Het komt regelmatig voor dat managers naar de ict-afdeling komen met de vraag om toegang te krijgen tot de email account van een collega. Maar wat moet je als ict'er met zo’n vraag?
Hoever mag je gaan met je dienstverlening? Ik ken ict’ers die geen enkel probleem hebben met zo’n vraag en als een manager maar hoog genoeg is, geven ze die toestemming direct en sturen ze per omgaande de inloggegevens. Maar is dat wel verstandig en mag je dit als ict’er zomaar doen of hebben jullie daar regels voor? Misschien dat de spontane toegang die jij verstrekt je in de problemen kan brengen.
Wat zijn de dillema’s als je iemand inzage geeft tot een zakelijke email account van een ander? Die vraag riep meer vragen op dan dat ik antwoorden had. Ik zal je deelgenoot maken van de vragen die er bij mij op kwamen. In mijn achterhoofd speelden de dapperheid van Snowden en het gestuntel van Plasterk om de hoogste plaats.
– Is er misschien iemand die deze toegang moet goedkeuren? Is dat de cio of de cfo, de ceo of misschien wel de RvC, of nog een andere C-level persoon?
– Moet ik vragen welke reden die persoon heeft, het zal best wel vertrouwelijk zijn, niet waar?
– Is er een formulier of een workflow voor?
– Heeft het te maken met de klokkenluidersregeling van de governance code of heb ik de klok horen luiden en …?
– Heb ik wat te maken met de aard of de reden? Moet het gaan over fraude, misbruik van gegevens of persoonlijke aanvallen, pesterijen, of lastigvallen van collega’s?
– Is er een wettelijk kader waar ik rekening mee moet houden, zoals bijvoorbeeld privacy wetgeving of briefgeheim? Overtreed ik die als ik toegang geef?
– Heeft mijn bedrijf een policy of protocol voor het gebruik van zakelijke email en internet?
– Voorziet dat protocol in handelingen die verricht mogen/moeten worden bij het controleren van een e-mail-account bij verdenkingen van fraude?
– Mag ik ook het privé e-mail-verkeer inzien van een werknemer?
– Kan ik hier het antwoord op mijn vragen krijgen?
Wat zijn jullie ervaringen? Hebben jullie hier al mee te maken gehad? Is er daadwerkelijk bij jullie sprake van een protocol en komen daar dan antwoorden op bovenstaande vragen naar voren? Of zijn er zelfs antwoorden op vragen die ik nog niet heb kunnen verzinnen?
Conclusie
Er zal veel geregeld zijn en ik geloof direct dat controles mogen, maar hoe is het geregeld in de wetgeving, jurisprudentie of is jullie oplossing gewoon praktisch gericht. Een mooie gelegenheid om je ervaringen te delen en anderen die in de toekomst met deze vragen zitten verder te helpen met een antwoord. Misschien komt er wel een voorbeeld protocol naar voren, uiteraard volledig anoniem…Of hebben jullie hier nog niet over nagedacht in jullie organisatie, of hebben jullie er nog nooit mee te maken gehad?
André,
het zwaartepunt van je vraag ligt bij de wet en de juridische aspecten, Arnoud Engelfriet kun je de vraag stellen en naast een goed antwoord schrijft hij er mogelijk ook een blog over : http://blog.iusmentis.com/contact/
Een zelfde situatie speelt als een medewerker uit dienst gaat.
Werknemers moeten beseffen dat een email account via de werkgever altijd ingezien kan worden door de werkgever. Vaak is dit besef er (totaal) niet.
Ik hanteer een aantal regels als het om dit soort verzoeken gaat:
– Niemand hoort wachtwoorden van andere gebruikers te weten. Geen uitzonderingen. Als er toch inzage moet zijn wordt het wachtwoord gereset en krijgt de gebruiker dit dus te weten.
– Als het om een uitdienst gaat, dan is er als het goed is al een centraal punt wat de ownership van de mailbox overneemt, aan deze afdeling delegeer ik het verdere recht op de mailbox.
– Als het gaat om verdenking op criminele of fraude zaken, dan verwijs ik door naar de juridische afdeling. Die kunnen uiteindelijk een request inschieten. En als het verzoek van buitenaf komt zie ik graag een rechtelijk bevel hiervoor terug.
– Als het gaat om een collega op vakantie, dan moet deze gewoon benaderd worden voor een eventuele account wachtwoord reset of moet deze collega de gevraagde data maar ophalen en doorsturen.
– Voor alle andere zaken; welcome to de kingdom of No. Verzoeken die twijfelachtig zijn zal ik overigens ook doorgeven aan juridische zaken of HR.
Dit valt onder de Wet Bescherming Persoonsgegevens. Daaruit volgt dat je een privacy regeling/protocol moet hebben, en als het goed is leg je daar in vast wat de te volgen werkwijze is bij het beschikbaar stellen an infomatie van/over een persoon aan derden.
Wordt er bij de vraag om inzage in andermans gegevens (zoals e-mail) niet aan het protocol voldaan, dan zal ieder antwoord ‘Nee’ moeten luiden.
Zakelijke email moet altijd aan de funktie/positie hangen en duidelijk gescheiden worden van prive-email.
Het is zaak als ICTer gebruikers duidelijk te maken dat op zakelijke email geen privacy-regelementen van toepassing zijn. Vragen om toegang moeten altijd afgewogen worden naar de lijn-organisatie. Bij herhaalde vragen moet HR ingeschakeld worden want dan is er iets grondig mis.
