Een lezer vroeg me:
Laatst had ik op mijn werk een probleem met de mail. De helpdesk gebeld, en het lag aan een mail met gigantische bijlage van een collega. Tijdens het uitzoeken zei de helpdeskmedewerker echter spontaan: “Goh wat leuk, heb je ook de halve marathon in Hengelo gedaan, ik ook!”. Dit haalde hij uit de subject van een andere mail in die map. Mogen ze dat?
Heel strikt gesproken mag dat niet, maar als we dát gaan handhaven dan wordt de Wbp net zo populair als de Auteurswet.
Een mailbox bevat persoonsgegevens, en het bedrijf moet zorgen voor een zorgvuldige omgang daarmee. Deel daarvan is dat er geen persoonsgegevens worden verwerkt die niet noodzakelijk zijn voor het doel van waar je mee bezig bent. Gaat een mailbox stuk, dan is het logisch dat je in het mailoverzicht kijkt naar bijvoorbeeld grote bijlagen, gecorrumpeerde headerregels of virusbijlagen. Mails lezen hoort daar bijvoorbeeld dus eigenlijk al niet bij, inhoud raadpleeg je pas als de metadata niet helpt.
Hier zat de privéinformatie in de header. Op zich dus iets dat je gewoon tegen kunt komen als medewerker. Eigenlijk mag je dat niet verwerken want het is privé. Maar de verwerking is onvermijdelijk gezien waar het staat en het doel van waar hij mee bezig is. Dus dan mag het. Maar de verwerking moet dan beperkt blijven tot “oké, niet relevant bericht” en drukken op de Next-knop. De informatie hoort dan eigenlijk het andere oog weer uit te gaan.
Het lijkt me vooral een stukje professionaliteit. Als helpdeskmedewerker moet je weten dat je bij het openen van mail privédingen kunt zien. En even los van de discussie of dat mag, privédingen in werkmail, dan wel of het handig is: daar blijf je dan gewoon vanaf tenzij het probleem ermee te maken lijkt te hebben. Net zo goed als de automonteur bij de zakelijke leaseauto niet in het handschoenenkastje kijkt tenzij hij daar moet zijn voor bepaalde kabeltjes of zo. Dat doe je gewoon niet.
Alleen: als je iemand treft die dat wél normaal vindt (“gewoon een praatje met de klant, je ziet toch soms ook een foto op het bureau of een poster aan de muur” of het nog dodelijker “ah joh doe niet zo ongezellig”), hoe reageer je dán?
Arnoud
Soms denk ik, ik hoop dat Arnoud zijn onderwerpen niet gewoon verzint.
Maar soms he… Ik hoop toch echt dat deze kniesoor van een lezer niet bestaat. Los dan zelf lekker je IT problemen op, joh. En doe dan ook vooral niet mee met maatschappelijke evenementen zoals een marathon, want voordat je het weet belandt je kop op een foto in de social media, of win je misschien wel de marathon en staat je naam in de krant. brrrr
Ik ben bang, nee … ik weet dat dit soort mensen wel degelijk bestaan.
Je vraagt om een probleem met de e-mail op te lossen, het is dan niet meer dan logisch dat deze persoon ziet wat er in je mailbox zit. Zoals gezegd hebben we het hier niet over iemand die e-mails zit te lezen, maar die gewoon de e-mail headers voor zich heeft. Dan mag je verwachten dat de subject regels gelezen worden. Ik zie werkelijk niet wat het bezwaar is van deze opmerking over een marathon, verwacht hij echt dat de helpdesk medewerker doet alsog hij dit niet gezien heeft?
Laat ik het zo zeggen, als ik de IT medewerker was die dit probleem heeft opgelost en ik kreeg een klacht als deze voor ogen, dan kon de medewerker in kweste de volgende keer zijn eigen problemen op gaan lossen. Ik heb weinig geduld met zeikerds.
Elroy, ja, zeurpieten bestaan… Maar ik heb na het aanhoren van de klaagzang wel de vraag in hoeverre het management van de helpdesk de medewerkers op het belang van respect voor privacy gewezen heeft. Is het op de helpdesk een gewoonte om te praten over prive-zaken van anderen, een inschattingfout van de betrokken helpdesk medewerker?
Precies. Vermoedelijk gaat het deze lezer niet echt om deze mail, maar meer algemeen over zijn privacyverwachtingen. Als er een mail stond met inhoudelijke details over een ziekmelding, dan wil je net zo goed niet horen “GOH HEB JIJ EEN GESCHLACHTSZIEKTE???” van de helpdeskmedewerker.
