Een directe collega leest de mail van de manager, mag dat?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Een directe collega heeft toegang tot de mailbox van onze teamleider/manager en kan mailtjes die wij dachten in prive/vertrouwen te sturen meelezen. Wij waren hier niet van op de hoogte gesteld. Mag dit zomaar en wat kan hier eventueel aangedaan worden als dit niet mag?
Antwoord: Ik ga er maar even vanuit dat deze directe collega met een legitieme reden die toegang heeft. Het lijkt me vanzelfsprekend dat als die collega tegen de regels in het wachtwoord kent, er iets goed mis is en de collega natuurlijk niet die mails mag lezen.
De vraag "mag dit zomaar" komt dan allereerst neer op "met welke reden heeft de collega toegang". Het gaat kennelijk niet om de assistent van de teamleider, gezien de bewoordingen "directe collega". Op zich zou het logisch zijn dat iemands assistent toegang heeft tot diens mailbox, dat hoort immers bij het assisteren.
Een ict-beheerder is vaak ook iemand die toegang heeft tot mailboxen vanuit zijn of haar werk. Dat is dan op zich ook legitiem. De vervanger van de teamleider kan ook redenen hebben om in de mailbox te willen, en zo kan ik nog wel even doorgaan.
Als iemand toegang heeft tot een mailbox, dan wil dat nog niet zeggen dat zhij dan alles mag met de inhoud. Het lezen en andere acties moet verbonden zijn met die taak. Een assistent mag dus meer dan een ict-beheerder, bijvoorbeeld.
Persoonsgebonden berichten vallen gewoonlijk buiten die taak, als jij specifiek iets aan teamleider Janny de Vries wil berichten dan behoort Willem de assistent daar niet in te kijken. In de context van e-mail is dit wat lastig in te regelen, praktisch kom je vaak niet verder dan in de onderwerpregel termen als "Strikt persoonlijk" of "Alleen voor jou" op te nemen. Encryptie met een sleutel waartoe de assistent of andere toeganghebber niet bevoegd is, zou nog mooier zijn.
Dan blijft als laatste nog de juridische achtervang over dat je geheimhouding hebt over duidelijk vertrouwelijke dingen die je in het kader van je werk tegenkomt. Dat geldt dus ook als er geen persoonsgebonden encryptie is gebruikt, en ook als de mail in de inbox stond en ook als er niet "strikt persoonlijk" in de onderwerpregel staat. Als na lezing duidelijk is dat dit een privébericht was, dan heb jij dus je mond (en screenshotknop) daarover te houden.
Natuurlijk is het in een werkrelatie vaak lastig om een collega ergens op aan te spreken, juist omdat je nog lang met die persoon zult moeten blijven werken. En als dit een persoon is die er weinig problemen mee heeft om (kennelijk) te roddelen over wat hij in die mailboxen leest, dan zal een goed gesprek ook weinig effect hebben. Dan blijft over het meer escaleren: vakbond of OR inschakelen, de teamleider hierop aanspreken als een groep, HR vragen hier wat van te vinden, een klacht bij de manager van de teamleider, zulke dingen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dit is dus een mooi voorbeeld van het feit dat email gewoon niet vertrouwelijk is, ook al wordt er vaak gedaan alsof dat wel zo is. Oud nieuws zou je zeggen. Maar blijkbaar toch niet als mensen vragen 'mag dit'?
Stel dat je het op papier zou doen... Mag een collega de sleutel van de archiefkast hebben? Als het antwoord daarop 'ja' is, dan is het verhaal dan niet anders - al heb ik toch het idee dat mensen minder makkelijk ordners door snuffelen dan ff door een mailbox browsen.
Het antwoord van Arnoud past alleen bij de titel, en de paragraaf "juridische vraag" lijkt geen relatie te hebben met de titel of het antwoord van Arnoud .
===
uit het antwoord is genoeg over de vraag te raden - waarin blijkbaar veel relevante informatie ontbreekt .
Arnoud's antwoord is prima common sense - blijft verbazingwekkend waarom mensen een zo incomplete (blijkbaar) vraag sturen en dan denken een keihard juridisch oordeel te kunnen krijgen .
Dit is dus een mooi voorbeeld van het feit dat email gewoon niet vertrouwelijk is, ook al wordt er vaak gedaan alsof dat wel zo is. Oud nieuws zou je zeggen. Maar blijkbaar toch niet als mensen vragen 'mag dit'?
