Onze ict-dienstverlener wist zonder melding oude mailboxen. Kan ik hem hierop aanspreken?
woensdag 4 september 2024, 10:36 door Arnoud Engelfriet, 21 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Wij zijn een klein adviesbureau en besteden al onze ict-dienstverlening uit. Nu hebben wij recent ontdekt dat oude mailboxen (ex-werknemers) na 30 dagen worden gewist. Dit is erg vervelend, omdat wij nu geen oude correspondentie terug kunnen halen die nodig is voor een juridisch geschil met een klant. Kunnen wij de dienstverlener hierop aanspreken?
Antwoord: Dit lijkt het omgekeerde geval van de vraag uit juli waarbij de leverancier ongevraagd back-ups wilde maken. Hier gooit deze dus ongevraagd gegevens weg omdat die naar diens inzicht niet meer nodig zijn.
Het antwoord begint bij hetzelfde punt, namelijk de zorgplicht van de ict-dienstverlener. Iets specifieker diens informatieplicht, uitleggen hoe je werkt en welke keuzes je daarin maakt. Op zich is die 30 dagen een prima keuze, maar de klant moet dat wel weten zodat deze erop kan acteren. Ik twijfel of je per mailbox nog laatste herinneringen moet mailen ("Let op: over 3 dagen wordt een oude mailbox gewist" naar de contactpersoon), maar netjes zou dat wel zijn.
Tegelijkertijd heeft ook de klant natuurlijk een zekere verantwoordelijkheid. Als een werknemer vertrekt, is opschonen van diens mailbox een standaardactie. Belangrijke mails, zoals toezeggingen aan een klant, horen in dossiers of klantadministraties te zitten en niet in een mailbox. Ik snap dat dat vaak niet gebeurt, maar dan krijg je dus wel dit soort problemen.
Voor dit concrete geval zie ik niet echt een oplossing. Die mailbox is weg, en die komt niet terug als de leverancier bedrag X als schadevergoeding betaalt. Dit nog los van de vraag óf er vergoedbare schade is. De gevolgschade zoals de klant moeten afkopen valt buiten de risicosfeer van de leverancier, dit zal het adviesbureau zelf moeten dragen. Dit is te zeer hun eigen risico om nog 100% op het bordje van de ict-leverancier te leggen.
Het beste advies is dus om dit als aanleiding te gebruiken om de beheersovereenkomst te herzien. Maak afspraken over bewaartermijnen, over het aanleveren van een statische kopie of export dan wel over herinneringen om te downloaden voor het te laat is. En herzie je eigen procedures over wat er (uitsluitend) in mailboxen mag staan.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (21)
04-09-2024, 10:50 door
Anoniem
het verwijderen van iemands outlook data (na 30 dagen) is default gedrag van office365. zodra je een account verwijderd.
04-09-2024, 10:56 door
Anoniem
Lijkt in dit geval heel erg op een, we verwijderen de licentie en daarmee vervalt de mailbox na 30 dagen in de m365 cloud.
Geen juridish advies, maar een kleine tip / idee.
Vraag om de mailbox van een oud medewerker over te zetten naar een Gedeelde (Shared) mailbox,
en spreek dan met de dienstverlener af over hoeveel tijd deze mailbox dan wel dient te worden verwijderd.
Hierdoor kost het geen extra licentie, maar blijft de data wel bewaard.
Vraag om volledige toegang (als dit nodig is bedrijfstechnisch) en 'leeg' deze mailbox alvorens de verwijdering.
Wij zetten ex medewerkers vaak over naar gedeelde mailboxen, waarna we vragen of en wanneer deze verwijderd moet worden. Soms als er dus geen belangrijke zaken in staan wordt de mailbox met de standaard 30 dagen inderdaad verwijderd.
Geen juridish advies, maar een kleine tip / idee.
Vraag om de mailbox van een oud medewerker over te zetten naar een Gedeelde (Shared) mailbox,
en spreek dan met de dienstverlener af over hoeveel tijd deze mailbox dan wel dient te worden verwijderd.