Overigens kan in de vraagstelling van Arnoud precies zo iets ter sprake zijn, en dat dit (omwille van de privacybescherming) subtiel veranderd is naar iets over een marathon.
Ja, het gaat om een principezaak, en wat zijn wij toch een verschrikkelijke zeikerds…
Als die medewerker in zijn werk e-mail een mail heeft met als onderwerp ‘U heeft een geslachtsziekte’ en hij belt de helpdesk met een mail issue , dan is het zijn eigen fout dat de helpdesk medewerker dit kan zien. Dan moet hij werk en prive maaar striker gescheiden houden.
Een opmerking van de helpdeskmedewerker over die geslachtziekte is geen privacy issue, dat is gewoon onfatsoenlijk. Daar zou ik ook een issue mee hebben.
Iemand die naar jou een opmerking maakt over iets uit jouw privé leven kan gepast of ongepast zijn, maar het is geen privacy issue. Een privacy issue is het pas als die informatie gecommuniceert wordt naar die het niet hoort te weten.
Wat gewoon is, hangt er natuurlijk een beetje vanaf. Ik heb wat dat betreft alles al gezien. Bij mijn eerste werkgever zat ik soms aan de lunchtafel bij de helpdeskmedewerkers, totdat de helpdesk vanuit een andere vestiging in Ierland werd georganiseerd. Bij mijn tweede werkgever waren het wel collegas maar ik zag die nooit.
Feit is dat die helpdeskmedewerker voor werk de subjects van de e-mails zag. Een inbreuk op de privacy? Opzich wel, maar niet te voorkomen als je je zakelijke mails voor privé zaken gebruikt. Daarop volgt een vrij onschuldige opmerking, boehoe big deal.
Natuurlijk is een opmerking over de halve marathon vrij onschuldig… (tenzij die medewerker met pees- of gewrichtsklachten bij de bedrijfsarts loopt.) Maar waar het hier ook om gaat (robb wijst daar ook op) is de professionele houding van de systeembeheerder of helpdesk medewerker. Kan hij/zij discreet omgaan met vertrouwelijke (prive-)zaken waar hij uit hoofde van zijn/haar functie tegen aan loopt?
De vraag aan het begin van het blog is “Mogen ze dat?” Aangezien er geen enkele informatie met derden gedeeld wordt en er op verzoek van de gebruiker in de mailbox gekeken wordt, zou ik niet weten op welke basis dit niet zou mogen?
Is dit gewenst? Is dit professioneel? Dat hangt dus helemaal van de bedrijfscultuur en de verhoudingen af. Zoals ik al eerder aangaf heb ik bij een bedrijf gewerkt waar de interne helpdesk medewerkers gewoon met de collega’s van de afdelingen die ze supporten lunchten. Iedereen kende iedereen en dan zie ik dus echt geen probleem met zo’n opmerking.
Het zegt m.i. in ieder geval niets over hoe serieus iemand de privacy neemt en hoe discreet hij met de informatie is. Er is immers geen enkele aanwijzing dat de helpdesk medewerker niet discreet is, hij maakt immers geen opmerkingen over een derde.
Ik weet zeker dat ik als externe IT dienstverlener meermaals ingehaakt heb op mail (of inhoud van word documenten for that matter) die tijdens helpsessies ter ogen kwamen. Hoewel ik daar doorgaans zéér terughoudend in ben, vergeet je die terughoudendheid wel eens als het om zaken gaan die je interesseren. In dit geval deelname aan een marathon. Ik heb nog NOOIT het gevoel gehad dat dat als vervelend werd beschouwd. Het is een beetje hoe je het brengt denk ik. Je kunt zeggen: “Oh, doe jij marathons?” in plaats van: “Oh, ik deed vorig weekend ook de marathon in plaats X en heb hem ook niet uitgelopen wegens blaren”. Maar inderdaad: azijnpissers zitten overal. Als je géén praatje maakt ben je te onpersoonlijk…
Vaak zat dat ik telecomrekeningen ter inzage vraag omdat klanten zelf niet weten wie hun provider is of wat voor abbo ze hebben. Het leuke van de Triple Play pakketten is dat je dan meteen weet of ze het porno pakket afnemen 😉
Als je op onderbuikgevoel dit soort zaken moet gaan oplossen krijg je wel willekeur. Ik denk dat je als professioneel ict-er helemaal niet moet beginnen over prive zaken. Want waar ligt op een gegeven moment de grens van waar je als professional wel een opmerking over maakt en waar niet? Dat kan misschien kil overkomen maar het voorkomt wel een hele berg trammelant. Buiten het feit dat je als professional helemaal niets mag zeggen over prive zaken van anderen. Ik zeg: gewoon niet doen. Hou het zakelijk en los het probleem op.
