Stuur uw klacht naar de ACM (Autoriteit Consument en Markt - vroeger ging een klacht naar de OPTA). Die zal de spammer dan aanpakken en desnoods een boete opleggen.

Website: https://www.spamklacht.nl/

Het lijkt me dat je dit beter kunt melden als een datalek dan als spam. Spam daar doet men niks mee tenzij er
duizenden gelijke meldingen binnenkomen, en met datalek meldingen zou dat anders kunnen zijn.
(nog geen ervaring mee)

Arnoud - kun je het scenario iets verder uitwerken ?

Stel

1 : personeel van de werkgever heeft een bedrijfsmail adres. De werkgever heeft een intern fitness programma (groot bedrijf), en stuurt informatie hierover naar het personeel ,op het bedrijfsmailadres .

(lijkt me OK)
2 : personeel van de werkgever heeft een bedrijfsmail adres. De werkgever huurt een fitness bedrijf in om een bedrijfsfitness programma te verzorgen. De werkgever laat het fitness bedrijf informatie naar de bedrijfsmail adressen van het personeel sturen
(lijkt me ook OK, nu het fitnessbedrijf feitelijk als verlengstuk van de werkgever optreed, en de correspondentie [alleen] gaat over het programma wat die werkgever heeft laten inrichten )

3 : personeel van de werkgever mag desgewenst een eigen mailadres opgeven wat de werkgever als contactadres gebruikt.
(werkgever heeft geen bedrijfsmail adres, of is werknemers terwille die niet nog een mailbox erbij willen )

Ook deze werkgerver huurt een fitness bedrijf in voor een bedrijfsfitness programma, en laat het fitness bedrijf communiceren naar de adressen die de werkgever heeft voor bedrijfscorrespondentie - ook alleen over het bedrijfsfitness programma.
- Ik denk dat ook dit OK is, omdat het fitnessbedrijf m.i. nog steeds onder de paraplu van de werkgever werkgerelateerd mailt naar het adres wat

4 : personeel van de werkgever heeft een bedrijfsmail adres. Maar de werkgever weet toevallig uit andere redenen ook het privemail adres van de werknemer.
Alleen hier lijkt het me dat de werkgever het privemail adres niet mag delen, omdat het niet het adres is bedoeld voor correspondentie door (of namens) de werkgever.

Arnoud, waarom geef je als voorbeeld dat een prive email adres gebruikt kan worden om loonstroken naar te sturen? Ik weet dat het gebeurt, maar het is onveilig en ongeschikt voor electronisch transport van persoonsgegevens.

Internet email via SMTP is onbeveiligd, er staat zeer gevoelige gegevens in een loonstrook en persoonsgegevens. Volgens Wbp moet er gezorgd worden voor voldoende beveiliging. Email is alleen voldoende beveiligd als er sprake is van versleuteling van de inhoud, bijvoorbeeld via PGP. Daar is echter zelden sprake van.

Iedereen die toestemming geeft om dergelijke informatie via email te laten versturen heeft een cursus nodig om van zijn "ik heb niks te verbergen" mantra af te raken. De werkgever moet voldoende geinformeerd zijn om zo'n optie niet aan te willen bieden.

Ik ken zelfs een grote werkgever die transportversleuteling niet ondersteunt omdat ze een MX server draaien die geen ESMTP codes weergeeft tijdens de greeting. Als dat niet gebeurt is er nooit versleuteling. Transportversleuteling is aanvalbaar via MitM en het is geen vervanging voor inhoudsversleuteling waarbij uitsluitend de eindontvanger de sleutel heeft.

Ik denk niet dat het onveiliger is dan het opsturen van de loonstroken per normale post.
Daar zijn de loonstroken ook niet versleuteld en komen ze ook langs derde partijen die ze kunnen aanvallen.
Plus dat ze ook nog eens verkeerd afgeleverd kunnen worden en dan bijvoorbeeld in handen van buren komen die een
envelop openmaken zonder eerst de adressering te controleren.

Zoemwoordovereenkomstige reactie. Jammer dat je niet postuitwisselaar en mannetje-in-het-midden wist te bedenken. Doet een beetje af aan je taalcreativiteit.

PGP of een andere versleuteling en digitale handtekening zou dat prima op kunnen lossen. Dat dat in de praktijk niet gebeurt is een ander verhaal.

Ik heb nog een andere vraag die hierop aansluit. Mag een ondernemer de privé email adressen gebruiken om haar
medewerkers uit te nodigen voor een cursus?