Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Mijn werkgever levert onder andere maildiensten aan particuliere klanten. Het gaat hier doorgaans om een doelgroep die internet ziet als noodzakelijk kwaad en een beperkte kennis rondom de digitale wereld heeft. Bij sommige problemen is het noodzakelijk dat onze leverancier in de mailbox van de klant kijkt. De leverancier verlangt dat wij toestemming vragen aan de klant. Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
Antwoord: De vaste lezers van deze rubriek weten ondertussen wel dat ik weinig waarde hecht aan toestemmingsvragen. Cases als deze laten zien waarom. Zonder de toestemming kan de leverancier niet werken, dus die toestemming moet en zal gegeven worden. Van vrijheid kun je dus niet spreken, of zelfs maar van onderhandelingsruimte. Toestemming bij ICT-diensten is juridisch te herleiden tot twee wettelijke regelingen, namelijk de AVG en de cookiewet. Die laatste is formeel artikel 11.7 Telecommunicatiewet en regelt veel meer dan cookies: iedere vorm van opslaan of uitlezen van gegevens op iemands randapparaat valt eronder.
Hoofdregel is dat je toestemming nodig hebt om zoiets te doen, of dat nou een tracking cookie is of een software-update. Maar er zijn uitzonderingen. Voor diensten als van de vraagsteller relevant is lid 3 sub b: "[opslag of uitlezen] die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren".
Oftewel: als het opslaan of uitlezen van informatie echt nodig is voor wat de gebruiker wil, dan mag je dat gewoon doen. Natuurlijk moet je wel onderbouwen dát het noodzakelijk is, maar dat lijkt me voor zich te spreken bij diensten als deze. (Een dienst van de informatiemaatschappij omvat grofweg iedere dienst via internet, zoals remote support.)
Omdat je bij zulke diensten ook persoonsgegevens tegenkomt, is de AVG ook relevant. Ook daar staat toestemming als eerste in de lijst met grondslagen, maar in dit geval zou ik meteen naar de grondslag "noodzaak uitvoering overeenkomst" gaan. Het leveren van support hoort bij de levering van de maildienst, en nu de dienst het niet doet, moet er iemand in de mailbox. Een mooier voorbeeld van 'noodzaak' zou ik zo even niet kunnen bedenken.
Alles bij elkaar zie ik dus werkelijk niet in waarom je mensen om toestemming zou vragen voor toegang tot hun mailbox in het kader van support. Natuurlijk méld je wel dat je dat gaat doen, dat volgt uit je zorgplicht als dienstverlener en uit de informatieplichten van de AVG.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.