Een lezer vroeg me:
Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?
Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel mag, juridisch gezien.
In beginsel zijn bedrijven onderling vrij om hun dienstverlening in te richten zoals hen goeddunkt. Het filteren of controleren van e-mail is voor de wet gewoon een dienst als alle andere, en als de klant het goed vindt dat de dienstverlener verdachte zaken direct weggooit zonder te melden, dan is dat een zakelijke keuze.
Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen. Dat is hinderlijk en kan de relatie schaden tussen hem en het bedrijf dat de gatewaydienstverlener ingeschakeld heeft. Maar volgens mij is het niet verboden.
In theorie zou je nog op de AVG kunnen wijzen: de mail gateway verwerkt immers persoonsgegevens door de mail te scannen en door te sturen dan wel weg te gooien. Daarmee geldt er een informatieplicht voor het bedrijf dat de gateway inzet, en de afzender heeft dan een basis voor een claim dat zijn persoonsgegevens ongewenst zijn verwerkt.
Ik denk dat dat in de praktijk niet gaat vliegen. Het scannen van mail en het weggooien van verdachte mail is een relatief bekende praktijk. Daarnaast kan het (zo weet iedereen) altijd gebeuren dat mails spontaan kwijtraken. Je moet er dus sowieso altijd rekening mee houden dat een mail niet aankomt of niet gelezen wordt. Eisen dat de ontvanger je informeert over een blokkade, kan ik dus ook onder de AVG niet hard krijgen.
Arnoud
Dus, men neme een dienst af die bescherming biedt tegen virussen, malware en spam, maar vindt het vreemd dat de e-mails met dreigingen worden verwijderd (zonder de afzender hiervan op de hoogte te brengen), vat ik het zo goed samen?
Waarom deze instelling nu juist een goed idee is, in plaats van een slecht idee? Heel eenvoudig: Er zijn nog maar weinig virussen en malware die zich via een adresboek (en/of email programma) van een besmet persoon verspreiden. Ofwel, de kans dat je een email met een virus van een bekende die besmet is met dat virus krijgt, is veel kleiner dan in 2000. Wat virus/malware makers al jaren doen, is het “from” adres faken, ofwel ze vullen gewoon een willekeurig e-mail adres als afzender in. Als de geleverde dienst dus wél een NDR zou versturen naar de afzender (die de mail dus helemaal niet verstuurd heeft), zou deze dus aardig wat e-mails kunnen ontvangen met ‘uw e-mail is niet afgeleverd, want [reden invoegen]”. Vaak zit daar de originele e-mail bij. Met als risico dat de ‘afzender’ deze mail weer gaat openen en besmet wordt. Erger nog, als de mailserver van de ‘afzender’ voor inkomende email ook gebruik maakt van een virus/malware/spam scanner en ook weer een NDR gaat versturen, komt deze weer aan bij de mailserver die deze eerst weigerde, waarbij de cirkel weer rond is en de 2 mailservers elkaar dus gaan platbombarderen met NDR berichten.
Nee. Het verwijderen van dit soort e-mails, zonder de ‘afzender’ hiervan op de hoogte te brengen is de énige fatsoenlijke manier waarop je deze virus/malware/spammails moet behandelen.
Bij e-mails die twijfelachtig zijn (dus mogelijk spam), is het overigens gebruikelijk dat de diensten dan een overzicht sturen naar de ontvanger met de mededeling “Deze e-mails zijn mogelijk spam, we hebben deze voor u tegen gehouden, maar u kunt het bericht hier vrijgeven (inclusief linkje naar website om de mail vrij te geven), of de afzender hier whitelisten (inclusief linkje om de afzender te whitelisten).
Volgens mij is het probleem dat hij de ontvanger niet op de hoogte stelt dat er een mail is verwijdert wegens verdenkingen. Voor mijn privémail, een simpel Live-account, komen alle mails aan, maar verdachte mails verdwijnen in een spamfolder, en wordt alle inhoud geblokkeerd, zodat alleen platte tekst (met eventuele links) overblijft. Kortom, ik kan nog steeds zien wat er binnen is gekomen en zelf beoordelen of het algoritme het goed had dat dit spam/verdacht is. Bij deze gatewayprovider is dat dus niet zo.
De mail-gateway moet de controles al tijdens het binnen komen uitvoeren, nog voor het complete bericht binnen is. Als het bericht dan niet door de beugel kan, breekt de mailserver de ontvangst af. De verzendende partij weet dan dat het bericht niet afgeleverd is. Dit voorkomt dat je berichten moet gaan terugsturen naar niet-bestaande of oneigenlijke mailadressen. Nadeel is natuurlijk dat de belasting of je mailserver wat hoger is, maar dat is oplosbaar.
Het probleem is aleen wel dat een mail-gateway de controles op malware en virussen pas kan uitvoeren als het bericht al binnen is. Die mail-gateway controleert namelijk dan de content . Als je op content moet controleren, kan de NDR pas afgegeven worden zodra je de gehele mail hebt ontvangen. Controle op de geldigheid van een afzender (blacklists, fatsoenlijke mail-headers, DKIM en SPF instellingen) kunnen een bericht inderdaad weigeren voordat het binnen komt.
Walter, het is technisch mogelijk om een bericht, na ontvangst van de body nog te weigeren. (Geef een “FAIL” als antwoord op het “DATA” bericht.) Je wil dan wel een malware scanner hebben die snel werkt omdat je anders de verbinding met de verzender onnodig lang openhoudt.
Dan is het nog steeds zo dat de ‘afzender’ die door het betreffende virus wordt genept doodgegooid wordt met bounce-messages omdat mail niet kon worden afgeleverd. Hooguit dat de body van de mail niet wordt meegestuurd en een denial-of-service attack van 2 mailservers dan niet meer mogelijk is, maar een simpele reflection attack kan nog altijd.
Dat is een reden om de berichten te accepteren en stilletjes weg te gooien. Aan de andere kant, bounce-messages worden door een gateway gegenereerd terwijl veel spam-software de berichten direct probeert af te leveren (en de reject lokaal kunnen loggen).
Of het in het geval van de vraagsteller mag, hangt dus af van de overeenkomst – begrijp ik dat goed?
Dat is helemaal niet raar, maar juist een gangbare praktijk dat een fors aandeel van de mail worden gefiltert nog voor ze in je inbox belanden. Meestal gaat het dan om mails die niet standaardconform worden verstuurd (door spambots). Daar merk je zelf niets van. Sommige systemen controleren dan meteen op virussen en mikken de mail meteen weg mocht er een aangetroffen worden. Is allemaal niks nieuws.
Zoals ik het zie is het onder the AVG ook zeker te verantwoorden dat jij als bedrijf X uit eigen dringende noodzaak je binnenkomende emails filtert. Dit kun je in principe ook uitbesteden aan een derde en aangezien er persoonsgegeven bij betrokken zijn zul je een verwerkersovereenkomst moeten hebben. De informatieplicht is wat lastiger, aangezien email ontvangst altijd het verwerken van persoonsgegevens inhoud (het email adres van de verzender) en daar in feite ook impliciete toestemming voor gegeven wordt. Informatievoorziening op je website plaatsen is nooit een probleem, maar het actief informeren van verzenders lijkt me een beetje te ver gaan. In ieder geval zitten de meeste emailers daar niet op te wachten (zien het als spam). Uiteraard betekend het wel dat het gebruik van de gegevens zo veel mogelijk beperkt moet worden.