Heb ik recht op een kopie van mijn oude werkmailbox?

| AE 11797 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me:

Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de AVG bewerkstelligen?

Volgens de AVG heb je recht op een kopie van je persoonsgegevens (artikel 15). Als je die zelf hebt geupload op basis van toestemming of overeenkomst, dan kun je die kopie zelfs in een machine-leesbaar formaat verlangen (artikel 20). Dat laatste zal hier niet spelen, een mailbox voldoet niet aan die criteria. Maar een printout van de mails zou in principe tot de mogelijkheden behoren. Als ze er nog zijn.

De eerste vraag is dus altijd of je ex-werkgever die bestanden nog heeft. Er is geen bewaarplicht voor dergelijke mailberichten (of mailboxen), dus het staat ze vrij die weg te gooien na einde dienstverband. Wat er niet is, kun je ook niet opvragen en je kunt op dat gemis geen schadeclaim baseren.

Zijn ze er wel, dan heb je dus in beginsel recht op een kopie. Een mail van of aan jou bevat immers jouw persoonsgegevens, al is het maar je naam of e-mailadres. Maar ook zaken als wat er aan je werd gevraagd of wat je antwoord was, zijn te zien als persoonsgegevens. Dat begrip is immers veel breder dan enkel de administratrivia over jou.

Ik zeg “in beginsel”, want lid 4 van artikel 15 zegt enigszins cryptisch:

3. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

De strekking van dit lid 4 is dat jouw inzageverzoek geen rechten van anderen mag schenden, zoals hun privacy (denk aan de collega met wie je mailt) of intellectuele rechten zoals bedrijfsgeheimen of auteursrechten. Echter, dat betekent niet dat men eenvoudigweg “ja ho privacy van collega’s” of “oh noes bedrijfsgeheim” mag zeggen en dan inzage weigeren. Overweging 63 bij de AVG eist dat er een belangenafweging plaatsvindt met een poging ergens een middenweg te vinden.

Wat die middenweg moet zijn bij je zakelijke mailbox, dat weet ik zo net nog niet. Het praktische probleem dat ik zie, is vooral dat die mailbox zelden zo gestructureerd is dat je de persoonlijke mails eruit kunt lichten. De hele pst mailbox afgeven voelt als te veel voor het verzoek, en eisen dat de werkgever maar even door de mailbox heengaat om de relevante dingen te vinden, is ook weer disproportioneel. Maar “dat is heel veel werk” is dan weer geen argument onder de AVG (artikel 12 lid 5). Alleen als het echt buitensporig veel werk is, mag je weigeren.

Ik denk dat voor mij de hoofdvraag zou zijn om wat voor mails het dan precies gaat. Als je bedoelt “alle mails die vanaf mijn voornaam punt achternaam at bedrijfsnaam punt extensie zijn verzonden en ontvangen”, dan zou ik daar toch die bedrijfsgeheim-uitzondering tegenaan gooien. Dergelijke mails zijn primair zakelijk en dus bedrijfsvertrouwelijk. De meer persoonsgebonden mails (zeg, je correspondentie met de bedrijfsvertrouwenspersoon, de kattenbelletjes met je partner, de naar kantoor gemailde vakantiefoto’s om in kleur te printen) kan ik moeilijk als zakelijk vertrouwelijk zien, maar die uit een grote mailbox vissen zonder verder enige structuur zou ik wel buitensporig vinden.

Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

Arnoud

Mag mijn werkgever uit mijn naam mails versturen voor het werk?

| AE 11354 | Security | 18 reacties

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag over een werkgever die in mailboxen van personeel zit en van daaruit ook in hun naam mail verstuurt. Mag dat zomaar?

Er is natuurlijk geen wet die letterlijk dit verbiedt. Dit is iets waar je vanuit de norm van goed werkgeverschap samen uit moet komen, en helaas is dat bij dit soort types vaak wat lastiger dan zou moeten.

Hoofdregel is dat de werkgever bepaalt hoe het werk wordt uitgevoerd. Hij moet daarbij rekening houden met de privacy van de werknemer, maar als hij alle uitgaande berichten wil screenen of zelfs wil dicteren wat er in je brieven moet staan, dan is dat binnen de redelijkheid gewoon zijn recht. Ook als jouw naam er onder staat.

Ongevraagd en zonder inspraak mails versturen uit naam van de werknemer vind ik een ander verhaal. De werknemer moet wel ongeveer weten wat er namens hem of haar wordt gezegd. Ik denk dus niet dat dat kan, tenzij er expliciet bij staat “verzonden door X uit naam van Y” of iets dergelijks.

