Juridische vraag: Mag baas privémail kapen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Een werknemer verlaat de organisatie. Hij heeft een keurige out-of-office aangezet op zijn e-mail account waarin hij aangeeft niet meer bij de organisatie werkzaam te zijn. De werkgever verwijdert echter het account en zet de 'catch-all' aan. Hij vangt zo alle nog binnenkomende mail af en leest die ook, zowel de zakelijke als de privé-mail. Hij stuurt het niet door. Mag dat?
Antwoord: Het onderwerp "lezen mail medewerkers" leeft het sterkst bij de lezers van Security.nl zo blijkt, ik krijg er haast wekelijks vragen over.
Trouwe lezers weten: het lezen van mails van werknemers is alleen toegestaan als daar een concrete aanleiding voor is, bijvoorbeeld klachten van collega's of klanten dat deze de mail misbruikt. Een werkgever mag niet zonder aanleiding mails van werknemers gaan scannen op mogelijk ongepast of niet-werkgerelateerd gebruik.
Er is dus geen duidelijk "ja dat mag" of "nee ben je betoeterd" mogelijk op een vraag als deze. Alles hangt af van de afwegingen van de belangen en de omstandigheden van de situatie - een antwoord waar ik zelf ook een hekel aan heb, maar het is niet anders.
Belangrijk is in ieder geval dat je als bedrijf regels stelt (bijvoorbeeld via een internetprotocol) over wat er wel en niet mag met de faciliteiten van kantoor. En daarbij moeten die regels ruimte laten voor enig privégebruik. Een regel zou dus eerder moeten zeggen "zolang het werk er geen last van heeft, en je de mails in een mapje privé opbergt, is het toegestaan" dan "privé internetten doe je maar thuis".
Hier is het nog iets lastiger, omdat het gaat om mail van ex-werknemers. Daarbij krijg je ineens het belang van continuïteit van dienstverlening aan klanten. Je moet als werkgever zulke mails kunnen afvangen en daarop reageren, want een klant die alleen een out-of-office (out-of-job?) bericht krijgt, gaat wellicht een andere leverancier zoeken. Maar dan kan de werkgever ook privémails afvangen en dat is dan weer niet de bedoeling. Helaas is daar geen eenvoudige juridische oplossing voor. Hoe filter je berichten als privé/niet-privé zonder ze te lezen?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Over het algemeen is er een opzegtermijn dus is er ruim de tijd om maatregelen te nemen.
Uitzondering zou kunnen zijn als iemand vechtend de tent verlaat maar dan is er over het algemeen toch al reden om extra vorozichtig om te gaan met zo'n mailbox.
Maar is wel een goede om ons internet protocol nog eens tegenaan te houden. :)
Over het algemeen is er een opzegtermijn dus is er ruim de tijd om maatregelen te nemen.
Enigszins vergelijkbaar: Onze organisatie wisselt nog wel eens van (sub)domein voor e-mail. Dan verstuur je geen mail meer met het oude adres. Replies komen dan goed aan. Maar het oude adres staat vaak nog jaren in adreslijsten. Zelfs als iemand een nieuw adres doorgeeft, kan het oude adres soms weer als prefered adres naar voren komen als iemand naar je wilt mailen.
Peter
Ik vraag me af wat de rechten zijn van een ex-werknemer op een email-adres en dergelijke.
Vergelijk het maar met de 'oude' post.
Je laat je privé post toch ook niet op je werk bezorgen, wel?
En iedereen weet dat email, zeker in privé zaken, niet direct beantwoord wordt.
Is er wel haast bij dan bellen de meeste mensen.
Dus er is ook geen belang bij om privé mail tijdens werktijden bij te houden.
