Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

Juridische vraag: Is het forwarden van een e-mail zonder toestemming van de afzender wel in overeenstemming met de AVG?

donderdag 23 mei 2019, 17:06 door Arnoud Engelfriet, 15 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Het is niet ongebruikelijk om emails door te sturen ("forwarden") naar derden. Elk e-mailprogramma biedt die mogelijkheid. Maar die derden ontvangen dan ook het e-mailadres van de oorspronkelijke verstuurder van de email zonder dat ik hem of haar toestemming heb gevraagd om de email te forwarden. Schend ik daarmee de AVG?

Antwoord: De AVG kijkt niet naar een specifiek mechanisme, maar naar wat je onderliggend aan het doen bent. Met het forwarden van een mail stuur je een bericht naar een ander. AVG-technisch zeg je dan, beste ander jij hebt deze informatie nodig.

Als je in een mail dus andermans afzenderinformatie laat staan, dan zeg je dus, beste ander jij moet weten dat Pietje opsteller is van onderstaande. En dat moet je dan onderbouwen met de juiste grondslag:

1. Toestemming: Pietje vroeg me aan Marieke te vragen of dit-en-dat. Dan is het evident dat Marieke dat mag weten.

2. Overeenkomst: Jij hebt Marieke nodig om te doen wat Piet besteld, gevraagd of geleverd had. Dan ontkom je er niet aan dat Marieke de informatie van Piet moet weten.

3. Eigen belang: het is voor jou, Piet of Marieke belangrijk dat Marieke dit weet en Piets privacy moet daarvoor maar even wijken, niets aan te doen. Weglaten van het mailadres zou onzinnig zijn. Als je dat onderbouwt, dan is het prima.

Meestal zal het om dat laatste gaan. Dan moet je dus die onderbouwing hebben. Ik vertaal dat praktisch naar de vraag: kun je de headerinformatie ook weglaten, of gaat het dan mis met het issue dat je forwardt?

Een concreet voorbeeld is deze rubriek. Ik krijg van de redactie geforwarde vragen die ik hier beantwoord. Zij laten de afzenderinformatie weg, want wat moet ik daarmee? Ik kan de vraag hier beantwoorden -of niet- maar ik hoef de afzender niet te melden wat ik doe. Dus mogen / moeten zij die informatie weglaten.

In een incidenteel geval, bij particulieren maar ook zakelijk, kun je denk ik ook wel zeggen, deze forward valt buiten de AVG omdat het slechts huishoudelijk verwerken is. Dan gaat het om een informele kattebel die je even doorzet. Als het forwarden hoort bij een werkproces, dan geldt deze uitzondering niet.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: Recruteert de politie met behulp van de politie-app burgers of is het slechts een technisch hulpmiddel?
Juridische vraag: Is het onder afwitvlakjes spieken in een PDF bestand juridisch toegestaan?
Reacties (15)
23-05-2019, 22:16 door Anoniem
Ten eerste is een email adres in een geforwarde email deel van de body van de email. Die je heel gemakkelijk kunt editen. Zo kan zelfs een kind een email forwarden die zogenaamd van Rutte, de Koning of Bill Gates afkomstig is.

Ten tweede kun je natuurlijk van alles in een email zetten. Ook alle denkbare prive-informatie. Je zou dus net zo goed juridisch kunnen vragen of een email wel priveinformatie mag bevatten. In het algemeen.

De verwarring is dat men met name verwarrend gaat denken omdat zoiets als een email iets elektroonies is. Ongeveer net zo modern als de AVG, dus die AVG zal wel enkel en alleen over elektrooniese dingen gaan. En dan wordt het ineens moeilijk moeilijk moeilijk. En laten we er eens goed over theoretiseren.

Sinds jaar en dag kan ik elke brief die ik ontvang aan een ander doorsturen. In een verse envelop. Ook als de afzender in die brief staat. Het valt zelfs onder het postgeheim.

Ik zie het elektrooniese verschil niet met iemeel. Noch enig verband met de AVG/GDPR.

Of moet ik dit jaar mijn kerstkaarten ook al gaan anonimiseren of zo?
24-05-2019, 00:02 door Ron625 - Bijgewerkt: 24-05-2019, 00:03
Briefgeheim is er alleen voor papieren mail, maar niet voor email.
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen.
Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.

Zodra het briefgeheim ook voor email gaat gelden (die wet is in de maak), wordt het een ander verhaal.
24-05-2019, 06:35 door Anoniem
Door Ron625: Briefgeheim is er alleen voor papieren mail, maar niet voor email.
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen.
Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.
Er is in de wet meer geregeld dan alleen het briefgeheim. Wetboek van Strafrecht, artikel 139c, lid 1:
Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
24-05-2019, 09:21 door Anoniem
Door Ron625: Briefgeheim is er alleen voor papieren mail, maar niet voor email.
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen.
Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.

Zodra het briefgeheim ook voor email gaat gelden (die wet is in de maak), wordt het een ander verhaal.