Toegang tot de mailbox kan nodig zijn om die mails van klanten op te vangen, of om in oude mails te zoeken wat er in het verleden is gezegd. (Natuurlijk, dat kan ook in een centraal CRM-systeem of ticketsysteem zitten maar niet elk bedrijf heeft dat.) Daar moeten dan regels over worden gemaakt in het ICT-reglement, zodat de werknemer weet hoe en wanneer de werkgever toegang mag krijgen tot de mailbox. En die regels mogen niet zijn “de baas mag op ieder moment alles”, er moet wel enige nuance in zitten.

Arnoud

Hoe ver gaat mijn zorgplicht als dienstverlener onder de AVG dan eigenlijk?

| AE 10937 | Ondernemingsvrijheid, Privacy | Er zijn nog geen reacties

Een lezer vroeg me:

Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen zorgen dit is legaal” van de klant is ook weer te weinig, lees ik.

De AVG legt dienstverleners inderdaad een zorgplicht op. Wie als verwerker persoonsgegevens voor zijn klanten beheert, moet daarbij aan de bel trekken als hij een evident niet-toegelaten instructie krijgt van een klant. Dit is in aanvulling op je gewone zorgplicht als dienstverlener om als een “goed dienstverlener” om te gaan met klantgegevens en uitvoering van de opdracht.

Dit gaat niet zo ver dat je iedere theoretische overtreding moet weigeren totdat een volledige privacy impact assessment is uitgevoerd door een onafhankelijke audit-team, maar je zult wel echt meer moeten doen dan uitsluitend afgaan op “onze afdeling Legal zegt dat het mag” in een mailtje van de klant.

Mijn advies is om bij de veel voorkomende situaties een werkproces te definiëren en dat deel van je Service Level Agreement te maken. Al is het maar “Klant dient een reglement omtrent toegang tot personeelsmailboxen te hebben en toegangsverzoeken te motiveren onder verwijzing naar de toepasselijke paragraaf”. Dan krijg je dus twee regels “overnemen mailbox wegens ziekte, artikel 13.5, informeren wn onmogelijk om medische redenen” en dat staat inderdaad in artikel 13.5 als grondslag. En dan is er geen sprake van evidente schending van de AVG.

Natuurlijk kan het zijn dat de werkelijke reden is dat er wordt gesnuffeld in de mailbox om iemand weg te pesten, of dat de werknemer helemaal niet medisch gezien onbereikbaar is. Of dat dit reglement nooit is getoond aan deze werknemer. Maar dergelijke opties zijn te ver weg voor jou als dienstverlener om te testen. Dus met zo’n duidelijke motivatie is het genoeg voor de dienstverlener.

Maak je je desondanks zorgen over misbruik, dan kun je ook gaan nadenken over concreet iets inbouwen in je systeem. Denk aan een alert dat de werknemer bij inlog een melding geeft wie er toegang heeft gehad. Voor de werknemer zou dit geen verrassing moeten zijn, want de werkgever moet hem vertellen dat hij in zijn mailbox is geweest. Is het wel een verrassing, dan kunnen ze dat nu samen op gaan lossen. Ik zou dit wel als feature documenteren zodat het de werkgever niet verrast en hij wanprestatie gaat claimen.

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Ondernemingsvrijheid, Security | 24 reacties

Een lezer vroeg me: Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons… Lees verder

Mag een website in mijn inbox kijken?

| AE 7617 | Privacy | 7 reacties

Een lezer wees me op de voorwaarden van datingsite Vriendengezocht: Wij behouden het recht om steekproefsgewijs mee te kijken in de inbox om onze site gebruiksvriendelijk en veilig te houden. Wij verplichten onszelf de privacy van de gebruiker te waarborgen tijdens de steekproef. Mag dat zomaar? Nou, het mag misschien maar het is zeker niet… Lees verder

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

| AE 6712 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me: Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken? Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te… Lees verder

Mogen Google en Microsoft bij hen gehoste mailboxen doorzoeken?

| AE 6519 | Privacy, Security | 18 reacties

Een lezer vroeg me: Enige dagen geleden bleek Microsoft de hotmailaccount van een medewerker te hebben doorzocht omdat vermoed werd dat deze persoon betrokken was bij het lekken van bedrijfsgeheimen. Microsoft verdedigt zich met het argument dat zij deze mail van betrokken persoon wel mocht doorzoeken, omdat er geen gerechtelijke bevel voor nodig was. Apple… Lees verder

Mijn ex-ex-werkgever blijft mijn e-mailadres gebruiken

| AE 6286 | Ondernemingsvrijheid, Security | 29 reacties

Een lezer vroeg me: Een tijdje geleden ben ik van baan veranderd. Omdat mijn vervanger op het moment van mijn vertrek nog geen email/werkaccount had, heb ik mijn accountgegevens achtergelaten, zodat mijn email gelezen kon worden en mijn bestanden ingezien. Nu zijn we bijna 10 weken verder en mijn account wordt nog steeds actief gebruikt… Lees verder