Je gebruikt na een ontslag toch ook je leaseauto en/of laptop/telefoon van de zaak niet meer? Ook al mocht je ze toentertijd gebruiken voor privé. De zakelijke mails zijn belangrijker als jou privacy op dat moment, tenslotte is de hele mailadres daar ook voor in gebruik genomen
Het lijkt mij dat het belang van de werkgever hier veel zwaarder weegt dan het belang van de ex-werknemer.
Leuke vraag in het verlengde hiervan... Stel dat een bedrijf failliet gaat, de domeinnaam vrijkomt en wordt opgekocht door een ander (mogelijk zelfs een oud-werknemer van het bedrijf). Mag die persoon de mail die binnenkomt op dat domein wel lezen? ;-)
Eigenlijk niet in principe, want de gene die je wil bereiken zit niet achter dat (mail)adres, dus dan moet je maar naar het goeie adres sturen. Daarnaast kunnen de meeste IT beheerders al alle mails lezen, maar er zit een verschil in kunnen en doen en hoe wil je bewijzen dat je ex-baas je privé mails leest? Zo lang je dat niet kan aantonen denk ik dat je geen poot hebt om op te staan.
Simpel gezegd, als je niet wilt dat je baas je privé mail kan lezen, gebruik dan niet je zakelijke mail voor privé mails.
Groet,
Wesley
Hoe lastig is het om een los prive mail adres te gebruiken?
Al zal het maar een gmail account zijn!
Wil je toch af en toe tussendoor privé kunnen mailen dan is een eigen smartfoon een goed idee.
Kortom, er hoeft helemaal geen probleem te zijn.
Zal wel niet om een Exchange server gaan anders krijg je echt alles binnen en de rest van de gebruikers in het bedrijf krijg je ook alles van te lezen.
Privé e-mail via je zakelijke adres snap ik ook niet. Doe dat lekker via webmail met je eigen e-mailaccount.
Het is gewoon vragen om problemen.
Zakelijk en privé moet je gescheiden houden.
@Above: catch-all is een instelling bij mailservers waarbij je alle mail krijgt naar niet-bestaande adressen. Maar juridisch gezien doet dat er niet toe. De werkgever had ook het wachtwoord van de mailbox kunnen veranderen zodat hij bij de mailbox kan, of een forward in kunnen stellen zodat nieuwe mail naar zijn eigen mailbox gaat.
Zoals al eerder aangegeven stuurt ook je werkgever je soms persoonlijke mail. Al is het alleen al salarisstroken, verslagen van beoordelingsgesprekken, meldingen t.a.v. gratificaties en bevorderingen.
Een werkgever kijkt naar zijn eigen belang als hij besluit die gegevens naar interne (electronische zowel als fysieke) mailboxen te sturen.
Dat is zeker een interessante vraag. Privacy heeft ook te maken met het feit of je de informatie kunt herleiden tot een persoon. Als er in een dergelijk geval een mailtje binnenkomt met de tekst "was het lekker in de sauna gister?" en de huidige houder van het domein heeft geen nadere kennis van wie welk adres vroeger had, dan is het volgens mij niet echt een schending van de privacy. Als het een oud-medewerker is, denk ik dat er een groter probleem is.
Peter
Vergelijk het maar met de 'oude' post.
Je laat je privé post toch ook niet op je werk bezorgen, wel?
Mijn baas legt soms een brief in mijn fysieke mailbox met persoonlijke informatie. Ik heb er hier toevallig net eentje liggen met een uitnodiging voor een medische keuring.
Daarnaast ken ik best wel een aantal bedrijven die de mogelijkheid bieden aan hun medewerkers om het vestigingsadres van het bedrijf als postadres voor pakketjes te gebruiken.
Peter
@Above, eens dat men in principe prive en zakelijk gescheiden dient te houden, het gaat hier echter om de juridische gevolgen wanneer men toch de zakelijke mail voor prive doeleinden gebruikt (wat in redelijke mate toegestaan is).
