In ons bedrijfshandboek staat dat e-mail als bedrijfspost geldt!

| AE 9196 | Ondernemingsvrijheid, Privacy | 24 reacties

Een lezer vroeg me:

In het bedrijfshandboek van mijn kantoor staat dat e-mail dient te worden beschouwd als het elektronisch equivalent van zakelijke post, en dat de directie derhalve zich het recht voorbehoudt e-mail te lezen als zij daar aanleiding toe ziet. Oftewel, ze mogen je mail lezen als ze willen. Kan dat zomaar?

Dat bedrijfshandboek gaat wat kort door de bocht. E-mail is wezenlijk anders dan gewone post. Waar je bij post nog kunt zeggen, dat zal 99% zeker weten zakelijk zijn, is dat bij e-mail echt heel anders. Mensen zien dat als persoonlijker, informeler en daarmee moet je dan rekening houden als werkgever.

Verder is het zo dat een werknemer ook op het werk gewoon recht heeft op (enige) privacy. Niet zo veel als thuis, maar ook niet nul. Daarom mag je als werkgever niet zomaar in de e-mail kijken.

Het eerste dat je nodig hebt om werknemersmails te lezen is een reglement dat uitlegt wanneer en waarom dat gebeurt. “Altijd en als wij zin hebben” is daarbij niet genoeg, dat houdt namelijk geen rekening met de privacy van de werknemers. Geef maar criteria: collega’s als die waarnemen bij ziekte, de ICT-er bij technische problemen of virussen, de directie bij wanfunctioneren of vermoeden van diefstal, et cetera.

Daarnaast moet de reden wel sterk genoeg zijn om het lezen te kunnen rechtvaardigen. De voorbeelden uit de vorige alinea zijn vrij standaard, maar ik zie ook wel bedrijven die zeggen “als je output op een dag onder de X zakt” of “als je meer dan X mails naar externe partijen stuurt”. Dat gaat een beetje ver natuurlijk.

Je mag ook niet méér lezen dan nodig is voor het doel. Die ICT-er mag bijvoorbeeld een virusscanner loslaten op je mailbox en de mails bekijken waar deze op afgaat, maar niet handmatig alles lezen of je wellicht rare dingen binnenkrijgt. Een twijfelaar is voor mij alle berichten met bijlage openen om te zien of de extensie iets van .jpg.exe is.

Een handboek gaat hier niets aan veranderen. Privacy is een grondrecht, en daar doorheen gaan vereist sterke rechtvaardigingen. Die kun je niet op voorhand met standaardzinnen claimen. Het handboek is wel nódig, want zonder uitgewerkte regeling mag er niets. Maar de regeling moet binnen de wet passen.

Ik blijf het vragen: wat is dat toch met e-mail en ICT, dat mensen meteen “ik kan alles, dus ik mag alles” denken?

Arnoud

Deel dit artikel

  1. In antwoord op je vraag, denk ik dat ook het (kort door de bocht gesteld) verminderd compenent gebruik van e-mail door werknemers zelf. Dit soort beleid is namelijk vermoedelijk voortgekomen uit negatieve ervaringen, zoals dat als er iemand ziek is er per se in iemands persoonlijke mailbox gedoken moet worden voor allerlei belangwekkende zaken. Of dat als iemand vertrekt projecten opeens volledig tot stilstand komen omdat allerlei relevante projectinformatie kennelijk in hun persoonlijke mailbox te vinden is.

    Bij bedrijfspost vinden we het normaal dat je die richt aan een roladres (bv “t.a.v. afdeling verkoop”) terwijl met e-mail opeens mensen vanalles uit hun persoonlijke adres doen. Gewoon een rolmailbox gebruiken natuurlijk die je gezamenlijk kunt lezen. En als iemand ziek is zet je een autoresponder op de mailbox zodat mailers weten waar ze nu wel terecht kunnen.

