoud geheim blijft. In Nederland wordt de systeembeheerder bijna altijd vertrouwd.
En dit werkt ook de andere kant op. Je wilt als systeembeheerder niet aangekeken worden wanneer data gelekt zou zijn. Door het gebruik van versleuteling bescherm je de systeembeheerder ook tegen data.

Allemaal leuk en aardig, maar als de klant geen zin heeft in sleutelbeheer etc, dan rollen wij het als (IT-dienstverlener) niet uit.
Hier is (nog) geen marktvraag naar bij het MKB.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.