Juridische vraag: mag CRM-software privémail scannen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: ons bedrijf gebruikt CRM-software met e-mailintegratie. Oftewel, elke mail wordt herkend en aan een klant, contactpersoon en deal gekoppeld als de afzender of ontvanger daarbij bekend is. Nu geeft een nieuwe collega aan dat dit niet mag, omdat ook privémails worden gescand door de CRM-software. Hoe moeten we daarmee omgaan?
Antwoord: ook op het werk heb je privacy, hoewel niet zo veel als thuis. Een goede werkgever moet de processen dus zo inrichten dat er rekening wordt gehouden met de mogelijkheid van privémails of persoonlijke documenten op de werkcomputer.
Een goede manier om rekening te houden met onverwachte privézaken is om filteren en verwerken van data zo veel mogelijk te automatiseren. Je kunt dan meldingen geven aan de werknemer zonder direct een ander erbij te hoeven halen. "De bijlage die u verstuurt, is geblokkeerd omdat deze mogelijk bedrijfsgeheimen bevat", zoiets. Of "U mailt naar een onbekende ontvanger, voeg deze eerst toe als zakelijke relatie in het CRM".
De CRM-software van de vraagsteller is voorzien van automatische herkenning en verwerking. Dat lijkt mij dus prima in orde. Het systeem kan natuurlijk niet herkennen wie een privécontact is, maar dat is dan ook een taak voor de gebruiker. Zolang privérelaties dus niet in het CRM staan, worden ze ook niet herkend en hun mails niet geïmporteerd.
Ik zie dus zo geen privacyproblemen. Zouden bijvoorbeeld niet-herkende mails naar een manager worden gestuurd voor handmatige verwerking, dan komt dat anders te liggen. Maar dergelijke privacygevoelige handelingen heb ik nog niet eerder gezien.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
De scanner kan wellicht geen onderscheid maken tussen zakelijke en privé communicatie omdat deze scan alleen
kijkt naar verzender/ontvanger. Wat je soms ook ziet is dat er gekeken wordt naar casenummers etc in de Subject
header om dit soort matches te maken, maar dat kan evengoed fout gaan als iemand in de communicatie over een
bepaalde case ineens verder gaat met prive talk zonder dit soort info weg te halen.
Ik denk dat het beter is om als werknemer de zakelijke systemen gewoon niet voor privégebruik in te zetten.
Tegenwoordig kun je vrij goedkoop je eigen portable ICT omgeving aanschaffen en ben je niet meer afhankelijk van
wat je werkgever heeft en waarvan je niet in de hand hebt hoe die met gegevens omgaat, zowel nu als in de toekomst.
Met andere woorden, het gaat gewoon om zakelijke mails, met klanten of leveranciers van de werkgever. Of je sociaal wat babbelt maakt daarbij niets uit. Het zijn geen prive mails. Volgens mij snapt deze nieuwe medewerker, die denkt de regels te kunnen bepalen bij zijn nieuwe werkgever, het nog niet helemaal.
Emails die niet worden herkend aan het feit dat het gaat om communicatie met een zakelijk contact, die herkent het systeem niet, en die laat deze links liggen. Vanwaar het idee dat communicatie vanaf je werk PC, met zakelijke relaties van de werkgever, prive is ?
Of deze (zakelijke) communicatie nou wordt opgeslagen op de mail server, en/of de CRM server, wat is het verschil ?
En het gaat over mails met zakelijke contacten. Waarom sommigen mensen dat dergelijke mails prive zijn ?
Een e-mail heeft dezelfde status als een briefkaart, iedereen die het kan lezen, mag het lezen.
Bovendien staat het op hardware van de werkgever, dus heb je m.i. geen poot om op te staan.
Een e-mail heeft dezelfde status als een briefkaart, iedereen die het kan lezen, mag het lezen.
Bovendien staat het op hardware van de werkgever, dus heb je m.i. geen poot om op te staan.
Of deze (zakelijke) communicatie nou wordt opgeslagen op de mail server, en/of de CRM server, wat is het verschil ?
Nou het verschil is natuurlijk dat als hij zelf mailt zijn collega's dat niet meteen kunnen lezen (maar pas als hij ontslagen
is en zijn mailbox aan zijn collega gegeven wordt ivm overdracht van contacten), terwijl als het in het CRM systeem staat
zijn collega's meteen al kunnen meelezen met zijn chat met de mensen bij de klant.
Het briefgeheim is misschien niet, maar je recht op privacy is wel degelijk van toepassing.
Denk aan een e-mail wisseling naar je HR medewerker, of een e-mail die vertrouwelijk naar de OR gestuurd wordt. Jouw situatie kan misschien zijn: 'Ik loop even langs', maar daar heeft de wetgever anders over beslist. Zij houdt ook rekening met de mensen die die mogelijkheid niet hebben (Offshore, andere plaats/gebouw dan HR).
Je hoeft mij niet te geloven, maar de rechter kan een aardige boete opleggen als je als werkgever zomaar in andermans e-mail gaat grasduinen. Zelfs het dichttimmeren via richtlijnen is niet van toepassing als het een inbreuk op het basis recht van privacy. Zeker nu de werkgever, niet de werknemer, steeds meer privé tijd van je vergt.
http://njb.nl/wetgeving/wetsvoorstellen/brief-en-telecommunicatiegeheim.12524.lynkx
https://zoek.officielebekendmakingen.nl/kst-33989-8.html
Dat is nou juist de doelstelling van een CRM systeem. Contacten met klanten en leveranciers zijn niet prive, en het is volstrekt logisch dat dergelijke communicatie wordt geregistreerd.
Collega's kunnen zo bij contact met dezelfde klant of leverancier de historie inzien. Dat is wel handiger samenwerken (zeker als je zelf bijvoorbeeld buiten de deur bent, of op vakantie). Het idee dat dergelijke toegang pas na een ontslag nodig is, is een beetje misplaatst.
Waarom sommigen hier contacten met de klanten of leveranciers van je baas beschouwen als prive contact, dat ontgaat mij.
Een e-mail heeft dezelfde status als een briefkaart, iedereen die het kan lezen, mag het lezen.
Bovendien staat het op hardware van de werkgever, dus heb je m.i. geen poot om op te staan.
Dus wel als werkgever mag je dus niet de email van je medewerkers lezen ook als zijn ze verstuurd naar een door de werkgever verstrekt email adres.
Je manager of baas mag ook niet "even" toegang vragen bij ICT tot jouw mailbox. Idem om even jouw internet logs van de proxy servers.
Briefgeheim is iets anders. maar Privacy gaat heel ver, ook op het werk.
is en zijn mailbox aan zijn collega gegeven wordt ivm overdracht van contacten), terwijl als het in het CRM systeem staat
zijn collega's meteen al kunnen meelezen met zijn chat met de mensen bij de klant.
Als er niets is geregeld en hij geeft geen toestemming bij ontslag, dan mag de mailbox niet opengesteld worden voor de collegas. Bij ons wordt de inhoud van een mailbox binnen X tijd na vertrek gewoon vernietigd. Hij heeft dan tijd gehad om de gegevens over te dragen aan zijn collegas.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