Hierdoor kost het geen extra licentie, maar blijft de data wel bewaard.
Vraag om volledige toegang (als dit nodig is bedrijfstechnisch) en 'leeg' deze mailbox alvorens de verwijdering.
Wij zetten ex medewerkers vaak over naar gedeelde mailboxen, waarna we vragen of en wanneer deze verwijderd moet worden. Soms als er dus geen belangrijke zaken in staan wordt de mailbox met de standaard 30 dagen inderdaad verwijderd.
04-09-2024, 11:14 door
Anoniem
Het is de vraag of een werkgever de persoonlijke mailboxen wel überhaupt mag inzien i.v.m. de privacy wetgeving, laat staan de mailbox om te zetten in een shared mailbox.
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
04-09-2024, 12:03 door
Tintin and Milou
Klinkt redelijk als halve informatie en geen duidelijke afspraken en geen duidelijk informatie beleid bij dit bedrijf.
Email is geen archief.
Email is geen archief.
04-09-2024, 12:16 door
Anoniem
Door Tintin and Milou: Klinkt redelijk als halve informatie en geen duidelijke afspraken en geen duidelijk informatie beleid bij dit bedrijf.
Email is geen archief.
Email is geen archief.
Negens staat in welke rfc dan ook aangegeven of opgeslagen mail wel of niet als archief gebruikt kan worden.
Als een gebruiker/bedrif het gebruikt als archief dan is het archief.
Thee water is voor thee, Koffie water is voor koffie.
- het komt uit dezelfde kraan net hoe je het gebruikt.
04-09-2024, 12:19 door
Anoniem
Door Anoniem: Het is de vraag of een werkgever de persoonlijke mailboxen wel überhaupt mag inzien i.v.m. de privacy wetgeving, laat staan de mailbox om te zetten in een shared mailbox.
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
Jazeker mag de werkgever dat,
- er condities waar hij hij dat zonder meer mag.
- er zijn condities waar hij dat met toestemming van de gebruiker mag.
04-09-2024, 12:20 door
Anoniem
Door Tintin and Milou: Klinkt redelijk als halve informatie en geen duidelijke afspraken en geen duidelijk informatie beleid bij dit bedrijf.
Email is geen archief.
Daar heeft het wel de schijn van. Email is geen archief.
Als bedrijf hoor je je eigen rententie beleid te overleggen met je leveranciers, partners en klanten.
Dat is klaarblijkelijk hier niet gebeurt. Beloofd wat voor disaster recovery protocol..
Als IT aanbieder heb je je ook gewoon aan de wetgeving te houden en data die gemarkeerd is voor verwijdering moet op zo kort mogelijk termijn dat redelijk wordt bevonden weg zijn. Het zou geholpen hebben als de eis van een maximaal aantal dagen wel door de lobby heen gekomen was tijdens aanname van GDPR maar helaas moeten we het met vage Europese eisen doen. Partijen als Microsoft hebben daarom besloten maand en niet meer en daar kun je niks tegen doen als tussen of eind afnemer.
Wil je meer dan succes met een partij zoeken die het wel toelaat. Wij zelf geven klanten veertien dagen en een herrinering en daarna is het onherroepelijk weg uit alle back-ups en databases. Aanvraag geschied via een digitaal formulier getekend leveren waarin dus ook staat dat ze kennis hebben genomen dat herstel tot veertien dagen na ontvangt mogelijk is. Eerste beste boze klant krijgt dat papier voor zijn neus geduwd met handtekening en datum tijd. Ze kunnen het ook zelf in hun dashboard en dan krijgen wij een mail die we archiveren met er is een verwijder actie ingepland op X en hun krijgen die ook.
Klanten en zorgvuldig met data omgaan is altijd een uitdaging en het is bijn schattig hoe sommige bedrijven denken dat ze geen eigen verantwoordelijkheid hoeven te dragen als ze alles uitbesteden. Niet hoe het werkt.