Ik ben het totaal niet met je eens. Ik vind het heel goed dat deze gebruiker hier deze helpdesker meteen op aanspreekt. Juist omdat de IT-ondersteuners overal bij kunnen is het voor de gebruiker belangrijk om te weten hoe terughoudend ze met die vermogens omspringen.
(Terzijde: ik ben het niet met Elroy eens maar nu lijkt het of ik het niet met robb eens ben. Sorry. Rare software dit. Waarom kan ik trouwens geen bulleted lists gebruiken?)
Nu valt het bij een halve marathon uitlopen wel mee, daar kan je m.i. makkelijk over kletsen om de tijd te doden. Het zou wat anders zijn als er gereageerd zou worden op mails met onderwerpen als “uw hypotheek is afgewezen” of “uw vaderschapstest is binnen” of dat sort gevoelige dingen 😉
Die zelfde onderwerpen zou de helpdesk medewerker ook gelezen hebben. Dat je daar niet over begint is omdat dat gewoon ongepast is, hoe je ook aan de informatie bent gekomen. Het enige privacy issue hier is dat de medewerker zakelijke e-mail voor prive gebruikt. Als hij niet wil dat de helpdesk van zijn werk mogelijk zijn prive dingen ziet moet hij dat niet doen. Support niet bellen is namelijk geen optie, ik neem aan dat hij het account werkend moet hebben om zijn werk uit te kunnen voeren.
Dit had ook een probleem met zijn privé mailadres kunnen zijn, waarvoor hij bijvoorbeeld zijn ISP moest bellen. Tuurlijk, zo een helpdesk medewerker staat een stuk verder van je af. Maar ook daar had het dus kunnen gebeuren.
Maar het is niet gezegd dat een helpdeskmedewerker van een ISP hetzelfde gezegd had. Die krijgen namelijk waarschijnlijk veel vaker privé-mail onder ogen. Een praatje met een collega over iets wat je in de wandelgangen misschien ook had kunnen horen, is totaal iets anders dan hetzelfde praatje met een volstrekt vreemde.
En als je zeg “het had kunnen gebeuren”, wat bedoel je dan precies? Dat die helpdeskmedewerker de mail ziet, of dat hij erover begint? Dat eerste is namelijk onvermijdelijk.
Dat vind ik een dodelijke opmerking. Als een klant je vraagt om in zijn mailbox te neuzen om een probleem met één enkele mail op te lossen, kan het gebeuren dat zijn oog op een andere mail valt omdat die er toevallig naast ligt. Zelfs al wordt die mail niet geopend, een onderwerp als “Dank voor uw deelname aan de halve marathon in Hengelo” zegt al genoeg. Daar mag je wat mij betreft als helpdeskmedewerker best op ingaan. Natuurlijk mag je de mail niet openen om de resultaten te bekijken (ik zie dat ik sneller liep dan jij).
Als de mail iets gevoeligs is “Overlijdensbericht”, is het uit goed fatsoen beter om te doen alsof je niets gezien hebt. Maar je kunt ook hier de helpdeskmedewerker niet kwalijk nemen dat ‘ie iets gezien heeft. Dit vraagstuk heeft een grote parallel met een document dat je toevallig ziet liggen terwijl je bij de klant een opdracht uitvoert.
Als je daar als klant moeite mee hebt, dan zorg je maar dat je privé-email niet in je werkfolder verschijnt. Minimaal heb je een eigen Privé-map, beter is een los e-mail account.
Onzin. Ik ben hier absoluut mee oneens. Je moet gewoon je professionaliteit bewaren en de mail (ook de titel) negeren. Het gaat jou niets aan. Het is simpel: de inhoud van een mailbox beschouw je als ‘niet bestaand’. Ik heb in mijn helpdesktijd vele mailboxen moeten fixen. Vooral van directieleden want die hadden vooral een handje van mail bewaren en het laten groeien van de mailboxen. En dit waren niet de kleinste bedrijven. Oa KLM en Rijkswaterstaat. De integriteit die van je verwacht wordt mag je dan nooit beschamen. Niet alleen die directieleden, maar alle medewerkers hebben recht op een absoluut vertrouwen dat (prive)gegevens in een mailbox niet besproken worden. Let wel: ook de bedrijfs gegevens die in een mailbox staan heb je als ict-er NIETS mee te maken. Denk aan patientgegevens van een arts, of afspraken die een directielid maakt met andere bedrijven. Om het nog scherper te stellen: De ict-er die dit beschaamt mag van mij op staande voet worden ontslagen.
