Een lezer vroeg me:
Binnen onze organisatie is het onlangs verboden om gegevens van relaties te bewaren in mailboxen of naar elkaar te mailen. Wij mogen deze alleen opvragen in het centrale systeem als ze nodig zijn. Dit is buitengewoon onhandig, als ik een keer een telefoonnummer nodig heb dan moet ik apart inloggen. Waarom stelt men deze eis?
Deze organisatie neemt de privacywet wel érg serieus. De Wet bescherming persoonsgegevens eist dat je “adequate beveiliging” toepast bij ieder gebruik of verzending van persoonsgegevens.
Er zijn geen harde technische eisen die altijd gelden. Zo wordt bij contactformulieren vaak SSL gehanteerd, maar dat is een gebruik (of eis van een brancheorganisatie) en geen wettelijke plicht. Je moet dus per geval kijken wat je voor beveiliging hebt en of dat ‘adequaat’ is gezien de omstandigheden.
Bij e-mail is er het risico dat de mail naar een verkeerd persoon gaat. In dat beveiligde systeem speelt dat risico niet, omdat alleen de juiste ontvanger het wachtwoord zou moeten hebben. Maar verzenden met versleutelde e-mail zou op zich ook in orde moeten zijn.
Aan de andere kant, de meeste relaties sturen zelf elke keer per mail hun hele reeks contactgegevens mee in hun handtekening. Je kunt je dus afvragen of je als ontvanger dan nog wel zo streng moet zijn.
Arnoud
Ik kan mij wel voorstellen dat een bedrijf wil afdwingen dat er niet steeds richting klanten wordt gecommuniceerd door de verkeerde personen. Zo kan het b.v. zijn dat een helpdesk een vraag krijgt die ze niet kunnen beantwoorden en deze doorvragen aan de technische dienst. Je wilt vervolgens niet dat de techneut vanaf dat moment ook met een klant communiceert en erger, dat de klant de volgende keer rechtstreeks met de techneut contact opneemt! Ik snap wel dat bedrijven hun klantenbestand afschermen. Alleen om dit dan “WPB beveiliging” te noemen? Gaat mij iets te ver… Dit is geen paranoia en heeft niets met privacy te maken, volgens mij. Het bedrijf wil gewoon meer controle over alle communicatie-lijnen.
Daarnaast krijg je natuurlijk een centraal systeem waarin contactgegevens up-to-date zijn en er dus niet verouderde gegevens heen en weer gemaild worden. Heel vervelend als een klant een nieuw telefoonnummer heeft doorgegeven maar intern wordt continu nog het oude nummer doorgemaild. Is ook een goede reden voor een centraal klantenbestand…
Misschien implementeert het centrale systeem bepaalde bewaar- en vernietigtermijnen en -procedures, terwijl gegevens in e-mail wat dat betreft in een ander regime terecht komen. Stel je bijvoorbeeld voor dat het om persoonsgegevens gaat en dat er een verzoek tot verwijdering op basis van de wbp komt, dan is dat in het centrale systeem makkelijk uit te voeren. Maar het jarenoude archief met e-mails scannen (om het over backups maar niet te hebben) is een monsterklus.
Maar het kan inderdaad ook gewoon om gegevensbeheer gaan, zoals Wim ten Brink aangeeft. Als een relatie een adreswijziging doorgeeft, dan is het niet fijn als op basis van rondslingerende gegevens in e-mail nog post naar het oude adres gaat,
Ik vermoed dat Wim zijn tweede reden de werkelijke reden is: actualiteit borgen.
Als je werkgever je opdraagt dingen op een bepaalde manier te doen, dan ga je toch niet zo lopen zeuren? 😉
En als dat pff… ohh… wat… errug… extra inloggen een probleem is dan maak je toch de case voor een Single Sign-on oplossing. Heb je meteen weer een leuk, uitdagend projectje om op je CV te zetten!
Of heeft deze werkgever gewoon een mechanisme bedacht om te voorkomen dat vertrekkende medewerkers meteen hun hele netwerk meenemen? Ik weet niet om wat voor bedrijf het gaat maar er zijn branches waar dit echt een probleem is.
Wat betreft het verspreiden van contactgegevens in mails: mij is onlangs op mijn werkplek verteld dat ik mijn naam, functie, afdeling, telefoonnummer, e-mailadres, fysiek adres en KvK gegevens (nummer, vestigingsplaats en directeur) moest vermelden onder iedere externe e-mail. De uitleg was dat dit volgens (Europese?) wetgeving zo zou moeten omdat het dezelfde waarde heeft als fysieke post, waar deze gegevens ook op moeten staan. Ik merk wel dat het voor ontvangers van de e-mail het wel drempelverlagend werkt om je ook op te bellen.
@Wim: ik deel je mening niet dat het rechtstreeks mailen met een techneut een probleem s. Het kan wel problemen veroorzaken overigens, als de correspondentie niet inzichtelijk is of de oplossing niet gedocumenteerd wordt.
@Dennis: dat is wel een probleem, want die techneut zet zijn out-of-office niet aan als ie op vakantie gaat, en de klant weet dan niet waarom hij 2 weken op een antwoord wacht, wat support hem binnen 5 minuten had kunnen vertellen. Gevolg: boze klant.
Of, alternatief doemscenario: techneut kent het contract niet, klant vraagt allerlei zaken aan bij techneut, die wil aardig zijn/blijven/doen en willigt alles in, manager boos, sales bedroefd.
Als het hier een overheidsorgaan betreft ben je binnenkort verplicht de ‘autenthieke’ gegevens van instellingen te gebruiken (zoals nu al verplicht is voor personen). Dit betekent inderdaad dat alle ‘schaduw’-administraties en eigen lijstjes met gegevens niet meer gebruikt mogen worden. Alleen de gegevens zoals die in het bronbestand staan en vaak verspreid worden via een ‘gegevensmakelaar’ mogen dan worden gebruikt.