Juridische vraag: mag werkgever post scannen en doormailen?
woensdag 11 februari 2015, 13:15 door Arnoud Engelfriet, 14 reacties
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Op mijn werk geldt sinds kort de regel dat alle papieren post centraal wordt geopend, gescand en per e-mail wordt doorgestuurd naar de medewerker. Dit "vanwege de efficiency". Maar soms wordt die mail naar een centraal adres of een collega gestuurd. Ik voel me hier niet prettig bij, kan dit zomaar?
Antwoord: In principe kan dit. De werkgever bepaalt hoe het werk wordt uitgevoerd, dus als hij vindt dat post voortaan als gescande mail het bedrijf in moet, dan heb jij daar maar mee te werken. Ook als hij vindt dat bepaalde brieven naar een centraal adres of een collega moeten, dan is dat in principe zijn bevoegdheid.
Natuurlijk is het de vraag of zoiets wel handig is, maar uiteindelijk is dat een zakelijke beslissing.
Je beroepen op briefgeheim zal niet veel zin hebben: het briefgeheim is met name iets voor de postbode en voor onbevoegden die jouw post in handen hebben gekregen. Maar je werkgever is bevoegd wanneer de post aan het bedrijf is geadresseerd, ook als het ter attentie van jou is.
Een uitzondering zou moeten gelden als de post evident persoonlijk is. Ook op het werk heb je immers recht op privacy. Bij post die dan ook expliciet als "persoonlijk" of "uitsluitend voor geadresseerde" is gemarkeerd, zou je dan ook mogen verwachten dat die niet wordt gescand maar als stuk papier aan je wordt overhandigd.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (14)
11-02-2015, 15:22 door
mcb
Ik heb in het verleden voor een bedrijf gewerkt dat erg veel zaken deed met defensie.
Daar werd de "postprocedure" schriftelijk en mondeling medegedeeld. Overigens werd toendertijd post niet gescand maar alleen geopend wegens veiligheidsredenen. Zowel inkomende als uitgaande post.
Voor bijdrijven met een hoog risicoprofiel is dit eigenlijk wel logisch.
Bij bedrijven zonder hoog profiel moet je je afvragen of dit wel wenselijk is.
Met name als het gaat over vertrouwelijk info. Post van de (externe) bedrijfsarts/arbodienst bijvoorbeeld.
Medewerkers van bijv personeelszaken weten dat zij met vertrouwelijke gegevens werken. Ik vraag me af in hoeverre postkamermedewerkers zich dit realiseren.
En hoe zit het met post voor juridische afdelingen?
Met name als het gaat om aanstaande/lopende rechtzaken is er info dat niemand buiten de juristen en de betrokken medewerkers alsmede hun managers mogen weten.
En dan nog info die voor finaciele afdelingen.
Op/aanmerkingen van accountantbureaus op de jaarcijfers (die dus beursgevoelig kunnen zijn) mogen buiten de betrokken afdelingen niet voortijdig bekend zijn.
Daar werd de "postprocedure" schriftelijk en mondeling medegedeeld. Overigens werd toendertijd post niet gescand maar alleen geopend wegens veiligheidsredenen. Zowel inkomende als uitgaande post.
Voor bijdrijven met een hoog risicoprofiel is dit eigenlijk wel logisch.
Bij bedrijven zonder hoog profiel moet je je afvragen of dit wel wenselijk is.
Met name als het gaat over vertrouwelijk info. Post van de (externe) bedrijfsarts/arbodienst bijvoorbeeld.
Medewerkers van bijv personeelszaken weten dat zij met vertrouwelijke gegevens werken. Ik vraag me af in hoeverre postkamermedewerkers zich dit realiseren.
En hoe zit het met post voor juridische afdelingen?
Met name als het gaat om aanstaande/lopende rechtzaken is er info dat niemand buiten de juristen en de betrokken medewerkers alsmede hun managers mogen weten.
En dan nog info die voor finaciele afdelingen.
Op/aanmerkingen van accountantbureaus op de jaarcijfers (die dus beursgevoelig kunnen zijn) mogen buiten de betrokken afdelingen niet voortijdig bekend zijn.
De mensen roepen natuurlijk meteen weer "privacy" maar ik denk dat dit een heel goed beleid is, wat de kwaliteit van
het bedrijf aanmerkelijk kan verhogen. Post voor een medewerker van het bedrijf is post voor het bedrijf, en het is veel
beter als dit naar algemene adressen wordt gemaild dan dat dit naar personen gaat. Personen die wellicht met vakantie,
ziek, overgeplaatst e.d. zijn. Daar weet de klant niet van en die verwacht een tijdige behandeling van de post.