    En essentiële projectinformatie sla je natuurlijk niet op in je mailbox, maar in een documentmanagementsysteem, een wiki of een projectplanningsysteem,

    Het vereist dus vooral ook wat meer discipline bij werknemers om te zorgen dat de directie niet zo zenuwachtig wordt omtrent die persoonlijke mailadressen.

  2. Twintig jaar geleden, toen nog niet iedereen zelf e-mail had, was er wat voor te zeggen dat je soms je werk e-mail adres voor een prive zaak gebruikte. Net zoals je de werktelefoon gebruikte voor een prive telefoontje. Nu is daar echt geen enkel excuus meer voor. De stelling dat zakelijke e-mail anders is dan papieren post zie ik dan ook niet zo. Ik zou er nooit prive zaken mee regelen.

    • Ik gebruik mijn zakelijke e-mail niet privé. Toch heb ik op mijn zakelijke e-mail prive berichten ontvangen. Oud collega’s en oud klasgenoten die contact zochten en mij op LinkedIn vonden.

      Mijn zakelijke e-mail bij mijn vorige werkgever lag op straat omdat een zakelijke relatie malware had die zijn adresboek spamde met mails met trojans en andere relaties als reply to opnam. Vanaf dat moment kreeg ik op dat adres ook bergen gepersonaliseerde spam.

      Kortom je hebt met e-mail alleen controle over wat je verzend, niet over wat je ontvangt. Je kan dus niet zelf voorkomen dat er privé berichten binnenkomen.

  3. Ik blijf het vragen: wat is dat toch met e-mail en ICT, dat mensen meteen “ik kan alles, dus ik mag alles” denken?

    Op andere gebieden denken (bepaalde) mensen ook dat ze alles mogen. Het verschil is dat met ICT die onredelijke wensen/eisen ook gemakkelijk vervuld kunnen worden.

  4. Als het bedrijfshandboek of ICT reglement etc. duidelijk stelt dat email alleen voor zakelijk gebruik is, en bovendien verduidelijkt dat het bedrijf zich het recht voorbehoudt om emails te lezen, dan is er ook geen verwachting van privacy (althans zou die er niet mogen zijn). Omdat iedereen gemakkelijk een privé email adres kan gebruiken (bijvoorbeeld van de privé internet provider, Google, etc.) is het ook voor een werknemer niet nodig om een zakelijk email adres ook privé te gebruiken. Volgens mij is daarom het genoemde bedrijfsstandpunt niet fundamenteel onjuist.

    • Dat lijkt me wat al te snel. Enkel een passage in een reglement of handboek kan verwachtingen bij een werknemer niet zomaar wegnemen. Dit nog los van dat privacy als grondrecht niet lichtvaardig ingeperkt mag worden. Er moet nog steeds een noodzaak zijn (art. 8 lid 2 EVRM) om de privacy te mogen passeren.

      Wel ben ik het met je eens dat het vandaag nauwelijks nodig zou zijn om privézaken via werkmail te doen, aangenomen natuurlijk dat de werkgever niet Gmail en dergelijke blokkeert (“veiligheidsoverwegingen”).

      • In hoeverre kan er sprake zijn van privacy als het email account niet prive is en eventuele verzenders naar dit email adres ook overduidelijk kunnen zien dat het een zakelijk email adres is en niet een prive email adres? m.a.w. is het correct om te vooronderstellen dat er sprake is van enig recht op privacy als het gaat om een door een werkgever voor zakelijke doeleinden verstrekt zakelijk email adres?

        Hoe zie je dit dan in vergelijking met bedrijven die geen @bedrijf.nl email adres beschikbaar stellen maar een KANA mailbox of andere CRM applicatie met email capabilities die op voorhand al door meerdere personen (iedereen?) in te zien is?

