Privacy - Wat niemand over je mag weten

Email tracking door de werkgever zonder individuele toestemming

04-09-2018, 10:10 door CautiousMe, 13 reacties
Mijn werkgever gebruikt een email tracking tool bij interne communicatie naar medewerkers. De compliance officer en security officer (mogelijk ook de DPO) zijn hiervan op de hoogte en hebben het gebruik onderzocht en toegestaan onder voorwaarden. Een voorwaarde (er waren er meer) was dat alle medewerkers geïnformeerd moesten worden dat deze tool wordt gebruikt, de reden van gebruik en hoe het wordt gebruikt.

Ik ben geen jurist maar de informatie op deze link (https://www.gdpreu.org/compliance/email-tracking) interpreteer ik als zijnde dat er aantoonbaar instemming moet worden gegeven door elke individuele ontvanger voor het ontvangen van email met daarin trackingmechanismes. In de wat/hoe/waarom email van mijn werkgever staat dat er een tool gebruikt wordt, echter zonder enige opt-in of (toekomstige) opt-out of andere manier om hiervan verschoond* te blijven.

Wat denkt deze community hiervan, kan en mag dit zomaar?


* Uiteraard heb ik zoveel mogelijk voorzorgsmaatregelen genomen door in outlook 2016 email altijd te openen in plain text mode, afbeeldingen nooit automatisch te downloaden, Chrome "Track" plugin te gebruiken, etc. De mogelijkheden op m'n Phone met Outlook for iOS zijn echter een stuk beperkter zoals niet standaard in plain text email te kunnen openen.
Reacties (13)
04-09-2018, 10:20 door SecOff - Bijgewerkt: 04-09-2018, 10:23
Beste CautiousMe,

De GDPR link over email tracking is van toepassing als je als bedrijf met derden communiceert. In jouw geval gaat het om tracking binnen het bedrijf. Dit kan ook zonder toestemming van de medewerkers zolang de medewerkers er maar goed over worden geïnformeerd en de werkgever het belang ervan kan aantonen. Je werkgever mag bijvoorbeeld vanuit beveiligingsoogpunt ook loggen hoe je de informatiesystemen in het bedrijf gebruikt. De wettelijke grondslag hiervoor is waarschijnlijk de "uitvoering van een overeenkomst" (arbeidsovereenkomst waarbij het van belang is dat de werkgever zaken met je communiceert en verifieert of die informatie jou bereikt heeft) of het "gerechtvaardigd belang" (weten of e-mails wel worden gelezen) van je werkgever.

Met vriendelijke groet,
een DPO
05-09-2018, 07:32 door Anoniem
Nou, het ligt er maar aan wat er in de gedragsregels is opgenomen over het gebruik van zaken als email, telefoon en internet voor prive doeleinden. Indien de werkgever medewerkers toestaat om e-mail, telefoon en internet voor prive doeleinden te gebruiken mag de werkgever niet zomaar alles tracken. Ook medewerkers hebben recht op privacy en het kan zeker geen kwaad om daar een goed opgeleide privacy jurist eens naar te laten kijken. Er is voldoende jurisprudentie te vinden waarbij werkgevers personeel ontslagen heeft voor het gebruik van internet terwijl de rechter de werkgever op de vingers tikte over het monitoren en lezen van prive berichten. Het is niet zo simpel zoals sommige DPO's hier het doen voorkomen.
05-09-2018, 11:29 door Anoniem
Ook medewerkers hebben recht op privacy en het kan zeker geen kwaad om daar een goed opgeleide privacy jurist eens naar te laten kijken

Klopt, maar als je als medewerker *vooraf* weet dat die tracking er is, dan is het verder je eigen keuze om wel/niet dat email adres ook te gebruiken voor het versturen van een prive email (waarom gebruik je niet gewoon je prive webmail bijvoorbeeld) ?

Verder gaat email tracking niet over de inhoud van je email. Ga je je echt zorgen maken dat via tracking terug te vinden is wanneer, en naar wie jij een prive email verstuurd hebt (terwijl je vooraf als medewerker bent geinformeerd over deze tracking, waardoor je dit kennelijk reeds hebt aanvaard) ?

In het verleden heb ik bij een bedrijf gewerkt waar iedere email, vanuit oogpunt van veiligheid gelezen kan worden (hoog beveiligde omgeving). Indien ik dan kies om vanaf dat email adres een prive mail te versturen, dan neem *ik* dus het risico dat deze email wordt gelezen, en dat is dan *mijn* verantwoordelijkheid.

