Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot vijf uur, dan moet ik misschien maar een andere baan zoeken?! Mag dat überhaupt wel, me aanspreken op zo’n privémail naar collega’s?

Dit is een nogal overdreven reactie van die manager. Nog even afgezien van het pedante punt dat de mail zegt bijna vijf uur, en je dus kunt zeggen dat hij wel degelijk wil blijven werken tot vijf uur. Ik snap het punt dat die man wil maken, maar gezien de aard van deze mail kun je hier écht niets mee, arbeidsrechtelijk gezien.

Het is op zich niet verboden om zulke mails door te sturen, omdat het interne berichten binnen een organisatie zijn. Ik zie daar niets principieels verkeerds aan, nog even los van briefgeheim dat niet geldt op e-mail. En ja, je hebt privacy op je werk maar wel binnen grenzen: stel je had dit gezégd tegen je collega’s en de de manager had het toevallig gehoord, dan zouden we dat ook geen privacykwestie vinden. Als de informatie ter kennis komt van de manager, dan mag hij daar wat mee. Ik zie niets illegaals aan dat doorsturen binnen de organisatie. Maar sjonge.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Beveiliging, E-mail | 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

| AE 8139 | Beveiliging, E-mail | 9 reacties

spam-verboden.pngEen lezer vroeg me:

Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan?

Er is geen wettelijke regel die expliciet zegt dat e-mail te allen tijde versleuteld moet worden getransporteerd. Je bent als bedrijf dus vrij om te kiezen of en welke beveiliging je hanteert.

Maar wacht. Per 1 januari krijgen we een aanscherping van de privacywet (Wet bescherming persoonsgegevens), die stelt dat persoonsgegevens te allen tijde “adequaat” moeten zijn beveiligd tegen misbruik en ongeautoriseerde toegang. Die norm bestaat al jaren, de aanscherping komt erop neer dat je in theorie acht ton boete kunt krijgen vanaf januari als je hem schendt.

Wat is nu “adequaat” bij e-mail? Helaas zijn daar geen harde regels voor. Het hangt er namelijk vanaf wat voor gegevens er in die e-mail staan. Gaat het alleen om afzender en ontvanger (relatief weinig gevoelig) of worden er in de bijlage medische dossiers verstuurd (nogal gevoelig)? Dat bepaalt voor een groot deel de vereiste beveiligingsmaatregelen om “adequaat” te mogen heten.

E-mail over SSL/TLS transporteren is een simpele maatregel die eigenlijk altijd wel kan. Dus de factor is dat wel het minimum, net zoals SSL op een bestelformulier van een webwinkel de facto vereist is. Als je dat weglaat, dan heb je dus wat uit te leggen.

De logica achter dit proces begrijp ik niet helemaal. Natuurlijk, je kunt geen mails scannen als ze door een beveiligde verbinding lopen, maar waarom zet je dan niet een beveiligde verbinding op naar de virusscannersite?

Arnoud

Engelse MP wil verbod op e-maildisclaimers, maar hoe dan?

| AE 7303 | E-mail, Grappig | 17 reacties

De Engelse parlementariër Alan Duncan wil een verbod op de “meaningless missives” die iedereen klakkeloos onder zijn e-mails hangt, zo las ik bij de BBC. Heerlijke speech ook. Een verbod op e-maildisclaimers, hoe w00t is dat. Alleen: is het haalbaar, en hoe ga je dat in vredesnaam opschrijven? E-maildisclaimers zijn velen al jaren een doorn… Lees verder

Hoe bewijs je nu dat een e-mail is aangekomen?

| AE 6804 | E-mail | 30 reacties

Bewijzen dat een e-mail is aangekomen, ga er maar aan staan. Het valt niet mee met voldoende zekerheid aan te tonen dat iemands mailserver een bericht heeft ontvangen, tenzij men natuurlijk een reactiemailtje heeft gestuurd. Maar in een recente rechtszaak was dit bewijs best belangrijk: per e-mail waren instructies gestuurd over het doorzetten van een… Lees verder

Elektronische communicatie gaat onder het briefgeheim vallen

| AE 6795 | E-mail, Privacy | 25 reacties

Elektronische communicatie als e-mail wordt opgenomen in het brief-, telefoon- en telegraafgeheim uit de Grondwet, meldde Nu.nl vorige week. De geplande Grondwetswijziging zal een generiek ‘brief- en telecommunicatiegeheim’ vermelden, zodat alle vormen van privé telecommunicatie, dus ook berichten via bv. Facebook, in principe vertrouwelijk zijn. Hiermee komt eindelijk een eind aan de onzekere status van… Lees verder

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

| AE 6712 | Arbeidsrecht, E-mail | 18 reacties

Een lezer vroeg me: Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken? Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te… Lees verder