Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Ondernemingsvrijheid, Security | 24 reacties

Een lezer vroeg me:

Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons toegang zou geven tot haar mailbox.

Ook op het werk heb je recht op privacy – en ja, zelfs als je met vakantie bent. Collega’s mogen dan ook niet ineens in je bureaulades kijken of de achtergelaten broodtrommel eens inspecteren.

Niet ineens – er moet een goede werkgerelateerde reden voor zijn die deze privacyinbreuk kan rechtvaardigen. Die broodtrommel stinkt, dat is een gevaar voor de gezondheid. Dus openmaken en leeggooien dat ding. Dat ene dossier dat nú nodig is, dat mag je zoeken in die bureaulade maar die portemonnee die daar ligt, daar blijf je natuurlijk af. (Om een of andere reden vindt iedereen dit heel logisch, maar wordt het meteen heel ingewikkeld bij ICT-equivalenten.)

Bij het doorzoeken van mailboxen moet er dus ook een goede reden zijn. Het werk moet worden overgenomen, er is een specifieke mail nodig om afspraken na te kijken of een ruzie te voorkomen. Dan is het in principe oké om in die mailbox te kijken. Je moet dan rekening houden met de privacy van de werknemer, bijvoorbeeld door het doorzoeken op basis van trefwoorden (zoals afzender) te doen. Dan verklein je de kans dat je per abuis privézaken ziet.

Bij het aanzetten van een out-of-officebericht zie ik eerlijk gezegd die privacyzorg eigenlijk niet. Ja, je krijgt met het wachtwoord toegang tot de mailbox, maar je gáát er niet in. Je opent de mailbox, negeert de map Inbox die dan getoond wordt en zet in Instellingen een en ander aan. Daarna de browser sluiten.

Als je je écht zorgen maakt, dan moet je een vierogenprincipe toepassen: een IT-er en een manager (of iemand van HR) gaan samen die mailbox in en navigeren naar dat menu om het bericht aan te zetten. Voor het nazoeken van werkmails zou ik dat een redelijke stap vinden, maar voor een out of office lijkt mij dat nogal overdreven.

Natuurlijk moet de werknemer na haar vakantie tekst en uitleg krijgen van deze actie, maar dat terzijde.

Arnoud

Mag de werkgever met opt-out werken bij uitdiensttreding?

| AE 7736 | Ondernemingsvrijheid, Privacy | 10 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Bij ons bedrijf krijg je in je laatste week een bericht dat een collega toegang krijgt tot je mailbox, en je kunt dan bezwaar maken als je het daar niet mee eens bent. Is dat wel rechtsgeldig? Bij privacydingen geldt toch een opt-in en niet een opt-out?

Er is geen algemene regel die zegt dat je bij alles omtrent privacy toestemming nodig hebt van de betrokken persoon. Dat zou immers onwerkbaar zijn als iemand overal nee op blijft zeggen, hoe onredelijk die nee ook zou zijn.

Opt-in is de hoofdregel, maar er zijn uitzonderingen mogelijk. Een uitzondering is het mogen verwerken van iemands persoonsgegevens omdat dat nodig is voor het uitvoeren van een contract. Een arbeidscontract is ook een contract, en een werkgever kan zich dus hierop beroepen mits hij kan aantonen dát het nodig is.

Ook is er een uitzondering ten behoeve van een dringend belang van de andere partij. Wie niet anders kan, hoeft geen toestemming te vragen. Natuurlijk ligt de bewijslast hierbij wel hoog, maar het kan. Denk aan het schrijven van een onthullend artikel over iemand: een privacyschending maar als de onthulling belangrijk is, dan toch gerechtvaardigd.

Bij deze vraag komt het eigenlijk altijd op hetzelfde neer: is het echt nodig dat die collega in de mailbox gaat kijken na uitdiensttreding, of is er een andere oplossing mogelijk? Alternatieven kunnen zijn dat je je mailbox zelf opschoont (maar doen mensen dat echt?), dat de collega alleen in de inbox kan en niet in mapjes, of dat er niet één maar twee mensen tegelijk kijken om onnodig snuffelen te voorkomen. Niet ideaal, maar werkbaar.

Arnoud

Mag een website in mijn inbox kijken?

| AE 7617 | Privacy | 7 reacties

Een lezer wees me op de voorwaarden van datingsite Vriendengezocht: Wij behouden het recht om steekproefsgewijs mee te kijken in de inbox om onze site gebruiksvriendelijk en veilig te houden. Wij verplichten onszelf de privacy van de gebruiker te waarborgen tijdens de steekproef. Mag dat zomaar? Nou, het mag misschien maar het is zeker niet… Lees verder

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

| AE 6712 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me: Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken? Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te… Lees verder

Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

| AE 6519 | Privacy, Security | 18 reacties

Een lezer vroeg me: Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple… Lees verder

Mijn ex-ex-werkgever blijft mijn e-mailadres gebruiken

| AE 6286 | Ondernemingsvrijheid, Security | 29 reacties

Een lezer vroeg me: Een tijdje geleden ben ik van baan veranderd. Omdat mijn vervanger op het moment van mijn vertrek nog geen email/werkaccount had, heb ik mijn accountgegevens achtergelaten, zodat mijn email gelezen kon worden en mijn bestanden ingezien. Nu zijn we bijna 10 weken verder en mijn account wordt nog steeds actief gebruikt… Lees verder