Je hebt immers ook een eigen verantwoordelijkheid. En dat je een prive mail *mag* versturen, in een omgeving met mail tracking beleid, impliceert niet dat je dit *moet* doen - dat is jouw keuze.
05-09-2018, 18:11 door Anoniem
Wat zegt Arnout Engelfriet over email tracking:
https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/
Steeds meer maildiensten werken met HTML, en je kunt dan zo ongeveer een complete webpagina met alles erop en eraan opnemen. Inclusief tracking scripts, cookies of wat je maar wil. Zo kun je dan bijvoorbeeld uitlezen wat voor mailprogramma iemand gebruikt, hoe lang hij de mail leest, of hij op links klikt en ga zo maar door.
Het kan dus nogal ingrijpend zijn wat er wordt bespied.

Nu mag je werkgever tot op zekere hoogte zijn personeel controleren.
Je werkgever hoeft zijn personeel daarvoor geen toestemming voor te vragen.
Hij moet wel duidelijk aangeven aan het personeel dat hij tracking pixels in email gebruikt.
Maar het mag niet worden gebruikt om alles betreffende email van iedereen continu te bespioneren.
Er moet ook voldoende privacy zijn op de werkvloer.
Steekproef mag wel,
en verder als er zware verdenkingen zijn tegen een bepaald persoon van ernstige overtreding.
05-09-2018, 18:34 door Anoniem
Mijn werkgever gebruikt een email tracking tool bij interne communicatie naar medewerkers.
Wat is dat dan precies en voor welk doel met welk voordeel en nadeel?

Want tracking = volgen.
Een email volgen van afzender naar ontvanger op een intern netwerk kon men waarschijnlijk al vanaf het moment van ingebruikname, dus wat is nou precies de nieuwe en extra privacy inbreuk die je daarbij verwacht?

Idee om van prive-foon naar prive-foon te communiceren?
Ff uitwisselen tijdens de luchpauze.
Pas wel op voor ruggespraakluisteraars in de rij voor de kroket want of er een krokettenparagraaf in de complayens staat waag ik te betwijfelen en staan er boontjes op het menu om zelf te doppen.

Maw, als je privacy wil begin je met een goede basis.
En dat is niet het netwerk van je baas en dat is ook niet via google of faecebook.
06-09-2018, 00:22 door Anoniem
Gebruik geen oude cases voor GDPR wetgeving. Dat is een fout die veelvuldig wordt gemaakt. Ervaringen van voor 25 mei 2018 zijn niet zomaar van toepassing op de situatie na 25 mei 2018.

Wat SecOff zegt klopt niet helemaal denk ik. Ja, er kan een belang zijn, maar als er andere minder privacy invasieve opties zijn is dat belang sowieso niet gerechtvaardigd. Verder geldt de GDPR voor iedereen, dus ook voor werknemers. Een voorbeeld daarvan wordt genoemd in de link de topic starter geeft. Privacy is een grondrecht verankert in de grondwet en in verdragen van de rechten van de mens. GDPR is de implementatie daarvan. Dat mag je niet zomaar terzijde schuiven.

Organisaties die niet voldoen riskeren een boete van maximaal 20% van de omzet.

Er zijn 3 dingen erg belangrijk voor een werkgever:
1. gerechtvaardigd belang verzamelen van data
2. informatieplicht (transparantie)
3. expliciet en onafhankelijk toestemming vragen (dus niet ergens verstopt in algemene voorwaarden)

Bij 1 gaat het al mis in het beschreven geval. De werkgever kan bij belangrijke mails om bevestiging van lezen vragen. Dan kan de werknemer die zelf geven. Bij 3 zie ik het ook niet dat de werkgever hier onderuit komt. Hij mag niet verwijzen naar de arbeidsovereenkomst. Een opt out moet eveneens kunnen onafhankelijk van de arbeidsovereenkomst.

Teveel mensen denken op de oude voet door te kunnen gaan. Zelfs hele bedrijfstakken (web sites, energieleveranciers met teveel registrerende meters) en publieke organisaties doen dit. Uiterst merkwaardig. Nog vreemder wordt het als Amerikaanse sites de wet wel goed uitvoeren en Europese niet. Amerikanen zijn blijkbaar toch meer gewend aan nadelige gevolgen als de wet niet naleven.
06-09-2018, 14:21 door Anoniem
00:22 door Anoniem: Verder geldt de GDPR voor iedereen, dus ook voor werknemers
Wat bedoel je daar mee? Dat werknemers geen tracking methoden mogen gebruiken in de mails naar hun baas?....
06-09-2018, 15:26 door Anoniem
Door Anoniem: Gebruik geen oude cases voor GDPR wetgeving. Dat is een fout die veelvuldig wordt gemaakt. Ervaringen van voor 25 mei 2018 zijn niet zomaar van toepassing op de situatie na 25 mei 2018....

