Mag een bedrijf telefonisch informatie verstrekken aan iemand anders dan de contracthouder?

| AE 9357 | Beveiliging | 8 reacties

Een lezer vroeg me:

Steeds vaker merk ik dat wanneer ik voor mijn partner of ouders een helpdesk bel, ze meteen afhaken wanneer ik zeg dat ik niet zelf de contracthouder ben. Dit “vanwege de privacy” en “omdat ze niet kunnen verifiëren dat ik gemachtigd ben”. Maar is die privacywet echt zo streng? En hoe zou het dan wel moeten?

Vroeger, toen bits nog van hout waren, kon je inderdaad een stuk makkelijker namens anderen bellen of informatie inwinnen. Maar het vertrouwen dat daaronder lag, is ondertussen wel stevig aangetast. En terecht, social engineering is wel érg makkelijk als iemand bij mijn gegevens kan door te zeggen dat hij mijn echtgenoot is.

Het is wat verwarrend als bedrijven dan “vanwege de privacy” zeggen, want dit is niet specifiek een privacy-issue. Het is meer een veiligheidsissue of een bevoegdheids-issue, als je het juridisch bekijkt. Maar wellicht dat dat lastiger aan de telefoon uit te leggen is.

Als je gemachtigd bent, dan zou “vanwege de privacy” of security geen issue moeten zijn. Die persoon mág dan namens die ander de conversatie voeren. Alleen, hoe toon je dat aan als gemachtigde? Machtigen kan ook mondeling (of per mail), dus het is denkbaar dat iemand belt die geen stuk papier kan laten zien.

Het lijkt me in beginsel redelijk dat je als bedrijf zegt, telefonisch willen we geen gemachtigden spreken want dat is niet te verifiëren. Maar in veel gevallen zou ik dat wel wat streng vinden. Denk aan afspraken maken of dingen aanvragen die vervolgens worden opgestuurd.

Arnoud

Mag de helpdesk me complimenteren met mijn sportprestaties?

| AE 8611 | E-mail, Privacy | 28 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Laatst had ik op mijn werk een probleem met de mail. De helpdesk gebeld, en het lag aan een mail met gigantische bijlage van een collega. Tijdens het uitzoeken zei de helpdeskmedewerker echter spontaan: “Goh wat leuk, heb je ook de halve marathon in Hengelo gedaan, ik ook!”. Dit haalde hij uit de subject van een andere mail in die map. Mogen ze dat?

Heel strikt gesproken mag dat niet, maar als we dát gaan handhaven dan wordt de Wbp net zo populair als de Auteurswet.

Een mailbox bevat persoonsgegevens, en het bedrijf moet zorgen voor een zorgvuldige omgang daarmee. Deel daarvan is dat er geen persoonsgegevens worden verwerkt die niet noodzakelijk zijn voor het doel van waar je mee bezig bent. Gaat een mailbox stuk, dan is het logisch dat je in het mailoverzicht kijkt naar bijvoorbeeld grote bijlagen, gecorrumpeerde headerregels of virusbijlagen. Mails lezen hoort daar bijvoorbeeld dus eigenlijk al niet bij, inhoud raadpleeg je pas als de metadata niet helpt.

Hier zat de privéinformatie in de header. Op zich dus iets dat je gewoon tegen kunt komen als medewerker. Eigenlijk mag je dat niet verwerken want het is privé. Maar de verwerking is onvermijdelijk gezien waar het staat en het doel van waar hij mee bezig is. Dus dan mag het. Maar de verwerking moet dan beperkt blijven tot “oké, niet relevant bericht” en drukken op de Next-knop. De informatie hoort dan eigenlijk het andere oog weer uit te gaan.

Het lijkt me vooral een stukje professionaliteit. Als helpdeskmedewerker moet je weten dat je bij het openen van mail privédingen kunt zien. En even los van de discussie of dat mag, privédingen in werkmail, dan wel of het handig is: daar blijf je dan gewoon vanaf tenzij het probleem ermee te maken lijkt te hebben. Net zo goed als de automonteur bij de zakelijke leaseauto niet in het handschoenenkastje kijkt tenzij hij daar moet zijn voor bepaalde kabeltjes of zo. Dat doe je gewoon niet.

