image

Juridische vraag: heeft collega opt-in nodig om mijn e-mail te lezen?

woensdag 10 juni 2015, 11:04 door Arnoud Engelfriet, 14 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Bij ons bedrijf krijg je in je laatste week een bericht dat een collega toegang krijgt tot je mailbox, en je kunt dan bezwaar maken als je het daar niet mee eens bent. Is dat wel rechtsgeldig? Bij privacydingen geldt toch een opt-in en niet een opt-out?

Antwoord: Er is geen algemene regel die zegt dat je bij alles omtrent privacy toestemming nodig hebt van de betrokken persoon. Dat zou immers onwerkbaar zijn als iemand overal nee op blijft zeggen, hoe onredelijk die nee ook zou zijn.

Opt-in is de hoofdregel, maar er zijn uitzonderingen mogelijk. Een uitzondering is het mogen verwerken van iemands persoonsgegevens omdat dat nodig is voor het uitvoeren van een contract. Een arbeidscontract is ook een contract, en een werkgever kan zich dus hierop beroepen mits hij kan aantonen dát het nodig is.

Ook is er een uitzondering ten behoeve van een dringend belang van de andere partij. Wie niet anders kan, hoeft geen toestemming te vragen. Natuurlijk ligt de bewijslast hierbij wel hoog, maar het kan. Denk aan het schrijven van een onthullend artikel over iemand: een privacyschending maar als de onthulling belangrijk is, dan toch gerechtvaardigd.

Bij deze vraag komt het eigenlijk altijd op hetzelfde neer: is het echt nodig dat die collega in de mailbox gaat kijken na uitdiensttreding, of is er een andere oplossing mogelijk? Alternatieven kunnen zijn dat je je mailbox zelf opschoont (maar doen mensen dat echt?), dat de collega alleen in de inbox kan en niet in mapjes, of dat er niet één maar twee mensen tegelijk kijken om onnodig snuffelen te voorkomen. Niet ideaal, maar werkbaar.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (14)
10-06-2015, 11:59 door Anoniem
Ik vind het een twijfelgeval.

Een en ander ligt aan de bewoording van de e-mail. Als het bedrijf bij de melding adviezen geeft over het voorkomen van bekend raken van persoonlijke informatie, dan staat het bedrijf sterker. Dat getuigt van goed huisvaderschap.

Ik zou in ieder geval toch wel zelf een kopie willen hebben van de berichten met persoonlijke informatie.

En nee, met persoonlijke informatie bedoel ik hier niet de mailuitwisseling met de levenspartner van de persoon. Ik doel hierbij bijvoorbeeld op mail die je ontvangt en stuurt naar de bedrijfsarts. Dat is ook persoonlijke informatie, maar wel in het kader van het dienstverband. Hetzelfde geldt natuurlijk voor mail van de leidinggevende over promoties of, waarschijnlijk, het vertrek van de medewerker.

Peter
10-06-2015, 12:26 door Anoniem
ik snap dat je privacy op je werk hebt. Maar als je gebruik maakt van een werk mail adres. Gebruik je deze alleen voor je werk. Als je deze ook nog eens voor prive doeleinden gebruikt, ben je niet heel erg slim bezig. Ik snap niet waar men zich druk om maakt.

Als ik met vakantie ga zeg ik altijd al als men iets uit mijn mailbox moet hebben, dat ze hem maar even moeten koppelen. En als je uit dienst gaat zullen er zaken overgenomen moeten worden.

mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
10-06-2015, 12:30 door Anoniem
Je kan je afvragen of het wel wenselijk is dat er bedrijfsspecifieke email in een (bedrijfs!)emailbox-op-naam terechtkomt. Lijkt me dat het geen gek idee is om na te denken over het verzamelen van relevante informatie op bedrijfstoegankelijke wijze.

Bijvoorbeeld, een wiki waarop iedereen wordt geacht te vertellen wat'ie doet en daar ook gelijk de relevante informatie bij kan zetten, van de gekste details tot handig verzamelde noodinformatie. Je zal even willen nadenken wie bij welke informatie moet en mag kunnen, bijvoorbeeld iets als per afdeling instellen van een publieke en een interne onderverdeling. Maar belangrijker dan de technische- en beveiligingsdetails is dat er serieus wordt nagedacht over hoe de organisatie van zichzelf leert.

