Juridische vraag: Is het forwarden van een e-mail zonder toestemming van de afzender wel in overeenstemming met de AVG?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Het is niet ongebruikelijk om emails door te sturen ("forwarden") naar derden. Elk e-mailprogramma biedt die mogelijkheid. Maar die derden ontvangen dan ook het e-mailadres van de oorspronkelijke verstuurder van de email zonder dat ik hem of haar toestemming heb gevraagd om de email te forwarden. Schend ik daarmee de AVG?
Antwoord: De AVG kijkt niet naar een specifiek mechanisme, maar naar wat je onderliggend aan het doen bent. Met het forwarden van een mail stuur je een bericht naar een ander. AVG-technisch zeg je dan, beste ander jij hebt deze informatie nodig.
Als je in een mail dus andermans afzenderinformatie laat staan, dan zeg je dus, beste ander jij moet weten dat Pietje opsteller is van onderstaande. En dat moet je dan onderbouwen met de juiste grondslag:
1. Toestemming: Pietje vroeg me aan Marieke te vragen of dit-en-dat. Dan is het evident dat Marieke dat mag weten.
2. Overeenkomst: Jij hebt Marieke nodig om te doen wat Piet besteld, gevraagd of geleverd had. Dan ontkom je er niet aan dat Marieke de informatie van Piet moet weten.
3. Eigen belang: het is voor jou, Piet of Marieke belangrijk dat Marieke dit weet en Piets privacy moet daarvoor maar even wijken, niets aan te doen. Weglaten van het mailadres zou onzinnig zijn. Als je dat onderbouwt, dan is het prima.
Meestal zal het om dat laatste gaan. Dan moet je dus die onderbouwing hebben. Ik vertaal dat praktisch naar de vraag: kun je de headerinformatie ook weglaten, of gaat het dan mis met het issue dat je forwardt?
Een concreet voorbeeld is deze rubriek. Ik krijg van de redactie geforwarde vragen die ik hier beantwoord. Zij laten de afzenderinformatie weg, want wat moet ik daarmee? Ik kan de vraag hier beantwoorden -of niet- maar ik hoef de afzender niet te melden wat ik doe. Dus mogen / moeten zij die informatie weglaten.
In een incidenteel geval, bij particulieren maar ook zakelijk, kun je denk ik ook wel zeggen, deze forward valt buiten de AVG omdat het slechts huishoudelijk verwerken is. Dan gaat het om een informele kattebel die je even doorzet. Als het forwarden hoort bij een werkproces, dan geldt deze uitzondering niet.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ten tweede kun je natuurlijk van alles in een email zetten. Ook alle denkbare prive-informatie. Je zou dus net zo goed juridisch kunnen vragen of een email wel priveinformatie mag bevatten. In het algemeen.
De verwarring is dat men met name verwarrend gaat denken omdat zoiets als een email iets elektroonies is. Ongeveer net zo modern als de AVG, dus die AVG zal wel enkel en alleen over elektrooniese dingen gaan. En dan wordt het ineens moeilijk moeilijk moeilijk. En laten we er eens goed over theoretiseren.
Sinds jaar en dag kan ik elke brief die ik ontvang aan een ander doorsturen. In een verse envelop. Ook als de afzender in die brief staat. Het valt zelfs onder het postgeheim.
Ik zie het elektrooniese verschil niet met iemeel. Noch enig verband met de AVG/GDPR.
Of moet ik dit jaar mijn kerstkaarten ook al gaan anonimiseren of zo?
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen.
Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.
Zodra het briefgeheim ook voor email gaat gelden (die wet is in de maak), wordt het een ander verhaal.
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen.
Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.
Email heeft dan ook dezelfde status als een briefkaart: wie ken lezen, mag het lezen.
Het is dan ook altijd toegestaan om een email door anderen te laten lezen, direct, met forwarding, of uitgeprint.
Zodra het briefgeheim ook voor email gaat gelden (die wet is in de maak), wordt het een ander verhaal.
Correct me if I'm wrong, maar bij mijn weten gaat briefgeheim over het niet openen van de brief in transport naar de ontvanger. Het onderwerp van deze juridische vraag gaat echter over het onthullen van de inhoud door de beoogde ontvanger.
Briefgeheim is niet geschonden als ik een brief die aan mij geaddresseerd is na ontvangst aan een ander laat zien.
Klinkklare onzin. Alsof medewerkers van internet providers bijvoorbeeld, indien ze daar zin in hebben, jouw email mogen lezen.
Grondwet bij de tijd: e-mail ook onder briefgeheim
https://www.rijksoverheid.nl/actueel/nieuws/2017/07/11/grondwet-bij-de-tijd-e-mail-ook-onder-briefgeheim
Neem je verder buiten briefgeheim ook nog andere wetgeving mee in je overweging ? Het briefgeheim is niet het enige juridische obstakel bij de vraag of je een email publiek mag maken.
