Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.

Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.
Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.
Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.

Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud

 

Mijn klant wil medische gegevens laten mailen, welke zorgplicht heb ik?

| AE 12804 | Privacy | 28 reacties

Een lezer vroeg me:

Ik ontwikkel een website voor een zorgverlener. Daarin zit ook een intake-formulier, waarin cliënten zich aanmelden en daarbij medische gegevens (bijvoorbeeld klachten of voorgeschiedenis) kunnen opgeven. De zorgverlener is een eenmanszaak en wil graag dat de gegevens naar hem gemaild worden vanuit het formulier. Ook moet de cliënt de optie krijgen om een kopie naar zichzelf te laten sturen ter bevestiging. Ik vind dat nogal onveilig, maar de klant staat erop. Hoe moet ik hiermee omgaan juridisch gezien?
De kern van de vraag is of e-mail wel een veilig medium is voor het transporteren van medische persoonsgegevens. De AVG stelt hoge eisen aan de beveiliging, en e-mail is natuurlijk niet inherent voorzien van de hoogste beveiliging. Het kan, maar je moet er wel je best voor doen. Denk aan situaties waarin de mailserver binnen hetzelfde domein draait als de website met het formulier, als die omgeving als geheel veilig is dan is natuurlijk dat mailtje ook beveiligd.

Vaak zie je echter dat men een oplossing inzet die voor ‘gewone’ bevestigingsmails (aanvraag offerte, inschrijving nieuwsbrief et cetera) gebruikt. De inhoud van het formulier wordt in een mailtje geplakt en via een standaardfunctie van je websitesoftware verstuurd. Ik zou dat een risico vinden, en daar dus aandringen op end-to-end encryptie of een gespecialiseerde oplossing. Een simpel alternatief kan zijn dat de medewerker een mailtje krijgt met een link naar de informatie, en dan moet inloggen op de backend van de website om de informatie te zien.

Specifiek bij de kopie naar de klant kan het anders liggen. Je kunt dan zeggen, de zorgvrager verzoekt met dat vinkje zelf om de kopie, en daarmee valt het versturen buiten de verantwoordelijkheid van de zorgaanbieder. Dan is er dus niets aan de hand. Alleen: weet de zorgvrager wel wat zhij vraagt met dat vinkje, of gaat die er vanuit dat de zorgaanbieder het veilig ingeregeld heeft? Dat laatste lijkt mij vrij waarschijnlijk. Bovendien ontkom je niet aan het feit dat de zorgaanbieder toch een en ander doet met die persoonsgegevens – en wel in opdracht, dus als verwerker namens de zorgvrager. En dan blijf je zitten met de beveiligingseisen.

Het lastige is natuurlijk dat e-mail over het algemeen wordt gezien als een handig en snel middel, en dat mensen de risico’s lastig kunnen inschatten. Want laten we wel wezen, de meeste mail infrastructuur is vandaag de dag voorzien van TLS verbindingen en stevige security op de transportservers. Het klassieke scenario dat iemand meeleest met de mail in transport, of een admin van een tussenliggende mailserver even koekeloert in de wachtrij lijkt mij ondertussen wel een beetje achterhaald. Maar met alleen het abstracte verhaal “je moet voorzichtig zijn met mail” kom je er niet als dienstverlener.

Wat is voor jullie het meest aansprekende risico dat je loopt met dit soort systemen?

Arnoud

Wanneer is een mail aangekomen als deze in een spamfilter blijft hangen?

| AE 12422 | Ondernemingsvrijheid, Regulering | 107 reacties

Een lezer vroeg me:

Naar aanleiding van een discussie die ik had met andere IT’ers over de macht van MS en Google in de wereld van e-mail en hun interne reputatie systeem vroeg ik me af of een mail juridisch gezien is ‘aangekomen’ als mailprovider Microsoft of Google besluit deze als spam aan te merken en weg te gooien?
Hoofdregel bij communicatie is dat de afzender moet bewijzen dat de ontvanger deze heeft ontvangen. Daarbij maakt het niet uit of je met aangetekende post, e-mail of een WhatsApp-bericht communiceert. Het bewijs mag op iedere manier worden geleverd: een screenshot van twee blauwe vinkjes in de WhatsApp client is prima bewijs, een handtekeningbriefje aangeleverd door PostNL ook.

Bij e-mail is er eigenlijk geen goed mechanisme. Het beste werkt nog altijd de reply door de ontvanger zelf. Ook als deze in de reply zegt “hier klopt niets van” of “ik weiger uw e-mail en wens alleen post te ontvangen” (die kreeg mijn incassobureau eens). Waar het om gaat, is of de mail is aangekomen. En dat is ‘ie, als je daarop reageert.

Er zijn trucjes met cookies of transparante pixels waarmee je ontvangstbevestigingen kunt proberen te construeren. Als een bepaalde pixel wordt ingeladen die enkel en alleen in die e-mail was ingevoegd, dan zal die e-mail wel geopend zijn door de ontvanger, is dan het idee. Nog nooit getest, maar het zou kunnen. Maar veel mailprogramma’s blokkeren zulke trucs, en dan sta je nog nergens. Wie écht zekerheid wil, stopt berichten in een portaal en logt wanneer de ontvanger daarop inlogt om het bericht aan te klikken.

Maar goed, de spamfilter. Als jij een spamfilter instelt (bv. alles met “Advertisement” in de subject weggooien) dan is dat jouw risico natuurlijk. Hanteert de provider van de afzender een spamfilter, dan is dat zijn risico. Die twee zijn makkelijk.

Wanneer je een e-maildienst bij een derde afneemt, zoals Microsoft of Google, en deze besluit mail weg te gooien zonder jou in te lichten of zelfs maar in een mapje Spam te zetten, dan ben ik geneigd gewoon te concluderen dat de mail bij de ontvanger is aangekomen. Dat hij een spamdienst afneemt die zo agressief opereert, dat is zijn risico. (Microsoft als postbodebijtende hond?)

Het lastige blijft natuurlijk te bewijzen dát de mail in dat spamfilter is aangekomen. Maildiensten melden dat zelden tot nooit terug, vanwege de overlast die dat geeft. Praktisch gezien heb je er dus weinig aan, behalve in het geval dat iemand zegt “ah ja ik zie je mail nu, hij zat al drie weken in de spam”.

Arnoud

Kijk die Belgen delen wél AVG boetes uit waar je wat aan hebt

| AE 12043 | Ondernemingsvrijheid | 7 reacties

De Belgische Gegevensbeschermingsautoriteit heeft een AVG-boete van 10.000 euro uitgedeeld aan een bedrijf, meldde Tweakers begin deze week. Het bedrijf stuurde “door een menselijke fout” een marketingmail naar een verkeerd persoon en deed te weinig om dat probleem op te lossen. Zo te zien was zijn mailadres zonder zijn medeweten toegevoegd aan een commercieel mailbestand… Lees verder

Wat mag je nog met tracking pixels tegenwoordig?

| AE 11460 | Privacy | 25 reacties

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee… Lees verder

Mijn mailadres was fout en de webwinkel stuurt me nu incassokosten!

| AE 11390 | Ondernemingsvrijheid | 9 reacties

Een lezer vroeg me: Een tijd geleden had ik wat besteld bij een webwinkel, maar kennelijk een typefout in mijn mailadres gemaakt. Het bestelde is geleverd, en nu twee maanden later krijg ik een brief van een incassobureau of ik even de prijs plus incassokosten wil betalen, anders gaan ze dagvaarden. Het klopt dat ik… Lees verder

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me: Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren? De AVG stelt als een van haar beginselen dat… Lees verder

Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | Privacy | 42 reacties

Een lezer vroeg me: Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden? Onder de AVG gaat er veel veranderen, maar… Lees verder