Alleen: als je iemand treft die dat wél normaal vindt (“gewoon een praatje met de klant, je ziet toch soms ook een foto op het bureau of een poster aan de muur” of het nog dodelijker “ah joh doe niet zo ongezellig”), hoe reageer je dán?

Arnoud

Onjuiste informatie van de helpdesk is een oneerlijke handelspraktijk

| AE 7628 | Contracten | 20 reacties

headset-koptelefoon-helpdesk-telefoonHet verstrekken van onjuiste informatie aan een consument is een oneerlijke handelspraktijk, ook als het gaat om één mededeling aan één persoon in een helpdeskgesprek. Dat bepaalde het Hof van Justitie onlangs (zaak C-388/13) in een zaak tussen een consument en een kabelbedrijf. Hiermee wordt het eenvoudiger voor consumenten om hun schade door zulke informatie te verhalen op het bedrijf.

Sinds een tijdje hebben we meer regels in de wet die bepalen wanneer een “handelspraktijk” oneerlijk is en dus niet toegestaan. Dit gaat verder dan bijvoorbeeld oplichting of bedreiging: kort gezegd moet je als handelaar handelen zoals een fatsoenlijk handelaar zou doen. Doe je dat niet, dan kan de consument je op de schade aanspreken en soms zelfs de overeenkomst annuleren.

In deze zaak had een consument bij kabelbedrijf UPC een opzegging aangevraagd. Hij wilde weten per wanneer dat kon, en kreeg te horen dat hij per 10 februari kon opzeggen. Dat bleek 10 januari te moeten zijn geweest, een slordig typefoutje dat meneer echter wel 5243 Hongaarse forint moest kosten. € 17,60 maar het gaat om het principe, want hij had al een ander abonnement elders afgesloten.

Bij de rechter verweerde UPC zich onder meer met het argument dat de wet over handelspraktijk niet geldt bij één-op-één communicatie, maar alleen voor openbare mededelingen. Zeg maar oneerlijke reclame, algemene aanprijzingen, informatie in folders, zulke dingen.

Gezien het doel van de wet – consumentenbescherming – is het Hof van Justitie daar snel klaar mee:

37 Gelet op het voorgaande moet de verstrekking van informatie die, zoals in het hoofdgeding, geschiedt door de klantenservice van een onderneming met betrekking tot een kabeltelevisieabonnement van een particulier worden geacht te vallen onder het begrip „handelspraktijk” in de zin van de richtlijn oneerlijke handelspraktijken.

(Ik zou zelf nog sneller klaar zijn: “Welles.” Maar ik ben dan ook geen Europees Hof.)

Het doet er ook niet toe dat de consument deze informatie uit andere bronnen had kunnen verkrijgen, zoals door zijn contract door te spitten of via Mijn UPC te zien wat de status was. Als je de helpdesk belt, dan moet die correcte informatie geven.

Vervolgens is natuurlijk de vraag: wat voor gevolg heeft dit? Dat staat niet in de Europese richtlijn. Daar hebben ze alleen gezegd dat die ‘verboden’ zijn, en dat elk land zelf moet bepalen welke gevolgen ze eraan willen koppelen.

Volgens Nederlands recht is het onrechtmatig om een oneerlijke handelspraktijk te plegen (art. 6:193b BW), dus je kunt je schade verhalen op de leverancier. En als de oneerlijke handelspraktijk de reden was waarom je de overeenkomst sloot, dan is de overeenkomst vernietigbaar (art. 6:193j BW). Dat laatste is hier niet aan de orde, want de overeenkomst liep al langer en het was alleen de opzegging die nu vertraagd werd.

Arnoud

Moet je je wachtwoord afgeven als de IT-afdeling dat wil?

| AE 7530 | Beveiliging | 41 reacties

Een lezer wees me op deze Tweakersdiscussie over het moeten afgeven van wachtwoorden aan de IT-afdeling: Mijn vriendin (werkzaam als arts) kreeg onlangs te horen dat zij, omdat ze op veel verschillende locaties werkzaam is, een mobiele telefoon zou krijgen. Ze kon contact opnemen met de IT-afdeling om een afspraak te maken om de telefoon… Lees verder