  5. Maar vrijwel iedereen heeft tegenwoordig ook een prive-email adres dus dan hoeven ze hun bedrijfsmail niet te gebruiken voor privé zaken. Dat lijkt mij ook erg logisch. Bovendien, als je bij je werkgever weggaat zou ook meteen al je privé mail verdwijnen want dat gaat naar je werk-adres. Ook dat is niet verstandig. Dus dat de werkgever aangeeft dat alle email over de bedrijfsserver ook gezien wordt als zakelijke email lijkt mij ook meer dan logisch. Maar niets zou je moeten beletten om in Outlook ook je privé-account te installeren en deze weer te verwijderen als je bij het bedrijf vertrekt. Of webmail.

    Ik vind het privacy-excuus bij emails van je bedrijfsaccount dan ook niet meer van deze tijd. Je hebt met dat adres ook meteen een pet op van je werkgever en niet je privé-pet. Dit is hetzelfde als het gebruik maken van briefpapier en enveloppen met het logo van je werkgever erop voor je privé zaken. Ook dat klopt gewoon niet meer. Een goede werknemer houdt dat nu eenmaal netjes gescheiden.

    • Dat je een Privé mail adres hebt is niet relevant als het om de privacy gaat. Je mag gewoonweg niet zomaar iemand anders zijn data lezen (of je dit technisch kan is niet relevant). Wat natuurlijk de zaak vertroebelt is het feit dat email in beginsel (mogelijk) als plain-text over een publieke data lijn gaat (in de meeste gevallen). Dit betekent dat het dus dezelfde eigenschappen heeft als een ansichtkaart, (iedereen kan deze lezen zonder dat de ontvanger of zender dit door heeft). Dit betekent overigens niet dat je dat mag doen, enkel dat je het makkelijk kan doen. Jouw (en ieders) privacy recht stopt niet omdat je in dienst bent genomen, er is dus geen spraken van een excuus als iemand het heeft over privacy, het is een recht. Een ander probleem van het zien van alle mail als zakelijke mail is dat als er door derden mail word gestuurd via de bedrijfsmail server het dus ook automatisch mail is van het bedrijf (lijkt me niet echt de bedoeling). Jouw vergelijking met Bedrijfsbriefpapier / enveloppen gaat pas op als er ook sprake is van authenticatie (bijvoorbeeld dmv. PGP-Signature, of andere authenticatie systemen).

      • Je mag gewoonweg niet zomaar iemand anders zijn data lezen (of je dit technisch kan is niet relevant).
        Bedoel je: Je mag gewoonweg niet zomaar iemand anders zijn prive-data lezen (of je dit technisch kan is niet relevant).

        Wat in dit handboek wordt gezegd is dat emails verstuurd vanaf de zakelijke account worden beschouwd als zakelijke emails. Je handelt dan met je bedrijfs-pet op. En dat kan vervelend zijn omdat iedere email vanaf je zakelijke email gezien kan worden als een zakelijke actie. Dus je aanmelden voor een lidmaatschap van een tijdschrift of sportschool wordt dan aangegaan vanuit het zakelijke perspectief. Zou je werkgever er vervolgens op aangesproken kunnen worden? Da’s dan een goede vraag. Immers, je bent een werknemer en gebruikt bedrijfsmiddelen en een bedrijfsaccount om je aan te melden, dus doe je dat namens jouw bedrijf.

        En daarom is enige scheiding tussen bedrijf en privé wel gewenst. En natuurlijk is ook bij zakelijke email je privacy belangrijk. Je beoordeling ieder jaar is iets tussen jou en je manager, net als je ziekmeldingen, je salarisbrief en andere zaken. Op dingen die je zakelijk doet in relatie met je werk zit dus privacy. Alleen kan de directie hier wel inzage in krijgen indien nodig.

    • Prive hoeft niet te zeggen dat het niet geralateerd is aan je werk. Mijn beoordelingen die per e-mail gestuurd worden door mijn manager. Salaris zaken die ik bespreek met HR. Correspondentie met de bedrijfsarts. Klachten die ik heb over mijn direct leiding gevende en die ik heb gestuurd naar de vertrouwens persoon binnenhet bedrijf. Allemaal voorbeelden die niemand aan gaan en wel degelijk werk geralateerd.