3. expliciet en onafhankelijk toestemming vragen (dus niet ergens verstopt in algemene voorwaarden)

...3 zie ik het ook niet dat de werkgever hier onderuit komt. Hij mag niet verwijzen naar de arbeidsovereenkomst. Een opt out moet eveneens kunnen onafhankelijk van de arbeidsovereenkomst.

Teveel mensen denken op de oude voet door te kunnen gaan. Zelfs hele bedrijfstakken (web sites, energieleveranciers met teveel registrerende meters) en publieke organisaties doen dit. Uiterst merkwaardig. Nog vreemder wordt het als Amerikaanse sites de wet wel goed uitvoeren en Europese niet. Amerikanen zijn blijkbaar toch meer gewend aan nadelige gevolgen als de wet niet naleven.

Bij dit punt gaat het meestal mis. Er wordt vaak vanuit gegaan, dat wanneer een medewerker zegt, hiermee akkoord te gaan, dat dit voldoende is. Alleen is er door de gezagsverhouding tussen werkgever en werknemer zelden sprake van een onafhankelijke toestemming. De meeste mensen zullen zich genoodzaakt zien, om die toestemming te geven uit angst voor hun baan. Dat soort toestemmingen zijn dan onbruikbaar. Dit geldt b.v. ook, wanneer een sollicitant toestemming geeft om zijn Facebook account in te zien, wanneer daar bij de sollicitatie om gevraagd wordt. Ik meen van een jurist op mijn werk gehoord te hebben, dat dit ook al in rechtszaken zo is aangekaart en dat al voor de AVG, maar is in dit geval wel rechtstreeks over te nemen, lijkt me.
06-09-2018, 17:30 door Anoniem
Door CautiousMe: Mijn werkgever gebruikt een email tracking tool bij interne communicatie naar medewerkers.
Dan open je de mail toch niet. Gewoon de afzender op de blacklist en zeggen dat je nooit de e-mails hebt ontvangen ivm anti-spam beleid.

En je kan altijd bij de koffiemachine aan collega's vragen of er iets belangrijks is.
06-09-2018, 18:10 door Anoniem
Door Anoniem:
00:22 door Anoniem: Verder geldt de GDPR voor iedereen, dus ook voor werknemers
Wat bedoel je daar mee? Dat werknemers geen tracking methoden mogen gebruiken in de mails naar hun baas?....

Nee, ik bedoel dat het ook geldt voor werknemers, net zoals het geldt voor klanten en andere natuurlijke personen.

GDPR bevat rechten en plichten.

De baas heeft overigens ook recht op privacy.
06-09-2018, 18:47 door Anoniem
Mijn werkgever gebruikt een email tracking tool bij interne communicatie naar medewerkers.

Beschrijf letterlijk wat daarvan de consequentie is, wat gebeurt er dan letterlijk?
Wat kan de werkgever doen wat ze daarvoor dan niet scheen te kunnen, veel 'track' functionaliteit zit toch al standaard in de outlook pakket zelf?
En waarom is extra tracken (wat het ook mag zijn maar dat weten we dus niet) erg : wat is de concrete last die je hebt, wat is de concrete inbreuk????

Ik zie hem niet.
06-09-2018, 21:04 door karma4
Door Anoniem: Gebruik geen oude cases voor GDPR wetgeving. Dat is een fout die veelvuldig wordt gemaakt. Ervaringen van voor 25 mei 2018 zijn niet zomaar van toepassing op de situatie na 25 mei 2018.

Wat SecOff zegt klopt niet helemaal denk ik. Ja, er kan een belang zijn, maar als er andere minder privacy invasieve opties zijn is dat belang sowieso niet gerechtvaardigd. Verder geldt de GDPR voor iedereen, dus ook voor werknemers. Een voorbeeld daarvan wordt genoemd in de link de topic starter geeft. Privacy is een grondrecht verankert in de grondwet en in verdragen van de rechten van de mens. GDPR is de implementatie daarvan. Dat mag je niet zomaar terzijde schuiven.

Organisaties die niet voldoen riskeren een boete van maximaal 20% van de omzet.

