image

Is toestemming voor het uitvoeren van support bij ICT-diensten wel noodzakelijk?

woensdag 9 augustus 2023, 10:21 door Arnoud Engelfriet, 13 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Mijn werkgever levert onder andere maildiensten aan particuliere klanten. Het gaat hier doorgaans om een doelgroep die internet ziet als noodzakelijk kwaad en een beperkte kennis rondom de digitale wereld heeft. Bij sommige problemen is het noodzakelijk dat onze leverancier in de mailbox van de klant kijkt. De leverancier verlangt dat wij toestemming vragen aan de klant. Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?

Antwoord: De vaste lezers van deze rubriek weten ondertussen wel dat ik weinig waarde hecht aan toestemmingsvragen. Cases als deze laten zien waarom. Zonder de toestemming kan de leverancier niet werken, dus die toestemming moet en zal gegeven worden. Van vrijheid kun je dus niet spreken, of zelfs maar van onderhandelingsruimte. Toestemming bij ICT-diensten is juridisch te herleiden tot twee wettelijke regelingen, namelijk de AVG en de cookiewet. Die laatste is formeel artikel 11.7 Telecommunicatiewet en regelt veel meer dan cookies: iedere vorm van opslaan of uitlezen van gegevens op iemands randapparaat valt eronder.

Hoofdregel is dat je toestemming nodig hebt om zoiets te doen, of dat nou een tracking cookie is of een software-update. Maar er zijn uitzonderingen. Voor diensten als van de vraagsteller relevant is lid 3 sub b: "[opslag of uitlezen] die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren".

Oftewel: als het opslaan of uitlezen van informatie echt nodig is voor wat de gebruiker wil, dan mag je dat gewoon doen. Natuurlijk moet je wel onderbouwen dát het noodzakelijk is, maar dat lijkt me voor zich te spreken bij diensten als deze. (Een dienst van de informatiemaatschappij omvat grofweg iedere dienst via internet, zoals remote support.)

Omdat je bij zulke diensten ook persoonsgegevens tegenkomt, is de AVG ook relevant. Ook daar staat toestemming als eerste in de lijst met grondslagen, maar in dit geval zou ik meteen naar de grondslag "noodzaak uitvoering overeenkomst" gaan. Het leveren van support hoort bij de levering van de maildienst, en nu de dienst het niet doet, moet er iemand in de mailbox. Een mooier voorbeeld van 'noodzaak' zou ik zo even niet kunnen bedenken.

Alles bij elkaar zie ik dus werkelijk niet in waarom je mensen om toestemming zou vragen voor toegang tot hun mailbox in het kader van support. Natuurlijk méld je wel dat je dat gaat doen, dat volgt uit je zorgplicht als dienstverlener en uit de informatieplichten van de AVG.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (13)
09-08-2023, 10:42 door Anoniem
Er is ook nog zoiets als professioneel blind zijn.

Ik had twee weken geleden dat advocaten kantoor. Met vervallen domein (daar denk je ook niet aan als het na zes jaar vervalt), en het domein nog gepikt ook. Domein terug. Maar ondertussen zit je wel naar mailboxes in outlook te kijken op dat kantoor.

Echt ik zweer het en je mag me zelfs martelen, ik heb echt niks gezien. Echt niet. Professioneel blind.

Het hadden net zo goed medische gegeven kunnen zijn. Die mij ook niks aangaan. De kunst van het wegkijken. Wat een goeie advocaat ook kan. Daar ligt een raakvlak met goeie IT support.

Die emails werken weer. Waar het over gaat? Echt geen flauw idee.
09-08-2023, 11:09 door -Peter-
Door Anoniem: Er is ook nog zoiets als professioneel blind zijn.

Ik ken dat ook bij wachtwoorden en pincodes. Als ik die tegenkom (of iemand vertelt me die) dan ben ik die bijna direct weer vergeten.

"Maar die heb ik je daarnet nog verteld."

Peter
09-08-2023, 11:23 door Anoniem
Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
Afgezien van de situatie, is dit een hele enge argumentatie: men snapt het niet, dus we doen het maar gewoon.
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
09-08-2023, 12:35 door Arnoud Engelfriet
Door Anoniem:
Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
Afgezien van de situatie, is dit een hele enge argumentatie: men snapt het niet, dus we doen het maar gewoon.
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Het is juist triest dat iedereen maar met toestemmingsformulieren werkt voor van alles en nog wat, in plaats van gewoon af te wegen wat gewenst en verstandig is in de situatie. Het is juist die kramp van toestemming waardoor we nu met z'n allen overal ja op zeggen. Het hele instrument van informed consent is kapot gemaakt door al dat "netjes om toestemming" vragen in situaties waarin iedereen op z'n boerenklompen aanvoelt dat het gewoon moet kunnen. Dus bedankt, maar nee er is niets triest aan zelf nadenken en het is juist een berg ellende die deze houding ons allemaal heeft gegeven. Dus dank je wel.
09-08-2023, 22:20 door Anoniem
Eens met Arnoud

Ook ik heb vaak te maken gehad met onnodige en onwenselijke vragen van toestemming.
Het lijkt het gemakkelijkst, maar het leidt tot neveneffecten die onwenselijk zijn en herleidt tot verwachtingen die (als nagekomen) leiden tot overreding ga diverse wetten.

