Moeten wij toestemming vragen om support te leveren in mensen hun mailboxen?

Een lezer vroeg me:

Mijn werkgever levert onder andere maildiensten aan particuliere klanten. Het gaat hier doorgaans om een doelgroep die internet ziet als noodzakelijk kwaad en een beperkte kennis rondom de digitale wereld heeft. Bij sommige problemen is het noodzakelijk dat onze leverancier in de mailbox van de klant kijkt. De leverancier verlangt dat wij toestemming vragen aan de klant. Ik heb daar moeite mee, want deze doelgroep begrijpt dat niet, dus hoe veel betekenis mag je daar aan hechten?
De vaste lezers van deze rubriek weten ondertussen wel dat ik weinig waarde hecht aan toestemmingsvragen. Cases als deze laten zien waarom. Zonder de toestemming kan de leverancier niet werken, dus die toestemming moet en zal gegeven worden. Van vrijheid kun je dus niet spreken, of zelfs maar van onderhandelingsruimte.

Toestemming bij ICT-diensten is juridisch te herleiden tot twee wettelijke regelingen, namelijk de AVG en de cookiewet. Die laatste is formeel artikel 11.7 Telecommunicatiewet en regelt veel meer dan cookies: iedere vorm van opslaan of uitlezen van gegevens op iemands randapparaat valt eronder.

Hoofdregel is dat je toestemming nodig hebt om zoiets te doen, of dat nou een tracking cookie is of een softwareupdate. Maar er zijn uitzonderingen. Voor diensten als van de vraagsteller relevant is lid 3 sub b: “[opslag of uitlezen] die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren”.

Oftewel: als het opslaan of uitlezen van informatie echt nodig is voor wat de gebruiker wil, dan mag je dat gewoon doen. Natuurlijk moet je wel onderbouwen dát het noodzakelijk is, maar dat lijkt me voor zich te spreken bij diensten als deze. (Een dienst van de informatiemaatschappij omvat grofweg iedere dienst via internet, zoals remote support.)

Omdat je bij zulke diensten ook persoonsgegevens tegenkomt, is de AVG ook relevant. Ook daar staat toestemming als eerste in de lijst met grondslagen, maar in dit geval zou ik meteen naar de grondslag “noodzaak uitvoering overeenkomst” gaan. Het leveren van support hoort bij de levering van de maildienst, en nu de dienst het niet doet, moet er iemand in de mailbox. Een mooier voorbeeld van ‘noodzaak’ zou ik zo even niet kunnen bedenken.

Alles bij elkaar (ik lijk ChatGPT wel) zie ik dus werkelijk niet in waarom je mensen om toestemming zou vragen voor toegang tot hun mailbox in het kader van support. Natuurlijk méld je wel dat je dat gaat doen, dat volgt uit je zorgplicht als dienstverlener en uit de informatieplichten van de AVG.

Arnoud

10 reacties

  1. De vraag die direct bij mij opkomt echter is: “Voor welke situatie is het noodzakelijk voor een ICT-dienstverlener, om de inhoud van een mailbox te bekijken?”

    Ik kan me nog voorstellen dat je met bijv. Teamviewer, een persoon helpt om de mailbox opnieuw in te stellen, of over te zetten naar een nieuw apparaat. Maar ik kan niets bedenken waarvoor het nodig is om IN de mailbox van een klant te moeten komen.

        1. Dat kan, maar de helft kijkt niet goed en die mail vis je er dan zelf alsnog uit als je meekijkt. En als dat niet het geval is, ga je zoeken in de mailbox, of kijken of er regels ingesteld staan die de mail afgevangen kunnen hebben, of kijken of de mail terug te halen valt via ‘verwijderde items herstellen’, of…

          Theoretisch zou je die mensen alles uit kunnen leggen zonder mee te kijken, maar dat is bij digibeten geen doen.

    1. Heel veel organisaties vragen tegenwoordig om een email adres voor allerlei doeleinden, maar hun klanten willen helemaal niet per email benaderd worden. Zo is Zilveren Kruis al jaren aan het vragen om mijn email adres en iedere keer dat ik bij hen inlog vragen ze er weer om. Maar omdat ik in het verleden ben gespamd door ZK geef ik mijn email adres niet meer aan hen af. Maar goed, ik ben zeer handig qua Internet terwijl er genoeg mensen zijn die helemaal niet online iets willen doen, behalve het absolute noodzakelijke. En de consument wordt steeds vaker om online gegevens door te geven zoals een mobiel nummer en email adres. Zo was er een website waar ik mij niet kon registreren omdat ik mijn mobiele nummer niet wilde opgeven. Die hadden ze ook niet nodig. En omdat ik mijn eigen domeinnaam heb geef ik aan ieder bedrijf dat mijn adres wil een speciale alias door zodat ik kan detecteren of ze deze hebben doorgelekt aan spammers. (Wat best vaak gebeurt!) Ik kan mij dus een maildienst voorstellen waarbij iemand niet steeds kijkt of er nieuwe mails zijn. Of zelfs ooit maar in zijn inbox kijkt. Maar het kan ook zijn dat mensen een lichamelijk (blind) of geestelijke (dyslectisch) uitdaging hebben waardoor ze dit niet kunnen. En natuurlijk ook mensen die qua intelligentie een uitdaging hebben.

  2. Ik zou persoonlijk toch erg onaangenaam verrast zijn als de helpdesk zonder expliciete toestemming in mijn inbox rondkijkt als ik vraag stel. Bij de genoemde doelgroep licht dit waarschijnlijk anders, maar ik kan me niet voorstellen dat de AVG daar iets over zegt, en, ik wordt ook ooit zo oud en zou dan denk ik nog steeds graag toestemming willen geven.

    Hoe noodzakelijk het is hangt af van wat voor soort dienst er geleverd wordt. Als Signal (voor de wet vergelijkbaar met een maildienst?) dit zou doen zou het toch gek zijn. Maar als de maildienst expliciet in de features benoemt dat ze je helpen als je een mailtje kwijt bent is het misschien al anders?

    1. De noodzaak volgt natuurlijk uit de aard van de klacht. Als men zegt “ik kan geen mails meer sturen” dan hoef je niet in de spamfolder te gaan kijken, laat staan in de map “Privéberichten”. Maar als de klacht is “In de map Prive/Maitresse zit een mail met een bijlage van 39MB en als ik die mail aanklik dan hangt Outlook”, dan lijkt het me logisch dat je erin gaat kijken.

      Natuurlijk zeg je zoiets vooraf, maar ik zie dat meer als de huisarts die zegt “ik ga nu even uw bovenarm aanraken, dit kan pijn doen” en niet als een informed consent verzoek waar je na wikken en wegen ja of nee op zegt.

      1. Klopt. Ik heb jaren op een servicedesk gewerkt en daar moesten mensen nog wel op ’toestaan’ klikken voor we mee konden kijken, maar het is niet alsof ze echt keus hadden. Deden ze dat niet, dan hield het voor ons al snel op. In ons geval ging het om B2B support en dan kwamen de eindgebruikers vaak bij de IT-contactpersoon van hun eigen organisatie terecht, die dan of zelf mee ging kijken, of ze opdracht gaf om ons toch mee te laten kijken.

        De keren dat dat voor kwam was overigens op één hand te tellen, op tienduizenden telefoontjes per jaar.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.