Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Hoe rechtsgeldig is e-mail in communicatie met de overheid?

| AE 9636 | E-mail | 14 reacties

Heeft de Hoge Raad ineens e-mail rechtsgeldig verklaard, kreeg ik van diverse mensen als vraag. Recent wees men arrest in een zaak over parkeerheffingen, waarbij een bezwaarschrift per e-mail mocht worden ingediend. Dat kun je lezen als “e-mail is rechtsgeldig”, wat ze bijvoorbeeld bij MR doen, maar het ligt volgens mij iets subtieler. E-mail is nog steeds geen rechtsgeldige manier om bezwaarschriften in te dienen bij de overheid, maar als je met de overheid mailt dan mag men niet volstaan met een druk op de delete-knop.

De zaak werd aangespannen door een persoon die in Den Haag een naheffing parkeerbelastingen (“parkeerboete”) opgelegd had gekregen. Hij had per e-mail bezwaar gemaakt tegen deze boete.

Nu is het in Den Haag mogelijk om elektronische bezwaarschriften in te dienen, alleen heeft men daar een apart websitekanaal voor waar met DigiD op wordt ingelogd. Vandaar ook dat men deze man snel afdeed:

“In de Regeling ‘gebruik elektronische weg op het gebied van belastingen en rechten in de gemeente Den Haag’ is vastgesteld dat elektronische berichten aan de gemeente uitsluitend via de gemeentelijke website, met gebruikmaking van DigiD, kunnen worden ingediend. De regeling vermeldt verder dat de gemandateerde ambtenaren elektronische berichten die niet op voorgeschreven wijze zijn ingediend weigeren. Gelet op het bovenstaande wijs ik u erop dat bezwaarschriften die per e-mail (Vraag aan de gemeente) of per fax worden ingediend, niet langer worden behandeld.

Daarmee was voor de gemeente de kous af, maar de burger ging in beroep bij de rechtbank tegen deze reactie. En nu wordt het wat ingewikkeld. De rechtbank wees het beroep af omdat er geen besluit was genomen door de gemeente. Die reactie hierboven is immers alleen een stukje informatie, en tegen een folder kun je niet in beroep.

De Hoge Raad ziet het echter anders. Er is bezwaar gemaakt, zij het niet op de juiste manier (namelijk per e-mail). Zo’n verzuim kan gebeuren en de gemeente moet de burger dan gelegenheid geven dit te herstellen. Enkel ter informatie melden dat het bericht niet wordt behandeld, is daarvoor te weinig. De mail had een termijn moeten geven om alsnog op papier of via die site het bezwaar in te dienen. Heel mooi om te weten, maar verre van “e-mail is rechtsgeldig”.

Arnoud

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

| AE 9508 | E-mail, Privacy | 23 reacties

Een lezer vroeg me:

Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief?

Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat men het e-mailadres heeft ingevuld zodat daar de nieuwsbrief heengestuurd kan worden. (Zelfs mijn kantoor doet het.) Ook bij allerlei quizzen en tests zie je dit veel: vul je e-mailadres in om de resultaten te ontvangen, en dan krijg je meteen ook de nieuwsbrief.

Mag het straks nog? Toestemming onder de GDPR moet namelijk in vrijwilligheid worden gegeven, en zeggen “geef toestemming of anders geen ebook voor jou” klinkt niet als heel vrijwillig.

Expliciet uitgesloten is het niet. Het dichtst bij komt artikel 7.4 over toestemming:

Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Dit artikel verbiedt het dus niet, maar zegt wel “dit weegt zwáár mee bij de bepaling of het vrijwillig is”.

Bij de overeenkomst tot deelname aan een quiz of tot schenking van een ebook is het niet echt noodzakelijk ook de nieuwsbrief te ontvangen. De daarvoor geëiste toestemming valt dus onder artikel 7.4 en is dus verdacht. Je zou dan moeten zeggen, zó belangrijk is zo’n ebook of quiz nou ook weer niet, dus what’s the harm, zeker omdat je de nieuwsbrief op ieder moment weer kunt opzeggen. Dan zou uit die beoordeling toch komen dat de toestemming vrijwillig is gegeven.

Soms wordt wel verdedigd dat je zo’n nieuwsbrief mag sturen omdat de quizdeelnemer of ebookaanvrager een dienst bij je afneemt, en klanten mag je mailen zonder toestemming. Dat klopt in principe, maar “klant” is wel beperkt tot iemand die een betaalde dienst (of product) afneemt. Bij een gratis dienst is het dus überhaupt niet mogelijk je te beroepen op dit recht. Bovendien moet er voor of bij het doen van de bestelling een opt-out worden geboden, dus dat pakt ook onhandig uit: mensen kunnen dan meteen zeggen “laat maar die nieuwsbrief” en vervolgens alsnog het ebook of de quiz afnemen.

Arnoud

Wat moet ik doen met mail naar een gekocht domein?

| AE 9232 | Domeinnamen, E-mail | 7 reacties

Een lezer vroeg me: nlangs heb ik een domeinnaam overgenomen van een bedrijf. Kennelijk heeft de verkopende partij de domeinnaam overgedragen terwijl deze nog actief gebruikt werd voor e-mailaccounts. Op basis van een catch all komt er allerlei mail binnen. Moet ik deze doorsturen, bewaren of terugzenden (bouncen)? Wat zijn mijn wettelijke plichten in deze?… Lees verder

Is bij mailafspraken stilzwijgen als toestemmen rechtsgeldig?

| AE 9198 | Contracten, E-mail | 14 reacties

Een lezer vroeg me: Ik mailde voor een behandeling bij een fysiotherapeut. Deze stuurde me een datumvoorstel (in reactie op de drie data die ik had voorgesteld) en sloot af met “Zonder tegenbericht zie ik je dan.” Helaas zag ik die mail pas een dag van tevoren en moest ik afzeggen, maar daarop reageerde hij… Lees verder

In ons bedrijfshandboek staat dat e-mail als bedrijfspost geldt!

| AE 9196 | Arbeidsrecht, E-mail | 24 reacties

Een lezer vroeg me: In het bedrijfshandboek van mijn kantoor staat dat e-mail dient te worden beschouwd als het elektronisch equivalent van zakelijke post, en dat de directie derhalve zich het recht voorbehoudt e-mail te lezen als zij daar aanleiding toe ziet. Oftewel, ze mogen je mail lezen als ze willen. Kan dat zomaar? Dat… Lees verder

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

Een lezer vroeg me: Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Mag je info@ adressen spammen? (en een webdevelopervacature)

| AE 8895 | E-mail | 20 reacties

Naar aanleiding van onze vacature voor een webdeveloper met dreigende taal tegen acquisitie kreeg ik onder meer deze reactie via Twitter: Een algemene [acquisitiemail] naar info@ is denk ik wel vrijgesteld (art 11.7 2a). (niet van mij hoor) Die dreigende taal? In onze vacature hebben wij staan: Acquisitie op basis van deze advertentie wordt niet… Lees verder