Een lezer vroeg me:
Ik ben CISO bij een middelgroot bedrijf en de directie heeft bedacht dat er een disclaimer onder de mail moet. Ik moet hier een tekst voor opstellen. Wat zou jij adviseren?Disclaimers zijn juridisch van nul en generlei waarde. Ze opnemen is onzinnig, je hebt niets aan zo’n tekst en het zal lezers een net wat formeler gevoel geven dan bij de mail zonder de zin er onder. Dat kan in een sluipend conflict net het zetje zijn om te gaan escaleren.
Vaak worden deze redenen opgegeven als waarom men een disclaimer wil:
- Men verstuurt wel eens vertrouwelijke informatie en die moet dan beschermd. Die zie ik, maar dan moet je in de mails met vertrouwelijke informatie een gerichte waarschuwing opnemen. “Deze bijlage is vertrouwelijk, verder verspreiden is verboden” is een effectieve mededeling. “Deze mail kan vertrouwelijke gegevens bevatten” is dat niet – hoe weet ik welke gegevens je bedoelt?
- Men maakt zich zorgen over onjuiste ontvangers. Dan krijg je de “Deze mail is uitsluitend bestemd voor de geadresseerde(n)”-teksten. Dat zal best, maar (a) ik heb hem gehad en ben dus kennelijk een geadresseerde want (b) mijn adres stond in het “Aan:” veld. Dus wat bedoel je?
- De auditor heeft gezegd dat het moet. Nee, geen enkele ISO of andere norm eist dat je disclaimers in je mail zet. Die eisen effectieve beveiligingsmaatregelen tegen bijvoorbeeld lekken van persoonsgegevens. Ik wil heel misschien wel erkennen dat een disclaimer als weloverwogen sluitstuk van een pakket maatregelen niet perse zinloos is, maar dat is niet hetzelfde als “je moet een disclaimer van ISO 27001”.
Wat staat er in de disclaimers onder jullie mail?
Arnoud
Groet, Seb.
Groet, Elroy
Maar een eerdere werkgever voegde bij elke externe e-mail onderaan een joekel van een disclaimer in hoofdletters toe. En omdat tegenwoordig niemand zijn replies meer bewerkt had je na een paar keer heen en weer mailen meer disclaimer dan inhoud.
Ik bewerk mijn e-mails altijd. Ik laat alleen staan waarop ik reageer en zet mijn antwoord daar direct onder en de aanhef daarboven. Degene die ik antwoordt heeft immers de originele mail en dus de volledige tekst als die dat nodig vindt.
En daar kwam mijn baas … of ik als ik antwoord de hele mail die ik citeer kan laten staan anders kan de klant in de war raken ::facepalm:: Ik heb daar geen gehoor aan gegeven, laat hem eerst maar uitleggen waarom een hele e-mail citeren minder verwarrend is dan alleen de relevante tekst waar ik op reageer.
Je kunt ook en-en doen: en de relevante stukken citeren, en dan aan het einde de hele mailchain laten staan (al vind ik dat totale kolder).
Zelf zou ik nog eerder op de mail-server willen instellen dat als de mail de hele oorspronkelijke mail citeert, deze automatisch wordt gereject als spam. Zal ze leren 🙂
Mogelijk nuttig om te weten: Outlook vindt het tegenwoordig leuk om dan je hele reactie als citaat in te klappen. Dus wees niet verbaasd als er mensen reageren met “Volgens mij ben je vergeten te reageren, je mail heeft alleen een groet.” Tegenwoordig zet ik daarom soms “Reactie beneden in-line” boven de rest.
“I love deadlines. I love the whooshing noise they make as they go by.” ? Douglas Adams
Ik moet altijd lachen om de standaard voettekst “Denk aan het milieu als u deze mail print”, met een enorme uitleg eronder en een groen icoontje ernaast, waardoor de print gegarandeerd een extra pagina en milieu-onvriendelijke kleureninkt kost.
Als de mail vertrouwelijke gegevens bevat dan is (onversleutelde) mail simpelweg niet het juiste kanaal. En als je als verzender niet eens weet of het vertrouwelijke gegevens bevat dan is communiceren sowieso niet de bedoeling..
Bij ons heeft de uitgaande emailserver gewoon een regel dat ie vertrouwelijke documenten tegenhoudt, en zijn we verplicht documenten bij aanmaken te markeren met het niveau van vertrouwelijkheid. Daar kun je omheen werken, maar dan ben je bewust de boel aan het saboteren, en kun je ervan op aan dat als dat uitkomt stevige maatregelen kunnen volgen.
Desalniettemin, een veel te lange disclaimer aan het einde van elke email. 🙁
Ik ben dol op dergelijke rants!
Reactie van de directie: “Zet er toch maar zo’n algemene disclaimer onder en verplicht het personeel extra disclaimers in de tekst te zetten als ze vertrouwelijke informatie versturen. Dan zijn we zeker ingedekt.”
Reactie van de privacy fanaat: “Emailadressen zijn vertrouwelijk dus iedere email heeft een disclaimer nodig.”
Ik moet denken aan de “if your boss looks like this meme” En ik krijg structureel een bankafschrift toegestuurd van een Indiase bank (password protected weliswaar). Meerdere pogingen gedaan om hier vanaf te komen, zonder succes. Unsubscribe link werkt niet. Mails naar de helpdesk geeft alleen aan dat de kwestie wordt opgepakt of iets. En ja hoor, onderaan die mail waar ik niet vanaf kom, staat zo’n leuke disclaimer.
Auto-forward erop zetten die hem iedere keer doorstuurt naar de CEO van de betreffende bank. Kijken hoe snel hij verdwijnt.
Ik vraag mij af of het interessant kan zijn voor bedrijven om een AI in te zetten op hun mail servers. Deze zou dan alle uitgaande emails moeten controleren en op basis van de inhoud van de email en de ontvanger een bijpassende disclaimer toe te voegen. 🙂
Okay, ik ben AI-verslaafd. Is er een praatgroep daarvoor of moet ik maar een AI-chatbot gebruiken?
Sowieso ben ik van mening dat je vertrouwelijke informatie niet per email moet verzenden. Gebruik daarvoor een speciale portal waar de ontvanger naartoe kan gaan met hun inlog gegevens. Daar kunnen ze dan eventuele disclaimers te zien krijgen die ze moeten accepteren voor ze de “belangrijke” inhoud kunnen zien.
Want email is so 20e eeuw… Wie gebruikt dat nog? 😀
De directie bij ons leest duidelijk deze blog niet. 🙂 Bij ons nog steeds: “The information contained in this e-mail is exclusively intended for addressee(s). If you are not the intended addressee(s) you are requested to notify us immediately and to destroy this e-mail message immediately. You are neither allowed to use nor to distribute the contents of this e-mail among third parties. Although all our messages are scanned for viruses we cannot take any responsibility if your system would be infected by a virus that passed our anti-virus scan engine. “
Het is vooral dat net-niet dreigende toontje wat me zo tegenstaat in dat soort teksten. Met iets als “Een vergissing is menselijk, als wij per ongeluk een email verkeerd geadresseerd hebben dan willen wij u vriendelijk verzoeken dit aan ons te melden” of iets in die geest zouden ze bij mij in elk geval een stuk verder komen dan met “destroy this email immediately” en “you are not allowed to…”.
Zouden ze echt denken dat mensen onder de indruk raken van dat soort teksten?
Op zich is alles bij ons wel business-to-business en zitten er veel internationale klanten bij. Maar ook die hebben meestal niet meer van zulke disclaimers staan.