Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot vijf uur, dan moet ik misschien maar een andere baan zoeken?! Mag dat überhaupt wel, me aanspreken op zo’n privémail naar collega’s?

Dit is een nogal overdreven reactie van die manager. Nog even afgezien van het pedante punt dat de mail zegt bijna vijf uur, en je dus kunt zeggen dat hij wel degelijk wil blijven werken tot vijf uur. Ik snap het punt dat die man wil maken, maar gezien de aard van deze mail kun je hier écht niets mee, arbeidsrechtelijk gezien.

Het is op zich niet verboden om zulke mails door te sturen, omdat het interne berichten binnen een organisatie zijn. Ik zie daar niets principieels verkeerds aan, nog even los van briefgeheim dat niet geldt op e-mail. En ja, je hebt privacy op je werk maar wel binnen grenzen: stel je had dit gezégd tegen je collega’s en de de manager had het toevallig gehoord, dan zouden we dat ook geen privacykwestie vinden. Als de informatie ter kennis komt van de manager, dan mag hij daar wat mee. Ik zie niets illegaals aan dat doorsturen binnen de organisatie. Maar sjonge.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Mag je info@ adressen spammen? (en een webdevelopervacature)

| AE 8895 | E-mail | 20 reacties

spam-verboden.pngNaar aanleiding van onze vacature voor een webdeveloper met dreigende taal tegen acquisitie kreeg ik onder meer deze reactie via Twitter:

Een algemene [acquisitiemail] naar info@ is denk ik wel vrijgesteld (art 11.7 2a). (niet van mij hoor)

Die dreigende taal? In onze vacature hebben wij staan:

Acquisitie op basis van deze advertentie wordt niet op prijs gesteld en kan juridische consequenties hebben.

De juridische consequenties zouden dan een tip bij de ACM zijn wegens spammen: het ongevraagd sturen van commerciële berichten is immers verboden (art. 11.7 Telecommunicatiewet). Ook als het maar één mail is die op maat geschreven is. Of wellicht gaan we civiele schadeclaims indienen op diezelfde grond.

Maar dat lid 2a dan? Inderdaad, er staat een uitzondering op het spamverbod in de wet. Bij bedrijven (zowel eenmanszaken als rechtspersonen) is geen toestemming nodig als je een commerciële mail stuurt

indien de verzender bij het overbrengen van de communicatie gebruik maakt van elektronische contactgegevens die door de gebruiker daarvoor zijn bestemd en bekendgemaakt, en deze zijn gebruikt in overeenstemming met de door de gebruiker aan die contactgegevens verbonden doeleinden, of

Oftewel, als je zégt “stuur me hier alsjeblieft een aanbieding” op je website dan is het geen spam als mensen dat doen. Ik heb deze clausule nooit begrepen, volgens mij geef je gewoon tóestemming dan wel vraag je om deze aanbieding dus dan is het niet meer ongevraagd. Maar goed.

Een info@ adres is gewoonlijk voor algemene communicatie een bedrijf, en meestal wordt dat ook wel bekendgemaakt met teksten als “Vragen, interesse, mail ons!”. Mag je daaruit concluderen dat het info@ adres mag worden gespamd?

Dat gaat me toch wat ver. De wet vermeldt dat het adres daarvoor moet zijn bestemd en bekendgemaakt, oftewel voor het soort berichten dat de spammer stuurt. Ik denk dat dat toch echt betekent dat het een specifieke aanduiding moet zijn: “Kent u iemand die deze vacature kan vervullen of kunt u bemiddelen, dan horen we graag van u”. Of “Wie goedkope toner voor onze fax heeft, laat het even weten”. Er moeten immers bepaalde doeleinden bij staan en je moet in overeenstemming daarmee handelen.

Dus nee, het gaat me te snel om te zeggen dat je info@ adressen mag spammen. Je zult echt moeten laten zien dat het adres voor jouw soort berichten is opengesteld, en dat vereist meer dan enkel “info@ is de verzamelbak voor alles”.

Enne oh ja die vacature: Laravel, Symfony, Elastic én juridische zaken, wat wil je nog meer. Reageren kan tot 23 september! (update: schaam over typefout in Laravel en Symfony)

Arnoud

Mag minister Kamp wel werken vanaf zijn privémail?

| AE 8647 | Arbeidsrecht, E-mail | 27 reacties

Minister Henk Kamp (Economische Zaken) blijft zijn privémail zakelijk gebruiken, ondanks een phishingaanval en waarschuwingen van het Openbaar Ministerie, meldde Nu.nl vorige week. Kamp stuurt af en toe werkdingen naar zijn privémail “omdat dat gemakkelijker is voor mij. Zo is het”. Hij gaat in tegen de officiële richtlijnen, maar kennelijk mag dat. Maar hoe zit… Lees verder

Mag GHTorrent openbare data van Github aggregeren als onderzoeksdataset?

| AE 8460 | E-mail, Privacy, Software | 25 reacties

Mag je eisen dat je e-mailadres verwijderd wordt uit de GHTorrent dataset? Een veel voorkomende klacht bij dit project. GHTorrent is een onderzoeksproject dat Github-softwareprojecten indexeert en gemakkelijk doorzoekbaar maakt. Hierbij worden ook de e-mailadressen van ontwikkelaars geïndexeerd, waardoor je allerlei koppelingen kunt leggen. Maar mag dat eigenlijk wel? Github is een van de grootste… Lees verder

Wanneer is een cc een overtreding van de privacywet (en dus boetewaardig)?

| AE 8189 | Aansprakelijkheid, E-mail, Privacy | 41 reacties

Een lezer vroeg me: Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop? Per 1 januari bevat de Wbp een meldplicht datalekken,… Lees verder

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

| AE 8139 | Beveiliging, E-mail | 9 reacties

Een lezer vroeg me: Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan? Er is geen wettelijke regel die… Lees verder