04-09-2024, 13:58 door
Anoniem
Het beste advies is dus om dit als aanleiding te gebruiken om de beheersovereenkomst te herzien. Maak afspraken over bewaartermijnen, over het aanleveren van een statische kopie of export dan wel over herinneringen om te downloaden voor het te laat is. En herzie je eigen procedures over wat er (uitsluitend) in mailboxen mag staan
Een goed advies! Had ook door het 'adviesbureau' zelf gegeven kunnen worden.
Ik betwjifel overigens of de kleine lettertjes in het contract sowieso bij het aangaan van de dienst gelezen zijn. Ongetwijfeld dat daar al zoiets in staat dat niet in gebruik zijnde mailboxen na 30 dagen verwijderd worden.
De dienstverlener hierop aanspreken kan maar als klein bedrijf heb je zelf een flinke zorgplicht.
Ps: Mail is geen backup- of archiveringsdienst.
04-09-2024, 16:23 door
Anoniem
Ik neem aan dat die mailbox na 30 dagen is verwijderd omdat het adviesbureau zelf de e-mailaccount van de ex-werknemer heeft afgesloten. Het alternatief zou zijn dat de provider mailboxen die 30 dagen niet gebruikt zijn op eigen houtje verwijdert, en dan zou ik hard hollend overstappen naar een andere provider, dan kan het bij een lange vakantie of ziekte al misgaan.
Maar als je zelf regelt dat een account wordt afgesloten, regel dan (voortaan) ook wat erbij hoort. En ga na of het zo werkt als je denkt dat het werkt, neem niet aan dat het hetzelfde is als je je herinnert of meent te herinneren. Je herinnering kan fouten bevatten (zo werkt dat bij mensen) en wie weet is er ooit een wijziging in voorwaarden geweest waardoor het echt anders werkt dan vroeger.
Ik zou nu de provider sowieso vragen of er nog een backup van de mailbox bestaat. Het is mogelijk dat backups langer bewaard worden dan ze het account laten bestaan.
Maar als je zelf regelt dat een account wordt afgesloten, regel dan (voortaan) ook wat erbij hoort. En ga na of het zo werkt als je denkt dat het werkt, neem niet aan dat het hetzelfde is als je je herinnert of meent te herinneren. Je herinnering kan fouten bevatten (zo werkt dat bij mensen) en wie weet is er ooit een wijziging in voorwaarden geweest waardoor het echt anders werkt dan vroeger.
Ik zou nu de provider sowieso vragen of er nog een backup van de mailbox bestaat. Het is mogelijk dat backups langer bewaard worden dan ze het account laten bestaan.
04-09-2024, 19:08 door
Anoniem
Wij zijn een klein adviesbureau en besteden al onze ict-dienstverlening uit. Nu hebben wij recent ontdekt dat oude mailboxen (ex-werknemers) na 30 dagen worden gewist.
Ik neem aan: 30 dagen nadat jullie de dienstverlener verteld hebben dat de werknemer uit dienst is.Wat dacht je dan dat de consquentie van een dergelijke melding zou zijn en/of zou moeten zijn?
Het lijkt me duidelijk dat als je voor diensten betaalt "per werknemer" en je beeindigt zo'n account, dat dan de bijbehorende dienst (opslag van data) ook stopt. Het is al mooi dat dit niet meteen gebeurt, maar pas na 30 dagen.
04-09-2024, 20:06 door
Tintin and Milou
Door Anoniem:
Negens staat in welke rfc dan ook aangegeven of opgeslagen mail wel of niet als archief gebruikt kan worden.
Als een gebruiker/bedrif het gebruikt als archief dan is het archief.
Als je hier niet goed over nadenkt, krijgt je wel dit soort problemen. Email box is bijvoorbeeld van 1 persoon, dus als hij op vakantie is, kan niemand direct toegang hebben tot dit "archief". Door Tintin and Milou: Klinkt redelijk als halve informatie en geen duidelijke afspraken en geen duidelijk informatie beleid bij dit bedrijf.