Toestemming geven leidt tot de mogelijkheid dat de toestemming weer kan worden ingetrokken. Dat kan meestal wel. En soms soms niet. Bijv: alsje een contract heb of facturen naar een klant stuurt, dan is toestemming intrekken zinloos. De belastingwetten staan niet toe dat de informatie niet meer wordt verwerkt.

Overal toestemming voor vragen maakt mensen lui en gemakzuchtig. En onvoorzichtig.
Als mensen zonder kennis/inzicht in de AVG het beleid bepalen opdat gebied …..
inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht. V
10-08-2023, 10:29 door Anoniem
Hoe zit het dan met briefgeheim?
10-08-2023, 15:44 door Anoniem
Door Anoniem: Hoe zit het dan met briefgeheim?
Heb je bovenstaande reacties gelezen en begrepen?
10-08-2023, 16:58 door Anoniem
Door Arnoud Engelfriet:
Door Anoniem:
Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
Afgezien van de situatie, is dit een hele enge argumentatie: men snapt het niet, dus we doen het maar gewoon.
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Het is juist triest dat iedereen maar met toestemmingsformulieren werkt voor van alles en nog wat, in plaats van gewoon af te wegen wat gewenst en verstandig is in de situatie. Het is juist die kramp van toestemming waardoor we nu met z'n allen overal ja op zeggen.
Oh, is dat zo? Standaard 'nee', tenzij je verdomd goed uit kunt leggen waarom het wenselijk is om die toestemming te krijgen en dan nog vaak 'nee', want ik vind het niet wenselijk...[quote[Het hele instrument van informed consent is kapot gemaakt door al dat "netjes om toestemming" vragen in situaties waarin iedereen op z'n boerenklompen aanvoelt dat het gewoon moet kunnen.[/quote]Jij hebt duidelijk andere klompen dan ik. Dit zou dus gewoon niet moeten kunnen - en ook niet nodig moeten zijn... Daarmee zou je de toestemming dus helemaal niet nodig moeten hebben.
Dus bedankt, maar nee er is niets triest aan zelf nadenken en het is juist een berg ellende die deze houding ons allemaal heeft gegeven. Dus dank je wel.
Wederom ben ik het niet met je eens. Het is INFORMATIE. Die kun je niet terug halen. Kennis ervan nemen is kennis ervan hebben. Daar zit geen 'undo' op. Dat is nou juist het hele probleem. Dus nee, er zou nog veel en veel minder 'moeten kunnen'. Ofwel: er KAN nog veel te veel (al dan niet met een wettelijke basis...). Helaas...
Dus nee, moreel gezien moet je gewoon toestemming vragen. Ongeacht wat de wet er van zegt en of je je daarmee kunt indekken.
11-08-2023, 03:46 door Anoniem
Toestemming is geen boolean. Je kunt daar prima condities aan toevoegen. Of gewoon meekijken.
11-08-2023, 08:55 door Bitje-scheef
Kan me voorstellen dat klanten het toch nog prettig vinden dat je toestemming vraagt. Wel zo netjes.
11-08-2023, 10:13 door Anoniem
Door Anoniem: Er is ook nog zoiets als professioneel blind zijn.

Toen ik veel met mail te maken had (25 jaar geleden) beschouwde ik het werken ermee op hetzelfde niveau als doktersgeheim. Je doet je ding en probeert het daarna te vergeten - en anders praat je er gewoon niet over. En nog steeds is dat een insteek die je denk ik zou moeten hebben. Bij bijvoorbeeld een kassa en iemand (zelfs m'n eigen vrouw met haar eigen pas) betaalt met pin of iemand die ergens een wachtwoord intypt? Ik kijk de andere kant op - heel bewust.

Maar we leven inmiddels in 2023, in een periode waarin we doorgeslagen zijn in correctheid en tere zieltjes. Hoe begrijpelijk ook in veel gevallen - want zoals dit voorbeeld aangeeft is het lastig te bepalen waar de grens ligt.

Ik zie echter in dit doorgeslagen zijn om overal maar toestemming voor te moeten vragen ook een groot beveiligingsrisico: er komt een gevoel bij een generatie/groep mensen dat niemand iets in kan zien zonder toestemming. En dus wordt er onvoorzichtiger omgesprongen met wat je in bijv. een mail zet of bewaard. Met alle gevolgen van dien wanneer iemand (zonder toestemming en met kwade bedoelingen) zich toegang verschaft...

Zelf probeer ik altijd te bedenken dat iemand toegang KAN krijgen tot bijv. mijn mail - en dus probeer ik zaken die gevoelig zijn op een andere manier te bewaren zodat ik meer controle heb (versleuteling/beveiliging). Mocht dan ooit iemand toegang verschaffen of willen krijgen dan ligt dat een stuk minder gevoelig.
11-08-2023, 10:16 door Anoniem
Door Anoniem:
Door Arnoud Engelfriet:
Door Anoniem:
Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
Afgezien van de situatie, is dit een hele enge argumentatie: men snapt het niet, dus we doen het maar gewoon.
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Het is juist triest dat iedereen maar met toestemmingsformulieren werkt voor van alles en nog wat, in plaats van gewoon af te wegen wat gewenst en verstandig is in de situatie. Het is juist die kramp van toestemming waardoor we nu met z'n allen overal ja op zeggen.
Oh, is dat zo? Standaard 'nee', tenzij je verdomd goed uit kunt leggen waarom het wenselijk is om die toestemming te krijgen en dan nog vaak 'nee', want ik vind het niet wenselijk...
Het hele instrument van informed consent is kapot gemaakt door al dat "netjes om toestemming" vragen in situaties waarin iedereen op z'n boerenklompen aanvoelt dat het gewoon moet kunnen.
Jij hebt duidelijk andere klompen dan ik. Dit zou dus gewoon niet moeten kunnen - en ook niet nodig moeten zijn... Daarmee zou je de toestemming dus helemaal niet nodig moeten hebben.
Dus bedankt, maar nee er is niets triest aan zelf nadenken en het is juist een berg ellende die deze houding ons allemaal heeft gegeven. Dus dank je wel.
Wederom ben ik het niet met je eens. Het is INFORMATIE. Die kun je niet terug halen. Kennis ervan nemen is kennis ervan hebben. Daar zit geen 'undo' op. Dat is nou juist het hele probleem. Dus nee, er zou nog veel en veel minder 'moeten kunnen'. Ofwel: er KAN nog veel te veel (al dan niet met een wettelijke basis...). Helaas...
Dus nee, moreel gezien moet je gewoon toestemming vragen. Ongeacht wat de wet er van zegt en of je je daarmee kunt indekken.
Dit doet me denken aan een anecdote van een support desk in de jaren 80. Achtergrond is dat er veel aan de Amerikaanse Defensie werd geleverd.
Telefoon gaat: Hallo, met de support desk, met wie spreek ik?
Antwoord: dat mag ik niet vertellen.
Ok, voor wel bedrijf werkt U?
Antwoord: dat mag ik U niet vertellen.
Ok, mag ik dan Uw support contract nummer?
Antwoord: dat mag ik U niet vertellen.
Ok, hmm, laten we maar eens kijken wat ik dan wel kan doen. Kunt U het probleem omschrijven?
Antwoord: die informatie mag ik niet delen...

Wat Arnold hier aangeeft (volgens mij) is dat als er geen toestemming gegeven wordt, het probleem niet opgelost kan worden. Toestemming moet in alle vrijheid gegeven worden, is er "alle vrijheid" als anders het probleem niet wordt opgelost?

Wat denk ik veel belangrijker is, zijn de voorwaarden, zoiets als: in het kader van het oplossen van specifieke door de klant gemelde problemen kan het nodig zijn dat wij toegang tot de mailbox verkrijgen. Hierbij wordt niet naar de inhoudi van emailtjes zelf bekeken of wordt de inhoud verder gedeeld. Van iedere toegang wordt automatisch bericht naar de mailboxeigenaar gestuurd.
Dan weet een klant van te voren waar hij/zij aan toe is, en kan hij/zij op dat moment vrij kiezen om deze dienst wel of niet af te nemen.
21-08-2023, 16:06 door Anoniem
Er is ook nog zoiets als professioneel blind zijn.
Ik ken dat ook bij wachtwoorden en pincodes. Als ik die tegenkom (of iemand vertelt me die) dan ben ik die bijna direct weer vergeten.

"Maar die heb ik je daarnet nog verteld."
Het is jouw wachtwoord, dat moet jij onthouden, ik niet! :D
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.