Ik zou als beleidsmaker waarschijnlijk wel een clausule opnemen die zegt dat er in mailboxen gesnuffeld mag worden als je onbereikbaar of vertrokken bent en dat je je privezaken maar in een folder prive stopt en dat je tenminste die leegmaakt bij vertrek. Maar ik zou me ook afvragen of er geen betere oplossingen zijn om de noodzaak wat in te perken. Bijvoorbeeld, gedeelde mappen (bv. IMAP shared folder) en roladressen (info@, sales@, noem maar op) zodat inkomende bedrijfsmail bij voor de juiste groep mensen toegankelijk is ongeacht wie er voor de taak verantwoordelijk is.

Continuiteit is wel redelijk belangrijk binnen een bedrijf dus het is wel zaak daar serieus over na te denken, en niet alleen maar met wat goedkope "CYA"-maatregelen jezelf juridisch te ontzien.
10-06-2015, 12:41 door Anoniem
opschonen is nutteloos: de backup bestaat immers nog ...
10-06-2015, 13:23 door Anoniem
Ik vind het wel een nette oplossing van dit bedrijf: het is voor een bedrijf hinderlijk en komt onprofessioneel over als een email adres dat door klanten gebruikt wordt ineens niet meer gelezen wordt. Natuurlijk kan er een "out of office" met verwijzing naar een nieuw emaiol adres op gezet worden, maar vaak staan er ook allerlei afspraken in.
Aan de andere kant kan het zijn dat je als werknemer wel eens prive email ontvangt op je werkmail, en dan is het onplezierig als een collega daar allemaal doorheen kan snuffelen.

Dus hiermee heb je een mooi compromis: de werknemer wordt in staat gesteld zijn/haar persoonlijke spullen verwijderen en wordt daar op gewezen, en de werkgever met zakelijk belang bij de inhoud van de mailbox krijgt toegang.

Q
10-06-2015, 15:23 door mcb
Door Anoniem 12:26 (en 12:41):
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Opschonen heeft wel degelijk zin.
Het is idd zo dat uit backups e.e.a. terug te halen is als de manager van de vertrokken werknemer dat perse wil.
Maar als die manager niet het idee heeft dat evt (voor hem/haar) belangrijke info verdwenen is, hij/zij niet zo snel om een restore zal verzoeken.
Als hij/zij echt perse flauw wilt doen, kan hij/zij ook een pw reset aanvragen en dan zelf inloggen en alles doorspitten.

De mededeling dat de mailbox (tijdelijk) toegankelijk is voor een ander en dat je zelf de gelegenheid krijgt om e.e.a. te verwijderen is een redelijke oplossing.

Evt. zou je een map in je malbox kunnen delen (hangt natuurlijk van de mailomgeving af) en daarin alle werkzaken zetten die voor anderen nodig zou kunnen zijn, zonder dat toegang tot de volledig mailbox wordt gegeven.
10-06-2015, 17:26 door Anoniem
Door mcb:
Door Anoniem 12:26 (en 12:41):
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Opschonen heeft wel degelijk zin.
Het is idd zo dat uit backups e.e.a. terug te halen is als de manager van de vertrokken werknemer dat perse wil.
Maar als die manager niet het idee heeft dat evt (voor hem/haar) belangrijke info verdwenen is, hij/zij niet zo snel om een restore zal verzoeken.

Precies. Dus opschonen is NIET Ctrl-A Shift-Delete. Want dan zal degene die hem overneemt zeggen "hij is
helemaal leeg, baas" en dan zal er een restore gedaan worden.

Je gooit dus weg wat er (onhandig, maar goed...) in staat wat je niet wil dat de baas ziet, en je laat staan wat er aan
zakelijke mail in staat waar later eventueel vragen over komen.

Dan denk je niet alleen aan jezelf (populair, als je de vragen over privacy hier leest) maar ook aan de baas.
11-06-2015, 07:28 door Anoniem
Hoe zit het met een Functionaris voor de Gegevensbescherming (FG), heeft die wel het recht om in e-mails te grasduinen?
https://cbpweb.nl/nl/zelf-doen/functionaris-voor-de-gegevensbescherming
11-06-2015, 09:46 door Anoniem
Mensen moet leren dat ze nergens Privacy hebben en niet zo achterlijk blijven doen.
De meesten reageren allemaal zoals je vaak de 'oudjes' ziet doen met nieuwe technology
"Ik vind het maar ingewikkeld en vroeger was alles anders"
Ja heel goed welkom in 20e eeuw!