Immers neem ik niet aan dat je meent dat -ongeacht briefgeheim- jouw huisarts emails met jouw medische gegevens met wie dan ook mag delen. Of dat je emails van je werkgever, of zijn klanten -ongeacht briefgeheim- doodleuk met iedereen mag delen.
Wat dat betreft moet je iets breder kijken dan enkel naar het concept ''briefgeheim''.
Maar goed nadenken wat je doorstuurt, naar wie en waarom is altijd belangrijk. AVG of niet
Een echte mailclient zal de oorspronkelijke mail als bijlage doorsturen. Dan valt er niets te wijzigen.
Dit is een bekend probleem bij programma's die mail doorsturen als inhoud van bestaande mail. Vaak worden die berichten enkele paginas lang. Geen mens let op wat verder naar beneden staat. Ik doe dat wel en kom daar soms best wel interessante en gevoelige informatie tegen. Denk bijvoorbeeld aan deeplinks naar informatie waar ik normaal geen toegang toe heb. En nee, dat hoeven niet altijd persoonsgegevens te zijn.
Misschien wel handig om je eens te verdiepen in de gebruikelijke handelswijze bij e-mail berichten in de security wereld. Daar gaat deze site toch over. Lees je eens in over het TLP protocol. Het is de afzender die bepaalt wat jij met de informatie mag doen.
Het zou wat mooi zijn als jij een mail stuurt naar Facebook en zij mogen daarmee doen wat ze willen.
Peter
Een echte mailclient zal de oorspronkelijke mail als bijlage doorsturen. Dan valt er niets te wijzigen.
Dit is een bekend probleem bij programma's die mail doorsturen als inhoud van bestaande mail. Vaak worden die berichten enkele paginas lang. Geen mens let op wat verder naar beneden staat. Ik doe dat wel en kom daar soms best wel interessante en gevoelige informatie tegen. Denk bijvoorbeeld aan deeplinks naar informatie waar ik normaal geen toegang toe heb. En nee, dat hoeven niet altijd persoonsgegevens te zijn.
Misschien wel handig om je eens te verdiepen in de gebruikelijke handelswijze bij e-mail berichten in de security wereld. Daar gaat deze site toch over. Lees je eens in over het TLP protocol. Het is de afzender die bepaalt wat jij met de informatie mag doen.
Het zou wat mooi zijn als jij een mail stuurt naar Facebook en zij mogen daarmee doen wat ze willen.
Peter
Welke "echte" mailclient bedoel je ? Ik heb nog geen mail client gezien die de originele mail als bijlage meestuurd als een mail wordt geforward
Dan heb je nog niet veel van de wereld gezien, makker!
Maar dat komt vaak voor op deze site, dus daar hoef je je niet voor te schamen ofzo.
zou google nu verboden moeten worden ?
oh wacht, ik denk dat Microsoft met hun mail dienst dat ook doet.
Ik weet niet wat bij jou een 'echte' mailclient is, maar mijn mail clienten doen dat niet bij een standaard forward. (Apple Mail, Thunderbird, Roundcube).
De eerste twee hebben wel de optie om een mail als bijlage te forwarden, maar dat is niet de standaard forward. Die eerste twee veranderen wel de oorspronkelijke afzender in je eigen adres. De oorspronkelijke afzend gegevens komen in de mail body en kun je desgewenst wissen.
Roundcube is wel een probleem. Bij forwarden blijft de oorspronkelijke afzender staan als afzenden. Hij is dus de afzender aan het spoofen waardoor de mail niet aankomt als de afzender een 'reject' policy ingesteld heeft voor dmarc.
---
Als ik het stuk van Arnoud hierboven lees, kan het versturen als bijlage juist in strijd zijn met de AVG. In een bijlage blijven de oorspronkelijke headers aanwezig. Er is dan misschien een noodzaak om de naam door te geven, maar ook het IP adres van de afzender doorgeven is zelden noodzakelijk.
Als ik het stuk van Arnoud hierboven lees, kan het versturen als bijlage juist in strijd zijn met de AVG. In een bijlage blijven de oorspronkelijke headers aanwezig. Er is dan misschien een noodzaak om de naam door te geven, maar ook het IP adres van de afzender doorgeven is zelden noodzakelijk.
Met een phising-mail is voor de analyse het behoud van alle headers juist wel gewenst.
Welke "echte" mailclient bedoel je ? Ik heb nog geen mail client gezien die de originele mail als bijlage meestuurd als een mail wordt geforward
Dan heb je nog niet veel van de wereld gezien, makker!
Maar dat komt vaak voor op deze site, dus daar hoef je je niet voor te schamen ofzo.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Beleidsmedewerker Informatiebeveiliging en Privacy
Scholenkoepel RVKO is voor haar bestuursbureau op zoek naar een beleidsmedewerker Informatiebeveiliging en Privacy (IBP), die het voldoen aan de wet- en regelgeving ten aanzien van informatiebeveiliging en privacy, zoals de AVG, organiseert en borgt.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?