Smartlockr Blog: E-mail- en databeveiliging

E-mail tracking volgens de regels: het kan!

Geschreven door Smartlockr | 4-9-19 13:50

Het gebruik van tracking software op persoonlijke e-mails – zonder gerechtvaardigd belang- is in strijd met de AVG . Dat heeft de Dienst Uitvoering Onderwijs (DUO) geleerd. DUO heeft toegegeven software te hebben gebruikt op alle verzonden e-mails naar studenten, om te zien of zij de e-mails hebben geopend.

Dit bericht heeft voor aardig wat opschudding gezorgd. Tracking software in e-mails is namelijk niks nieuws en wordt al jaren gebruikt. Echter, nu dat DUO de privacyregels met deze software heeft overtreden, zijn er binnen veel organisaties alarmbellen afgegaan. Maar hoe terecht is dit en wat zijn nu de regels rondom tracking software? Wij leggen het graag uit.


Met de privacywet AVG is het voor bedrijven verplicht geworden om de veiligheid van hun mailverkeer extra streng in de gaten te houden. Je moet ervoor zorgen dat persoonlijke gegevens van je personeel, maar ook die van je klanten, altijd geheel veilig blijven. Meer weten over waarom veilig mailen? 

 

DUO volgde alle e-mails


Om het goed te begrijpen, is het belangrijk om na te gaan hoe tracking van een e-mail werkt en hoe DUO de software gebruikte. In het kort: er worden tracking pixels toegevoegd aan e-mails. Dit zijn traceerbare stukjes informatie waarmee kan worden gezien of een e-mail is geopend of niet. Deze informatie wordt vervolgens weer gestuurd naar de verzender, die deze informatie krijgt en deze informatie kan gebruiken voor verschillende doeleinden.

En daar ligt het knelpunt: deze doelen kunnen verschillen per organisatie en daarmee in strijd zijn met de AVG. Er is namelijk vastgelegd welke data organisaties mogen verzamelen en aan welke voorwaarden moet worden voldaan. Eén daarvan is dat er een gerechtvaardigd belang moet zijn, als het gaat om de verwerking van persoonsgegevens.

DUO heeft alle e-mails aan studenten verzonden met de tracking software. Zelfs terwijl daar geen gerechtvaardigd belang voor was. Daarnaast waren de studenten niet geïnformeerd over de tracking. En dat gaat tegen de regels in van de AVG, want deze stelt dat betrokkenen op de hoogte moeten worden gesteld dat hun leesgedrag wordt gevolgd.

Het tracken van e-mails is dus niet in strijd met de AVG, als het een aantoonbaar en gerechtvaardigd doel heeft en de ontvangers op de hoogte zijn gesteld. Door alle verzonden e-mails te volgen – zonder medeweting van de ontvangers - heeft DUO dus een grens overschreden.

 

 

E-mail tracking met een gerechtvaardigd belang


Smartlockr maakt ook gebruik van e-mail tracking. Maar, dit wordt slechts ingezet als krachtige functie voor een gerechtvaardigd belang: het ontdekken en melden van datalekken.

Mocht de verzender van een e-mail per ongeluk verkeerde informatie hebben gestuurd of informatie naar de verkeerde persoon hebben verstuurd, dan kan e-mail tracking helpen om een datalek te voorkomen. Als dat het geval is, kan er op basis van die informatie melding worden gedaan bij de Autoriteit Persoonsgegevens. Enkel voor dit doel wordt e-mail tracking ingezet.

Daarnaast zullen wij ontvangers duidelijk maken dat het leesgedrag wordt gevolgd. Door het toevoegen van een melding in de e-mail, waarmee de ontvanger op de hoogte wordt gesteld van de tracking software, kunnen wij misverstanden voorkomen. Wij willen namelijk dat iedereen zo goed mogelijk geïnformeerd wordt en op de hoogte blijft van alle ontwikkelingen op gebied van beveiliging.