Juridische vraag: heeft collega opt-in nodig om mijn e-mail te lezen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij ons bedrijf krijg je in je laatste week een bericht dat een collega toegang krijgt tot je mailbox, en je kunt dan bezwaar maken als je het daar niet mee eens bent. Is dat wel rechtsgeldig? Bij privacydingen geldt toch een opt-in en niet een opt-out?
Antwoord: Er is geen algemene regel die zegt dat je bij alles omtrent privacy toestemming nodig hebt van de betrokken persoon. Dat zou immers onwerkbaar zijn als iemand overal nee op blijft zeggen, hoe onredelijk die nee ook zou zijn.
Opt-in is de hoofdregel, maar er zijn uitzonderingen mogelijk. Een uitzondering is het mogen verwerken van iemands persoonsgegevens omdat dat nodig is voor het uitvoeren van een contract. Een arbeidscontract is ook een contract, en een werkgever kan zich dus hierop beroepen mits hij kan aantonen dát het nodig is.
Ook is er een uitzondering ten behoeve van een dringend belang van de andere partij. Wie niet anders kan, hoeft geen toestemming te vragen. Natuurlijk ligt de bewijslast hierbij wel hoog, maar het kan. Denk aan het schrijven van een onthullend artikel over iemand: een privacyschending maar als de onthulling belangrijk is, dan toch gerechtvaardigd.
Bij deze vraag komt het eigenlijk altijd op hetzelfde neer: is het echt nodig dat die collega in de mailbox gaat kijken na uitdiensttreding, of is er een andere oplossing mogelijk? Alternatieven kunnen zijn dat je je mailbox zelf opschoont (maar doen mensen dat echt?), dat de collega alleen in de inbox kan en niet in mapjes, of dat er niet één maar twee mensen tegelijk kijken om onnodig snuffelen te voorkomen. Niet ideaal, maar werkbaar.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Een en ander ligt aan de bewoording van de e-mail. Als het bedrijf bij de melding adviezen geeft over het voorkomen van bekend raken van persoonlijke informatie, dan staat het bedrijf sterker. Dat getuigt van goed huisvaderschap.
Ik zou in ieder geval toch wel zelf een kopie willen hebben van de berichten met persoonlijke informatie.
En nee, met persoonlijke informatie bedoel ik hier niet de mailuitwisseling met de levenspartner van de persoon. Ik doel hierbij bijvoorbeeld op mail die je ontvangt en stuurt naar de bedrijfsarts. Dat is ook persoonlijke informatie, maar wel in het kader van het dienstverband. Hetzelfde geldt natuurlijk voor mail van de leidinggevende over promoties of, waarschijnlijk, het vertrek van de medewerker.
Peter
Als ik met vakantie ga zeg ik altijd al als men iets uit mijn mailbox moet hebben, dat ze hem maar even moeten koppelen. En als je uit dienst gaat zullen er zaken overgenomen moeten worden.
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Bijvoorbeeld, een wiki waarop iedereen wordt geacht te vertellen wat'ie doet en daar ook gelijk de relevante informatie bij kan zetten, van de gekste details tot handig verzamelde noodinformatie. Je zal even willen nadenken wie bij welke informatie moet en mag kunnen, bijvoorbeeld iets als per afdeling instellen van een publieke en een interne onderverdeling. Maar belangrijker dan de technische- en beveiligingsdetails is dat er serieus wordt nagedacht over hoe de organisatie van zichzelf leert.
Ik zou als beleidsmaker waarschijnlijk wel een clausule opnemen die zegt dat er in mailboxen gesnuffeld mag worden als je onbereikbaar of vertrokken bent en dat je je privezaken maar in een folder prive stopt en dat je tenminste die leegmaakt bij vertrek. Maar ik zou me ook afvragen of er geen betere oplossingen zijn om de noodzaak wat in te perken. Bijvoorbeeld, gedeelde mappen (bv. IMAP shared folder) en roladressen (info@, sales@, noem maar op) zodat inkomende bedrijfsmail bij voor de juiste groep mensen toegankelijk is ongeacht wie er voor de taak verantwoordelijk is.
Continuiteit is wel redelijk belangrijk binnen een bedrijf dus het is wel zaak daar serieus over na te denken, en niet alleen maar met wat goedkope "CYA"-maatregelen jezelf juridisch te ontzien.