Als je niet wilt dat anderen je DATA lezen dan moet je gebruik maken van Encryptie.

Dat geneuzel iedere keer over dit soort onderwerpen, allemaal tijdverspilling.
11-06-2015, 11:23 door Anoniem
Door mcb:
Door Anoniem 12:26 (en 12:41):
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Opschonen heeft wel degelijk zin.
Het is idd zo dat uit backups e.e.a. terug te halen is als de manager van de vertrokken werknemer dat perse wil.
Maar als die manager niet het idee heeft dat evt (voor hem/haar) belangrijke info verdwenen is, hij/zij niet zo snel om een restore zal verzoeken.
Als hij/zij echt perse flauw wilt doen, kan hij/zij ook een pw reset aanvragen en dan zelf inloggen en alles doorspitten.

De mededeling dat de mailbox (tijdelijk) toegankelijk is voor een ander en dat je zelf de gelegenheid krijgt om e.e.a. te verwijderen is een redelijke oplossing.

Evt. zou je een map in je malbox kunnen delen (hangt natuurlijk van de mailomgeving af) en daarin alle werkzaken zetten die voor anderen nodig zou kunnen zijn, zonder dat toegang tot de volledig mailbox wordt gegeven.
FYI je hoeft niet specifiek uit de backup verwijderde mails terug te halen. Een Exchange beheerder kan alles met een mailbox search terug halen ook verwijderde mail.
11-06-2015, 13:38 door Anoniem
Ik vind het niet kunnen.

Je weet namelijk niet bij voorbaat wat je allemaal in die mailbox tegen kunt komen.
Naast de privacy van de gebruiker van de mailbox heb je ook nog de privacy van de mensen die naar die mailbox toe gemaild hebben.
11-06-2015, 14:46 door Anoniem
Door Anoniem: FYI je hoeft niet specifiek uit de backup verwijderde mails terug te halen. Een Exchange beheerder kan alles met een mailbox search terug halen ook verwijderde mail.
Dat maakt die software toch wel lastig om nog behoorlijk aan de privacyreglementen te voldoen, nietwaar?
15-06-2015, 18:42 door Patio
Door Anoniem:
Door Anoniem: FYI je hoeft niet specifiek uit de backup verwijderde mails terug te halen. Een Exchange beheerder kan alles met een mailbox search terug halen ook verwijderde mail.
Dat maakt die software toch wel lastig om nog behoorlijk aan de privacyreglementen te voldoen, nietwaar?

:Gelukkig maakt niet elk bedrijf gebruik van Exchange of andere Mickey$oft-producten. Degene die dat wel doen zijn overleverd aan spionnen
15-06-2015, 21:08 door Anoniem
Onze OR heeft rechtzaken gevoerd tegen de directie om toegang tot de e-mail te voorkomen en is telkens in het gelijk gesteld. Dit heeft zoveel onrust veroorzaakt en geld gekost dat de directie uiteindelijk overstag is gegaan en afgezien heeft van hun plannen om zich toegang te verschaffen tot mailboxen van medewerkers. De rechters vonden het privacy belang hoger dan het bedrijfsbelang en vond dat er geen dringende noodzaak aanwezig was om toegang te krijgen tot alle mailboxen. Belangrijk detail in dezen was dat in onze internet gedragsregels staat dat zowel de e-mail als internet ook voor prive doeleinden gebruikt mag worden. In onze integriteits regels staat ook dat onderzoeks toegang mogelijk is onder strikt voorbehoud van een ernstige verdenking aan enig strafbaar feit. Omdat er toegang werd vereist tot alle mailboxen vonden de rechters dit disproportioneel.
Je ziet, privacy bestaat zeker op de werkvloer maar dat recht moet wel verdedigd worden. Het recht op privacy is een grondrecht voor iedere burger en dat kan niet zomaar worden ontnomen omdat iemand vind dat deze dat recht zou moeten hebben. Zoals met ieder recht moet je dat wel uitoefenen of claimen want automatisch gaat dat niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.