Een lezer vroeg me:
Het is niet ongebruikelijk om emails door te sturen (“forwarden”) naar derden. Elk email programma biedt die mogelijkheid. Maar die derden ontvangen dan ook het email adres van de oorspronkelijke verstuurder van de email zonder dat ik hem of haar toestemming heb gevraagd om de email te forwarden. Schend ik daarmee de AVG?
De AVG kijkt niet naar een specifiek mechanisme, maar naar wat je onderliggend aan het doen bent. Met het forwarden van een mail stuur je een bericht naar een ander. AVG-technisch zeg je dan, beste ander jij hebt deze informatie nodig.
Als je in een mail dus andermans afzenderinformatie laat staan, dan zeg je dus, beste ander jij moet weten dat Pietje opsteller is van onderstaande. En dat moet je dan onderbouwen met de juiste grondslag:
- Toestemming: Pietje vroeg me aan Marieke te vragen of dit-en-dat. Dan is het evident dat Marieke dat mag weten.
- Overeenkomst: Jij hebt Marieke nodig om te doen wat Piet besteld, gevraagd of geleverd had. Dan ontkom je er niet aan dat Marieke de informatie van Piet moet weten. Bijvoorbeeld: je forwardt een klacht van een klant naar de servicemonteur die vervolgens langs gaat voor herstel.
- Eigen belang: het is voor jou, Piet of Marieke belangrijk dat Marieke dit weet en Piets privacy moet daarvoor maar even wijken, niets aan te doen. Weglaten van het mailadres zou onzinnig zijn. Als je dat onderbouwt, dan is het prima.
Meestal zal het om dat laatste gaan. Dan moet je dus die onderbouwing hebben. Ik vertaal dat praktisch naar de vraag: kun je de headerinformatie ook weglaten, of gaat het dan mis met het issue dat je forwardt?
In een incidenteel geval, bij particulieren maar ook zakelijk, kun je denk ik ook wel zeggen, deze forward valt buiten de AVG omdat het slechts huishoudelijk verwerken is. Dan gaat het om een informele kattebel die je even doorzet. Als het forwarden hoort bij een werkproces, dan geldt deze uitzondering niet.
Arnoud
Ik krijg steeds meer het gevoel dat ik een uitzondering ben, maar ik forward zelden een volledige e-mail, net zo min als dat ik de hele ontvangen e-mail laat staan onder een antwoord.
Ik pak het deel van de e-mail dat ik wil doorsturen, zet erboven waarom ik het doorstuur en mijn groet eronder en verzenden. Bij antwoorden laat ik alleen de delen staan waar ik direct op antwoord en zet ik het antwoord onder de geciteerde vraag.
Zo veel beter leesbaar als ik het later terugzoek. Ik hoef nooit heen en weer te springen tussen het antwoord en een eronder (brrr) geciteerde e-mail. En als het een paar keer heen en weer gaat blijft de e-mail toch gewoon kort en leesbaar. Ook mooi dat ik geen last heb van pagina’s lange disclaimers, dat is het eerste wat ik weggooi in een reply of forward en gelukkig werk ik bij een baas die wel inzag dat e-mail disclaimers onzin waren en gebruiken we er zelf geen.
[Off-topic] A: Because it messes up the order in which people normally read text. Q: Why is top-quoting such a bad thing?
Elroy, gebruik jij interleaved style of bottom posting? Ik ben van origine interleaved-style gewend, maar heb wel eens commentaar gehad (“je laat selectief onderdelen van mijn oorspronkelijke mail weg”) — blijkbaar hebben veel email gebruikers de perceptie dat je de volledige thread in elk bericht ongewijzigd moet laten.
En bij gebrek aan “– ” scheiding, beschouw ik alles onder de naam als footer en kan dat weg (van telefoon, websites, linked en sociale media links to disclaimers en goedbedoelde adviezen “print deze email niet” en ronduit reclame “kijk ons bedrijf eens goed met zichzelf bezig zijn”).
Interleaved posting altijd, aangezien dat alle voordelen combineert zonder de nadelen: * Aanhef van laatste e-mail staat bovenaan en veschijnt in notificaties (nadeel van bottom posting) * Vraag en antwoord staan bij elkaar (nadeel van zowel top als bottom posting) * De leesvolgorde klopt (nadeel van top posting)
Daarnaast edit ik bij replies , omdat ik dan de irrelevante info weg kan laten en het geheel leesbaarder wordt. Als anderen toch meer info willen hebben ze het origineel om erbij te pakken.
Bij forwarding edit ik alleen de aanhef, disclaimers en – als de ontvanger het niet nodig heeft – persoonlijke info weg. Of als ik slechts een deel wil forwarden voor een reactie door een derde kopieer ik dat als citaat in een nieuwe e-mail, zodat het formeel natuurlijk geen forwarded e-mail meer is. Ik edit dan ook het onderwerp zodat er geen fwd: meer in staat en hij niet in de thread terecht komt en ik per ongeluk later een reply aan de verkeerde stuur. (Door schade en schande wijs geworden)
Veel blogs – zoals deze – gebruiken een threaded view, ik probeer dan alleen te citeren als er twijfel kan ontstaan op welk deel van een post ik reageer. Verder is alles hier natuurlijk bottom posting.
Kun/moet je deze logica ook doortrekken naar mails naar meerdere personen? Moet je iedereen in BCC zetten, tenzij je kunt beargumenteren waarom de andere ontvangers dat emailadres ook mogen weten?
Ja.
Ja natuurlijk. Ik ben ooit eens op de gebruikersdag van een of anders software product geweest. Een paar dagen later kreeg ik een mail die aan 100tal mensen CC was. Heel veel nieuwe email adressen dus voor mijn spambot; maar ook voor de spambot van anderen.
Wat ik regelmatig doe is een email doorsturen (of publiceren) waarbij ik wel de naam of organisatie van de afzender laat staan, maar het email adres verwijder. Dan is duidelijk wie de auteur is, maar hoeft diegene niet bang te zijn om gespamt te worden. Dat laatste is ook de reden dat ik dat doe: voorkomen van overlast (spam) voor de afzender. De AVG gaat gevoelsmatig zelden op — ofwel het is een email van een bedrijf, en een bedrijf heeft geen privacy (alleen personen zoals de werknemers), ofwel het is een privé mail tussen vrienden of familie die vertrouwelijk blijft. Enige keer waar ik voorzichtig ben is bij sportclubs en verenigingen. Daar vraag ik eerst toestemming voor ik ook maar iets deel (telefoonnummer, naam, email, etc.)
Als zelfs zeer gevoelig gegevens via e-mail verstuurd worden…
https://tweakers.net/nieuws/151400/jeugdzorg-liet-medische-dossiers-uitlekken-via-verlopen-domeinnaam.html
Volgens mij heeft iedereen die zo’n e-mail heeft verstuurd een datalek (en meldingsplicht). Mag je trouwens onder de AVG überhaupt e-mails met persoonsgegevens naar externen versturen. E-mail naar externen is immers onbeveiligd. Lijkt mij een veel duidelijkere vraagstelling.
Trouwens vreemd dat deze zaak nog niet op de blog verschenen is.
En sepcifiek in het geval van forwarden: https://www.nhnieuws.nl/nieuws/246525/mailadressen-van-141-patienten-doorgestuurd-door-tergooi-ziekenhuis
Moet je deze afweging altijd van te voren in een privacyverklaring / verwerkingsregister hebben uitgewerkt? Of mag dit voor dingen die incidenteel voorkomen, ook op het moment dat het zich voordoet?