image

Juridische vraag: Mag klant e-mail van ex-werknemer lezen?

woensdag 5 oktober 2011, 11:09 door Arnoud Engelfriet, 5 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Als IT-beheerders zijn wij verantwoordelijk voor de IT-omgeving van diverse klanten. Zo beheren wij hun mailboxen en ook de opslag (en back-ups) van bedrijfsgegevens. Regelmatig vragen klanten ons om toegang tot opgeslagen bestanden of mailbox van ontslagen en vertrokken medewerkers. Kunnen wij daar altijd aan meewerken, of schenden wij dan de privacywet?

Antwoord: In principe is naleving van de wet de zorg van de klant. Het zijn immers zijn gegevens en mails. Op zich zou je dus als IT-beheerder kunnen zeggen "het is op uw verantwoording, hierbij de data".

Echter, specifiek voor persoonsgegevens (persoonlijke data) ligt dat iets anders. De IT-beheerder heeft dan ook een eigen verantwoordelijkheid. De wet schrijft namelijk voor dat wie persoonsgegevens 'bewerkt', oftewel voor een ander opslaat en verwerkt, zelf óók onder de Wet bescherming persoonsgegevens valt. Hij moet onder meer adequate beveiligingsmaatregelen nemen om datalekken en ongeautoriseerde toegang tot die gegevens te voorkomen. Als het goed is, heeft de klant hem hiertoe ook contractueel verplicht.

Of en wanneer een bedrijf bij mailboxen of data van medewerkers mag, is een discussie die hier ongeveer elke maand langskomt. :)


Als externe IT-beheerder krijg je hier dus ook mee te maken. Je hebt wel een heel lastige positie, want je wéét niet eens welke redenen er zijn om bij de data te kunnen. Hier kun je dus weinig anders doen dan jezelf contractueel indekken en zorgen dat je eventuele claims van boze werknemers kunt doorschuiven naar de klant.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (5)
05-10-2011, 13:26 door Anoniem
@Arnoud:

"Als externe IT-beheerder krijg je hier dus ook mee te maken. Je hebt wel een heel lastige positie, want je wéét niet eens welke redenen er zijn om bij de data te kunnen."

Kan je als dienstverlener een klant uberhaupt toegang tot zijn eigen gegevens ontzeggen ? Het lijkt mij dat de klant als data-eigenaar recht heeft op de data, of ze vervolgens de mail mogen lezen is hun eigen probleem en staat los van het terugzetten van de backup.

Ook vraag ik mij af in het genoemde voorbeeld waarom de dienstverlener op de hoogte zou moeten zijn of de eigenaar van een mailbox vertrokken of ontslagen is. Ik zou als leverancier nimmer vragen of de eigenaar van een mailbox nog in dienst is, of dat deze is ontslagen, aangezien mij dat helemaal niet aan gaat.
05-10-2011, 14:11 door Anoniem
Als externe beheerder weet je toch niet eens welke natuurlijke persoon bij een bepaalde account hoort? Jij hebt een klant die x accounts heeft afgenomen, of die klant al die accounts zelf gebruikt of dat hij ze door anderen laat gebruiken heeft de leverancier geen inzcht in. Die klant vraagt waarschijnlijk een password-reset aan, of misschien kan hij dat zelf doen via een admin-website. Tenzij de klant dus aangeeft dat hij iets gaat doen dat strafbaar is zou een externe beheerder mee moeten werken.
06-10-2011, 19:29 door Anoniem
Ik denk dat het van je contract af hangt en ook of je (gedetacheerd) bij de klant zelf zit of dat je alleen maar een hoster bent.
Wij zitten onsite dus bij de klant in house.
Onze organisatie maakt deel uit van de IT organisatie bij de klant.

Omdat de klant zo groot is, zijn er erg veel processen om e.e.a. geregeld te krijgen (ook wel bekend als burocratie).
Als bijvoorbeeld een afdelinghoofd perse toegang wil tot persoonlijke date zoals mailbox op naam en homeshares, of andere locaties waar hij geen toegang toe heeft, zal hij toch echt een formele aanvraag moeten doen.

In het geval van TS zou bij ons die aanvraag ook langs IT-security moeten (onderdeel van de burocratische molen).
Zij en een aantal andere hogere managers bepalen dan of de toegang wordt verleend.
In de aanvraag zal ook moeten staan welke data gezocht wordt. De rest wordt niet gegeven (staat in contract).

Voor TS lijkt het handiger om daar vooraf afspraken over te maken met de klant.

In het geval van ontslagen werknemers is het van belang dat je erg voorzichtig bent met rechten geven op data omdat deze vaak gebruikt wordt in rechtzaken.
Niet handig dat als de advocaat van de ontslagen werknemer de (mogelijk belastende) mailcorrespondentie eist, je deze niet kan leveren alleen maar omdat de (inmiddels) voormalige werkgever/manager deze heeft verwijderd.
Leesrechten geven, of nog beter, data kopieren en toegang geven tot de kopie lijkt het veiligst. Als was het maar om uit te sluiten dat met bewijsmateriaal wordt geklooid.
10-10-2011, 15:54 door Anoniem
Het is gewoon heel erg simpel. Je hebt een e-mail account bij een klant of bij je baas of beide. De ander vraagt toestemming tot de inhoud van de mailbox en je staat dit niet toe. Nu geeft de beheerder toestemming aan deze derde tot jouw mail-box. Dan treden er gewoon twee zaken in werking.

1) Bij persoonlijke schade kan je gewoon de opensteller aansprakelijk stellen voor alle voortvloeiende schade,
2) Wanneer er een juridisch conflict is en er wordt informatie gebruikt wat mogelijkerwijs uit deze mailbox is gehaald zonder juridische grondslag kan je dat bewijs gewoon ongegrond laten verklaren en zelfs een zaak aanspannen op basis van schending van briefgeheim.

Belangrijk is:
1) Openstellen van een mailbox ook na verlaten van een bedrijf kan alleen doormiddel van toestemming door de eigenaar, zijnde de gebruiker (mits dit anders in de gebruikersovereenkomst of arbeidscontract is vastgelegd);
2) Monitoren van verkeer van en naar je mailbox mag, mits deze gegevens niet inzichtelijk zijn, na schriftelijke toestemming van jezelf (mits dit anders in de gebruikersovereenkomst of arbeidscontract is vastgelegd);
10-10-2011, 20:58 door Anoniem
2) Wanneer er een juridisch conflict is en er wordt informatie gebruikt wat mogelijkerwijs uit deze mailbox is gehaald zonder juridische grondslag kan je dat bewijs gewoon ongegrond laten verklaren en zelfs een zaak aanspannen op basis van schending van briefgeheim.
Dat ongegrond verklaren (juridisch correcte term: ontoelaatbaar als bewijs) geldt alleen in het strafrecht, niet in civiel recht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.