Mail van een stagiair - valt dit onder een NAW data lek

Wat als het bedrijf office 365 gebruikt voor zijn mail, zou je dan hetzelfde voelen?

Ik zou wel wat stappen ondernemen. Probleem is dat er ook een datalek bij jou kan zitten.

Ik zou eerst het bedrijf bellen en verhaal halen. Ik heb ook wel eens stage gelopen bij een organisatie, zij konden voor mij ook geen domein mail aanmaken (ICT van niets). Heb ik het ook met een @outlook.com gedaan.

jordan2k schreef op maandag 12 juni 2017 @ 20:02:
Mijn vragen:
- Mag een stagiair naw gegevens van klanten die iets besteld hebben gebruiken voor het versturen van een enquete vanuit een niet gevalideerd bedrijfs mailadres?
- is dit aantemerkrn als een datalek onder de wet autoriteit persoons gegevens?
- moet je naast de authoriteit ook een melding maken bij het bedrijf?

Ik zie niet goed waarom dat Hotmail-adres een bezwaar zou zijn. Ik ken (helaas) ook wel kleine bedrijfjes waar alle mail vanaf Hotmail of Gmail adressen wordt verzonden. Professioneel is anders maar ik zie er geen groot probleem in. Als het een probleem was dan zou elk bedrijf die z'n email "in de cloud" onderbrengt ook een datalek hebben.

Wel zou ik het bedrijf erop aanspreken. Het is geen nette manier van communiceren en komt op z'n minst heel onprofessioneel over. En het is natuurlijk niet ondenkbaar dat deze stagiair dit op eigen houtje en zonder toestemming van het bedrijf doet.

Heb je toestemming gegeven dat jouw gegevens voor dit soort onderzoeken gebruikt mochten worden? Sla de AV van het betreffende bedrijf er maar eens op na.
Grote kans dat je toestemming hebt gegeven om "jouw gegevens te gebruiken ter bevordering van bedrijfsprocessen". Heerlijk breed geformuleerd, zodat zo'n beetje alles er onder valt.

Misschien heeft de stagiair gewoon 2 mailaccounts in zn mailpakket zoals veel mensen en heeft ie per ongeluk bij het mailen de afzender op zn hotmail laten staan ipv het bedrijfsaccount.

Waarom zou dit een lek zijn? Vermoed je dat deze 'stagiair' niet echt werkzaam is bij bedrijf X en daarom vanaf een hotmail account mailt? Anders snap ik niet zo goed wat een onprofessionele mailwijze met 'lek' te maken heeft.

Stagairs krijgen zelden een echt bedrijfsaccount en juist heel vaak een opdracht om klant-tevredenheid te onderzoeken. Ik zou voorstellen in plaats van allerlei procedures te starten gewoon even bij het bedrijf na te vragen of dit echt is. En zo ja, meedoen aan de enquete. En zo nee, alsnog de procedure te starten.

mashell schreef op dinsdag 13 juni 2017 @ 09:13:
Stagairs krijgen zelden een echt bedrijfsaccount

Niet naar mijn ervaring. Interne communicatie verloopt ook veelal via e-mail en die communicatie willen bedrijven binnenshuis houden. Ik heb niet anders meegemaakt dan dat stagairs een e-mailadres van het bedrijf krijgen toegewezen, waarmee ze intern én extern kunnen communiceren.

[ Voor 5% gewijzigd door P1nGu1n op 13-06-2017 09:17 ]

jordan2k schreef op maandag 12 juni 2017 @ 20:02:
Mijn vragen:
- Mag een stagiair naw gegevens van klanten die iets besteld hebben gebruiken voor het versturen van een enquete vanuit een niet gevalideerd bedrijfs mailadres?

Dat hangt af wat in de algemene voorwaarden staat waar je akkoord mee bent gegaan toen je daar wat bestelde. Vaak is er iets algemeens in geformuleerd waardoor ze jouw contactgegevens hier ook voor mogen gebruiken. Aangezien de stagiair in dienst is (we gaan er even van uit dat dit een echte stagiair is van dit bedrijf) is hij geen derde en mag hij toegang hebben tot deze gegevens.

- is dit aantemerkrn als een datalek onder de wet autoriteit persoons gegevens?

Mits de stagiair in dienst is niet. Een datalek is als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. En daar lijkt me in dit geval geen sprake van. Enige interessante punt zou zijn als je gegevens gebruikt worden op een manier waarvoor je ze niet hebt verstrekt. Nogmaals, sla de algemene voorwaarden er even op na.

- moet je naast de authoriteit ook een melding maken bij het bedrijf?

Je kan melding maken bij de autoriteit, maar heb je dat formulier al eens ingevuld? De uitslag zal in ieder geval zijn dat ze er niks mee gaan doen.

Het enige wat je zou kunnen doen is contact opnemen met het bedrijf en ze laten weten dat je niet gediend bent van op deze manier benaderd te worden. Daarnaast kan je je uit laten schrijven zodat je in de toekomst dit soort zaken niet meer krijgt.