Ook voor het archiveren van de post, zodat daar op terug gegrepen kan worden bij conflicten of zodat het kan worden terug
gehaald als de bezorging fout gegaan is, is het veel beter.
Als je privacy wilt hebben dan moet je niet gaan werken in loondienst. En dat is hier al zovaak voorbij gekomen.
het bedrijf aanmerkelijk kan verhogen. Post voor een medewerker van het bedrijf is post voor het bedrijf, en het is veel
beter als dit naar algemene adressen wordt gemaild dan dat dit naar personen gaat. Personen die wellicht met vakantie,
ziek, overgeplaatst e.d. zijn. Daar weet de klant niet van en die verwacht een tijdige behandeling van de post.
Ook voor het archiveren van de post, zodat daar op terug gegrepen kan worden bij conflicten of zodat het kan worden terug
gehaald als de bezorging fout gegaan is, is het veel beter.
Als je privacy wilt hebben dan moet je niet gaan werken in loondienst. En dat is hier al zovaak voorbij gekomen.
Door mcb: ... Post van de (externe) bedrijfsarts/arbodienst bijvoorbeeld.
Medewerkers van bijv personeelszaken weten dat zij met vertrouwelijke gegevens werken. Ik vraag me af in hoeverre postkamermedewerkers zich dit realiseren.
En hoe zit het met post voor juridische afdelingen?
Met name als het gaat om aanstaande/lopende rechtzaken is er info dat niemand buiten de juristen en de betrokken medewerkers alsmede hun managers mogen weten.
En dan nog info die voor finaciele afdelingen.
Op/aanmerkingen van accountantbureaus op de jaarcijfers (die dus beursgevoelig kunnen zijn) mogen buiten de betrokken afdelingen niet voortijdig bekend zijn...
Medewerkers van bijv personeelszaken weten dat zij met vertrouwelijke gegevens werken. Ik vraag me af in hoeverre postkamermedewerkers zich dit realiseren.
En hoe zit het met post voor juridische afdelingen?
Met name als het gaat om aanstaande/lopende rechtzaken is er info dat niemand buiten de juristen en de betrokken medewerkers alsmede hun managers mogen weten.
En dan nog info die voor finaciele afdelingen.
Op/aanmerkingen van accountantbureaus op de jaarcijfers (die dus beursgevoelig kunnen zijn) mogen buiten de betrokken afdelingen niet voortijdig bekend zijn...
Dit, ik ben daar ook wel benieuwd naar. Hoe zit het met de privacy van de afzender en de Wet Bescherming Persoonsgegevens in combinatie met het antwoord van Arnoud:"
De werkgever bepaalt hoe het werk wordt uitgevoerd, dus als hij vindt dat post voortaan als gescande mail het bedrijf in moet, dan heb jij daar maar mee te werken. Ook als hij vindt dat bepaalde brieven naar een centraal adres of een collega moeten, dan is dat in principe zijn bevoegdheid.
Natuurlijk is het de vraag of zoiets wel handig is, maar uiteindelijk is dat een zakelijke beslissing.
Natuurlijk is het de vraag of zoiets wel handig is, maar uiteindelijk is dat een zakelijke beslissing.
Het lijkt nu dat er geen enkele wettelijke grondslag is die hier beperkingen aan oplegt. Maar hoe zit dat dan met de WBP?
Door Anoniem:
Als je privacy wilt hebben dan moet je niet gaan werken in loondienst. En dat is hier al zovaak voorbij gekomen.
Als je privacy wilt hebben dan moet je niet gaan werken in loondienst. En dat is hier al zovaak voorbij gekomen.
Wat een belachelijke stelling. Tuurlijk stroomlijnt het de processen beter, maar wat heeft iemand te zoeken in de post die naar een HR afdeling gaat, schulden, ziektes, andere persoonlijke narigheid. Dat hoeft 1 of andere pipo in de postkamer toch niet allemaal te lezen voordat hij of zij het onder de scanner gooit. En wie gaat bepalen wat wel of niet persoonlijke post is ?
Daar zijn echt wel betere opties voor te bedenken.
