Dit is in de basis een verwerking in de zin van het uitvoeren van een contract met de klant. De klant moet er mee instemmen door de overeenkomst te accepteren, want het verwerken is noodzakelijk voor het uitvoeren van het contract. Dat betekent dat er een grondslag is voor verwerking.
IMAP/MAPI bijvoorbeeld slaan ook emails op waar een provider in principe in zou kunnen kijken. Voor het bekijken van emails moet je vooraf toestemming vragen.
Waar je een probleem hebt is als de emails of content daarin jouw bedrijf verlaten. Daarvoor heb je een verwerkingsovereenkomst nodig met derden. Ik zou dit zo veel mogelijk beperken, want ook al heb je een verwerkingsovereenkomst, je blijft aansprakelijk. Ook kunnen klanten eisen dat de data de EU niet verlaat, ook al staat het land waar de data staat op de lijst toegestane landen. Als de data dus in de VS wordt opgeslagen, dan kan een klant eisen dat het in een Europees land moet gebeuren.
Waar iedereen over na zou moeten denken is het gebruik van blacklists (bv DNS blacklists) van derden. Die kunnen ook gegevens lekken. Het afzender IP wordt gecontroleerd, de host name of domein in een URL, en ook checksums van strings. Een IP is bijvoorbeeld een persoonsgegeven.