Email is geen archief.
Email is geen archief.
Negens staat in welke rfc dan ook aangegeven of opgeslagen mail wel of niet als archief gebruikt kan worden.
Als een gebruiker/bedrif het gebruikt als archief dan is het archief.
Emailboxen zijn niet bedacht voor opslag van dit soort informatie. Ik kom wel eens mailboxen tegen met zoveel items, dat de performance niet meer optimaal is. Gelukkig zijn er nooit meer PST, want dat was helemaal een drama.
Ik kan nog iets met privacy noemen, maar dat laat ik maar even zitten.
Thee water is voor thee, Koffie water is voor koffie.
- het komt uit dezelfde kraan net hoe je het gebruikt.
- het komt uit dezelfde kraan net hoe je het gebruikt.
De WC spoel ik ook door met kraan water. Dus?
Gisteren, 10:34 door
Anoniem
Door Anoniem:
Negens staat in welke rfc dan ook aangegeven of opgeslagen mail wel of niet als archief gebruikt kan worden.
Als een gebruiker/bedrif het gebruikt als archief dan is het archief.
Thee water is voor thee, Koffie water is voor koffie.
- het komt uit dezelfde kraan net hoe je het gebruikt.
En de thee en koffie is verschillend.Door Tintin and Milou: Klinkt redelijk als halve informatie en geen duidelijke afspraken en geen duidelijk informatie beleid bij dit bedrijf.
Email is geen archief.
Email is geen archief.
Negens staat in welke rfc dan ook aangegeven of opgeslagen mail wel of niet als archief gebruikt kan worden.
Als een gebruiker/bedrif het gebruikt als archief dan is het archief.
Thee water is voor thee, Koffie water is voor koffie.
- het komt uit dezelfde kraan net hoe je het gebruikt.
Je vergelijking gaat nergens over.
E-mail is geen veilige medium voor opslag het is niet met de mindset van veiligheid ontwikkelt. Daarom dat je ook altijd van die overdreven disclaimer teksten ziet. Die archief functie in je MUA is gemaakt zodat je de data kan scheiden en vervolgens ergens anders veilig kan bewaren *buiten* je mail programma om niet er binnen als een glorified mappen structuur.
Ik ken ook nog wel klanten uit het verleden die hun dossiers in prullenbak bewaarde als archief.
Dus als iemand die methodes aanhoudt moeten ze zelf weten maar als het mis gaat en ze geen back-up hebben mogen ze zelf hun datalek dossier gaan opstellen en uitleggen waarom ze deskundig advies hebben afgeslagen.
Geen enkele IT partij gaat je hier in verdedigen op zo beslissing. Sterker nog de kans is heel groot dat de klant hun eigenwijsheid met datum en tijd is vastgelegd in het CRM. Wij zetten ook notittie neer als: klant werkt op Outlook 2007 EOL verboden ondersteuning aan te bieden bij gerelateerde mail problemen. Klant maakt geen back-ups voor shop wijzigingen na herhaaldelijk advies. (minimaal uur kosten in rekening brengen bij recovery attempts)
Meeste leren het wel na een gepeperde rekening te hebben ontvangen en de overige komen vanzelf op een nominatie lijst van welke klanten kunnen we het makkelijkste missen in ons portfolio bij deal review.
Gisteren, 11:07 door
Anoniem
Door Tintin and Milou: Email box is bijvoorbeeld van 1 persoon, dus als hij op vakantie is, kan niemand direct toegang hebben tot dit "archief".
Ik denk dat we de "email box van 1 persoon" in het bedrijfsleven nog wel zien verdwijnen...
Je ziet nu al dat bedrijven overstappen op systemen als "Teams" waarbij je een groep definieert waar allerlei resources in zitten zoals bestanden, agenda items, en ook mail.
Je stuurt mail naar het mail adres van dat team en het komt voor iedereen zichtbaar te staan, en iedereen kan er op reageren.
