E-mail en AVG (vuistregels)

12 januari 2020 |

Het mag duidelijk zijn dat ik geen jurist ben maar het onderwerp benader als praktische denker op zoek naar toepasbare inzichten voor de dagdagelijkse gebruiker.

Wil je een onderbouwd waterdicht juridische insteek dan moet je niet bij mij zijn en beloof ik je dat je snel zult verzanden in onmogelijke ingewikkelde beoordelingen per e-mail.

Ik ben (wat mij betreft gelukkig) ook geen IT-er want die heeft nog hele berg andere uitdagingen waar het hier niet over gaat.

Context voor deze blogpost

  • De AVG (en ook zijn voorganger) gaat over de verwerking van persoonsgegevens en roept vooral op tot het gebruik van ‘gezond verstand’ en niet tot gebruik van ‘juridisch verstand’. Zie aan het eind van deze post de zes richtlijnen van de AVG. De geest van de wet is simpel: ga fatsoenlijk om met persoonlijke gegevens.
  • E-mail en AVG is een onhandige combinatie. E-mail is een feit en gaat voorlopig niet weg. AVG is een feit en gaat voorlopig niet weg. Samen is het al snel een rommeltje.
  • Zolang de grote persoonsgegevens-stofzuigers Google, Facebook en Apple gewoon hun goddelijke gang kunnen gaan is e-mail een relatief klein AVG-probleem.

Als er al iets verstandig te zeggen is, wil ik dat doen in vuistregels.

Acht vuistregels

Vuistregel 1: De zender is verantwoordelijk voor de kwaliteit en de AVG-veiligheid van de communicatie.

Vuistregel 2: Tenzij er een hele goede reden is om de e-mail te bewaren wordt deze ‘na gebruik’ verwijderd.

Vuistregel 3: E-mail met inhoud of bijlages die bewaard moet worden gaan uit de e-mailcontext naar de plek waar ze horen.

Het gaat hier over zaken die je moet bewaren voor de belastingdienst (akkoord op offertes, facturen etc.), of die bewaard moeten worden vanuit juridisch oogpunt (contracten, algemene voorwaarden etc.) of communicatie met ‘kroniekkarakter’. Ze gaan uit de e-mail context en komen in het klantdossier, de boekhouding of het CRM.

Dit kun je handig doen door er een Pdf van te maken voor zover dat nog niet het geval is.

Vuistregel 4: Een handtekening heeft zo min mogelijk gegevens.

Naam, functie + telefoonnummer volstaat in vrijwel alle gevallen. Een longform handtekening is op zichzelf al een hele waslijst met vaak gevoelige persoonsgegevens niet nodig voor de communicatie die gewisseld wordt in de e-mail.

Vuistregel 5: Adreslijsten en andere duidelijke persoonsgegevens worden niet verzonden in e-mail zonder toestemming van de zender en ontvanger(s).

Het is vaak een kleine moeite een wachtwoord op een bestand te zetten en dan pas te versturen. Het wachtwoord gaat vervolgens via een ander kanaal (bellen, sms etc)  heen en weer.

De lijsten worden vervolgens uiteraard niet bewaard in de e-mail omgeving maar bij het betreffende onderwerp in het documentsysteem.

Er zijn diensten voor beveiligde e-mail. Dit soort diensten met karakter ‘spring-eerst-door-een-aantal-hoepeltjes-voordat-je-de-e-mail-van-mij-krijgt’ is clunky, niet elegant, niet snel en is hopelijk heel snel vervangen door iets beters (en zoals het er nu uitziet wordt alle e-mail straks versleuteld).

Vuistregel 6: Verwijderen op verzoek doen we met goed ingesteld zoeken en de functie definitief verwijderen.

Wanneer een persoon of bedrijf een verzoek doet tot het verwijderen van zijn gegevens is het zaak een zoekactie te doen op de persoonsnaam en op het e-mail-domein door jouw hele e-mailsysteem en alles wat je vindt te verwijderen (definitief verwijderen uiteraard).

NB: Ik heb dat nog nooit meegemaakt in de e-mailsfeer. Wel in ons CRM-systeem (Infusionsoft) dat daar volledig op is ingericht inclusief EU- afspraken over de opslag van data. In dat geval is alle e-mail-communicatie vastgelegd in een AVG-proof platform en kan eenvoudig verwijderd worden als dat verzoek komt.

