Vraag Wet AVG

Vraag me meer af waarom je 1 spamfilter hebt voor meer dan 1 klant? Is dit een hosted Exchange-omgeving ofzo?

En nee, JIJ bent niet in overtreding. Als de procedures en werkwijze dit mogelijk maken, is jouw baas in overtreding.

@Marcelvdsteen ik snap de situatie. Dan is inderdaad de vraag of jouw manier van handelen (meedenkend en proactief) terecht is. Neemt niet weg dat de informatie die jij kan inzien, door middel van werkwijze en procedure toch echt het "probleem" van jouw baas is.

Het is een beetje de essentie: wat is er exact gezegd op de werkvloer. Wordt het jou persoonlijk kwalijk genomen en/of aangerekend? Of was het algemener naar "het support team"?

Basisvraag: is er privacygevoelige data bekeken en heb je bijvoorbeeld de in een mail zich bevindende burgerservicenummers daarna verspreid? Je doet dit werk uit nut en noodzaak (uit hoofde van een dienst die je levert) en daaruit redenerend zie ik geen inbreuk op de AVG.

Overigens: als het goed is, heeft je baas een bewerkers/verwerkersovereenkomst opgesteld met de betreffende klanten voor dit soort gevallen. Daarin staat precies in wat je wel en niet mag binnen de afspraken die je maakt met de klant.

Aangezien dit een technische vraag is rondom de AVG, verplaats ik dit topic naar PB.

@MAX3400 Ik lees dat hij heeft gezien dat klant B erop ingegaan is, dus heeft gereageerd op de Phising e-mail, dus verzonden items.

De vraag is, hoe heeft @TS geformuleerd naar bedrijf B, alleen gezegd dat er een Phising mail van afzender XX@x.com gestuurd was naar XX@bedrijfb.com, of gezegd dat piet@bedrijfb.com heeft gereageerd op e-mail.



Beide heb ik zoiets van, wees blij dat je attent wordt gemaakt op mogelijke problemen, maar goed, we hebben het over de wet. niet de menselijkheid (helaas)

Ik hoef niet te kijken in e-mails. De mail delivery reports tonen puur alleen van en aan wie een e-mail is gestuurd (geen subject, body. etc.).

Het zou dus best kunnen zijn dat @Marcelvdsteen ook precies dit heeft gedaan en niet in de mailbox van de klant heeft gesnuffelt.
De AVG/GDPR zegt ook duidelijk dat dingen alleen op een "need to know" basis mogen.
Dit mag dus, omdat de inhoud van de e-mail helemaal niet interessant is.

Als de klant vraagt of zijn e-mail een virus bevat kan je twee dingen doen:
1. vragen of hij de e-mail wil doorsturen als bijlage
2. melden/permissie vragen dat je even in zijn mailbox kijkt naar de e-mail

Ik hanteer beide afhankelijk van de situatie

MAX3400 schreef op dinsdag 13 maart 2018 @ 18:13:
@Wish ik lees dat TS klant B heeft geinformeerd dat er spam/phishing was doorgelaten. Daar lijkt geen gevoelige data in te zitten; ik vind het een proaktieve aktie om de klant te waarschuwen.

Andersom; doe je het niet en klikt de klant er wel op, zijn de rapen net zo gaar want klachten over niet-functionerende diensten, downtime, crypto-malware, gelekte data... You get my drift

Helemaal eens hé en de TS heeft in mijn ogen ook goed gehandeld. Mijn vraag was bedoeld om de case te laten zien waarin je je wel zorgen moet maken over de AVG (the dark side).

DJMaze schreef op woensdag 14 maart 2018 @ 01:17:
Ik hoef niet te kijken in e-mails. De mail delivery reports tonen puur alleen van en aan wie een e-mail is gestuurd (geen subject, body. etc.).

Het zou dus best kunnen zijn dat @Marcelvdsteen ook precies dit heeft gedaan en niet in de mailbox van de klant heeft gesnuffelt.
De AVG/GDPR zegt ook duidelijk dat dingen alleen op een "need to know" basis mogen.
Dit mag dus, omdat de inhoud van de e-mail helemaal niet interessant is.