M.i. is het vermelden van persoonlijk en vertrouwelijk op de envelop voldoende reden om deze niet open te laten maken door een centrale post-scan-chef. Die zal ook wel niet de post aan directie mogen openen vermoed ik. Dus die procedure vertrouwelijke post moet er zijn: al was het maar voor vertrouwelijke juridische/medische informatie uitwisseling met HRM/Legal te waarborgen. De organisatie moet voldoende beveiligingsmaatregelen treffen om onrechtmatige verwerking - waaronder onbevoegde kennisneming - van de (medische) persoonsgegevens te voorkomen, zie art 13 Wbp.
Wij sturen medische dossiers hier in dubbele envelop met vermelding vertrouwelijk alleen te openen door arts. Als dan per ongeluk de buitenste envelop per ongeluk centraal wordt geopend kan alsnog de vertrouwelijkheid geborgd zijn door de tweede envelop.
Wij sturen medische dossiers hier in dubbele envelop met vermelding vertrouwelijk alleen te openen door arts. Als dan per ongeluk de buitenste envelop per ongeluk centraal wordt geopend kan alsnog de vertrouwelijkheid geborgd zijn door de tweede envelop.
Door Anoniem: De mensen roepen natuurlijk meteen weer "privacy" maar ik denk dat dit een heel goed beleid is, wat de kwaliteit van
het bedrijf aanmerkelijk kan verhogen. Post voor een medewerker van het bedrijf is post voor het bedrijf, en het is veel
beter als dit naar algemene adressen wordt gemaild dan dat dit naar personen gaat. Personen die wellicht met vakantie,
ziek, overgeplaatst e.d. zijn. Daar weet de klant niet van en die verwacht een tijdige behandeling van de post.
Ook voor het archiveren van de post, zodat daar op terug gegrepen kan worden bij conflicten of zodat het kan worden terug
gehaald als de bezorging fout gegaan is, is het veel beter.
Als je privacy wilt hebben dan moet je niet gaan werken in loondienst. En dat is hier al zovaak voorbij gekomen.
het bedrijf aanmerkelijk kan verhogen. Post voor een medewerker van het bedrijf is post voor het bedrijf, en het is veel
beter als dit naar algemene adressen wordt gemaild dan dat dit naar personen gaat. Personen die wellicht met vakantie,
ziek, overgeplaatst e.d. zijn. Daar weet de klant niet van en die verwacht een tijdige behandeling van de post.
Ook voor het archiveren van de post, zodat daar op terug gegrepen kan worden bij conflicten of zodat het kan worden terug
gehaald als de bezorging fout gegaan is, is het veel beter.
Als je privacy wilt hebben dan moet je niet gaan werken in loondienst. En dat is hier al zovaak voorbij gekomen.
Deze reactie geeft m.i. precies weer waar het vaak fout gaat: de opoffering van vertrouwelijkheid voor meer efficiency door grofmazige digitalisering en onnodige opslag van gegevens met als 'verantwoording' het matra "je hebt toch niets te verbergen" dus moet geen probleem zijn? Blij dat ik dat steeds minder hoor. Maar kan het niet laten om er hier toch maar een Godwin in te gooien: weet je wie er destijds ook heel erg geholpen waren met de efficiënte vastlegging en ontsluiting van persoonsgegevens door de Nederlandse ambtenarij? Ik wil zeggen: een beetje kritisch blijven is geen overbodige luxe, zeker met de huidige technische mogelijkheden en vlijtige opsporingsambtenaren met hun quota en tunnelvisie en ambtseed en vormfouten en toedekkende politieke chefs etc etc. Ja: ook in een theater bij u in de buurt!
Het is me weer helemaal duidelijk dat er hier veel posters rondlopen die niet snappen hoe een bedrijf functioneert.
Ze denken dat een bedrijf een soort van speeltuin is waar ze kunnen doen wat ze zelf willen en waar hun collega's
niet mogen weten wat ze dan doen. Maar dat werkt toch net een beetje anders: een bedrijf is een plek waar je
SAMEN werkt aan een gemeenschappelijk doel. Als je niet wilt dat iemand in de postkamer leest wat een klant
aan jou schrijft, ga dan vooral thuis op je zolderkamertje zitten hacken want voor een bedrijf ben jij niet geschikt.