Wesley
Het lijkt mij niet meer dan normaal, gezien de zakelijke informatie die op de mailbox binnenkomt. Indien je niet meer werkzaam bent bij de organisatie, dan kan je ook moeilijk meer aanspraak maken op het adres. Heb je ook nagedacht over de eigen verantwoordelijkheid als medewerker, immers kan je zelf mensen ook op de hoogte stellen van je vertrek.
"Hij vangt zo alle nog binnenkomende mail af en leest die ook, zowel de zakelijke als de privé-mail. Hij stuurt het niet door. Mag dat?"
Het al dan niet doorsturen van de persoonlijke berichten lijkt mij eerder een gunst dan een plicht voor de werkgever richting de ex-medewerker.
[KNIP, KNIP]
Dat is volgens mij niet relevant. Dit is niet zozeer privé, als wel vertrouwelijk. En als de werkgever zelf deze informatie stuurt naar een van de mailboxen van zijn eigen bedrijf, heeft hij sowieso al toegang tot de informatie.
Als een werknemer (of, zoals in dit geval, ex-werknemer) dergelijke mail van andere partijen dan zijn eigen werkgever naar deze mailbox laat sturen, is hij in mijn ogen gevaarlijk bezig. Nog afgezien van de vraag of het juridisch wel of niet kosher is, begeef je je vrijwillig op glad ijs. Je weet namelijk dat je werkgever hoe dan ook de technische middelen heeft om je mail te lezen.
Mijn advies is dan ook: hou zakelijk en privé gescheiden, ook qua e-mail :-)
En natuurlijk is het altijd een goed idee om PGP te gebruiken. Ik had vroeger een baas die er voor uitkwam dat hij al onze e-mail las. Ik heb toen geregeld dat elk mailtje dat binnenkwam voor mij, automatisch werd versleuteld. In mijn functie als beheerder van o.a. de mailservers kon ik dat :-)
Men verwart nogal eens "werkgever" met "specifieke medewerker" van die werkgever. Als de personeelsfunctionaris vertrouwelijke mail stuurt naar een bepaald persoon, zal die mail privacygevoelige informatie bevatten. Omdat die personeelsfunctionaris dat doet namens de werkgever, wil dat niet zeggen dat de mailbeheerder vervolgens, omdat hij toch ook een medewerker is die werk verricht namens de werkgever, die mail mag lezen.
Peter
Als je een collega vraagt of hij na werktijd mee een borrel gaat drinken, dan vind ik dat een twijfelgeval.
Stuur je een mail naar een persoon die geen binding heeft met het bedrijf; bijv.: je vraagt een vriend om 's avonds een borrel te komen drinken dan is het uiteraard puur een privé-situatie.
Het heeft een zakelijk karakter met het is wel privacygevoelige informatie. En als het bijvoorbeeld een diagnose door de bedrijfsarts bevat is het misschien ook nog erg prive.
Peter
Alleen al i.v.m. privacy lijkt me de aanschaf van een van de talloze gratis e-mail accounts een toch veel betere oplossing.
Het heeft een zakelijk karakter met het is wel privacygevoelige informatie. En als het bijvoorbeeld een diagnose door de bedrijfsarts bevat is het misschien ook nog erg prive.
Peter
Beste Peter, diagnoses van artsen gaan alleen in uiterste noodzaak via e-mail. Dat ze egenwoordig überhaupt (wel eens? , vaak?) digitaal worden geregistreerd is al een twijfelachtige zaak. Voor die loonstrookjes geldt bijna hetzelfde. Bij de bedrijven waar ik gewerkt heb, werden die altijd per papieren post naar het huisadres gestuurd. Alleen op expliciet verzoek van mezelf (toen ik er één niet ontvangen had) kon ik van P&O (dat tegenwoordig helaas human resource management moet heten) een ingescand exemplaar via een door mij opgegeven e-mail adres ontvangen. Dit bedrijf weet (in ieder geval wist, het is overgenomen) hoe het hoort! Nu ben ik zzp'er...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.