Stel dat je het op papier zou doen... Mag een collega de sleutel van de archiefkast hebben? Als het antwoord daarop 'ja' is, dan is het verhaal dan niet anders - al heb ik toch het idee dat mensen minder makkelijk ordners door snuffelen dan ff door een mailbox browsen.
Ook op papier gelden dezelfde overwegingen die Arnoud als common sense benoemde .
Als je de assistent HR bent - moet/mag/kun je in de archiefkast personeels dossiers kijken. Ook daar hoor je ethisch te zijn - zoeken naar wat je nodig hebt voor een concrete vraag of taak als je deel van je werk, en vertrouwelijk.
De boekhouder - en afdeling - "zien" ook alle salarissen , al of niet op papier.
1. Als de collega deze toegang (=aanvullende rechten tov zijn reguliere functie) heeft gekregen in opdracht van de teamleider dan is dat volgens de regels en mag dat.
De teamleider kan iemand toegang geven tot zijn informatie (tenminste als dat gebeurt volgens de regels).
2. Als dat niet zo is (dat kun je even navragen bij de teamleider natuurlijk) dan is er een probleem met de authorisatie en zou ik dat zeker melden bij de teamleider c.q. de Security Officer (of conform de regels die hiervoor bij jouw bedrijf gelden).
3. De toegang zou dan wel moeten met zijn/haar eigen inlog en niet met de gegevens van de teamleider.
In dat geval is er wel degelijk nog iets mis. :-(
Je kunt denken of hopen dat het goed gaat, maar garantie heb je niet dus als het belangrijk is gebruik het daar dan niet voor.
Je kunt denken of hopen dat het goed gaat, maar garantie heb je niet dus als het belangrijk is gebruik het daar dan niet voor.
De enige uitzondering is mail als transportmechanisme gebruiken voor het transport van iets wat encrypted is. Maar ja, dat is voor 99% van de mensen te moeilijk.
Het wordt nog 'lachen' in 'de zorg' nu eea. ge-digi-dramd is. Maakt niet uit, het zijn maar gegevens van patiënten.
les 1 : email is niet veilig
les 2 : email boxen zijn niet veilig
les 3 : klagen doe je persoonlijk bij de baas, niet via email
les 4 : er zijn altijd in alle omgevingen mensen die met de ellebogen werken en bruin-neuzen en naar boven likken en naar onderen trappen... zowel in overheid als in productie als overal eigenlijk...
in omgevingen waar mensen bang zijn dat hun incompetentie bekend gaat worden zie je dat vaker.
dan gaan ze kennis en macht vergaren om hun positie zeker te stellen... en zijn niet bang anderen voor de spreekwoordelijke bus te gooien om die positie te houden.
been there (in front of the bus)... en dan is het zaak een goede gele reflecterende jas aan te hebben... (in de vorm van cover-your-ass bewijsmateriaal enz).
Ik zal je een grappig verhaaltje vertellen van heeeeel lang geleden... Gezien de software zul je wel kunnen achterhalen hoe lang geleden....
Affijn, voor een management opdracht werd ik naar het zuiden van het land gestuurd... veel verder zuidelijk kun je bijna niet totdat je luxemburgs gaat praten... Ik kwam daar voor een audit van een netwerk en besprak eventuele problemen die deze klant had. Een van de problemen die ze hadden was dat hun computers op de centrale server geen bestanden konden opslaan behalve in 8+3 formaat. Gezien mijn kennis van netwerken was dat een eitje natuurlijk... Ik heb gevraagd hoe belangrijk het was dat het snel opgelost zou worden en of er een emergency change nodig was. Alles was geregeld, en ik deed mijn onderzoek... Mijn vermoeden was juist. Het bleek dat ze Novell Netware draaien en OS/2 namespace module niet hadden geladen.
Na het laden en toevoegen van de module konden ze lange bestandsnamen opslaan en ik dacht dat ze blij waren... Dat waren ze dus niet... Een van mijn eerste lessen in 'het oplossen van problemen is niet altijd wat een klant wil'....
De toko die mij inhuurde voor de audit kreeg te horen dat het bedrijf niet blij was dat zij 16 maanden lang het probleem niet konden achterhalen en ik het in 5 minuten oploste. De toko deed natuurlijk wat dat soort toko's altijd doen, nee, dat is niet achterhalen waarom het 16 maanden geduurd had..dat was namelijk het direct opzeggen van het contract met mij.
Dus een gevalletje van incompetentie verhullen, en dat zal deze 'assistent' van de teamleider ook wel doen..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