Ze denken dat een bedrijf een soort van speeltuin is waar ze kunnen doen wat ze zelf willen en waar hun collega's
niet mogen weten wat ze dan doen. Maar dat werkt toch net een beetje anders: een bedrijf is een plek waar je
SAMEN werkt aan een gemeenschappelijk doel. Als je niet wilt dat iemand in de postkamer leest wat een klant
aan jou schrijft, ga dan vooral thuis op je zolderkamertje zitten hacken want voor een bedrijf ben jij niet geschikt.
Door Anoniem: Het is me weer helemaal duidelijk dat er hier veel posters rondlopen die niet snappen hoe een bedrijf functioneert.
Ze denken dat een bedrijf een soort van speeltuin is waar ze kunnen doen wat ze zelf willen en waar hun collega's
niet mogen weten wat ze dan doen. Maar dat werkt toch net een beetje anders: een bedrijf is een plek waar je
SAMEN werkt aan een gemeenschappelijk doel. Als je niet wilt dat iemand in de postkamer leest wat een klant
aan jou schrijft, ga dan vooral thuis op je zolderkamertje zitten hacken want voor een bedrijf ben jij niet geschikt.
Ze denken dat een bedrijf een soort van speeltuin is waar ze kunnen doen wat ze zelf willen en waar hun collega's
niet mogen weten wat ze dan doen. Maar dat werkt toch net een beetje anders: een bedrijf is een plek waar je
SAMEN werkt aan een gemeenschappelijk doel. Als je niet wilt dat iemand in de postkamer leest wat een klant
aan jou schrijft, ga dan vooral thuis op je zolderkamertje zitten hacken want voor een bedrijf ben jij niet geschikt.
Je hebt gelijk. Nou, succes met het doorlezen van de post van je baas en weet: we hebben veel respect voor jullie werk daar in de postkelder. Moet je ook maar geschikt voor zijn
13-02-2015, 11:31 door
mcb
Door Anoniem: Het is me weer helemaal duidelijk dat er hier veel posters rondlopen die niet snappen hoe een bedrijf functioneert.
Ze denken dat een bedrijf een soort van speeltuin is waar ze kunnen doen wat ze zelf willen en waar hun collega's
niet mogen weten wat ze dan doen. Maar dat werkt toch net een beetje anders: een bedrijf is een plek waar je
SAMEN werkt aan een gemeenschappelijk doel. Als je niet wilt dat iemand in de postkamer leest wat een klant
aan jou schrijft, ga dan vooral thuis op je zolderkamertje zitten hacken want voor een bedrijf ben jij niet geschikt.
En bij welk soort bedrijven hebt jij ervaring?Ze denken dat een bedrijf een soort van speeltuin is waar ze kunnen doen wat ze zelf willen en waar hun collega's
niet mogen weten wat ze dan doen. Maar dat werkt toch net een beetje anders: een bedrijf is een plek waar je
SAMEN werkt aan een gemeenschappelijk doel. Als je niet wilt dat iemand in de postkamer leest wat een klant
aan jou schrijft, ga dan vooral thuis op je zolderkamertje zitten hacken want voor een bedrijf ben jij niet geschikt.
Je vergeet even dat voor de meeste schriftelijke correspondentie dit geen enkel probleem is.
Als ik een brief stuur tbv aanvraag van bijv. informatie (daar is email voor maar dit ter zijde), zal het mij worst wezen wie van het bedrijf dit te zien krijgt.
Facturen die binnen komen zullen ook niet spannend zijn.
Post bestemd voor een bakkerij zal geen gevoelige/vertrouwelijke gegevens bevatten. Dus idd lekker belangrijk.
Daarentegen krijgt een stagiaire die een paar maanden bij het ministerie van binnenlandse zaken zit, volgens mij geen staatsgeheimen onder ogen. Of post dat voor de minister zelf bestemd is. De secretaresse van die minister vaak weer wel.
Ik ben het met je eens dat het woord "privacy" vaak onterecht wordt gebruikt op de bedrijfsvloer. Het is immers werk.
Daar staat tegenover dat er wel een vertrouwelijkheidsbeginsel is en afhankelijk van de afdeling met persoonlijke info wordt gewerkt en daarom niet iedereen altijd alles mag weten.
Ga jij het fijn vinden als iedereen in de postkamer (of de rest van het bedrijf) weet wat jij aan de bedrijfsarts hebt verteld?
Een gebroken arm na de wintersport is niet spannend. Een zware depressie daarentegen...
Door mcb:
Ik ben het met je eens dat het woord "privacy" vaak onterecht wordt gebruikt op de bedrijfsvloer. Het is immers werk.