      • Maar tevens berichten die binnen je bedrijf ook bekend zijn. Je salariszaken die je met HR bespreekt zijn immers al bekend bij HR. Idem betreffende klachten over je leidinggevende. Dat zijn allemaal voorbeelden van zakelijke emails, en niet echt prive. Daarom mag niet ieder collega deze inzien. Maar in de post gaat het om de directie en dit alles zijn toch wel zaken die ook de directie enigszins aangaan.

        Nou ja, behalve de correspondentie met je bedrijfsarts, misschien. Maar de rest lijkt mij allemaal voorbeelden van zaken die de directie allang kan weten.

          • Maar wat jij met een vertrouwenspersoon bespreekt doe je hopelijk niet via je bedrijfs-email. Toch? Sowieso lijkt het mij dat je aan je werkgever, bedrijfsarts en vertrouwenspersoon gewoon je privé-adres doorgeeft voor dit soort zaken. Zoals gezegd heeft vrijwel iedereen wel een eigen email adres naast die van hun werkgever. Die heb je immers voor bijna alle online services nodig en kun je zo eenvoudig krijgen. Welk excuus kun je dan hebben als werknemer om je bedrijfs-email voor privé-zaken te gebruiken? Ik zie dat als hetzelfde als het briefpapier met logo van je werkgever gebruiken voor prive-zaken. Wie doet dat tegenwoordig nog?

            • Het lijkt me inderdaad verstandig je prive en zakelijke mail zoveel mogelijk te scheiden. Waar dat eenvoudig mogelijk is, lijkt me de aangehaalde regel uit het handboek dan (bij nader inzien, en zolang het alleen om de directie gaat) weinig kwaad te kunnen. In de praktijk zijn er echter veel functies waar prive en zakelijk door elkaar lopen en waar het praktisch toch erg lastig zal zijn om prive en zakelijke emails uit elkaar te houden (ook al omdat de personen waar je zakelijk mee mailt, zelf ook prive-berichten naar je zakelijke mail kunnen sturen). Bij zulke situaties lijkt een regelement voor het lezen van e-mails toch weer nodig

              • Ik kan mij eigenlijk geen situaties bedenken waar privé en werk door elkaar lopen als het om email gaat. Iedereen met een Internetverbinding heeft toch op zijn minst een enkel email adres. Veel mensen hebben er zelfs twee of meer voor prive-zaken. Zelfs mijn moeder van 74 heeft er al drie! (Ze beseft het alleen niet omdat ik mail forwarding heb aangezet voor twee van haar accounts.)

                Natuurlijk is er een uitzondering voor mensen zonder computer, mobiel en Internet. Maar ja, hebben die op hun werk dan wel email?

                Tja, en dan privéberichten van zakelijke personen? Je bedoelt bijvoorbeeld recruiters die jou een betere baan proberen aan te bieden, of zo? Lijkt mij een lastige situatie omdat dit toch meestal als zakelijk contact gezien kan worden. Leuk als je dochter als oppas werkt voor een klant van je werkgever, maar ook dat kan invloed hebben op je werkrelatie. Of als je een zakelijke klant na werktijd uitnodigt voor een borrel en een date… Kan gebeuren, natuurlijk. Maar hoe privé moet dat zijn? Mag je werkgever niet weten dat je de lakens deelt met de vrouw van je klant, bijvoorbeeld? Maar als dat uitkomt heeft dat een zeer negatief gevolg voor je werkgever.

