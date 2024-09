Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Wij zijn een klein adviesbureau en besteden al onze ict-dienstverlening uit. Nu hebben wij recent ontdekt dat oude mailboxen (ex-werknemers) na 30 dagen worden gewist. Dit is erg vervelend, omdat wij nu geen oude correspondentie terug kunnen halen die nodig is voor een juridisch geschil met een klant. Kunnen wij de dienstverlener hierop aanspreken?

Antwoord: Dit lijkt het omgekeerde geval van de vraag uit juli waarbij de leverancier ongevraagd back-ups wilde maken. Hier gooit deze dus ongevraagd gegevens weg omdat die naar diens inzicht niet meer nodig zijn.

Het antwoord begint bij hetzelfde punt, namelijk de zorgplicht van de ict-dienstverlener. Iets specifieker diens informatieplicht, uitleggen hoe je werkt en welke keuzes je daarin maakt. Op zich is die 30 dagen een prima keuze, maar de klant moet dat wel weten zodat deze erop kan acteren. Ik twijfel of je per mailbox nog laatste herinneringen moet mailen ("Let op: over 3 dagen wordt een oude mailbox gewist" naar de contactpersoon), maar netjes zou dat wel zijn.

Tegelijkertijd heeft ook de klant natuurlijk een zekere verantwoordelijkheid. Als een werknemer vertrekt, is opschonen van diens mailbox een standaardactie. Belangrijke mails, zoals toezeggingen aan een klant, horen in dossiers of klantadministraties te zitten en niet in een mailbox. Ik snap dat dat vaak niet gebeurt, maar dan krijg je dus wel dit soort problemen.

Voor dit concrete geval zie ik niet echt een oplossing. Die mailbox is weg, en die komt niet terug als de leverancier bedrag X als schadevergoeding betaalt. Dit nog los van de vraag óf er vergoedbare schade is. De gevolgschade zoals de klant moeten afkopen valt buiten de risicosfeer van de leverancier, dit zal het adviesbureau zelf moeten dragen. Dit is te zeer hun eigen risico om nog 100% op het bordje van de ict-leverancier te leggen.

Het beste advies is dus om dit als aanleiding te gebruiken om de beheersovereenkomst te herzien. Maak afspraken over bewaartermijnen, over het aanleveren van een statische kopie of export dan wel over herinneringen om te downloaden voor het te laat is. En herzie je eigen procedures over wat er (uitsluitend) in mailboxen mag staan.

