Mag ik een sms naar mijn klanten sturen?

whatsappEen lezer vroeg me:

Ons bedrijf wil per Whatsapp gaan communiceren met klanten. Ik heb dat als security officer afgeraden, omdat we niet weten wat er in Amerika gebeurt met de persoonsgegevens die er dan over de lijn gaan. SMS lijkt me een betere optie, maar hoe zit dit wettelijk?

WhatsApp zou ik tegenwoordig wel durven aanraden mits de end-to-end encryptie aan staat. Dan kan WA immers niet meelezen. Ik denk dat je er tegenwoordig wel op mag vertrouwen dat die encryptie een redelijk niveau van beveiliging geeft. Misschien zou je bij medische gegevens meer moeten doen.

SMS-berichten zijn niet versleuteld maar gaan over een afgeschermd netwerk. Dat lijkt me security-technisch ook wel in orde.

Een ander punt is wat klanten ervan vinden om ineens berichtjes te krijgen via deze kanalen. Zeker bij SMS vinden (in mijn ervaring) een hoop mensen het erg opdringerig, om niet te zeggen ongewenst. Heel formeel is dénk ik geen toestemming nodig voor serviceberichten naar je klanten. Het sturen van reclame per sms (of WhatsApp) mag niet zonder toestemming, maar bijvoorbeeld een klant een reminder voor een afspraak per sms sturen is volstrekt legaal als zij hun 06 hebben gegeven.

Wel is vereist dat ergens in de privacyverklaring staat dat dit zal gebeuren, en is wenselijk dat de klant zich kan afmelden voor die berichten. Verder zou het voor mij ook van de context afhangen: waarom geef ik dat 06-nummer, is dat om eenmalig teruggebeld te worden of is het deel van mijn klantprofiel?

Toch zou ik altijd aanraden om toestemming te vragen.

Arnoud

Mag mijn werkgever structureel chatberichten monitoren?

lync-chat-schermEen lezer vroeg me:

Op mijn werk gaat het hardnekkige gerucht dat het management monitort wat we met elkaar bespreken via Lync, het chatprogramma dat onderdeel is van Microsoft Office. Stel dat dit waar is, wat kunnen we daaraan doen?

In theorie zou het gerucht eenvoudig te verifiëren moeten zijn. Om ICT-handelingen van werknemers te mogen monitoren, is een ICT-reglement waar dat in uitgelegd staat verplicht. Je kunt dus het reglement erbij pakken en nagaan of erin staat dat men Lync (of in het algemeen, chatdiensten etc) mag monitoren.

Natuurlijk kan men dingen doen zonder dat gedocumenteerd te hebben maar dat is toch echt tegen de wet. Een werkgever mag geen privacy van werknemers schenden zonder een duidelijke gedocumenteerde basis. Doen ze dat toch, dan kan de werknemer een schadeclaim indienen mits hij kan onderbouwen welke financiële schade hij heeft.

Daarnaast is er altijd de eis dat de schending gerechtvaardigd wordt door een dringende noodzaak én dat de maatregel proportioneel en subsidiair is: het kon niet anders dan op deze manier.

Bij gericht monitoren van een medewerker die al is aangesproken op bv. ongepast taalgebruik of overmatig chatten kan ik me daar wat bij voorstellen. Maar bij het algemeen loggen en monitoren van iedereen zijn of haar chats eigenlijk niet. Het is haast per definitie niet proportioneel om alles te loggen of met alles mee te luisteren.

Het verbaast me wel eens dat dit soort dingen binnen een ICT context normaal lijken te zijn. Terwijl als je het vertaalt naar een analoge context het snel bizar wordt: welke directie gaat onder elk bureau een verborgen microfoon ophangen of met richtmicrofoons de kantine afluisteren?

Arnoud