Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Laatst ontving ik op het werk een persoonlijk aan mij gerichte e-mail, zonder anderen in de cc. Een collega meldde me dat de mail echter naar in ieder geval vier anderen is gestuurd. Deze vier personen hebben maar gedeeltelijk iets te maken met de inhoud van de e-mail. Ik was onaangenaam verrast toen ik dit ontdekte en ben erg benieuwd of dit zomaar mag.
Antwoord: De vraag vermeldt niet of het de afzender van die mail was of een ander die de vier personen de mail heeft geforward. Ik ga er maar even van uit dat er niet iemand in de inbox heeft meegelezen en de mail daaruit heeft gevist om door te sturen.
Mijn vermoeden is dat de afzender na het versturen dacht dat die andere vier het ook moesten weten, dus toen zijn eigen mail doorstuurde. (Hij had ook bcc kunnen gebruiken, maar dat komt vaker in de spambox of valt minder op.) Mogelijk stuurde deze het naar een andere persoon, die vervolgens de vier er bij haalde.
Hoe het ook zij, de AVG biedt hier natuurlijk geen direct antwoord op. Verder dan algemene criteria zoals zorgvuldigheid en dataminimalisatie kom je hier niet mee. Het komt dan dus neer op de vraag of het nódig was die vier te informeren, en of vanuit de positie van de persoon die de mail naar hen vier stuurde die afweging zo gemaakt kon worden. Hier antwoord op geven kan alleen als we concreet weten om welke mail het gaat en waarom die vier het moesten weten.
Stel de mail gaat over een goedgekeurde vakantie-aanvraag, en de vier zijn managers en collega's die het werk moeten overnemen. Dan lijkt dit me volkomen normaal.
Stel het gaat over een klacht van de afzender richting de vraagsteller, en deze betrekt er alvast maar even HR, de directeur en de vertrouwenspersoon erbij. Daar zou ik iets meer moeite mee hebben, maar vanuit de afzender begrijpelijk als de klacht hem of haar hoog zit.
Stel de mail is een stukje feedback van de leidinggevende, die het deelde met een mede-manager die het naar vier collega's doorstuurde. Dat zou ik te ver vinden gaan, daar lijkt me geen reden voor te bedenken. Maar wie dat wel kan: ja, dan zou het weer wel mogen.
Vragen als deze krijg ik vaker. Ik krijg sterk het gevoel dat mensen graag vooral een extra stok willen (de AVG) om te kunnen zeggen dat hier illegaal, onrechtmatig is gehandeld ongeacht wat er nu écht aan de hand is. Maar de AVG is geen apart kanaal waarmee je een andere uitkomst kunt forceren dan via de 'gewone' route. Als je manager iets legitiems deed, wordt dat niet ineens onrechtmatig als je het in AVG-termen nog een keer navertelt.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.