Dat past vaak veel beter bij wat er in een bedrijf gebeurt. Je mailt niet over je eigen besognes maar over activiteiten van het bedrijf, en iedereen van je team mag dat zien en als er iemand ziek of op vakantie is loopt het werk van het team gewoon door.
Het is gewoon een verdere ontwikkeling van het oudere fenomeen "shared mailbox".
Als er mensen in- en uit dienst gaan bepaal je alleen in welke teams ze komen, en je hebt geen last van het fenomeen "prive mails" want die zijn er gewoon niet. Als mensen naar huis willen mailen of naar de bedrijfsarts ofzo dan doen ze dat gewoon vanaf hun eigen telefoon met hun eigen mail die ze gewoon houden als ze ergens anders werken.
Gisteren, 12:47 door
Anoniem
Sorry dat ik het vraag. Hij wist het dus niet?
Gisteren, 13:08 door
Anoniem
Door Tintin and Milou: Klinkt redelijk als halve informatie en geen duidelijke afspraken en geen duidelijk informatie beleid bij dit bedrijf.
Email is geen archief.
En waarom zit er dan een archiveringsfunctie in Outlook?Email is geen archief.
Gisteren, 13:23 door
Anoniem
Door Anoniem: Lijkt in dit geval heel erg op een, we verwijderen de licentie en daarmee vervalt de mailbox na 30 dagen in de m365 cloud.
Geen juridish advies, maar een kleine tip / idee.
Vraag om de mailbox van een oud medewerker over te zetten naar een Gedeelde (Shared) mailbox,
en spreek dan met de dienstverlener af over hoeveel tijd deze mailbox dan wel dient te worden verwijderd.
Hierdoor kost het geen extra licentie, maar blijft de data wel bewaard.
Vraag om volledige toegang (als dit nodig is bedrijfstechnisch) en 'leeg' deze mailbox alvorens de verwijdering.
Wij zetten ex medewerkers vaak over naar gedeelde mailboxen, waarna we vragen of en wanneer deze verwijderd moet worden. Soms als er dus geen belangrijke zaken in staan wordt de mailbox met de standaard 30 dagen inderdaad verwijderd.
Ja dat is volgens mij hor het vaak gaat. Niet elk bedrijf heeft de middelen om mailboxen en gebruikers aan te houden na vertrek.Geen juridish advies, maar een kleine tip / idee.
Vraag om de mailbox van een oud medewerker over te zetten naar een Gedeelde (Shared) mailbox,
en spreek dan met de dienstverlener af over hoeveel tijd deze mailbox dan wel dient te worden verwijderd.
Hierdoor kost het geen extra licentie, maar blijft de data wel bewaard.
Vraag om volledige toegang (als dit nodig is bedrijfstechnisch) en 'leeg' deze mailbox alvorens de verwijdering.
Wij zetten ex medewerkers vaak over naar gedeelde mailboxen, waarna we vragen of en wanneer deze verwijderd moet worden. Soms als er dus geen belangrijke zaken in staan wordt de mailbox met de standaard 30 dagen inderdaad verwijderd.
En als je de gedeelde mailboxen langer wilt bewaren dan mag dat gewoon. Daar zit toch geen limiet aan? Soms is uitzoeken echt niet mogelijk op korte termijn. Denk aan jaren aan email van een medewerker.
En waar laat je email anders dan in een gedeelde mailbox? Uitprinten en in een archiefdoos? Oldskool PST?
Maar stel dat een ICT dienstverlener ongevraagd (gedeelde) mailboxen weg heeft gegooid die nog moesten worden uitgezocht. Wat doe je dan? En ze zijn na 30 dagen foetsie bij Microsoft. Je hebt geen opdracht gegeven tot enige vorm van verwijderen.
Gisteren, 14:54 door
Anoniem
Door Anoniem:
Ja dat is volgens mij hor het vaak gaat. Niet elk bedrijf heeft de middelen om mailboxen en gebruikers aan te houden na vertrek.