Het enige scenario dat ik kan bedenken is dat de stagiair inderdaad (per ongeluk) vanaf een verkeerd mailadres bezig is geweest. Echter, alleen als het onderzoek in opdracht is van dat bedrijf. Wat niet duidelijk is of dat deze stagiair gewoon een bijbaantje heeft bij bedrijf X, maar stageloopt bij bedrijf Y, en de klantgegevens van bedrijf X gebruikt om een groter bereik te hebben.

Als een stagiair dit niet begrijpt en toch zo heeft gehandeld, dan is dat uiterst merkwaardig. Daarnaast heb ik tijdens mijn stages zeker wel een mailadres gekregen vanuit het bedrijf, en iedere mail die naar klanten ging werd doorgenomen door een begeleider voor in ieder geval de eerste maand. Niet alleen om het taalniveau te controleren, maar ook om de stijl gelijk te trekken aan de bedrijfsstijl. Dus op meerdere fronten gaat dit al helemaal fout, en lijkt deze stagiair in ieder geval een kanspareltje voor de toekomst.

Doe even navraag. Het zou ook een phishingopdracht van een student/interne stagiair kunnen zijn. Zelf ook gedaan en verhalen over gehoord.

TereZz schreef op maandag 12 juni 2017 @ 20:04:
Wat als het bedrijf office 365 gebruikt voor zijn mail, zou je dan hetzelfde voelen?

In dit geval, als het bedrijf Office gebruikt als mailprovider, dan gaan ze ermee akkoord dat het ergens opgeslagen staat, plus de voorwaarden die daarbij horen. Met zo'n voorziening kan de werkgever namelijk zelf damage control doen door het account te sluiten, de logging te bekijken of erop in te loggen als er iets aan de hand is. Die voorwaarden/diensten gelden niet voor Hotmail, dus dan is dat inderdaad niet wenselijk, ook al is het hetzelfde bedrijf dat de hosting regelt.

[ Voor 18% gewijzigd door Verwijderd op 13-06-2017 15:18 ]

theHoff schreef op dinsdag 13 juni 2017 @ 09:25:

[...]

Mits de stagiair in dienst is niet. Een datalek is als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. En daar lijkt me in dit geval geen sprake van. Enige interessante punt zou zijn als je gegevens gebruikt worden op een manier waarvoor je ze niet hebt verstrekt. Nogmaals, sla de algemene voorwaarden er even op na.


[...]

Je kan melding maken bij de autoriteit, maar heb je dat formulier al eens ingevuld? De uitslag zal in ieder geval zijn dat ze er niks mee gaan doen.

Het enige wat je zou kunnen doen is contact opnemen met het bedrijf en ze laten weten dat je niet gediend bent van op deze manier benaderd te worden. Daarnaast kan je je uit laten schrijven zodat je in de toekomst dit soort zaken niet meer krijgt.

Kan ik redelijkerwijs uitsluiten dat er persoonsgegevens onrechtmatig zijn verwerkt? wanneer op deze vraag met nee kan worden geantwoord is het een datalek.

Wanneer de stagiar deze data in z'n privebezit heeft zonder toestemming is dit een datalek omdat het bedrijf in kwestie dit niet kan uitsluiten.

FlowSnake schreef op dinsdag 13 juni 2017 @ 10:39:
Het enige scenario dat ik kan bedenken is dat de stagiair inderdaad (per ongeluk) vanaf een verkeerd mailadres bezig is geweest. Echter, alleen als het onderzoek in opdracht is van dat bedrijf. Wat niet duidelijk is of dat deze stagiair gewoon een bijbaantje heeft bij bedrijf X, maar stageloopt bij bedrijf Y, en de klantgegevens van bedrijf X gebruikt om een groter bereik te hebben.

Wanneer dit het geval is is dit ook een datalek omdat deze gegevens via een niet toegestaan medium het bedrijf verlaten en prive gegevens van klanten buiten het bedrijf zijn gekomen. Hierdoor kan geen onrechtmatig gebruik worden verzekerd.

Een bedrijf moet in dit soort situaties altijd melding maken bij de AP omdat deze de eigenaar is van de gegevens.

Verwijderd schreef op dinsdag 13 juni 2017 @ 12:16:
Doe even navraag. Het zou ook een phishingopdracht van een student/interne stagiair kunnen zijn. Zelf ook gedaan en verhalen over gehoord.

Phisingopdrachten mogen nooit gedaan worden met gegevens van klanten zonder dat hier toestemming voor is gegeven. Veelal zijn de phisingmails gericht op de medewerkers van de organisatie zelf en niet gericht op de klanten. Welk belang zou dit bedrijf hebben op de resultaten van een phisingmail actie van z´n klanten?

jordan2k schreef op maandag 12 juni 2017 @ 20:02:
...Mag een stagiair naw gegevens van klanten die iets besteld hebben gebruiken voor het versturen van een enquete...

