Mag een mail gateway iemands mail weggooien zonder dit te melden?

| AE 10436 | Privacy | 10 reacties

Een lezer vroeg me:

Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?

Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel mag, juridisch gezien.

In beginsel zijn bedrijven onderling vrij om hun dienstverlening in te richten zoals hen goeddunkt. Het filteren of controleren van e-mail is voor de wet gewoon een dienst als alle andere, en als de klant het goed vindt dat de dienstverlener verdachte zaken direct weggooit zonder te melden, dan is dat een zakelijke keuze.

Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen. Dat is hinderlijk en kan de relatie schaden tussen hem en het bedrijf dat de gatewaydienstverlener ingeschakeld heeft. Maar volgens mij is het niet verboden.

In theorie zou je nog op de AVG kunnen wijzen: de mail gateway verwerkt immers persoonsgegevens door de mail te scannen en door te sturen dan wel weg te gooien. Daarmee geldt er een informatieplicht voor het bedrijf dat de gateway inzet, en de afzender heeft dan een basis voor een claim dat zijn persoonsgegevens ongewenst zijn verwerkt.

Ik denk dat dat in de praktijk niet gaat vliegen. Het scannen van mail en het weggooien van verdachte mail is een relatief bekende praktijk. Daarnaast kan het (zo weet iedereen) altijd gebeuren dat mails spontaan kwijtraken. Je moet er dus sowieso altijd rekening mee houden dat een mail niet aankomt of niet gelezen wordt. Eisen dat de ontvanger je informeert over een blokkade, kan ik dus ook onder de AVG niet hard krijgen.

Arnoud

Wat moet ik doen met mail naar een gekocht domein?

| AE 9232 | Intellectuele rechten, Privacy | 7 reacties

Een lezer vroeg me:

nlangs heb ik een domeinnaam overgenomen van een bedrijf. Kennelijk heeft de verkopende partij de domeinnaam overgedragen terwijl deze nog actief gebruikt werd voor e-mailaccounts. Op basis van een catch all komt er allerlei mail binnen. Moet ik deze doorsturen, bewaren of terugzenden (bouncen)? Wat zijn mijn wettelijke plichten in deze?

Het verstandigste (maar dat is nu wat laat) is om in het domeinverkoopcontract een afspraak te maken over mail en dergelijke. Je kunt bijvoorbeeld vastleggen dat berichten nog een maand worden doorgestuurd, of juist dat ze moeten worden teruggestuurd met een expliciete foutmelding.

De wet zegt niets over wat je moet doen hier. De enige redding die we hebben, is de heel algemene regel van redelijkheid en billijkheid: een overeenkomst wordt aangevuld door wat uit die redelijkheid vloeit (plus wat de gewoonte is in de branche).

Een gewoonterecht bestaat hier niet volgens mij, iedereen doet maar wat. Maar wat is redelijk?

Mijn eerste gedachte is: terugsturen al die mails (bouncen), zodat de afzenders merken dat dit adres niet meer werkt. Dat is relatief eenvoudig in te stellen in de mailserver, en voorkomt dat je gedoe krijgt over dat je mail zou lezen of dat een door jou doorgestuurde mail niet aankomt waarna jij daarop aangekeken wordt. Want dat risico krijg je, als jij onverplicht iets doorstuurt dan neem je er een stukje verantwoordelijkheid voor.

Wat zouden jullie doen?

Arnoud

In ons bedrijfshandboek staat dat e-mail als bedrijfspost geldt!

| AE 9196 | Ondernemingsvrijheid, Privacy | 24 reacties

Een lezer vroeg me:

In het bedrijfshandboek van mijn kantoor staat dat e-mail dient te worden beschouwd als het elektronisch equivalent van zakelijke post, en dat de directie derhalve zich het recht voorbehoudt e-mail te lezen als zij daar aanleiding toe ziet. Oftewel, ze mogen je mail lezen als ze willen. Kan dat zomaar?