Daar staat tegenover dat er wel een vertrouwelijkheidsbeginsel is en afhankelijk van de afdeling met persoonlijke info wordt gewerkt en daarom niet iedereen altijd alles mag weten.
Ik ben het met je eens dat het woord "privacy" vaak onterecht wordt gebruikt op de bedrijfsvloer. Het is immers werk.
Daar staat tegenover dat er wel een vertrouwelijkheidsbeginsel is en afhankelijk van de afdeling met persoonlijke info wordt gewerkt en daarom niet iedereen altijd alles mag weten.
De directie van het bedrijf waar deze vraag over gaat heeft kennelijk besloten dat dit probleem er niet is, dus waarom zouden
wij ons daar dan boven gaan stellen en zeggen dat het WEL een probleem is???
Ga jij het fijn vinden als iedereen in de postkamer (of de rest van het bedrijf) weet wat jij aan de bedrijfsarts hebt verteld?
Een gebroken arm na de wintersport is niet spannend. Een zware depressie daarentegen...
Op mijn werk is het gebruikelijk dit soort post naar het huisadres te sturen en niet naar de werkplek. Maar misschien
is dat bij jou anders. Dan is er de gemakkelijke oplossing van "PRIVE ALLEEN OPENEN DOOR GEADRESSEERDE"
op de envelop te zetten. Zoals ook al gemeld.
Ik snap het probleem niet zo. Prive post laat je naar je huis sturen. Zakelijk post is in het belang van het bedrijf en dus niet van jou persoonlijk.
Mensen delen hun hele hebben en houden tegenwoordig op Facebook, Instagam, etc., inclusief foto's van wat men eet, maar als er een brief of mailtje gelezen word dan is de wereld te klein.
Privacy is net zo'n toverwoord als discriminatie en racisme, handig als je het kan misbruiken
Mensen delen hun hele hebben en houden tegenwoordig op Facebook, Instagam, etc., inclusief foto's van wat men eet, maar als er een brief of mailtje gelezen word dan is de wereld te klein.
Privacy is net zo'n toverwoord als discriminatie en racisme, handig als je het kan misbruiken
Hoe komen jullie erbij dat medische gegevens van zieke medewerkers bij een HRM afdeling aanwezig moeten zijn? Medische gegevens horen nergens thuis bij een werkgever anders dan bij een arts en de medewerker zelf. De werkgever mag wel een zogenaamd leken rapport hebben over de eventuele belastbaarheid t.b.v. re-integratie of revalidatie maar gegevens over aandoeningen zijn strikt vertrouwelijk en behoren ook niet bij een HRM afdeling te liggen.
Uiteraard kom ik ze tegen hoor, die managers die vinden dat ze moeten weten wat een zieke medewerker mankeert maar het gaat ze geen flikker aan, een zieke medewerker hoeft zijn werkgever niet te vertellen wat hij of zij mankeert.
Ik had onlangs nog zo'n geval van een vrouwelijke medewerker die zich ziek meldde en niet wilde vertellen wat zij mankeerde. Haar manager was woest en eiste zelfs dat zij aan het werk ging. Uiteindelijk bleek deze dame de avond voor de ziekmelding door haar man als boksbal te zijn gebruikt, ernstig geval van huiselijk geweld dus. Dat is één van de redenen waarom een werkgever geen medische gegevens mag hebben en dus ook niet via de post binnen zou moeten krijgen want het gaat de werkgever niets aan wat er medisch aan de hand is. Alleen waar een medewerker toe in staat is qua werk is van belang.
Uiteraard kom ik ze tegen hoor, die managers die vinden dat ze moeten weten wat een zieke medewerker mankeert maar het gaat ze geen flikker aan, een zieke medewerker hoeft zijn werkgever niet te vertellen wat hij of zij mankeert.
Ik had onlangs nog zo'n geval van een vrouwelijke medewerker die zich ziek meldde en niet wilde vertellen wat zij mankeerde. Haar manager was woest en eiste zelfs dat zij aan het werk ging. Uiteindelijk bleek deze dame de avond voor de ziekmelding door haar man als boksbal te zijn gebruikt, ernstig geval van huiselijk geweld dus. Dat is één van de redenen waarom een werkgever geen medische gegevens mag hebben en dus ook niet via de post binnen zou moeten krijgen want het gaat de werkgever niets aan wat er medisch aan de hand is. Alleen waar een medewerker toe in staat is qua werk is van belang.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
