Het komt regelmatig voor dat managers naar de ict-afdeling komen met de vraag om toegang te krijgen tot de email account van een collega. Maar wat moet je als ict'er met zo’n vraag?
Hoever mag je gaan met je dienstverlening? Ik ken ict’ers die geen enkel probleem hebben met zo’n vraag en als een manager maar hoog genoeg is, geven ze die toestemming direct en sturen ze per omgaande de inloggegevens. Maar is dat wel verstandig en mag je dit als ict’er zomaar doen of hebben jullie daar regels voor? Misschien dat de spontane toegang die jij verstrekt je in de problemen kan brengen.
Wat zijn de dillema’s als je iemand inzage geeft tot een zakelijke email account van een ander? Die vraag riep meer vragen op dan dat ik antwoorden had. Ik zal je deelgenoot maken van de vragen die er bij mij op kwamen. In mijn achterhoofd speelden de dapperheid van Snowden en het gestuntel van Plasterk om de hoogste plaats.
– Is er misschien iemand die deze toegang moet goedkeuren? Is dat de cio of de cfo, de ceo of misschien wel de RvC, of nog een andere C-level persoon?
– Moet ik vragen welke reden die persoon heeft, het zal best wel vertrouwelijk zijn, niet waar?
– Is er een formulier of een workflow voor?
– Heeft het te maken met de klokkenluidersregeling van de governance code of heb ik de klok horen luiden en …?
– Heb ik wat te maken met de aard of de reden? Moet het gaan over fraude, misbruik van gegevens of persoonlijke aanvallen, pesterijen, of lastigvallen van collega’s?
– Is er een wettelijk kader waar ik rekening mee moet houden, zoals bijvoorbeeld privacy wetgeving of briefgeheim? Overtreed ik die als ik toegang geef?
– Heeft mijn bedrijf een policy of protocol voor het gebruik van zakelijke email en internet?
– Voorziet dat protocol in handelingen die verricht mogen/moeten worden bij het controleren van een e-mail-account bij verdenkingen van fraude?
– Mag ik ook het privé e-mail-verkeer inzien van een werknemer?
– Kan ik hier het antwoord op mijn vragen krijgen?
Wat zijn jullie ervaringen? Hebben jullie hier al mee te maken gehad? Is er daadwerkelijk bij jullie sprake van een protocol en komen daar dan antwoorden op bovenstaande vragen naar voren? Of zijn er zelfs antwoorden op vragen die ik nog niet heb kunnen verzinnen?
Conclusie
Er zal veel geregeld zijn en ik geloof direct dat controles mogen, maar hoe is het geregeld in de wetgeving, jurisprudentie of is jullie oplossing gewoon praktisch gericht. Een mooie gelegenheid om je ervaringen te delen en anderen die in de toekomst met deze vragen zitten verder te helpen met een antwoord. Misschien komt er wel een voorbeeld protocol naar voren, uiteraard volledig anoniem…Of hebben jullie hier nog niet over nagedacht in jullie organisatie, of hebben jullie er nog nooit mee te maken gehad?
Ik heb dit heel vroeger al eens uitgezocht en het is vrij simpel.
– *Tenzij* het bedrijf iets van behouden van privacy in hun regelement heeft opgenomen, heeft men geen privacy recht op de *zakelijk* email account.
In de baas zijn tijd met de baas zijn spulletjes behoor je nou eenmaal geen privé dingentjes te doen.
@Henri
Die uitzondering die jij opnoemt zou dan de uitzondering moeten zijn waardoor het hele systeem inherent onveilig wordt terwijl je eenvoudig als het nodig is iemand onder ede kan verhoren. Maw jouw argument is in de praktijk niet nodig.
En zo als altijd is het een kwestie van organiseren en rekening houden met de situatie.
Overigens is het bij mij heel eenvoudig. Als mijn werkgever de intentie heeft om mijn email in te willen zien dan heeft hij de keuze. Die intentie laten varen of op zoek te gaan naar een vervanger. Immers als er geen vertrouwen is dan is er geen basis meer voor een zakelijke overeenkomst.
Wat een mooie reacties weer, veel kennis. Maar er zijn meer haken en ogen.
Zo zou ik willen opmerken dat als er een protocol of reglement is waarin e-mail en internet regels zijn opgenomen en werknemers kennis hebben kunnen nemen van het feit dat een werkgever het recht heeft om controles uit te oefenen, de werkgever dit mag doen onder de voorwaarden die zijn opgenomen.
Het reglement moet voor een organisatie die verplicht een OR heeft, door de OR zijn goedgekeurd. Voor een kleine onderneming gelden weer andere regels.
Ik kom hier later nog op terug.
Ik ben benieuwd of er bij kleine organisaties het bewustzijn is, dat er regels zijn en het verstandig is om een reglement op te nemen.