@JanvanLeeuwen: Ik zou er de jurisprudentie maar eens op na slaan. Nou en of er privacy-reglementen op van toepassing zijn. Die overigens, ook de regels en procedures bevatten over hoe om te gaan met juist die vraag om toegang tot andermans e-mail.
De populaire vergissing is dat een privacy reglement alles afsluit en tot niets toegang biedt. Maar juist een privacyreglement voorziet in de vraag ‘hoe te handelen als iemand toegang wil tot andermans e-mail’.
Naast verzoeken tot inzage van e-mail kan je ook documenten op shares of Sharepoint accounts en vele andere toepassingen opnoemen. Bij vraag van collega’s en/of managers tot inzage is begrijpelijk bij verlofperiode’s, maar minder begrijpelijk onder normale omstandigheden. Blijkbaar zijn er taken en rollen binnen de organisatie die deze info behoeft. Uitgaande van de goedheid in de mens is er blijkbaar behoefte aan informatie; maar verwart men toegang tot gegevens met werkelijke informatie. Men zal zichzelf moeten afvragen “Wie kan wat en waarom?” en bij wijze van audit: “Wie deed wat en waarom?”. Dit zijn primaire vragen in de wereld van IDM/AC (Identity Management en Access Control).
In de wereld van IDM/AC spelen Integrity en Confidentiality een basisrol. Voeg daar ‘Availability’ aan toe en zowaar heb je de 3 ISO27001 pilaren.
Bij de studie naar IDM/AC komt men er achter dat naast het benoemen van rollen het proces daaromheen per organisatie tot uitdagingen zal leiden. Uiteindelijk is het vaak HR die als enige in een organisatie het totaal overzicht heeft over de functionarissen; niet de technisch beheerder; niet de manager. Als medewerkers uit dienst gaan, of tijdelijk wat anders doen, dan is het HR die zou moeten kunnen overzien wie bij welke informatie moet kunnen en waarom. Geen systeem is sterker dan de mensen die het moeten invullen.
Mocht een heuze IDM/AC implementatie te zwaar zijn… en dat is het voor de meeste.. dan zou het goed zijn als men begint met een basis aan professioneel werken. Prive-mail op het werk kan, maar dan wel in een apparte mailbox (in te stellen in outlook. Lees/schrijf rechten in elkaars agenda is 1, maar schrijfrechten in andermans mailbox moet technisch afgedicht zijn. Tevens kan men het gebruik van groepsmailboxen herzien. Veelal zijn dit vergaarbakken, maar men kan ook rules opzetten met cc’s naar groepsmailboxen, waar dan ook de manager in gekent is. Het belangrijkste wat altijd terugkomt is:
– wees open in ‘hoe’ het geregeld is.
– wees open in ‘waarom’ er een behoefte is.
– neem als management stelling in de informatie strategie.
– communiceer een integriteits en betrouwbaarheids statement.
Inzake fraude of pesterijen gelden dezelfde regels als in email-vrije omgevingen met dezelfde integriteits en vertrouwenskwesties. Een manager kan mijn inziens iemand niet dwingen email vrij te geven, net als het afluisteren van telefoongespreken. Bij dergelijke zaken is het een kwestie hoor-en-wederhoor in een vertrouwlijke omgeving. Mag je baas jouw sms-jes van je telefoon inzien?
Voor degene die nu nog twijfelen over wat te doen:
– Behandel je medewerker (baas-gelijke-ondergeschikte) hetzelfde zoals jij ook behandeld zou willen worden (met dank aan Lukas en Confucius)…
digitaal of niet…
Als systeembeheerder krijg je bijna dagelijks met dat soort dingen te maken. E-mails die door een tikfout naar de ‘gevonden e-mails’ postbus gaan bevatten vaak zakelijke maar soms ook persoonlijke informatie.
Maar als ze willen kunnen ze afhankelijk van de gebruikte software vaak ook wel alle e-mail postbussen inzien.
Dat valt op te lossen door de e-mails te encrypten. Iets wat elk bedrijf/persoon eigenlijk standaard zou moeten doen. Dan is ook dit vraagstuk opgelost.
Johan, je gaat te kort door de bocht. Als jouw bedrijf ergens voor aansprakelijk gehouden wordt *moet* je in staat zijn bewijsmateriaal zoals email op te kunnen lepelen. Als deze dan door de medewerker versleuteld is waar de werkgever niet bij kan, dan geeft dit problemen.
Dus als er versleuteling wordt toepast is dat prima, mits dit maar een systeem is dat door de werkgever gefaciliteerd is of ontsleuteld kan worden.
Betreffende de privacy zou ik ook in de discussie meenemen wat een werkgever wel en niet mag betreffende sociale media.
Uit de discussie mag duidelijk worden dat het in ieders eigen interesse is prive-email ook prive te houden en zakelijke email alleen zakelijk te gebruiken.
@ August Biels, hier (in oostenrijk) wordt door leidinggevende gewoon de email gekontroleerd, wat er in de wet staat stoort de doorsnee werkgever niet, de “datenschutz kommission” is al een keer door de EU op de vingers getikt omdat die niet eens onafhankelijk is en hopeloos achter is met het verwerken van de aangiftes.
@ Ewout, wie zo dom is om zijn hele hebben en houwen op facebook o.i.d. te plaatsen en niet te kontroleren wie het kan inzien, die verdient niet beter dan dat de werkgever dat eens nauwkeurig onder de loep neemt.
Henri, dank voor je heldere verhaal.
Net als Jan van Leeuwen zie ik niet in waarom je zakenlijke mail prive zou willen gebruiken.
Immers elke ISP bied standaard email aan, en anders kan eenieder (behalve ik, want ik ben daar echt te dom voor) een gmail accountje aanmaken.