Volgens mij zit het ongeveer zo.

Het bedrijf is verantwoordelijk voor het verwerken van persoonsgegevens. Of het een stagiair is binnen het bedrijf is niet relevant. Ook het gebruikte email adres niet, hoewel het discussie kan oproepen over de zorgvuldigheid van de verwerking.

De wet bescherming persoonsgegevens geeft aan op grond waarvan persoonsgegevens mogen worden verwerkt. Uiteraard is niet alles zwart/wit, dus er kan ruimte voor discussie zijn.

De vraag in dit geval is welke wettelijke basis er is voor genoemde verwerking. Dat kan ik moeilijk op basis van de gegeven informatie. Ik zou bijvoorbeeld kunnen denken aan wetenschappelijk onderzoek.

Los van de juridische vraag, lijkt het mij voor het bedrijf verstandig dit soort uitingen weloverwogen te besluiten. Het klinkt niet alsof dat hier het geval is geweest.

Beetje mosterd na de maaltijd maar toch nog even...

Als een stagiair wel een account krijgt van het bedrijf en ze werken via Offce365, dan is er een kans dat het afzend-adres inderdaad niet stagiair@bedrijf.nl is.

Dit is mogelijk doordat je van Microsoft automatisch nog een berg @outlook.com en @onmicrosoft.com adressen krijgt; soms is dit een foutje van de IT-medewerker die het account aanmaakte, en soms werkt Office365 niet helemaal mee en is het primaire mailadres @bedrijf.nl niet primair gemaakt.

jordan2k schreef op maandag 12 juni 2017 @ 20:15:

Zal morgen contact opnemen met het bedrijf.

En, wat zeiden ze?

mashell schreef op dinsdag 13 juni 2017 @ 09:13:
Stagairs krijgen zelden een echt bedrijfsaccount en juist heel vaak een opdracht om klant-tevredenheid te onderzoeken. Ik zou voorstellen in plaats van allerlei procedures te starten gewoon even bij het bedrijf na te vragen of dit echt is. En zo ja, meedoen aan de enquete. En zo nee, alsnog de procedure te starten.

Dan nog zou ik geen privé mailadres gebruiken, vanuit de meeste scholen krijg je ook een emailadres.. Dat zou nog een stuk beter staan dan een privé mailadres.

nooberke schreef op dinsdag 13 juni 2017 @ 21:43:
[...]


Dan nog zou ik geen privé mailadres gebruiken, vanuit de meeste scholen krijg je ook een emailadres.. Dat zou nog een stuk beter staan dan een privé mailadres.

De stagair zit nog vroeg in zijn (professionele) ontwikkelingsfase en heeft dat inzicht wellicht nog niet, of staat er niet bij stil, of het werkt technisch niet, zoveel mogelijkheden

In Aziatische landen is het heel normaal om gewoon een @gmail.com adres op een product in de supermarkt te zetten bijvoorbeeld. Wij zijn gewend dat iedereen professioneel moet zijn met een eigen domein. Maar dat is ergens gewoon onzin. Iemand met slechte bedoelingen kan ook een professioneel ogend emailadres aanmaken.

Ik vind dit niet heel vreemd allemaal. Als het een stagair is. Het kan zijn dat het bedrijf niet wilde dat het leek alsof die spam van het bedrijf af kwam. Had de beste persoon wel beter een studenten emaik gebruikt.

Heb je nog iets teruggehoord van het bedrijf?

mashell schreef op dinsdag 13 juni 2017 @ 09:13:
Stagairs krijgen zelden een echt bedrijfsaccount en juist heel vaak een opdracht om klant-tevredenheid te onderzoeken. Ik zou voorstellen in plaats van allerlei procedures te starten gewoon even bij het bedrijf na te vragen of dit echt is. En zo ja, meedoen aan de enquete. En zo nee, alsnog de procedure te starten.

In 1998 zou je gelijk gehad hebben. Tegenwoordig is het echter zo eenvoudig om een extra mailadres aan te maken dat een bedrijf (wat zich notabene richt op verkoop en daarmee dus klantcontact) echt wel even voor een stagiair een mailadres kan aanmaken.
In mijn cariere veel met kleine bedrijven te maken gehad en allen konden binnen een paar minuten een gebruiker voorzien van een mailbox.

jordan2k schreef op maandag 12 juni 2017 @ 20:15:
[quote][b][message=51553283,noline]Evanescent schreef op maandag 12 juni 2017 @ 20:08[/message
[...]
Ik zou dit zeker eens met het bedrijf overleggen. Ik kan me voorstellen dat ze flink balen. Als het echt een stagiair is, zullen ze hem moeten aanspreken. Als ze hem niet kennen, is het inderdaad een datalek.

[...]

Zal morgen contact opnemen met het bedrijf.

Jammer dat je geen update geeft.