En als je de gedeelde mailboxen langer wilt bewaren dan mag dat gewoon. Daar zit toch geen limiet aan? Soms is uitzoeken echt niet mogelijk op korte termijn. Denk aan jaren aan email van een medewerker.
En waar laat je email anders dan in een gedeelde mailbox? Uitprinten en in een archiefdoos? Oldskool PST?
Maar stel dat een ICT dienstverlener ongevraagd (gedeelde) mailboxen weg heeft gegooid die nog moesten worden uitgezocht. Wat doe je dan? En ze zijn na 30 dagen foetsie bij Microsoft. Je hebt geen opdracht gegeven tot enige vorm van verwijderen.
De kans dat een ICT dienst verlener op eigen houtje boxen gaat verwijderen is bijna nul. Waarom zou een dienst verlener daar tijd aan besteden hoe meer boxen in gebruik hoe meer licenties hoe meer inkomsten. Ja dat is volgens mij hor het vaak gaat. Niet elk bedrijf heeft de middelen om mailboxen en gebruikers aan te houden na vertrek.
En als je de gedeelde mailboxen langer wilt bewaren dan mag dat gewoon. Daar zit toch geen limiet aan? Soms is uitzoeken echt niet mogelijk op korte termijn. Denk aan jaren aan email van een medewerker.
En waar laat je email anders dan in een gedeelde mailbox? Uitprinten en in een archiefdoos? Oldskool PST?
Maar stel dat een ICT dienstverlener ongevraagd (gedeelde) mailboxen weg heeft gegooid die nog moesten worden uitgezocht. Wat doe je dan? En ze zijn na 30 dagen foetsie bij Microsoft. Je hebt geen opdracht gegeven tot enige vorm van verwijderen.
Maar mocht dat wel gebeuren dan ligt het aan wat is er besproken. Heb je de dienst verlening uit handen gegeven en gezegd van regel alles en dat op schrift bevestigd dan heb je een carte blanche gegeven en als een opdrachtgever dan later komt met ja maar dat was niet de bedoeling zijn ze te laat. Stel dat een dienst verlener ziet dat je quota op 99% staat en die heeft in het verleden al de klant gewaarschuwd die vervolgens aan gaf los het op wil niks van weten is jullie werk dan kan je zo dienstverlener niet kwalijk nemen dat hij bijvoorbeeld mails van 5 jaar terug gaat deleten. Niet dat je dit soort klanten ook maar ooit in je klantbestand wilt hebben.
Stel dat de vertrekkende medewerker zelf contact had opgenomen en het verzoek kwam van zijn,haar mail en werdt via een telefoonnummer bevestigd dat in CRM bekend stond als gemachtigd dan heb je al weer een grijs gebied te pakken want werkgever kan dan wel willen dat alles bewaard wordt maar een gemachtigd persoon voor die box maakt gebruik van recht tot vergetelheid en die hoeft niet in lijn te liggen met wat de werkgever wil. Daarom dat je duidelijke afspraken maakt alvorens je contracten aan gaat en het liefst een single point of contact (SPOC)
Maar op de idiote beheerders na die uit wrok de boel saboteren zie ik echt niet een dienst verlener op eigen houtje iets doen wat data verlies bewust veroorzaakt. Daar moet haast wel een aanleiding voor zijn en vaak is het de onkundigheid en desinteresse van de klant zelf die waarschuwingen genegeerd heeft. Een ICT dienst verlener zal nu eenmaal zelden iets verbieden of afdwingen tenzij het andere klanten zou raken. In het laatste geval leren klanten heel snel dat ze geen enkele machtspositie meer hebben en waar de deur is als ze bezwaar hebben.
Gisteren, 15:15 door
Anoniem
Door Anoniem: Het is de vraag of een werkgever de persoonlijke mailboxen wel überhaupt mag inzien i.v.m. de privacy wetgeving, laat staan de mailbox om te zetten in een shared mailbox.
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
Niet gewoon zomaar, maar ja dat kan en mag met regels... Doelgericht zoeken, niet speuren wat bruikbaar is, enz.