Volgens mij is hier de moeilijkheid niet dat de helpdesker in de mail van de gebruiker iets persoonlijks heeft zien staan. Dat is op zich geen problem.
De moeilijkheid lijkt me dat de luchtige reactie van de helpdesker suggereert dat hij werk en prive niet weet te scheiden. Meer concreet:
1) De gebruiker kan zich ineens afvragen hoe terughoudend de helpdesker in het algemeen is met het vergaren van persoonlijke informatie. Is dit iets dat toevallig langskwam en is blijven hangen, of zit deze helpdesker soms voor zijn plezier in een verloren kwartiertje de subjects van de mail van alle gebruikers door te scannen op zoek naar leuke weetjes? Dat laatste wil je echt niet hebben.
2) De gebruiker komt bij de helpdesker om een specifiek technisch probleem op te lossen, niet om iets anders met hem te delen (of dat nu iets uit zijn persoonlijke leven is of uit zijn werk). Daarover dan toch beginnen is dus een inbreuk op de werkrelatie. Dat is niet altijd gepast of gewenst, en de helpdesker moet daar een goed gevoel voor hebben, zeker omdat hij/zij een dienstverlener is, die de klant het initiatief hoort te laten. Misschien wil de gebruiker met de helpdesker helemaal geen andere dingen delen. Of misschien wel maar niet op dit moment.
Veel hangt er ook van af hoe groot je organisatie is. Als je in een klein bedrijfje werkt, dan is die helpdesk-medewerker een echte collega, waar je misschien mee gaat lunchen of zo. Als je in een grote bank of zo werkt, mag je al blij zijn dat die helpdesker in hetzelfde land woont als jij, dan is de persoonlijk band een stuk minder. Hoe verder die persoon van je afstaat, hoe zakelijker het contact zou moeten zijn. Als je met tien in het bedrijf bent, ben je een kniesoor als je hierover valt. Ben je slechts een van de 20.000 medewerkers dan kan ik me best voorstellen dat sommigen dit een stap te ver vinden. (Hoewel ik vindt dat het leven te kort is om over iets dergelijks zo lange tenen te hebben.)
Er zijn denk ik twee aspecten aan deze vraag. De privacy, en het juridische kader.
Wat betreft privacy: het probleem lijkt me niet dat de helpdeskmedewerker dit ziet, maar dat hij daar de betrokkene op aanspreekt. Ik zou persoonlijk in bovenstaande situatie geen probleem hebben als de medewerker dit zo zou formuleren, maar het wordt toch wat anders als het is “goh, ik zie dat je vakantieverlof is afgewezen. Wat lullig voor je.” Hoewel de helpdeskmedewerker precies evenveel begrip en menselijkheid vertoont, kan ik me erg goed voorstellen dat de aangesprokene zich daar ongemakkelijk bij voelt. En dán kom je bij de kern van privacy: wat wil iemand delen. En dat moet een ander respecteren. Wat mij betreft is hier sprake van een conflict tussen het menselijke en professionele aspect: Als de helpdeskmedewerker in mijn team zou zitten, zou ik hem hierop aanspreken. Ga nou geen dingen noemen die niet relevant zijn voor je ticket. Gewoon niet doen. Nooit niet. Punt. Dus ook niet bij zoiets triviaals. Van mijn part vertel je later trots in de kantine dat je die marathon gelopen hebt. Wellicht triggert dat die ander om er dan op te reageren, maar dat is dan zijn keuze om het wel of niet te noemen. Dus bottom line: heel menselijk, maar niet professioneel.
Het juridische aspect is mogelijk nog interessanter. Die helpdeskmedewerker is formeel een bewerker van persoonsgegevens. En die mag hij verwerken. Lezen van de mail headers valt daar ook onder. Die mag hij niet delen met derden, maar er is hier geen sprake van een derde partij. Wat denk ik relevant is, is de bepaling dat persoonsgegeven die niet relevant zijn voor de uitvoering van de taak gewist moeten worden. Maar hoe doe je dat nou: wissen van informatie die iemand in zijn hersenpan heeft opgslagen? Om nou de hersenen van elke helpdeskmedewerker na afloop van zijn/haar shift te gaan frituren lijkt me ook wat cru.
