Tag: e-mail

About e-mail

Subscribe Feeds

Hoe verboden is een spambericht van een relatie in je WhatsApp?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het spamverbod?

Het spamverbod uit de Telecommunicatiewet kent geen onderscheid naar gebruikt communicatiemiddel. Of je nu via e-mail, fax of sms het bericht stuurt, maakt helemaal niets uit. En al in 2009 werd bepaald dat ook privéberichten op sociale netwerkdiensten (in dat geval: krabbelen op Hyves) als spam te zien kan zijn.

In de tijd van Hyves was er nog discussie over dat geval omdat het spamverbod toen alleen gold voor “abonnees”, en een gebruiker van een gratis dienst is moeilijk als “abonnee” te zien. Maar tegenwoordig staat er “abonnee of gebruiker” in de spamwet (artikel 11.7 Telecommunicatiewet) zodat er gen twijfel zijn: een privé-appje is een bericht aan een gebruiker en mag dus getoetst worden aan de spamwetgeving.

De wet kent ook geen eis dat het om een ongericht reclamebericht moet gaan, of dat het grootschalig gestuurd moet zijn. Eén gepersonaliseerd bericht kan dus al spam zijn, zoals wat ik laatst kreeg: “Dag Arnoud, ik zag dat je bedrijf nu 35 mensen heeft, kunnen wij eens langskomen om een voorstel te doen hoe jij ze de perfecte lunch kunt leveren?” Het criterium is ongevraagd en commercieel oogmerk, meer niet.

Heel misschien zou je nog met de gebruiksvoorwaarden van de dienst kunnen betogen dat bepaalde soorten berichten wél mogen. LinkedIn heeft bijvoorbeeld de mogelijkheid dat je aangeeft open te staan voor recruitment of dienstaanbiedingen; een bericht van recruiter X is dan moeilijk nog als ongevraagd te beschouwen. Bij WhatsApp zie ik dergelijke opties niet. Dan zou je hooguit nog kunnen zeggen, als je een persoon zoals Y toevoegt dan moet je weten dat die zijn boeken gaat pushen en gaat hengelen om commerciële koffie.

Wat vinden jullie? Was die lunch-pusher een spammer, en wat doe je met kopjekoffiehengelaars in je WhatsApp?

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Hoe rechtsgeldig is e-mail in communicatie met de overheid?

Geplaatst op in Privacy, 14 reacties

Heeft de Hoge Raad ineens e-mail rechtsgeldig verklaard, kreeg ik van diverse mensen als vraag. Recent wees men arrest in een zaak over parkeerheffingen, waarbij een bezwaarschrift per e-mail mocht worden ingediend. Dat kun je lezen als “e-mail is rechtsgeldig”, wat ze bijvoorbeeld bij MR doen, maar het ligt volgens mij iets subtieler. E-mail is nog steeds geen rechtsgeldige manier om bezwaarschriften in te dienen bij de overheid, maar als je met de overheid mailt dan mag men niet volstaan met een druk op de delete-knop.

De zaak werd aangespannen door een persoon die in Den Haag een naheffing parkeerbelastingen (“parkeerboete”) opgelegd had gekregen. Hij had per e-mail bezwaar gemaakt tegen deze boete.

Nu is het in Den Haag mogelijk om elektronische bezwaarschriften in te dienen, alleen heeft men daar een apart websitekanaal voor waar met DigiD op wordt ingelogd. Vandaar ook dat men deze man snel afdeed:

“In de Regeling ‘gebruik elektronische weg op het gebied van belastingen en rechten in de gemeente Den Haag’ is vastgesteld dat elektronische berichten aan de gemeente uitsluitend via de gemeentelijke website, met gebruikmaking van DigiD, kunnen worden ingediend. De regeling vermeldt verder dat de gemandateerde ambtenaren elektronische berichten die niet op voorgeschreven wijze zijn ingediend weigeren. Gelet op het bovenstaande wijs ik u erop dat bezwaarschriften die per e-mail (Vraag aan de gemeente) of per fax worden ingediend, niet langer worden behandeld.

Daarmee was voor de gemeente de kous af, maar de burger ging in beroep bij de rechtbank tegen deze reactie. En nu wordt het wat ingewikkeld. De rechtbank wees het beroep af omdat er geen besluit was genomen door de gemeente. Die reactie hierboven is immers alleen een stukje informatie, en tegen een folder kun je niet in beroep.