Vandaag, 07:34 door
Anoniem
Door Anoniem:
Maar mocht dat wel gebeuren dan ligt het aan wat is er besproken. Heb je de dienst verlening uit handen gegeven en gezegd van regel alles en dat op schrift bevestigd dan heb je een carte blanche gegeven en als een opdrachtgever dan later komt met ja maar dat was niet de bedoeling zijn ze te laat. Stel dat een dienst verlener ziet dat je quota op 99% staat en die heeft in het verleden al de klant gewaarschuwd die vervolgens aan gaf los het op wil niks van weten is jullie werk dan kan je zo dienstverlener niet kwalijk nemen dat hij bijvoorbeeld mails van 5 jaar terug gaat deleten. Niet dat je dit soort klanten ook maar ooit in je klantbestand wilt hebben.
Stel dat de vertrekkende medewerker zelf contact had opgenomen en het verzoek kwam van zijn,haar mail en werdt via een telefoonnummer bevestigd dat in CRM bekend stond als gemachtigd dan heb je al weer een grijs gebied te pakken want werkgever kan dan wel willen dat alles bewaard wordt maar een gemachtigd persoon voor die box maakt gebruik van recht tot vergetelheid en die hoeft niet in lijn te liggen met wat de werkgever wil. Daarom dat je duidelijke afspraken maakt alvorens je contracten aan gaat en het liefst een single point of contact (SPOC)
Maar op de idiote beheerders na die uit wrok de boel saboteren zie ik echt niet een dienst verlener op eigen houtje iets doen wat data verlies bewust veroorzaakt. Daar moet haast wel een aanleiding voor zijn en vaak is het de onkundigheid en desinteresse van de klant zelf die waarschuwingen genegeerd heeft. Een ICT dienst verlener zal nu eenmaal zelden iets verbieden of afdwingen tenzij het andere klanten zou raken. In het laatste geval leren klanten heel snel dat ze geen enkele machtspositie meer hebben en waar de deur is als ze bezwaar hebben.
Beheerder heeft zelf gebruikers in een verkeerde AD sync groep gezet en daarmee zijn mailboxen zonder toestemming en medeweten van de klant verwijderd. En als je daar 30 dagen later pas achterkomt, is het weg bij Microsoft. Zal niet doelbewust zijn, maar weg is wel weg. En dat tot 2 keer toe. In 2023 bij 3 mailboxen en in 2024 opnieuw 6 mailboxen. Allrmaal mailboxen die moesten worden uitgezocht en eventueel gekoppeld. Wat mag je dan van een ICT dienstverlener verwachten. Zouden jullie met 2x sorry genoegen nemen? Of iets op papier zetten?Door Anoniem:
Ja dat is volgens mij hor het vaak gaat. Niet elk bedrijf heeft de middelen om mailboxen en gebruikers aan te houden na vertrek.
En als je de gedeelde mailboxen langer wilt bewaren dan mag dat gewoon. Daar zit toch geen limiet aan? Soms is uitzoeken echt niet mogelijk op korte termijn. Denk aan jaren aan email van een medewerker.
En waar laat je email anders dan in een gedeelde mailbox? Uitprinten en in een archiefdoos? Oldskool PST?
Maar stel dat een ICT dienstverlener ongevraagd (gedeelde) mailboxen weg heeft gegooid die nog moesten worden uitgezocht. Wat doe je dan? En ze zijn na 30 dagen foetsie bij Microsoft. Je hebt geen opdracht gegeven tot enige vorm van verwijderen.
De kans dat een ICT dienst verlener op eigen houtje boxen gaat verwijderen is bijna nul. Waarom zou een dienst verlener daar tijd aan besteden hoe meer boxen in gebruik hoe meer licenties hoe meer inkomsten. Ja dat is volgens mij hor het vaak gaat. Niet elk bedrijf heeft de middelen om mailboxen en gebruikers aan te houden na vertrek.