Gelukkig hebben we voor dat laatste probleem een oplossing: neem een incidentregistratiesysteem en voer als beleid in dat alle informatie daar ingestopt wordt, zodat de helpdeskmedewerkers willekeurig inwisselbaar worden en niets meer hoeven te kunnen onthouden. Alle informatie staat namelijk in het systeem, veilig ergens in de cloud.
(Voor alle duidelijkheid: ik ben voor zulke systemen, maar ik worstel met de vraag waar je gevoelige informatie laat.)
Entry in incidentregistratie systeem: Verzoek van Klaas om alle e-mail inzake zijn geslachtsziekte uit de mailbox en backups te verwijderen.
Actie: Berichten verwijderen
Status: completed
😉
Ik vind niet dat dit een privacyprobleem is. De helpdeskmedewerker kan er niet aan doen dat hij ziet wat hij ziet. Als dit je dwarszit, gebruik een privé adres of op zijn minst een privé folder. Het gaat erover of je het gepast vindt dat die helpdeskmedewerker met jou praat over wat hij ziet. Als hij op je bureau langskomt en er ligt een inschrijvingsformulier van diezelfde marathon bovenaan een stapel papier, dan zullen al veel minder mensen hier over vallen. Het hangt er dus vanag hoe je band is met die collega en over welk onderwerp het gaat. Marathoninschrijvingen zijn behoorlijk onschuldig, medische problemen vaak te gevoelig, geboorte nieuw neefje is dan weer behoorlijk oké,… Nog een belangrijke factor is je zuurpuimgraad. Ik vind de originele klager een behoorlijk ongezellige zagevent. Maar ook hier kunnen er redenen zijn dat je dat zelf anders aanvoelt. In een bedrijf met een verziekte sfeer, krijg je al sneller dit soort stekeligheid. Mijn inziens geen privacy issue, geen technisch probleem, maar gewoon een ouderwets ‘Hoe ga ik met andere mensen om?’ -geval. En voor dit soort gevallen zijn er geen harde regels, tenzij je de menselijkheid onderdrukt met persoonlijkheids-dodende regeltjes (nooit met collega’s over niet werk dingen praten of zo).
Als ik even kijk naar de spam en mailfilter systemen die we bij het bedrijf gebruiken (en gebruikt hebben) dan is de subject over het algemeen in de overzichten weer gegeven.
Het subject gebruik je ook vaak om de probleem mail(s) te zoeken. Ja dat ene mailtje an die ene persoon (waar ik de hele dag mee zit te mailen) en dan maar gokken dat het de 14e van 132 is duurt langer dan mailtje met subject xyz.
De kans dat je in zo’n overzicht dan ook subject “bla bla marathon in x” oid dergelijks ziet is groot.
Normaal geen issue, de meeste mensen zullen daar niet gelopen hebben maar als je net een rode auto hebt gekocht dan valt een mail met subject “wasmiddel y, goed voor rode auto’s” eerder op.
Uiteindelijk mist hier een stukje security awareness, niet gaan roeptoeteren als je iets tegen komt “meneer x verdient 12 kazilion geld” of “sow hee die heeft een dikke auto!!” om er maar een paar uit de praktijk te noemen.
Mag ik even zeuren? Wat doet een prive-mailtje over het lopen van een halve marathon eigenlijk in je werk-mailbox? 😀
Ik denk dat je bij een werk-mail account in het algemeen iets minder privacy moet verwachten dan met je prive-mailbox. Immers, de mailbox is van je werkgever. En nee, je werkgever mag ze niet inhoudelijk lezen maar kan wel de titels zien en daarvan het een en ander afleiden. Zo ook met deze helpdesk-medewerker. Hoeveel privacy mag je uiteindelijk verwachten bij een zakelijke account die eigendom is van je werkgever?
Ik ben het helemaal met je eens. Ik heb nooit begrepen waarom mensen allerlei privezaken via hun werkmail regelen.
Er is een verschil tussen kijken en zien. Verder kunnen we wel de idylle overeind houden, dat zo’n medewerker verder niet ziet, maar dat is natuurlijk nonsens: ze kunnen alles zien op zo’n helpdesk. Misschien wordt dit ingegeven, doordat de medewerker niet in je fysieke nabijheid is. Het doet een beetje denken aan mensen met nummerherkenning, die niet meteen de naam noemen van de beller, maar hun ‘helderziendheid’ verborgen houden voor dezelve en opnemen alsof het nog 1980 is, dus met hun naam.