Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

Mag een bedrijf mijn mail tracken vanwege een wettelijke plicht?

| AE 10833 | Ondernemingsvrijheid, Privacy | 22 reacties

Een lezer vroeg me:

Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust?

Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van de AVG. De AVG is als ‘algemene’ wet namelijk in principe altijd ondergeschikt aan andere wetten.

Het punt is alleen, er is bij mijn weten geen enkele wet die eist dat een bedrijf nagaat of een werknemer (of een klant) een mail geopend heeft. Ik kan de opmerking van “wettelijke verplichting” dus niet plaatsen.

Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen. Denk aan een aanzegging voor een niet-verlengd arbeidscontract, een bevestiging van een online aankoop of een formele waarschuwing. Het tracken van de e-mail en loggen dat een daarin opgenomen link is aangeklikt, geeft daarvoor voldoende bewijs.

Echter, dat iets effectief is onder wet A betekent nu net nog niet dat het onder de AVG ineens mag. De AVG is dus ondergeschikt, maar een gekozen maatregel om een andere wet na te leven moet wel noodzakelijk zijn om die wet na te leven. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk?

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is “ik moet bewijzen dat je dit bericht hebt gehad” op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Arnoud

Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | Privacy | 42 reacties

Een lezer vroeg me:

Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden?

Onder de AVG gaat er veel veranderen, maar specifiek waar het gaat om beveiliging blijven de regels in de kern gelijk. Je moet als bedrijf zorgen voor “adequate” oftewel gewoon goede beveiliging bij alles dat je doet met persoonsgegevens.

De AVG eist vooral duidelijkheid, vastgelegd in beleid. Er moet dus vastgelegd zijn welke beveiligingskeuzes zijn gemaakt en waarom dit zorgt voor het gewenste niveau van beveiliging.

E-mail is daarbij een heikel punt. Het is het meestgebruikte medium om informatie van A naar B te transporteren, maar een erg veilig medium is het van zichzelf niet. Goed beveiligingsbeleid heeft dus ook een sectie over e-mail en regelt daarin wat wanneer mag worden gemaild, wanneer encryptie moet worden gebruikt en wanneer een ander, veiliger kanaal moet worden ingezet.

Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar en daar moet dus extra aandacht voor veiligheid bij komen. Dit per mail sturen zou ik alleen acceptabel vinden als de wederpartij daar zelf om vraagt (zoals een particulier die per mail vraagt om een financieel advies) maar een ‘gedwongen’ situatie (je werkgever laat je loonstroken per mail versturen, zonder te vragen) zou ik er meer moeite mee hebben.

Specifiek bij loonstroken geldt nog dat de werknemer er uitdrukkelijk mee ingestemd moet hebben. Dat mag in de arbeidsovereenkomst of later zijn gebeurd. Als daarbij is gezegd dat dit per mail gebeurt, dan denk ik dat dit ook wel door de beugel kan. Als werkgever zul je dus wel moeten nagaan of je personeel kan overzien waar ze voor tekenen als ze hier ja op zeggen, en afgedwongen toestemming kan natuurlijk niet door de beugel.

Encryptie of de zaken via een beveiligd portaal aanbieden zijn goede alternatieven. Hun nadeel is wel dat het technisch complexer wordt en dat je dan weer moet nadenken over beheersing van de wachtwoorden.

Arnoud

Hoe verboden is een spambericht van een relatie in je WhatsApp?

| AE 10379 | Privacy | 10 reacties

Een lezer vroeg me: Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Hoe rechtsgeldig is e-mail in communicatie met de overheid?

| AE 9636 | Privacy | 14 reacties

Heeft de Hoge Raad ineens e-mail rechtsgeldig verklaard, kreeg ik van diverse mensen als vraag. Recent wees men arrest in een zaak over parkeerheffingen, waarbij een bezwaarschrift per e-mail mocht worden ingediend. Dat kun je lezen als “e-mail is rechtsgeldig”, wat ze bijvoorbeeld bij MR doen, maar het ligt volgens mij iets subtieler. E-mail is… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Privacy, Security | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Mag minister Kamp wel werken vanaf zijn privémail?

| AE 8647 | Ondernemingsvrijheid, Privacy | 27 reacties

Minister Henk Kamp (Economische Zaken) blijft zijn privémail zakelijk gebruiken, ondanks een phishingaanval en waarschuwingen van het Openbaar Ministerie, meldde Nu.nl vorige week. Kamp stuurt af en toe werkdingen naar zijn privémail “omdat dat gemakkelijker is voor mij. Zo is het”. Hij gaat in tegen de officiële richtlijnen, maar kennelijk mag dat. Maar hoe zit… Lees verder