En als je de gedeelde mailboxen langer wilt bewaren dan mag dat gewoon. Daar zit toch geen limiet aan? Soms is uitzoeken echt niet mogelijk op korte termijn. Denk aan jaren aan email van een medewerker.
En waar laat je email anders dan in een gedeelde mailbox? Uitprinten en in een archiefdoos? Oldskool PST?
Maar stel dat een ICT dienstverlener ongevraagd (gedeelde) mailboxen weg heeft gegooid die nog moesten worden uitgezocht. Wat doe je dan? En ze zijn na 30 dagen foetsie bij Microsoft. Je hebt geen opdracht gegeven tot enige vorm van verwijderen.
Maar mocht dat wel gebeuren dan ligt het aan wat is er besproken. Heb je de dienst verlening uit handen gegeven en gezegd van regel alles en dat op schrift bevestigd dan heb je een carte blanche gegeven en als een opdrachtgever dan later komt met ja maar dat was niet de bedoeling zijn ze te laat. Stel dat een dienst verlener ziet dat je quota op 99% staat en die heeft in het verleden al de klant gewaarschuwd die vervolgens aan gaf los het op wil niks van weten is jullie werk dan kan je zo dienstverlener niet kwalijk nemen dat hij bijvoorbeeld mails van 5 jaar terug gaat deleten. Niet dat je dit soort klanten ook maar ooit in je klantbestand wilt hebben.
Stel dat de vertrekkende medewerker zelf contact had opgenomen en het verzoek kwam van zijn,haar mail en werdt via een telefoonnummer bevestigd dat in CRM bekend stond als gemachtigd dan heb je al weer een grijs gebied te pakken want werkgever kan dan wel willen dat alles bewaard wordt maar een gemachtigd persoon voor die box maakt gebruik van recht tot vergetelheid en die hoeft niet in lijn te liggen met wat de werkgever wil. Daarom dat je duidelijke afspraken maakt alvorens je contracten aan gaat en het liefst een single point of contact (SPOC)
Maar op de idiote beheerders na die uit wrok de boel saboteren zie ik echt niet een dienst verlener op eigen houtje iets doen wat data verlies bewust veroorzaakt. Daar moet haast wel een aanleiding voor zijn en vaak is het de onkundigheid en desinteresse van de klant zelf die waarschuwingen genegeerd heeft. Een ICT dienst verlener zal nu eenmaal zelden iets verbieden of afdwingen tenzij het andere klanten zou raken. In het laatste geval leren klanten heel snel dat ze geen enkele machtspositie meer hebben en waar de deur is als ze bezwaar hebben.
Vandaag, 10:54 door
Anoniem
Door Anoniem: Het is de vraag of een werkgever de persoonlijke mailboxen wel überhaupt mag inzien i.v.m. de privacy wetgeving, laat staan de mailbox om te zetten in een shared mailbox.
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/#:~:text=De%20werkgever%20kan%20de%20e,de%20arbeidsovereenkomst)%2C%20(%E2%80%A6)
Het privacy recht is prima, maar waarom gebruik je in hemelsnaam je zakelijke email voor privézaken?
Dan ben je voor mij wel een beetje 'af'.
Iedereen heeft tegenwoordig een mobiel op zak, met hoogstwaarschijnlijk toegang tot je privé email.
Doe je privé zaken daar op, OF log gewoon even in op je privé email en regel je zaken daar.
Dan is elke vorm van belangenverstrengeling opgelost. Het kan toch echt niet zo moeilijk zijn... toch??????
Vandaag, 20:53 door
wim-bart
Hierbij geldt maar 1 ding. Wat is er contractueel afgesproken. Wat staat er over in de SLA met de leverancier.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist
Kan jij security vraagstukken vertalen naar praktische oplossingen in onze snel digitaliserende wereld? Heb jij affiniteit met security scans en kan jij security incidenten onderzoeken en verbeteringen doorvoeren? Kom dan bij ons werken als:
Security Specialist
Leusden, Fulltime, HBO/WO,
Max. 6.135,-
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.