Dat bedrijfshandboek gaat wat kort door de bocht. E-mail is wezenlijk anders dan gewone post. Waar je bij post nog kunt zeggen, dat zal 99% zeker weten zakelijk zijn, is dat bij e-mail echt heel anders. Mensen zien dat als persoonlijker, informeler en daarmee moet je dan rekening houden als werkgever.

Verder is het zo dat een werknemer ook op het werk gewoon recht heeft op (enige) privacy. Niet zo veel als thuis, maar ook niet nul. Daarom mag je als werkgever niet zomaar in de e-mail kijken.

Het eerste dat je nodig hebt om werknemersmails te lezen is een reglement dat uitlegt wanneer en waarom dat gebeurt. “Altijd en als wij zin hebben” is daarbij niet genoeg, dat houdt namelijk geen rekening met de privacy van de werknemers. Geef maar criteria: collega’s als die waarnemen bij ziekte, de ICT-er bij technische problemen of virussen, de directie bij wanfunctioneren of vermoeden van diefstal, et cetera.

Daarnaast moet de reden wel sterk genoeg zijn om het lezen te kunnen rechtvaardigen. De voorbeelden uit de vorige alinea zijn vrij standaard, maar ik zie ook wel bedrijven die zeggen “als je output op een dag onder de X zakt” of “als je meer dan X mails naar externe partijen stuurt”. Dat gaat een beetje ver natuurlijk.

Je mag ook niet méér lezen dan nodig is voor het doel. Die ICT-er mag bijvoorbeeld een virusscanner loslaten op je mailbox en de mails bekijken waar deze op afgaat, maar niet handmatig alles lezen of je wellicht rare dingen binnenkrijgt. Een twijfelaar is voor mij alle berichten met bijlage openen om te zien of de extensie iets van .jpg.exe is.

Een handboek gaat hier niets aan veranderen. Privacy is een grondrecht, en daar doorheen gaan vereist sterke rechtvaardigingen. Die kun je niet op voorhand met standaardzinnen claimen. Het handboek is wel nódig, want zonder uitgewerkte regeling mag er niets. Maar de regeling moet binnen de wet passen.

Ik blijf het vragen: wat is dat toch met e-mail en ICT, dat mensen meteen “ik kan alles, dus ik mag alles” denken?

Arnoud

Mogen persoonsgegevens per mail worden verstuurd?

| AE 7195 | Privacy, Security | 11 reacties

Een lezer vroeg me: Is het toegestaan om persoonsgegevens zoals namen en adressen, maar ook bv. een kopie van je paspoort met BSN en foto, per mail te versturen? Dat is toch veel te onveilig! De wet bescherming persoonsgegevens bepaalt dat wie persoonsgegevens verwerkt, een adequate beveiliging moet toepassen. En verwerken omvat zo ongeveer alles:… Lees verder

Mag een maildienst met encryptie onkraakbaar zijn?

| AE 7155 | Privacy, Security | 24 reacties

Met de dienst Startmail kunnen mensen versleuteld met elkaar mailen, ook als ze geen eigen encryptiesoftware (PGP) hebben. Dat las ik bij Tweakers. Heel mooi, maar PGP is erg sterke encryptie dus ga je je afvragen, hoe zit dat met opsporingsdiensten? Wanneer mag Justitie bij versleutelde mail opgeslagen bij een provider? Op grond van artikel… Lees verder

Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

| AE 6519 | Privacy, Security | 18 reacties

Een lezer vroeg me: Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple… Lees verder

Mogen Facebook, LinkedIn en consorten mij uitnodigen via mijn vrienden?

| AE 3056 | Intellectuele rechten, Uitingsvrijheid | 8 reacties

Volgens het mailtje dat ik vanochtend kreeg, zitten er 93 mensen met smart te wachten op mijn terugkeer op LinkedIn. Hoe veel er op Plaxo zitten weet ik niet, maar ik word er regelmatig aan herinnerd dat dat nog bestaat. En op Facebook is het ook heel gezellig maar zou het toch leuker zijn met… Lees verder