Er zijn 3 dingen erg belangrijk voor een werkgever:
1. gerechtvaardigd belang verzamelen van data
2. informatieplicht (transparantie)
3. expliciet en onafhankelijk toestemming vragen (dus niet ergens verstopt in algemene voorwaarden)
...
.


Het bedrijf heeft met de GDPR de wettelijke plicht om de verwerking van de privacy gevoelige persoonsgegevens gedegen in kaart te hebben en te volgen. Dat betekent gewoon dat alle werkzaamheden door de werkgever gelogd moeten worden.
Je kunt dat de tracking met van alles al profiling van de werknemer er bij halen, het zal je niet helpen.

Als er persoonsgegevens door het bedrijf gelekt worden dan heeft het bedrijf de uitdaging het geheel onderbouwd af te handelen niet een willekeurige werknemer. Dan moet het bedrijf de mogelijke foute zaken voor zien te zijn.
De grootste dreiging zit bij internen.
13-09-2018, 15:29 door CautiousMe
Dank tot zover voor jullie meningen. Duidelijk is dat het aannemelijk belang helder moet zijn om dit te kunnen gebruiken. Hieronder een stuk uit de email waarin de werknemers worden geinformeerd over het hoe en waarom van Bananatag:

Je hebt het vast al gezien: steeds vaker ontvang je mails opgemaakt in een mooi jasje. Dit doen we met behulp van Bananatag, een tool waarmee we onze interne communicatie aantrekkelijker en effectiever kunnen maken.

Met Bananatag kunnen we namelijk niet alleen onze e-mails uitgebreid vormgeven en verrijken met onder meer afbeeldingen, video’s, social media buttons etc., maar het geeft ons ook inzicht in de statistieken van het totaal aantal keer dat een mail is gelezen of een link is aangeklikt. Op die manier leren hoe we onze onderlinge communicatie en de informatie-uitwisseling tussen onze landen en onze teams kunnen verbeteren. We hebben hierbij overigens geen inzage in persoonlijke statistieken, we zien dus niet op individueel niveau of iemand een mail heeft geopend of niet. We zien enkel de totale aantallen.

Uiteraard zijn we graag transparant over wat Bananatag precies doet. Daarom hieronder een uitleg over de werking en het gebruik van Bananatag.

Zo werkt Bananatag

Bananatag meet het totaal aantal keer dat een mail is geopend aan de hand van een transparante pixel die aan een mail wordt toegevoegd. Wanneer de mail wordt geopend, wordt deze pixel gedownload: het aantal downloads laat het aantal ‘opens’ zien. Hierbij worden ook het tijdstip, de globale locatie (op plaatsniveau) en het type apparaat (mobiel of desktop) gemeten. Verder toont Bananatag per verzonden Bananatag-mail de afzender, onderwerpregel en de geadresseerden in de ‘To’ en ‘CC’-velden. Omdat emailadressen van individuele leden van Outlook e-mailgroepen (bijv. allen@bedrijf.nl) en de adressen in het BCC veld niet worden vastgelegd, worden Bananatag e-mails zoveel mogelijk verstuurd aan e-mailgroepen of geadresseerden in het BCC-veld. Ook de inhoud van de mail wordt niet geregistreerd. De opslag van gegevens vindt plaats op een server in Amerika. Omdat dit enkel gegevens zijn met betrekking tot onze zakelijke e-mailaccounts, is hier vanuit IT en Compliance geen bezwaar tegen. De gegevens worden verwijderd bij beëindiging van het contract met Bananatag of wanneer wij daar zelf eerder om verzoeken.

Het gebruik van Bananatag

Bananatag wordt enkel gebruikt voor het versturen van interne nieuwsbrieven of updates vanuit afdelingen, teams of projecten. De tool is daarmee uitsluitend bedoeld voor interne communicatie. Met de informatie in Bananatag hebben we zicht op het effect van onze nieuwsbrieven en kunnen we ze waar nodig verbeteren. Bananatag is daarmee een grote aanwinst om nog beter onderling kennis uit te wisselen en elkaar op de hoogte te houden. De tool is voor ieder team, project of afdeling toegankelijk. Wil jij ook interne nieuwsbrieven of updates met Bananatag versturen? Laat het ons dan vooral weten. Via IT kunnen we toegang voor je aanvragen en we helpen je graag bij het ontwikkelen van een template. Mocht je deze informatie later nog eens terug willen lezen: je kunt dit terugvinden op het intranet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.