Als de klant vraagt of zijn e-mail een virus bevat kan je twee dingen doen:
1. vragen of hij de e-mail wil doorsturen als bijlage
2. melden/permissie vragen dat je even in zijn mailbox kijkt naar de e-mail

Ik hanteer beide afhankelijk van de situatie

Het probleem hierbij, is dat je misschien niet eens mag kijken aan wie de mail is gestuurd, en alleen mag constateren dat hij is binnengekomen. Heeft alles te maken met het feit dat het jou ook niets aangaat wie loopt te mailen met wie. Als ik contact zou onderhouden met bijv. de AIVD om wat voor reden dan ook, dan gaat dat mijn werkgever niets aan.
Wat mijn werkgever wel aan zou gaan zou evt concurrentiegevoelige informatie zijn, maar dat valt dan gelijk onder contractbreuk en geeft nog steeds niemand het recht te controleren met wie je mailt.

Ik geloof dat er wel aparte regels zijn voor werknemers/werkgevers

Met die wetenschap kan je dan meerdere dingen doen:
- De mail stilzwijgend gaan blokkeren.
- De mail blokkeren en een automatische delivery failure notification laten sturen als iemand het phishing mailadres probeert te bereiken.
- Aangeven aan het bedrijf dat de mail in het spamfilter is gekomen en dat mocht iemand hem toch binnengekregen hebben hij/zij contact op moet nemen.

Het klinkt misschien krom, maar in de realiteit mag je niet zoveel

https://autoriteitpersoon...ng/controle-van-personeel
https://autoriteitpersoon...netgebruik-van-werknemers

Itrme schreef op woensdag 14 maart 2018 @ 08:33:
[...]


Het probleem hierbij, is dat je misschien niet eens mag kijken aan wie de mail is gestuurd, en alleen mag constateren dat hij is binnengekomen. Heeft alles te maken met het feit dat het jou ook niets aangaat wie loopt te mailen met wie. Als ik contact zou onderhouden met bijv. de AIVD om wat voor reden dan ook, dan gaat dat mijn werkgever niets aan.
Wat mijn werkgever wel aan zou gaan zou evt concurrentiegevoelige informatie zijn, maar dat valt dan gelijk onder contractbreuk en geeft nog steeds niemand het recht te controleren met wie je mailt.

Ik geloof dat er wel aparte regels zijn voor werknemers/werkgevers

Met die wetenschap kan je dan meerdere dingen doen:
- De mail stilzwijgend gaan blokkeren.
- De mail blokkeren en een automatische delivery failure notification laten sturen als iemand het phishing mailadres probeert te bereiken.
- Aangeven aan het bedrijf dat de mail in het spamfilter is gekomen en dat mocht iemand hem toch binnengekregen hebben hij/zij contact op moet nemen.

Het klinkt misschien krom, maar in de realiteit mag je niet zoveel

https://autoriteitpersoon...ng/controle-van-personeel
https://autoriteitpersoon...netgebruik-van-werknemers

Betekent dit dan nog steeds niet dat de situatie een overtreding is, en niet perse het gedrag van TS? Ik zit niet zo in de spamfilters maar als ik het goed begrijp is het met de huidige inrichting niet goed mogelijk om het onderscheid duidelijk te maken. En dus niet per ongeluk te kijken omdat het bijvoorbeeld in dezelfde lijst staat.

Itrme schreef op woensdag 14 maart 2018 @ 08:33:
Het probleem hierbij, is dat je misschien niet eens mag kijken aan wie de mail is gestuurd, en alleen mag constateren dat hij is binnengekomen.

Ik ontwikkel een bookings systeem, ik weet wat artiesten verdienen.
Mag ik het vertellen? Nee, daarvoor heb je een NDA
Weet mijn personeel de verdiensten? Nee, die werken met dummy data
Wat als ik het niet mag weten volgens jouw AVG? Dan kan ik niet werken

Je moet goed begrijpen waar de grens is, als je die niet weet moet je houthakker worden.

Als zijn baas tegen hem zegt dat het een AVG probleem is, dan heeft zijn baas een probleem, niet hij.
Zijn baas had hem namelijk de toegang tot die data niet mogen geven.

[ Voor 16% gewijzigd door DJMaze op 14-03-2018 13:12 ]

Los van of je wel of niet in overtreding van de AVG zou zijn, moet je met dit soort proactieve acties heel voorzichtig zijn om bij gebruikers niet de indruk te wekken dat je hun mail meeleest. Als gebruikers dat idee krijgen (zij het terecht, zij het onterecht) dan is dat funest voor het vertrouwen in jouw diensten.