De Hoge Raad ziet het echter anders. Er is bezwaar gemaakt, zij het niet op de juiste manier (namelijk per e-mail). Zo’n verzuim kan gebeuren en de gemeente moet de burger dan gelegenheid geven dit te herstellen. Enkel ter informatie melden dat het bericht niet wordt behandeld, is daarvoor te weinig. De mail had een termijn moeten geven om alsnog op papier of via die site het bezwaar in te dienen. Heel mooi om te weten, maar verre van “e-mail is rechtsgeldig”.

Arnoud

Is een tracker in je e-mail legaal?

Geplaatst op in Privacy, 57 reacties

Een lezer vroeg me:

Ik krijg de afgelopen tijd veel emails met een zogenaamde email tracker. Dit houdt in dat de verstuurder precies kan zien door wie en wanneer zijn email wordt geopend. Dit is een redelijk beangstigend gevoel omdat ik niet weet wat er allemaal wordt bijgehouden door de verzender. Mag dat zomaar?

Email trackers zijn op zich niet nieuw, maar ze stijgen snel in de belangstelling. En nee, ze zijn niet legaal.

Het basisidee van e-mailtracking is dat je iets opneemt in het mailbericht dat je op afstand kunt uitlezen. Een bekend voorbeeld is een doorzichtige pixel opnemen die op een externe website staat. Als die pixel wordt opgehaald, dan moet dat wel zijn omdat de ontvanger het mailbericht ging lezen en zijn mailprogramma die afbeelding meende nodig te hebben.

Steeds meer maildiensten werken met HTML, en je kunt dan zo ongeveer een complete webpagina met alles erop en eraan opnemen. Inclusief tracking scripts, cookies of wat je maar wil. Zo kun je dan bijvoorbeeld uitlezen wat voor mailprogramma iemand gebruikt, hoe lang hij de mail leest, of hij op links klikt en ga zo maar door.

Dit is dus waar de cookiewet tegen bedoeld is. E-mailtrackers vallen onder het wettelijke begrip “gegevens opslaan of uitlezen” van andermans computer of telefoon. Of je dat nu doet vanuit een website of via een mail doet er niet toe. Zodra je gegevens wilt opslaan of juist wilt ophalen van iemands computer, zegt de cookiewet dat er toestemming voor nodig is.

Op een website is dat simpel, althans in theorie: een popupscherm of kadertje waarin wordt uitgelegd wat cookies zijn, en een knop om wel/geen toestemming. In de mail is dat veel lastiger, want volgens mij kunnen mailprogramma’s niet zomaar die dingen laten zien. Dit nog afgezien van dat daar de cookies en tracking scripts al worden gezet voordat je op ‘ja’ zou kunnen klikken, wat sowieso niet mag van de cookiewet. Dus nee, die dingen zijn niet legaal.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

Geplaatst op in Privacy, Security, 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Wanneer is een bericht per contactformulier aangekomen?

Geplaatst op in Privacy, 21 reacties

mail-to-cc-bccEen lezer vroeg me:

Op 20 juni stuurde ik een opzegbericht via het contactformulier bij een betaalwebsite. Pas drie dagen later kreeg ik een reactie, waarbij ze meteen meldden dat ik te laat was. Maar 20 juni was de laatste dag, dus ik was wél op tijd. Ik kan met een screenshot bewijzen dat ik het formulier heb ingevuld en dat de site daarop meldde dat het bericht is ontvangen. Is dat genoeg bewijslast?

De wet zegt dat wie een bericht verstuurt, moet bewijzen dat het aangekomen is bij de beoogde ontvanger. Bewijzen dat het verzonden is, is daarbij niet genoeg. Zelfs niet bij aangetekende post.

Bij e-mail is bewijs van ontvangst best ingewikkeld. Ik ken eigenlijk maar één manier en dat is dat de ontvanger terugmailt dat hij het heeft gehad. Ja, of je moet met portalen gaan werken waar een derde logt of en zo ja hoe laat het bericht is ingezien door de ontvanger.

Bij een contactformulier is de regel hetzelfde. Maar het bewijs is volgens mij iets makkelijker: vrijwel elk formulier zegt na insturen iets van “Dank u, uw bericht is ontvangen en wij reageren binnen X werkdagen”. Daaruit mag je concluderen dat het bericht ook echt binnengenkomen is. Natuurlijk gaat het bericht vervolgens per mail naar de persoon die er wat mee moet, en die mail kan net zo hard kwijtraken als jouw mail naar info@, maar dat doet er dan niet meer toe. Vanaf ontvangst door het bedrijf is alle vervolgdoorzending hun risico.

Lastig is dan weer wel bewijzen wát er is ontvangen. Want (grote ergernis) je kunt zelden tot nooit vragen om een kopietje naar je eigen mailbox, en “Uw bericht zoals ontvangen staat hieronder” zie je ook vrijwel nooit. Je kunt dan eigenlijk alleen screenshotten (of een filmpje maken) wat je invult en wat het bevestigingsscherm was, en dan moet je maar hopen dat de wederpartij niet gaat roepen dat je die vervalst hebt. Oh, en het filmpje ergens online neerzetten zodat er een onafhankelijke datering is van de inhoud.

Dat gezegd hebbende vind ik het altijd wel heel verstandig om bij zo’n late opzegging er zelf extra bovenop te gaan zitten. Even namailen, drie keer dat formulier insturen of bellen. Want het gedoe om het achteraf recht te trekken is altijd meer dan het gedoe van dat ene telefoontje.

(Terzijde: bewijslast gaat over wie bewijs moet leveren, niet de hoeveelheid bewijs die nodig is.)

Arnoud

Mag minister Kamp wel werken vanaf zijn privémail?

Geplaatst op in Ondernemingsvrijheid, Privacy, 27 reacties

email-e-mail-elektronische-post-envelopMinister Henk Kamp (Economische Zaken) blijft zijn privémail zakelijk gebruiken, ondanks een phishingaanval en waarschuwingen van het Openbaar Ministerie, meldde Nu.nl vorige week. Kamp stuurt af en toe werkdingen naar zijn privémail “omdat dat gemakkelijker is voor mij. Zo is het”. Hij gaat in tegen de officiële richtlijnen, maar kennelijk mag dat. Maar hoe zit dat dan, mag een werkgever daar geen regels aan stellen?

De werkgever bepaalt hoe het werk wordt uitgevoerd. Als mail daarbij nodig is, dan mag je mailen (en zo niet, dan niet). En de werkgever kan dan bepalen wat je doet met die werkmailbox. Privé mailen vanaf de werkmail mag voor 90% worden verboden, en monitoren ligt gevoelig maar er zijn mogelijkheden. Maar er is geen twijfel dat een werkgever kan zeggen, de werkdingen blijven in de werkmail en dat ga je niet doen vanuit je privémailbox thuis.

Alleen: een minister is geen werknemer. Kamp heeft een politiek ambt, maar is daarmee nog geen ambtenaar in de zin van de arbeidswetgeving. Hij kan dus niet juridisch worden gehouden aan de regels over privé en werk die op het ministerie gelden. Iets platter gezegd: hij is de baas en voor de baas geldt, hij mag per definitie wat hij wil. Dus juridisch zijn we heel snel klaar hier. Tenzij blijkt dat hij staatsgeheime documenten doorstuurt, maar daar lijkt geen sprake van te zijn.

Bepaald onhandig is het wel. Het schept natuurlijk een heel raar precedent, en iedere scriptkiddie zal nu gaan proberen die privémailbox eens te hacken want kennelijk is dat een vette buit. Maar ja, hoe zeg je dat tegen een minister?

Arnoud

Mag GHTorrent openbare data van Github aggregeren als onderzoeksdataset?

Geplaatst op in Intellectuele rechten, Privacy, 25 reacties

ghtorrent-data-structureMag je eisen dat je e-mailadres verwijderd wordt uit de GHTorrent dataset? Een veel voorkomende klacht bij dit project. GHTorrent is een onderzoeksproject dat Github-softwareprojecten indexeert en gemakkelijk doorzoekbaar maakt. Hierbij worden ook de e-mailadressen van ontwikkelaars geïndexeerd, waardoor je allerlei koppelingen kunt leggen. Maar mag dat eigenlijk wel?

Github is een van de grootste platforms voor gedistribueerde softwareontwikkeling, met name voor open source. De activiteit op het platform maakt het ook interessant voor wetenschappelijk onderzoek naar gedrag en handelen bij softwareontwikkeling. Zo las ik dat bijdragen van vrouwen eerder opgenomen worden in softwareprojecten dan die van mannen.

Dit onderzoeken betekent dat je honderdduizenden projecten moet doorlopen, iets dat handmatig vrijwel onmogelijk is. Vandaar GHTorrent: plat gezegd een offline mirror van alle Github metadata, zodat je niet per onderzoeksvraag de hele site af hoeft te struinen.

Niet iedereen is daar blij mee. Met name niet omdat ook het e-mailadres van ontwikkelaars opgenomen is. Je kunt dat e-mailadres dan als identifier gebruiken (het man/vrouw onderzoek werkte zo: via het e-mailadres kon je het Google+ profiel vinden en daar het geslacht van de ontwikkelaar achterhalen). En je kunt er natuurlijk ook mail heen sturen, waar de klachten over begonnen. Continu vragen krijgen om mee te doen aan allerlei onderzoek is niet prettig.

De data is publiek. E-mailadressen zijn gewoon zichtbaar, dus iedereen die wil kan dezelfde dataset verkrijgen als GHTorrent. Is het dan slechts een kwestie van fatsoen dat je toch mailadressen blokkeert of van antispam-maatregelen voorziet? Nou, niet per se. In Europa – waar het project vandaan komt – gelden strenge privacyregels ten aanzien van persoonsgegevens, en die gelden ook als de gegevens uit openbare bron zijn verkregen.

Een e-mailadres is een persoonsgegeven onder de Europese regels, omdat het naar een persoon (de ontwikkelaar) te herleiden is. Wie dergelijke gegevens bij elkaar brengt en ontsluit, is daar verantwoordelijk voor. Deze verantwoordelijke moet een grondslag in de wet hebben om dit te mogen doen, en moet zich houden aan de informatieplichten en het recht van inzage, correctie en verwijdering dat alle betrokken personen hebben.

Ook als de data publiek is. Dat ondervond Google in 2014 met het vergeetrecht-arrest: hoewel Google-zoekresultaten afgeleid zijn van openbare bronnen, heeft Google een eigen verantwoordelijkheid bij hoe zij die resultaten rangschikt en presenteert. Zij is dus zelf onderworpen aan het vergeetrecht (en de andere wettelijke plichten voor verantwoordelijken), los van de bronnen waar zij zich op baseert.

Hetzelfde geldt voor GHTorrent. Zij brengt openbare data bij elkaar, maar die data bevat persoonsgegevens. En daarom is de beheerder van GHTorrent de verantwoordelijke en verplicht om te informeren en om correctie en verwijdering toe te staan.

Verwijdering hoeft echter niet altijd. De vraag is of de data irrelevant is voor het doel waarvoor deze is verzameld. In het geval van Google: wanneer de zoekresultaten achterhaald of anderszins niet meer relevant zijn voor de persoon op wie je zocht, bij een zoekopdracht naar een persoon. Bij GHTorrent geldt hetzelfde, maar dat vertaalt zich lastiger naar de praktijk. Immers, ook oude gegevens van een ontwikkelaar zijn relevant voor wetenschappelijk onderzoek, dus het Google-criterium gaat hier niet op. Welk criterium dan wel, dat weet ik zo even niet.

Maar misschien is er een simpeler oplossing. Er moet immers sowieso een wettelijke grondslag zijn voor je gebruik van de gegevens. Enkel “ze komen uit openbare bron” is niet genoeg als grondslag, net zo min als “wij doen wetenschappelijk onderzoek”. Toestemming is er niet, een contract met GHTorrent ook niet, dus dan val je terug op de eigen dringende noodzaak: er is een legitiem belang (wetenschappelijk onderzoek), de gegevens zijn daar écht voor nodig (die zie ik wel) en alles is in het werk gezet om de privacy zo veel mogelijk te beschermen.

En bij dat laatste gaat het mis, want in principe is dan een opt-out vereist. Niet perse, andere maatregelen mogen ook. Zo kun je bijvoorbeeld de e-mailadressen hashen, zodat je er wel op kunt matchen maar ze niet kunt gebruiken om te mailen. Of je laat ze weg uit de publieke dataset en verstrekt ze alleen als mensen apart akkoord gaan met geheimhouding van die set. Maar opt-out lijkt mij het makkelijkste.

GHTorrent lijkt me dus legaal, maar ze moeten zich wel houden aan de Europese regels over persoonsgegevens. En in de praktijk betekent dat dus wel degelijk dat er een opt-out moet zijn.

Arnoud

Wanneer is een cc een overtreding van de privacywet (en dus boetewaardig)?

Geplaatst op in Ondernemingsvrijheid, Privacy, 41 reacties

mail-to-cc-bccEen lezer vroeg me:

Recent kreeg ik een aankondiging van een webwinkel. Ik niet alleen, nog 254 andere mensen ook. Ja, exact 254, want ik kon de mailadressen van iedereen zien in het cc: veld. Is dat nu ook een datalek? Wat voor boete staat erop?

Per 1 januari bevat de Wbp een meldplicht datalekken, maar belangrijker: vanaf dat moment mag de Autoriteit Persoonsgegevens (de new, tough Cbp) boetes opleggen voor overtreding van zo ongeveer elke bepaling uit de privacywet. De voor mij belangrijkste bevoegdheid is die van het schenden van je beveiligingsplicht, kort gevolgd door de verwerking zonder grondslag.

Een verwerking zonder grondslag wil zeggen, je doet iets met persoonsgegevens maar je treedt buiten de gegeven toestemming of je kunt geen rechtvaardiging geven onder je dringend eigen belang of onder een overeenkomst die je hebt. En ja, dat kan al zo simpel zijn als het gebruiken van het cc: veld in plaats van bcc: als je meerdere ongerelateerde mensen wilt mailen.

In oktober publiceerde het Cbp concept-beleidsregels over boetes. Deze zijn nog niet definitief maar ik verwacht niet dat ze héél anders gaan worden. In het kort classificeert men overtredingen in drie categorieën (licht, middel, zwaar). Per categorie is er een basisboete en een bandbreedte, en de boete wordt vastgesteld als de basis plus of min ten hoogste de bandbreedte. De exacte hoogte van de plusmin volgt uit het concrete geval.

Het verwerken van gegevens zonder grondslag of het hergebruiken voor niet toegestane doelen valt in categorieën middel of zwaar, zo blijkt uit het concept. Daarmee ligt de boete in beginsel op zijn minst op € 120.000, de ondergrens van de bandbreedte van categorie twee (middel). De omvang van de inbreuk weegt mee, dus hoe meer adressen hoe duurder het wordt.

Een boete kan echter pas opgelegd worden nadat een aanwijzing over de overtreding niet is opgevolgd, of als blijkt dat sprake is van opzettelijk of grof nalatig handelen. Die gaat nog een lastige worden bij cc-foutjes, omdat dat vrijwel altijd onnadenkend gebeurt. Je wilt bcc, je klikt niet goed en je drukt te snel op verzenden. Dat kan ik geen ‘opzet’ noemen. Van grof nalatig, of beter gezegd ‘het gevolg van ernstig verwijtbare nalatigheid’, is sprake

indien de overtreding het gevolg is van grof, aanzienlijk onzorgvuldig, onachtzaam dan wel onoordeelkundig handelen.

Ik denk dat de term ‘grof’ op al die andere kwalificaties slaat, dus grof onzorgvuldig, grof onachtzaam of grof onoordeelkundig. En dat houdt dan in dat je niet zomaar onachtzaam of onzorgvuldig moet zijn geweest maar best wel heel erg. En dán wordt het spannend, want is dit iets dat iedereen zou moeten weten en niet moeten laten gebeuren, of is dit het soort dikkevingerfout dat iedereen kan overkomen en dus ‘gewoon’ onzorgvuldig is?

Arnoud

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

Geplaatst op in Privacy, Security, 9 reacties

spam-verboden.pngEen lezer vroeg me:

Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?

Er is geen wettelijke regel die expliciet zegt dat e-mail te allen tijde versleuteld moet worden getransporteerd. Je bent als bedrijf dus vrij om te kiezen of en welke beveiliging je hanteert.

Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens), die stelt dat persoonsgegevens te allen tijde “adequaat” moeten zijn beveiligd tegen misbruik en ongeautoriseerde toegang. Die norm bestaat al jaren, de aanscherping komt erop neer dat je in theorie acht ton boete kunt krijgen vanaf januari als je hem schendt.

Wat is nu “adequaat” bij e-mail? Helaas zijn daar geen harde regels voor. Het hangt er namelijk vanaf wat voor gegevens er in die e-mail staan. Gaat het alleen om afzender en ontvanger (relatief weinig gevoelig) of worden er in de bijlage medische dossiers verstuurd (nogal gevoelig)? Dat bepaalt voor een groot deel de vereiste beveiligingsmaatregelen om “adequaat” te mogen heten.

E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan. Dus de factor is dat wel het minimum, net zoals SSL op een bestelformulier van een webwinkel de facto vereist is. Als je dat weglaat, dan heb je dus wat uit te leggen.

De logica achter dit proces begrijp ik niet helemaal. Natuurlijk, je kunt geen mails scannen als ze door een beveiligde verbinding lopen, maar waarom zet je dan niet een beveiligde verbinding op naar de virusscannersite?

Arnoud