Aan de andere kant kan het zijn dat je als werknemer wel eens prive email ontvangt op je werkmail, en dan is het onplezierig als een collega daar allemaal doorheen kan snuffelen.
Dus hiermee heb je een mooi compromis: de werknemer wordt in staat gesteld zijn/haar persoonlijke spullen verwijderen en wordt daar op gewezen, en de werkgever met zakelijk belang bij de inhoud van de mailbox krijgt toegang.
Q
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Het is idd zo dat uit backups e.e.a. terug te halen is als de manager van de vertrokken werknemer dat perse wil.
Maar als die manager niet het idee heeft dat evt (voor hem/haar) belangrijke info verdwenen is, hij/zij niet zo snel om een restore zal verzoeken.
Als hij/zij echt perse flauw wilt doen, kan hij/zij ook een pw reset aanvragen en dan zelf inloggen en alles doorspitten.
De mededeling dat de mailbox (tijdelijk) toegankelijk is voor een ander en dat je zelf de gelegenheid krijgt om e.e.a. te verwijderen is een redelijke oplossing.
Evt. zou je een map in je malbox kunnen delen (hangt natuurlijk van de mailomgeving af) en daarin alle werkzaken zetten die voor anderen nodig zou kunnen zijn, zonder dat toegang tot de volledig mailbox wordt gegeven.
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Het is idd zo dat uit backups e.e.a. terug te halen is als de manager van de vertrokken werknemer dat perse wil.
Maar als die manager niet het idee heeft dat evt (voor hem/haar) belangrijke info verdwenen is, hij/zij niet zo snel om een restore zal verzoeken.
Precies. Dus opschonen is NIET Ctrl-A Shift-Delete. Want dan zal degene die hem overneemt zeggen "hij is
helemaal leeg, baas" en dan zal er een restore gedaan worden.
Je gooit dus weg wat er (onhandig, maar goed...) in staat wat je niet wil dat de baas ziet, en je laat staan wat er aan
zakelijke mail in staat waar later eventueel vragen over komen.
Dan denk je niet alleen aan jezelf (populair, als je de vragen over privacy hier leest) maar ook aan de baas.
https://cbpweb.nl/nl/zelf-doen/functionaris-voor-de-gegevensbescherming
De meesten reageren allemaal zoals je vaak de 'oudjes' ziet doen met nieuwe technology
"Ik vind het maar ingewikkeld en vroeger was alles anders"
Ja heel goed welkom in 20e eeuw!
Als je niet wilt dat anderen je DATA lezen dan moet je gebruik maken van Encryptie.
Dat geneuzel iedere keer over dit soort onderwerpen, allemaal tijdverspilling.
mailbox opschonen heeft weinig zin, aangezien je altijd uit de back-up nog dingen kan terug halen.
Het is idd zo dat uit backups e.e.a. terug te halen is als de manager van de vertrokken werknemer dat perse wil.
Maar als die manager niet het idee heeft dat evt (voor hem/haar) belangrijke info verdwenen is, hij/zij niet zo snel om een restore zal verzoeken.
Als hij/zij echt perse flauw wilt doen, kan hij/zij ook een pw reset aanvragen en dan zelf inloggen en alles doorspitten.
De mededeling dat de mailbox (tijdelijk) toegankelijk is voor een ander en dat je zelf de gelegenheid krijgt om e.e.a. te verwijderen is een redelijke oplossing.
Evt. zou je een map in je malbox kunnen delen (hangt natuurlijk van de mailomgeving af) en daarin alle werkzaken zetten die voor anderen nodig zou kunnen zijn, zonder dat toegang tot de volledig mailbox wordt gegeven.
Je weet namelijk niet bij voorbaat wat je allemaal in die mailbox tegen kunt komen.
Naast de privacy van de gebruiker van de mailbox heb je ook nog de privacy van de mensen die naar die mailbox toe gemaild hebben.
:Gelukkig maakt niet elk bedrijf gebruik van Exchange of andere Mickey$oft-producten. Degene die dat wel doen zijn overleverd aan spionnen
Je ziet, privacy bestaat zeker op de werkvloer maar dat recht moet wel verdedigd worden. Het recht op privacy is een grondrecht voor iedere burger en dat kan niet zomaar worden ontnomen omdat iemand vind dat deze dat recht zou moeten hebben. Zoals met ieder recht moet je dat wel uitoefenen of claimen want automatisch gaat dat niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.