Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Ondernemingsvrijheid, Privacy | 13 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot vijf uur, dan moet ik misschien maar een andere baan zoeken?! Mag dat überhaupt wel, me aanspreken op zo’n privémail naar collega’s?

Dit is een nogal overdreven reactie van die manager. Nog even afgezien van het pedante punt dat de mail zegt bijna vijf uur, en je dus kunt zeggen dat hij wel degelijk wil blijven werken tot vijf uur. Ik snap het punt dat die man wil maken, maar gezien de aard van deze mail kun je hier écht niets mee, arbeidsrechtelijk gezien.

Het is op zich niet verboden om zulke mails door te sturen, omdat het interne berichten binnen een organisatie zijn. Ik zie daar niets principieels verkeerds aan, nog even los van briefgeheim dat niet geldt op e-mail. En ja, je hebt privacy op je werk maar wel binnen grenzen: stel je had dit gezégd tegen je collega’s en de de manager had het toevallig gehoord, dan zouden we dat ook geen privacykwestie vinden. Als de informatie ter kennis komt van de manager, dan mag hij daar wat mee. Ik zie niets illegaals aan dat doorsturen binnen de organisatie. Maar sjonge.

Arnoud

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Privacy, Security | 38 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar macht lag. Kan dat zomaar?

In het recht kan er veel, maar zelden zomaar. En ik moet zeggen dat ik deze lastiger vind dan hij op het eerste gezicht lijkt.

Een bedrijf is verplicht persoonsgegevens adequaat te beveiligen tegen misbruik en ongeautoriseerde toegang. Wat adequaat is, staat niet in de wet. Je moet dus zelf een afweging maken: welke risico’s zijn er, welke opties zijn er om daartegen te beveiligen en wegen de kosten en moeite daarvan op tegen die risico’s.

E-mail is nou niet bepaald een veilig medium. Berichten gaan onversleuteld over de lijn, en kunnen eenvoudig worden gelezen door allerlei partijen tijdens het transport. Of, wat veel vaker gebeurt: ze gaan naar de verkeerde persoon. Dus e-mail zou snel afvallen in de categorie “hoe transporteren we veilig deze persoonsgegevens naar de klant”.

Daar staat tegenover dat we het hier niet hebben over medische dossiers of gevoelige persoonlijke details. Een naam en adres plus klantnummer kan ik op geen enkele manier een gevoelig gegeven vinden. Ik zie dan ook weinig bezwaar tegen die gegevens per mail sturen bij zaken als de meterstanden opnemen of een zakelijk berichtje naar die klant. (Natuurlijk wel met de vraag, móet dat in die mail, ik weet al waar ik woon immers.)

Wat vinden jullie? Is e-mail principieel onveilig, of moet dit kunnen voor basale persoonsgegevens?

Arnoud

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

| AE 8139 | Privacy, Security | 9 reacties

Een lezer vroeg me: Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan? Er is geen wettelijke regel die… Lees verder

Engelse MP wil verbod op e-maildisclaimers, maar hoe dan?

| AE 7303 | Iusmentis, Privacy | 17 reacties

De Engelse parlementariër Alan Duncan wil een verbod op de “meaningless missives” die iedereen klakkeloos onder zijn e-mails hangt, zo las ik bij de BBC. Heerlijke speech ook. Een verbod op e-maildisclaimers, hoe w00t is dat. Alleen: is het haalbaar, en hoe ga je dat in vredesnaam opschrijven? E-maildisclaimers zijn velen al jaren een doorn… Lees verder

Hoe bewijs je nu dat een e-mail is aangekomen?

| AE 6804 | Privacy | 30 reacties

Bewijzen dat een e-mail is aangekomen, ga er maar aan staan. Het valt niet mee met voldoende zekerheid aan te tonen dat iemands mailserver een bericht heeft ontvangen, tenzij men natuurlijk een reactiemailtje heeft gestuurd. Maar in een recente rechtszaak was dit bewijs best belangrijk: per e-mail waren instructies gestuurd over het doorzetten van een… Lees verder

Elektronische communicatie gaat onder het briefgeheim vallen

| AE 6795 | Privacy | 25 reacties

Elektronische communicatie als e-mail wordt opgenomen in het brief-, telefoon- en telegraafgeheim uit de Grondwet, meldde Nu.nl vorige week. De geplande Grondwetswijziging zal een generiek ‘brief- en telecommunicatiegeheim’ vermelden, zodat alle vormen van privé telecommunicatie, dus ook berichten via bv. Facebook, in principe vertrouwelijk zijn. Hiermee komt eindelijk een eind aan de onzekere status van… Lees verder

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

| AE 6712 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me: Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken? Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te… Lees verder