Correct me if I'm wrong, maar bij mijn weten gaat briefgeheim over het niet openen van de brief in transport naar de ontvanger. Het onderwerp van deze juridische vraag gaat echter over het onthullen van de inhoud door de beoogde ontvanger.

Briefgeheim is niet geschonden als ik een brief die aan mij geaddresseerd is na ontvangst aan een ander laat zien.
24-05-2019, 09:50 door Anoniem
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen. Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.

Klinkklare onzin. Alsof medewerkers van internet providers bijvoorbeeld, indien ze daar zin in hebben, jouw email mogen lezen.

Grondwet bij de tijd: e-mail ook onder briefgeheim
https://www.rijksoverheid.nl/actueel/nieuws/2017/07/11/grondwet-bij-de-tijd-e-mail-ook-onder-briefgeheim

Neem je verder buiten briefgeheim ook nog andere wetgeving mee in je overweging ? Het briefgeheim is niet het enige juridische obstakel bij de vraag of je een email publiek mag maken.

Immers neem ik niet aan dat je meent dat -ongeacht briefgeheim- jouw huisarts emails met jouw medische gegevens met wie dan ook mag delen. Of dat je emails van je werkgever, of zijn klanten -ongeacht briefgeheim- doodleuk met iedereen mag delen.

Wat dat betreft moet je iets breder kijken dan enkel naar het concept ''briefgeheim''.
24-05-2019, 10:25 door Anoniem
Wanneer de gegevens van de ander in de doorgestuurde mail staan, maar hij hiervoor toestemming heeft verleend, is er geen enkel probleem. Bovendien is er geen probleem in alle andere gevallen, waarin de AVG zelf zegt, dat dit zonder toestemming mag. Dus voor je gaat mekkeren, eerst kijken. Een mail met een aanbieding voor een aankoop, met een voorstel voor een baan, die je wil toetsen bij een ander en waarbij relevant kan zijn, of de afzender dat aanbod mag maken, lijkt mij een geval van zwaarwegend eigen belang. En wanneer je niet achteloos doorstuurt, maar eerst nadenkt, of je het doorstuurt en aan wie, dan is het ook overwogen.

Maar goed nadenken wat je doorstuurt, naar wie en waarom is altijd belangrijk. AVG of niet
24-05-2019, 11:22 door Ron625 - Bijgewerkt: 24-05-2019, 11:22
Door Anoniem:Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Daar gaat het niet over bij het forwarden, want op het moment van ontvangst, is de ontvanger de eigenaar van de email en kan en mag hij daarmee doe wat hij wil, tenzij er andere afspraken gelden.
24-05-2019, 11:52 door Anoniem
Door Anoniem: Ten eerste is een email adres in een geforwarde email deel van de body van de email. Die je heel gemakkelijk kunt editen. Zo kan zelfs een kind een email forwarden die zogenaamd van Rutte, de Koning of Bill Gates afkomstig is.

Een echte mailclient zal de oorspronkelijke mail als bijlage doorsturen. Dan valt er niets te wijzigen.

Ten tweede kun je natuurlijk van alles in een email zetten. Ook alle denkbare prive-informatie. Je zou dus net zo goed juridisch kunnen vragen of een email wel priveinformatie mag bevatten. In het algemeen.

Dit is een bekend probleem bij programma's die mail doorsturen als inhoud van bestaande mail. Vaak worden die berichten enkele paginas lang. Geen mens let op wat verder naar beneden staat. Ik doe dat wel en kom daar soms best wel interessante en gevoelige informatie tegen. Denk bijvoorbeeld aan deeplinks naar informatie waar ik normaal geen toegang toe heb. En nee, dat hoeven niet altijd persoonsgegevens te zijn.

Door Ron625:Daar gaat het niet over bij het forwarden, want op het moment van ontvangst, is de ontvanger de eigenaar van de email en kan en mag hij daarmee doe wat hij wil, tenzij er andere afspraken gelden.

Misschien wel handig om je eens te verdiepen in de gebruikelijke handelswijze bij e-mail berichten in de security wereld. Daar gaat deze site toch over. Lees je eens in over het TLP protocol. Het is de afzender die bepaalt wat jij met de informatie mag doen.

Het zou wat mooi zijn als jij een mail stuurt naar Facebook en zij mogen daarmee doen wat ze willen.

Peter
24-05-2019, 13:38 door Bitwiper
Door Ron625:
Door Anoniem:Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
Daar gaat het niet over bij het forwarden, want op het moment van ontvangst, is de ontvanger de eigenaar van de email en kan en mag hij daarmee doe wat hij wil, tenzij er andere afspraken gelden.
Ik neem aan dat het auteursrecht ook geldt voor e-mails. Als dat zo is mag een ontvanger deze bijv. niet zomaar publiceren.
24-05-2019, 14:12 door Anoniem
Door Anoniem:
Door Anoniem: Ten eerste is een email adres in een geforwarde email deel van de body van de email. Die je heel gemakkelijk kunt editen. Zo kan zelfs een kind een email forwarden die zogenaamd van Rutte, de Koning of Bill Gates afkomstig is.