                En ik probeer mij andere situaties te bedenken waarbij werk en privé vermengd raken, waarbij je dus je bedrijfsemail gebruikt…

                • Het gaat denk ik vaak niet om het aantal e-mail addressen, maar meer om het gemak. Zeker als prive en werk door elkaar lopen (je bent bevriend met collega’s of je doet je bussiness vooral in een sociale context) is het nogal kunstmatig gedoe om telkens precies de scheidslijn te bepalen. Ik denk bovendien dat je een zakelijk relatie vaak makkelijker opbouwt, als je ook zaken uit je prive deelt.

                  Ik denk overigens dat dit probleem nog meer speelt bij whatsapp. Om daar vermenging te voorkomen moet je ook nog eens met 2 telefoons gaan rondlopen. Je kunt natuurlijk best de kanalen gescheiden houden (ik doe zelf ook een goede poging), maar veel mensen zullen dit in de praktijk wellicht niet consequent volhouden.

                  Hiermee wil ik overigens niet zeggen dat ik het er mee eens ben dat een werkgever alleen iets uit de bedrijfsmail mag lezen in situaties die hij vooraf in een handboek heeft vastlegd. Ik denk dat werkgever dan onnodig veel vooraf moet dichttimmeren. Als hij (of een collega) een goede reden heeft, moet hij m.i. de zakelijke mails wel kunnen lezen; en zo niet, moet hij dat ook laten! Een duidelijk hand/draaiboek over hoe er binnnen het bedrijf met dit soort zaken wordt omgegaan ( hoe ligt de balans) lijkt me wel handig/prettig bij iets subjectiefs als privacy, maar zou m.i. niet (meer) juridisch noodzakelijk moeten zijn. Als iets totaal prive moet blijven, moet je het maar niet op je bedrijfsmail zetten (en ook niet op Facebook)!

              • Simpel. Als ik ontslag neem of word ontslagen dan is ook de toegang tot mijn mailbox weg. Daarnaast is het mijn email, maar mijn werkgever heeft controle over de mailbox. En de werkgever kan bepalen dat toegang tot de mailbox alleen vanaf de werkplek mogelijk is zodat ik er thuis gewoon niet bij kom. En de werkgever kan besluiten dat alle emails gemigreerd gaan worden naar een nieuw systeem waarbij mogelijk de oude mailbox komt te vervallen. (Want: nieuwe domeinnaam.) Mijn bestaande emails heb ik dan nog, maar nieuwe emails komen dan niet meer binnen op het oude adres! Kortom, bedrijfs-email heeft meer risico’s op mail-verlies dan een prive-account.

                Daarnaast is er altijd het risico dat je werkgever of collega’s meekijken in je mailbox, ook al is dat wettelijk verboden. Wat Arnoud vergeet te melden is wat de sancties kunnen zijn als een werkgever jouw privacy alsnog schendt. Het mag niet maar gebeurt toch. Wat doe je dan?

                En ja, je werkgever mag al het bewijs dat ze vinden in je mailbox gebruiken in een civiele rechtzaak of doorspelen naar justitie voor een strafrechtelijke rechtzaak zolang dat laatste maar niet gebeurt op verzoek van justitie. Ze zijn dan onrechtmatig bezig tegen jou, maar als ze zo kunnen aantonen dat jij bedrijfsgeheimen hebt doorgespeeld naar de concurrent dan sta je alsnog op straat en mag je misschien zelfs een forse schadeclaim gaan betalen…

                Het is gewoon geen goed idee, dus…

  6. Toch blijft het een lastig iets. Stel dat er een collega betrokken is bij een onderzoek naar vermeend verkeerd data gebruik. Bv bezoeken van een datingsite onder werktijd. De baas ziet dit als een rechtvaardiging om zijn hele pc gebruik binnenste buiten te keren. Dus ook alle mail wordt gelezen. Verwijderde mail wordt van servers terug gehaald en helemaal uitgespeld. Ook mail die hij van privé mail adressen van een kennissen heeft ontvangen. De baas meent dat ook deze mail zondermeer gelezen kan worden zonder de verzender hiervan op de hoogte te stellen. Dat kan toch niet zomaar?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS