Een lezer vroeg me:
Ik ben CISO bij een middelgroot bedrijf en de directie heeft bedacht dat er een disclaimer onder de mail moet. Ik moet hier een tekst voor opstellen. Wat zou jij adviseren?Disclaimers zijn juridisch van nul en generlei waarde. Ze opnemen is onzinnig, je hebt niets aan zo’n tekst en het zal lezers een net wat formeler gevoel geven dan bij de mail zonder de zin er onder. Dat kan in een sluipend conflict net het zetje zijn om te gaan escaleren.
Vaak worden deze redenen opgegeven als waarom men een disclaimer wil:
- Men verstuurt wel eens vertrouwelijke informatie en die moet dan beschermd. Die zie ik, maar dan moet je in de mailsĀ met vertrouwelijke informatieĀ een gerichte waarschuwing opnemen. “Deze bijlage is vertrouwelijk, verder verspreiden is verboden” is een effectieve mededeling. “Deze mail kan vertrouwelijke gegevens bevatten” is dat niet – hoe weet ik welke gegevens je bedoelt?
- Men maakt zich zorgen over onjuiste ontvangers. Dan krijg je de “Deze mail is uitsluitend bestemd voor de geadresseerde(n)”-teksten. Dat zal best, maar (a) ik heb hem gehad en ben dus kennelijk een geadresseerde want (b) mijn adres stond in het “Aan:” veld. Dus wat bedoel je?
- De auditor heeft gezegd dat het moet. Nee, geen enkele ISO of andere norm eist dat je disclaimers in je mail zet. Die eisen effectieve beveiligingsmaatregelen tegen bijvoorbeeld lekken van persoonsgegevens. Ik wil heel misschien wel erkennen dat een disclaimer als weloverwogen sluitstuk van een pakket maatregelen niet perse zinloos is, maar dat is niet hetzelfde als “je moet een disclaimer van ISO 27001”.
Wat staat er in de disclaimers onder jullie mail?
Arnoud