Een echte mailclient zal de oorspronkelijke mail als bijlage doorsturen. Dan valt er niets te wijzigen.

Ten tweede kun je natuurlijk van alles in een email zetten. Ook alle denkbare prive-informatie. Je zou dus net zo goed juridisch kunnen vragen of een email wel priveinformatie mag bevatten. In het algemeen.

Dit is een bekend probleem bij programma's die mail doorsturen als inhoud van bestaande mail. Vaak worden die berichten enkele paginas lang. Geen mens let op wat verder naar beneden staat. Ik doe dat wel en kom daar soms best wel interessante en gevoelige informatie tegen. Denk bijvoorbeeld aan deeplinks naar informatie waar ik normaal geen toegang toe heb. En nee, dat hoeven niet altijd persoonsgegevens te zijn.

Door Ron625:Daar gaat het niet over bij het forwarden, want op het moment van ontvangst, is de ontvanger de eigenaar van de email en kan en mag hij daarmee doe wat hij wil, tenzij er andere afspraken gelden.

Misschien wel handig om je eens te verdiepen in de gebruikelijke handelswijze bij e-mail berichten in de security wereld. Daar gaat deze site toch over. Lees je eens in over het TLP protocol. Het is de afzender die bepaalt wat jij met de informatie mag doen.

Het zou wat mooi zijn als jij een mail stuurt naar Facebook en zij mogen daarmee doen wat ze willen.

Peter
Welke "echte" mailclient bedoel je ? Ik heb nog geen mail client gezien die de originele mail als bijlage meestuurd als een mail wordt geforward
24-05-2019, 17:50 door Anoniem
Door Anoniem:
Welke "echte" mailclient bedoel je ? Ik heb nog geen mail client gezien die de originele mail als bijlage meestuurd als een mail wordt geforward

Dan heb je nog niet veel van de wereld gezien, makker!
Maar dat komt vaak voor op deze site, dus daar hoef je je niet voor te schamen ofzo.
25-05-2019, 09:09 door spatieman
als het gaat om ongeoorloofd lezen van emails, dan maakt google zich uber schuldig ,die scannen immers de mails om add content te kunnen leveren.
zou google nu verboden moeten worden ?
oh wacht, ik denk dat Microsoft met hun mail dienst dat ook doet.
25-05-2019, 10:24 door Briolet
Door Anoniem: Een echte mailclient zal de oorspronkelijke mail als bijlage doorsturen. Dan valt er niets te wijzigen.

Ik weet niet wat bij jou een 'echte' mailclient is, maar mijn mail clienten doen dat niet bij een standaard forward. (Apple Mail, Thunderbird, Roundcube).

De eerste twee hebben wel de optie om een mail als bijlage te forwarden, maar dat is niet de standaard forward. Die eerste twee veranderen wel de oorspronkelijke afzender in je eigen adres. De oorspronkelijke afzend gegevens komen in de mail body en kun je desgewenst wissen.

Roundcube is wel een probleem. Bij forwarden blijft de oorspronkelijke afzender staan als afzenden. Hij is dus de afzender aan het spoofen waardoor de mail niet aankomt als de afzender een 'reject' policy ingesteld heeft voor dmarc.

---

Als ik het stuk van Arnoud hierboven lees, kan het versturen als bijlage juist in strijd zijn met de AVG. In een bijlage blijven de oorspronkelijke headers aanwezig. Er is dan misschien een noodzaak om de naam door te geven, maar ook het IP adres van de afzender doorgeven is zelden noodzakelijk.
26-05-2019, 16:30 door karma4
Door Briolet:
Als ik het stuk van Arnoud hierboven lees, kan het versturen als bijlage juist in strijd zijn met de AVG. In een bijlage blijven de oorspronkelijke headers aanwezig. Er is dan misschien een noodzaak om de naam door te geven, maar ook het IP adres van de afzender doorgeven is zelden noodzakelijk.
Het kan niet de mailcliënt zelf zijn of toch wel. Ik zag het met spam, phising bij enkele gebeuren andere weer niet.
Met een phising-mail is voor de analyse het behoud van alle headers juist wel gewenst.
03-06-2019, 17:58 door Anoniem
Door Anoniem:
Door Anoniem:
Welke "echte" mailclient bedoel je ? Ik heb nog geen mail client gezien die de originele mail als bijlage meestuurd als een mail wordt geforward

Dan heb je nog niet veel van de wereld gezien, makker!
Maar dat komt vaak voor op deze site, dus daar hoef je je niet voor te schamen ofzo.
Noem een voorbeeld van een mailclient die STANDAARD een geforwarde mail als bijlage meestuurt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Technisch Security Specialist

De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!

Lees meer

Welke messaging-app gebruik jij?

33 reacties
Aantal stemmen: 1044
Vacature
Vacature

Engineer IT-operations

Nationaal Cyber Security Centrum

Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.

Lees meer
Vacature
Vacature

(Senior) Solutions-engineer

Nationaal Cyber Security Centrum

Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.

Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter