Is toestemming voor het uitvoeren van support bij ICT-diensten wel noodzakelijk?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Mijn werkgever levert onder andere maildiensten aan particuliere klanten. Het gaat hier doorgaans om een doelgroep die internet ziet als noodzakelijk kwaad en een beperkte kennis rondom de digitale wereld heeft. Bij sommige problemen is het noodzakelijk dat onze leverancier in de mailbox van de klant kijkt. De leverancier verlangt dat wij toestemming vragen aan de klant. Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
Antwoord: De vaste lezers van deze rubriek weten ondertussen wel dat ik weinig waarde hecht aan toestemmingsvragen. Cases als deze laten zien waarom. Zonder de toestemming kan de leverancier niet werken, dus die toestemming moet en zal gegeven worden. Van vrijheid kun je dus niet spreken, of zelfs maar van onderhandelingsruimte. Toestemming bij ICT-diensten is juridisch te herleiden tot twee wettelijke regelingen, namelijk de AVG en de cookiewet. Die laatste is formeel artikel 11.7 Telecommunicatiewet en regelt veel meer dan cookies: iedere vorm van opslaan of uitlezen van gegevens op iemands randapparaat valt eronder.
Hoofdregel is dat je toestemming nodig hebt om zoiets te doen, of dat nou een tracking cookie is of een software-update. Maar er zijn uitzonderingen. Voor diensten als van de vraagsteller relevant is lid 3 sub b: "[opslag of uitlezen] die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren".
Oftewel: als het opslaan of uitlezen van informatie echt nodig is voor wat de gebruiker wil, dan mag je dat gewoon doen. Natuurlijk moet je wel onderbouwen dát het noodzakelijk is, maar dat lijkt me voor zich te spreken bij diensten als deze. (Een dienst van de informatiemaatschappij omvat grofweg iedere dienst via internet, zoals remote support.)
Omdat je bij zulke diensten ook persoonsgegevens tegenkomt, is de AVG ook relevant. Ook daar staat toestemming als eerste in de lijst met grondslagen, maar in dit geval zou ik meteen naar de grondslag "noodzaak uitvoering overeenkomst" gaan. Het leveren van support hoort bij de levering van de maildienst, en nu de dienst het niet doet, moet er iemand in de mailbox. Een mooier voorbeeld van 'noodzaak' zou ik zo even niet kunnen bedenken.
Alles bij elkaar zie ik dus werkelijk niet in waarom je mensen om toestemming zou vragen voor toegang tot hun mailbox in het kader van support. Natuurlijk méld je wel dat je dat gaat doen, dat volgt uit je zorgplicht als dienstverlener en uit de informatieplichten van de AVG.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ik had twee weken geleden dat advocaten kantoor. Met vervallen domein (daar denk je ook niet aan als het na zes jaar vervalt), en het domein nog gepikt ook. Domein terug. Maar ondertussen zit je wel naar mailboxes in outlook te kijken op dat kantoor.
Echt ik zweer het en je mag me zelfs martelen, ik heb echt niks gezien. Echt niet. Professioneel blind.
Het hadden net zo goed medische gegeven kunnen zijn. Die mij ook niks aangaan. De kunst van het wegkijken. Wat een goeie advocaat ook kan. Daar ligt een raakvlak met goeie IT support.
Die emails werken weer. Waar het over gaat? Echt geen flauw idee.
Ik ken dat ook bij wachtwoorden en pincodes. Als ik die tegenkom (of iemand vertelt me die) dan ben ik die bijna direct weer vergeten.
"Maar die heb ik je daarnet nog verteld."
Peter
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Ook ik heb vaak te maken gehad met onnodige en onwenselijke vragen van toestemming.
Het lijkt het gemakkelijkst, maar het leidt tot neveneffecten die onwenselijk zijn en herleidt tot verwachtingen die (als nagekomen) leiden tot overreding ga diverse wetten.
Toestemming geven leidt tot de mogelijkheid dat de toestemming weer kan worden ingetrokken. Dat kan meestal wel. En soms soms niet. Bijv: alsje een contract heb of facturen naar een klant stuurt, dan is toestemming intrekken zinloos. De belastingwetten staan niet toe dat de informatie niet meer wordt verwerkt.
Overal toestemming voor vragen maakt mensen lui en gemakzuchtig. En onvoorzichtig.
Als mensen zonder kennis/inzicht in de AVG het beleid bepalen opdat gebied …..
inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht. V
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Dus nee, moreel gezien moet je gewoon toestemming vragen. Ongeacht wat de wet er van zegt en of je je daarmee kunt indekken.
Toen ik veel met mail te maken had (25 jaar geleden) beschouwde ik het werken ermee op hetzelfde niveau als doktersgeheim. Je doet je ding en probeert het daarna te vergeten - en anders praat je er gewoon niet over. En nog steeds is dat een insteek die je denk ik zou moeten hebben. Bij bijvoorbeeld een kassa en iemand (zelfs m'n eigen vrouw met haar eigen pas) betaalt met pin of iemand die ergens een wachtwoord intypt? Ik kijk de andere kant op - heel bewust.
Maar we leven inmiddels in 2023, in een periode waarin we doorgeslagen zijn in correctheid en tere zieltjes. Hoe begrijpelijk ook in veel gevallen - want zoals dit voorbeeld aangeeft is het lastig te bepalen waar de grens ligt.
Ik zie echter in dit doorgeslagen zijn om overal maar toestemming voor te moeten vragen ook een groot beveiligingsrisico: er komt een gevoel bij een generatie/groep mensen dat niemand iets in kan zien zonder toestemming. En dus wordt er onvoorzichtiger omgesprongen met wat je in bijv. een mail zet of bewaard. Met alle gevolgen van dien wanneer iemand (zonder toestemming en met kwade bedoelingen) zich toegang verschaft...
Zelf probeer ik altijd te bedenken dat iemand toegang KAN krijgen tot bijv. mijn mail - en dus probeer ik zaken die gevoelig zijn op een andere manier te bewaren zodat ik meer controle heb (versleuteling/beveiliging). Mocht dan ooit iemand toegang verschaffen of willen krijgen dan ligt dat een stuk minder gevoelig.
Zo zijn we al aan heel veel ellende, met name door de overheid gekomen! Daarnaast: als je - nog even afgezien van een wettelijke basis - netjes om toestemming vraagt, dan heb je je in elk geval correct gedragen. Blijkbaar is dat voor TS niet vanzelfsprekend. Triest.
Dus nee, moreel gezien moet je gewoon toestemming vragen. Ongeacht wat de wet er van zegt en of je je daarmee kunt indekken.
Telefoon gaat: Hallo, met de support desk, met wie spreek ik?
Antwoord: dat mag ik niet vertellen.
Ok, voor wel bedrijf werkt U?
Antwoord: dat mag ik U niet vertellen.
Ok, mag ik dan Uw support contract nummer?
Antwoord: dat mag ik U niet vertellen.
Ok, hmm, laten we maar eens kijken wat ik dan wel kan doen. Kunt U het probleem omschrijven?
Antwoord: die informatie mag ik niet delen...
Wat Arnold hier aangeeft (volgens mij) is dat als er geen toestemming gegeven wordt, het probleem niet opgelost kan worden. Toestemming moet in alle vrijheid gegeven worden, is er "alle vrijheid" als anders het probleem niet wordt opgelost?
Wat denk ik veel belangrijker is, zijn de voorwaarden, zoiets als: in het kader van het oplossen van specifieke door de klant gemelde problemen kan het nodig zijn dat wij toegang tot de mailbox verkrijgen. Hierbij wordt niet naar de inhoudi van emailtjes zelf bekeken of wordt de inhoud verder gedeeld. Van iedere toegang wordt automatisch bericht naar de mailboxeigenaar gestuurd.
Dan weet een klant van te voren waar hij/zij aan toe is, en kan hij/zij op dat moment vrij kiezen om deze dienst wel of niet af te nemen.
"Maar die heb ik je daarnet nog verteld."
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.