Mag een bedrijf mijn mail tracken vanwege een wettelijke plicht?

| AE 10833 | Ondernemingsvrijheid, Privacy | 22 reacties

Een lezer vroeg me:

Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust?

Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van de AVG. De AVG is als ‘algemene’ wet namelijk in principe altijd ondergeschikt aan andere wetten.

Het punt is alleen, er is bij mijn weten geen enkele wet die eist dat een bedrijf nagaat of een werknemer (of een klant) een mail geopend heeft. Ik kan de opmerking van “wettelijke verplichting” dus niet plaatsen.

Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen. Denk aan een aanzegging voor een niet-verlengd arbeidscontract, een bevestiging van een online aankoop of een formele waarschuwing. Het tracken van de e-mail en loggen dat een daarin opgenomen link is aangeklikt, geeft daarvoor voldoende bewijs.

Echter, dat iets effectief is onder wet A betekent nu net nog niet dat het onder de AVG ineens mag. De AVG is dus ondergeschikt, maar een gekozen maatregel om een andere wet na te leven moet wel noodzakelijk zijn om die wet na te leven. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk?

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is “ik moet bewijzen dat je dit bericht hebt gehad” op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Arnoud

Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | Privacy | 42 reacties

Een lezer vroeg me:

Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden?

Onder de AVG gaat er veel veranderen, maar specifiek waar het gaat om beveiliging blijven de regels in de kern gelijk. Je moet als bedrijf zorgen voor “adequate” oftewel gewoon goede beveiliging bij alles dat je doet met persoonsgegevens.

De AVG eist vooral duidelijkheid, vastgelegd in beleid. Er moet dus vastgelegd zijn welke beveiligingskeuzes zijn gemaakt en waarom dit zorgt voor het gewenste niveau van beveiliging.

E-mail is daarbij een heikel punt. Het is het meestgebruikte medium om informatie van A naar B te transporteren, maar een erg veilig medium is het van zichzelf niet. Goed beveiligingsbeleid heeft dus ook een sectie over e-mail en regelt daarin wat wanneer mag worden gemaild, wanneer encryptie moet worden gebruikt en wanneer een ander, veiliger kanaal moet worden ingezet.

Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar en daar moet dus extra aandacht voor veiligheid bij komen. Dit per mail sturen zou ik alleen acceptabel vinden als de wederpartij daar zelf om vraagt (zoals een particulier die per mail vraagt om een financieel advies) maar een ‘gedwongen’ situatie (je werkgever laat je loonstroken per mail versturen, zonder te vragen) zou ik er meer moeite mee hebben.

Specifiek bij loonstroken geldt nog dat de werknemer er uitdrukkelijk mee ingestemd moet hebben. Dat mag in de arbeidsovereenkomst of later zijn gebeurd. Als daarbij is gezegd dat dit per mail gebeurt, dan denk ik dat dit ook wel door de beugel kan. Als werkgever zul je dus wel moeten nagaan of je personeel kan overzien waar ze voor tekenen als ze hier ja op zeggen, en afgedwongen toestemming kan natuurlijk niet door de beugel.

Encryptie of de zaken via een beveiligd portaal aanbieden zijn goede alternatieven. Hun nadeel is wel dat het technisch complexer wordt en dat je dan weer moet nadenken over beheersing van de wachtwoorden.

Arnoud

Hoe verboden is een spambericht van een relatie in je WhatsApp?

| AE 10379 | Privacy | 10 reacties

Een lezer vroeg me:

Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het spamverbod?

Het spamverbod uit de Telecommunicatiewet kent geen onderscheid naar gebruikt communicatiemiddel. Of je nu via e-mail, fax of sms het bericht stuurt, maakt helemaal niets uit. En al in 2009 werd bepaald dat ook privéberichten op sociale netwerkdiensten (in dat geval: krabbelen op Hyves) als spam te zien kan zijn.

In de tijd van Hyves was er nog discussie over dat geval omdat het spamverbod toen alleen gold voor “abonnees”, en een gebruiker van een gratis dienst is moeilijk als “abonnee” te zien. Maar tegenwoordig staat er “abonnee of gebruiker” in de spamwet (artikel 11.7 Telecommunicatiewet) zodat er gen twijfel zijn: een privé-appje is een bericht aan een gebruiker en mag dus getoetst worden aan de spamwetgeving.

De wet kent ook geen eis dat het om een ongericht reclamebericht moet gaan, of dat het grootschalig gestuurd moet zijn. Eén gepersonaliseerd bericht kan dus al spam zijn, zoals wat ik laatst kreeg: “Dag Arnoud, ik zag dat je bedrijf nu 35 mensen heeft, kunnen wij eens langskomen om een voorstel te doen hoe jij ze de perfecte lunch kunt leveren?” Het criterium is ongevraagd en commercieel oogmerk, meer niet.

Heel misschien zou je nog met de gebruiksvoorwaarden van de dienst kunnen betogen dat bepaalde soorten berichten wél mogen. LinkedIn heeft bijvoorbeeld de mogelijkheid dat je aangeeft open te staan voor recruitment of dienstaanbiedingen; een bericht van recruiter X is dan moeilijk nog als ongevraagd te beschouwen. Bij WhatsApp zie ik dergelijke opties niet. Dan zou je hooguit nog kunnen zeggen, als je een persoon zoals Y toevoegt dan moet je weten dat die zijn boeken gaat pushen en gaat hengelen om commerciële koffie.

Wat vinden jullie? Was die lunch-pusher een spammer, en wat doe je met kopjekoffiehengelaars in je WhatsApp?

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Hoe rechtsgeldig is e-mail in communicatie met de overheid?

| AE 9636 | Privacy | 14 reacties

Heeft de Hoge Raad ineens e-mail rechtsgeldig verklaard, kreeg ik van diverse mensen als vraag. Recent wees men arrest in een zaak over parkeerheffingen, waarbij een bezwaarschrift per e-mail mocht worden ingediend. Dat kun je lezen als “e-mail is rechtsgeldig”, wat ze bijvoorbeeld bij MR doen, maar het ligt volgens mij iets subtieler. E-mail is… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Privacy, Security | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder

Mag minister Kamp wel werken vanaf zijn privémail?

| AE 8647 | Ondernemingsvrijheid, Privacy | 27 reacties

Minister Henk Kamp (Economische Zaken) blijft zijn privémail zakelijk gebruiken, ondanks een phishingaanval en waarschuwingen van het Openbaar Ministerie, meldde Nu.nl vorige week. Kamp stuurt af en toe werkdingen naar zijn privémail “omdat dat gemakkelijker is voor mij. Zo is het”. Hij gaat in tegen de officiële richtlijnen, maar kennelijk mag dat. Maar hoe zit… Lees verder

Mag GHTorrent openbare data van Github aggregeren als onderzoeksdataset?

| AE 8460 | Intellectuele rechten, Privacy | 25 reacties

Mag je eisen dat je e-mailadres verwijderd wordt uit de GHTorrent dataset? Een veel voorkomende klacht bij dit project. GHTorrent is een onderzoeksproject dat Github-softwareprojecten indexeert en gemakkelijk doorzoekbaar maakt. Hierbij worden ook de e-mailadressen van ontwikkelaars geïndexeerd, waardoor je allerlei koppelingen kunt leggen. Maar mag dat eigenlijk wel? Github is een van de grootste… Lees verder