Vuistregel 7: E-mail archivering van het restant gebeurt in jaarmappen. Het derde archiefjaar wordt elk jaar gewist.

Als de eerdere vuistregels zijn toegepast en relevante info, klachten, onderhandeling etc. zijn opgenomen in het klantdossier, CRM of boekhouding dan is er niet veel meer dat resteert en kan steeds het derde jaar in zijn geheel worden verwijderd. Ik kies voor dit derde jaar omdat de meeste communicatie dan ruim gedateerd is.

Vuistregel 8: Waar deze vuistregels geen leidraad geven, beslist het eerlijke gezond verstand met inachtneming van de hierna beschreven logica.

Toetje: Inbox Zero is een hele goede basis voor dit verhaal.

***

De basisrichtlijnen van de AVG

Er staan een paar opmerkingen over e-mail op de website van de autoriteit persoonsgegevens die allemaal neer komen op: ‘Hangt van de context af: denk zelf na.’

De zes algemene richtlijnen die je kunt gebruiken om zelf na te denken staan hier.

  1. Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet. Voor de betrokkene (dat is degene van wie de persoonsgegevens verwerkt worden) moet het behoorlijk en transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.
  2. Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel. Dat doel moet welbepaald zijn en vooraf uitdrukkelijk zijn omschreven. Het doel waarvoor een organisatie de persoonsgegevens gaat verwerken moet verenigbaar zijn met het doel waarmee de persoonsgegevens zijn verzameld.
  3. Verwerkt een organisatie of persoon persoonsgegevens? Dan moet de persoon van wie de persoonsgegevens worden verwerkt in ieder geval op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verwerkingsverantwoordelijke) en van het doel van de gegevensverwerking.
  4. Als organisaties persoonsgegevens verwerken, dan moeten ze daarbij als uitgangspunt hanteren ‘zo min mogelijk’. Dat houdt o.a. in dat de verwerking van de gegevens moet passen bij het doel waarvoor ze worden verwerkt.
  5. De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn en zo nodig worden geactualiseerd.
  6. De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels.

***

Reacties, aanvullingen en verbeteringen stel ik erg op prijs


Tip! Ben je een Apple/Mac gebruiker? Kijk dan eens op de website MacMonk


Beoordeel deze tip:

1 ster2 sterren3 sterren4 sterren5 sterren 1 beoordelingen
Laden...

4 reacties

  • Libertus Cornelis says:

    Hallo Ad,

    Vuistregel 7: E-mail archivering van het restant gebeurt in jaarmappen. Het derde archiefjaar wordt elk jaar gewist.

    Met mappen ben ik het natuurlijk niet eens ;). Je kan prima sorteren, groeperen en zoeken op datum zonder mappen. Daarnaast biedt Office 365 bewaarbeleid zodat organisatiebreed een bewaar beleid (en ook archief beleid) toegepast kan worden.

    Bedankt weer voor de info in je blog.

    Bert Roos

    • Ad van der Hulst says:

      Ha Bert,
      Ik snap dat jij dat niet doet, de manier die jij beschrijft werkt prima. Voor mindere engineers zoals ik en vele anderen is het werken met jaarmappen een zekere, begrijpbare, simpele en elegante manier. 🙂 Gr Ad

  • Maret Wielenga says:

    Goed punt Ad. We mailen wat af, waarbij er bewust of onbewust ook allerlei persoonsgegevens de lucht in gaan. De AVG gaat best ver. Bij vuistregel 1 geldt, bijvoorbeeld, dat de verzender zich er ook van moet vergewissen dat de ontvanger bonafide is op het AVG terrein. Daarnaast valt er nog heel veel andere wetenswaardigheid te delen rondom e-mail verkeer. Jij hebt al eens eerder iets geblogd over de onderwerp regel weet ik nog. Bij Loo van Eck (zie website) is een uitvoerig white paper op te vragen hierover. Op de radio maken ze er momenteel reclame voor. Aanrader.

    • Ad van der Hulst says:

      Ha Maret, Ik heb de white paper van Loo van Eck gelezen. Dat is een wel heel degelijke manier van schrijven voor zo’n relatief vluchtig medium, en voor de meeste van mijn lezers en volgers een beetje te precies misschien. De 20 vuistregels aan het eind zijn wel weer heel mooi. Dank voor de tip. Ad

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *