Hoe ga je als werkgever om met de mailbox van ex-werknemers?
Wanneer een werknemer de organisatie van de werkgever verlaat, wilt de werkgever natuurlijk de continuïteit van de dienstverlening verzekeren door de e-mails die derden naar de account van de ex-werknemer verzenden niet zonder gevolg te laten. Als verwerkingsverantwoordelijke moet de werkgever achteraf kunnen aantonen dat de Algemene Verordening Gegevensbescherming (AVG) daarbij werd nageleefd.
De gegevensbeschermingsautoriteit (GBA) heeft in enkele beslissingen de regels omtrent het behoud, toegang en gebruik van de e-mailaccount van ex-werknemers afgebakend (64/2020 van 29 september 2020, 126/2021 van 19 november 2021, 133/2021 van 2 december 2021, GBA 135/2023 van 21 september 2023).
Werkgevers die in lijn met die adviezen willen handelen, gaan best als volgt te werk bij het afsluiten van de mailbox:
Voorzie voor alle werknemers een duidelijke e-mail policy en een privacyverklaring, zodat de manier van werken vooraf door alle werknemers gekend is.
Anticipeer indien mogelijk op het vertrek, door (als dit wenselijk is) aan de werknemer op te leggen om enige tijd vóór de beëindiging van de tewerkstelling in de handtekening te vermelden dat de werknemer binnenkort de werkgever verlaat, met instructies om e-mails vanaf een bepaalde datum naar een andere account te sturen. Dit reduceert het aantal berichten waarover later discussie kan ontstaan.
Blokkeer het e-mailadres en de e-mailaccount uiterlijk op de laatste dag van de tewerkstelling en leg de vertrekkende werknemer op om een out-of-office bericht in te stellen met een voorgeschreven inhoud, waarbij de verzender wordt gevraagd om het e-mailbericht naar een ander (actief) e-mailadres te sturen.
Indien de werknemer deze handeling niet zelf stelt of kan stellen (bv. bij een vertrek om een dringende reden of medische overmacht), stelt de werkgever deze handeling zelf en licht de werkgever de werknemer hiervan in.
De periode van het behoud van het afgesloten e-mailadres, gekoppeld aan de verzending van het out-of-office bericht, is in principe één maand. Die termijn kan volgens de GBA langer zijn mits dit te verantwoorden is (bv. commerciële functie, directielid). Tot op heden aanvaardde de GBA verlengingen tot maximum 3 maanden.
De e-mails die na het vertrek van de werknemer op het afgesloten e-mailadres toekomen, mogen niet meer gelezen worden. Indien de afzender van het bericht hiervan een opvolging wenste, zou de afzender het bericht immers opnieuw hebben verzonden naar een ander, actief, e-mailadres, in lijn met de instructies van het out-of-office bericht. Verder mag er in die periode uiteraard ook geen e-mail meer verzonden worden vanuit dit afgesloten e-mailadres.
Werkgevers die in lijn met die adviezen willen handelen, gaan best als volgt te werk bij het consulteren van de afgesloten e-mailaccount na het vertrek van de werknemer (deze werkwijze veronderstelt dat de werkgever over een geldige e-mailpolicy beschikt):
De afgesloten e-mailaccount met de daarin opgeslagen berichten wordt afgesloten en op een veilige wijze bewaard. Enkel een beperkte kring van aangewezen personen verkrijgt de bevoegdheid om de opgeslagen berichten desgevallend te consulteren en verwerken.
De aangeduide personen zullen de bewaarde e-mailaccount enkel consulteren indien daarvoor een legitieme reden is, bv. voor de opvolging van welbepaalde dossiers.
Bij het doorzoeken van de bewaarde e-mailaccount wordt proportioneel gehandeld, bv. door gebruik te maken van relevante zoektermen.
De afgesloten e-mailaccount en de daarin opgeslagen berichten worden niet langer bewaard dan nodig in het licht van de doelstelling. Bv. indien een bedrijf een garantie op haar producten geeft van 3 jaar, zal de bewaartermijn van de e-mailaccount van een ex-verkoper voor die periode verantwoord kunnen zijn.
Wanneer is een professioneel e-mailadres- en/of account een persoonsgegeven?
Het onderscheid tussen een e-mailadres en e-mailaccount kan van belang zijn. Kort het onderscheid:
Een e-mailadres is het adres gelinkt aan een bepaald e-mailaccount. E-mails verstuurd naar een e-mailadres komen terecht in het daaraan gekoppelde e-mailaccount.
Een e-mailaccount is te vergelijken met een fysieke brievenbus. Dit is de mailbox waarin de e-mails verstuurd aan een specifiek e-mailadres gelinkt aan dat account binnenkomen en gedurende een bepaalde periode bewaard worden. Verschillende e-mailadressen kunnen aan eenzelfde e-mailaccount gekoppeld worden. Dan komen e-mails aan desbetreffende e-mailadressen in dezelfde e-mailaccount/brievenbus terecht.
We onderscheiden twee soorten professionele e-mailadressen:
Ten eerste zijn er professionele e-mailaccounts waaraan een e-mailadres wordt gekoppeld dat de voornaam en/of achternaam van een werknemer bevat, bv. JanJanssens@bedrijf.be. Dat is een zogenaamd “nominatief” e-mailaccount. Zowel het e-mailaccount als het e-mailadres zijn dan een persoonsgegeven dat onder de AVG valt.
Ten tweede zijn er “functionele” professionele e-mailaccounts waaraan een e-mailadres wordt gekoppeld dat de naam van de afdeling of dienst van de werkgever bevat maar geen naam van een werknemer, bv. klantendienst@bedrijf.be.
In een recent arrest heeft de geschillenkamer van de GBA (40/2023 van 3 april 2023) verduidelijkt in welk geval zo een functioneel e-mailaccount toch een persoonsgegeven is. Twee situaties zijn te onderscheiden:
Indien het e-mailaccount door slechts één werknemer gebruikt wordt, die ook de e-mails ondertekent met zijn/haar eigen naam, kunnen derden de werknemer achter het e-mailaccount (indirect) identificeren. Het e-mailaccount is in dat geval een “persoonsgegeven” in de zin van de AVG.
Deze situatie is te onderscheiden van het functionele e-mailaccount dat door meerdere werknemers gebruikt wordt. In dat geval zijn de werknemers niet individueel te identificeren en is het geen persoonsgegeven.
Meestal zijn professionele e-mailadressen en e-mailaccounts dus persoonsgegevens en zal de werkgever bijgevolg rekening moeten houden met de verschillende verplichtingen zoals opgelegd door de AVG. Hieronder overlopen we de voornaamste principes die daarbij van belang zijn.
De belangrijkste AVG-principes
Het niet-afsluiten van een e-mailadres en e-mailaccount van een ex-werknemer, kan problemen creëren met betrekking tot verschillende AVG-beginselen. De voornaamste beginselen daarbij zijn:
Rechtmatigheid en doelbinding (art. 6 en 5.1.b AVG) betekent dat gegevens enkel mogen worden verwerkt en verzameld voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. De organisatie mag de gegevens niet plots voor een ander doel gebruiken.
Minimale gegevensverwerking (5.1.c AVG) betekent dat enkel die gegevens mogen worden verwerkt die toereikend, ter zake dienend en beperkt zijn tot wat strikt noodzakelijk is ten aanzien van het doeleinde. Het principe is altijd “need to know” en niet “nice to know”.
Daarbij mogen de gegevens niet langer bewaard worden dan noodzakelijk ten aanzien van de doeleinden waarvoor zij worden verwerkt (5.1.e AVG).
Concretisering van deze principes: het afsluiten van een e-mailadres en van een e-mailaccount
Wanneer een e-mailadres of een e-mailaccount valt onder de omschrijving “persoonsgegeven” (zie hoger), mag de werkgever het e-mailadres en de e-mailaccount in principe niet meer actief laten van zodra de betrokken werknemer de organisatie verlaten heeft.
Wanneer de arbeidsovereenkomst met een werknemer eindigt, kan de werkgever zich voor het actief houden van het e-mailaccount van die ex-werknemer niet langer beroepen op de rechtsgrond dat dit ‘noodzakelijk is voor de uitvoering van de arbeidsovereenkomst’. Door de beëindiging van de samenwerking is er immers geen overeenkomst meer. De werkgever kan zich wel beroepen op het ‘gerechtvaardigd belang’, met name de goede werking van de organisatie en de continuïteit van de communicatie met derden om het e-mailaccount van een werknemer na vertrek nog beperkt actief te houden.
De GBA laat op deze rechtsgrond het beperkt actief houden van het e-mailaccount (met het verzenden van het automatisch bericht) toe voor een redelijke periode van in principe 1 maand. Uiterlijk bij afloop van die termijn moet het e-mailaccount, inclusief het automatisch bericht, verwijderd worden.
Deze periode van 1 maand is wel te nuanceren. Afhankelijk van de context en de graad van verantwoordelijkheid die de ex-werknemer uitoefende binnen het bedrijf, kan een langere periode worden toegestaan. Tot op heden, heeft de GBA het beperkt actief houden van een e-mailaccount bijvoorbeeld al aanvaard voor een periode tot 3 maanden (m.n. in het geval van een ex-gedelegeerd bestuurder binnen een familiebedrijf).
Aangeraden is dus om het e-mailaccount, voor slechts 1 maand beperkt actief te houden. In het geval de ex-werknemer een hoge functie had binnen de organisatie, is een verlenging van de termijn mogelijk, met een maximum van 3 maanden.
Wanneer de organisatie beslist om de e-mailaccount langer actief te houden dan initieel gepland, moet de ex-werknemer vooraf geïnformeerd worden over de verlenging.
Concreet mag de werkgever de e-mailaccount nog gedeeltelijk actief houden mits de afzender van berichten naar deze e-mailaccount een automatisch bericht ontvangt. Daarbij verneemt de correspondent dat de betrokkene zijn functie binnen de organisatie niet meer uitoefent en dat het verzonden bericht daardoor niet zal worden gelezen. Het out-of-office bericht verduidelijkt naar welk e-mailadres de afzender het bericht opnieuw moet verzenden indien de afzender wenst dat zijn bericht wordt gelezen en opgevolgd.
Een werkgever mag daarbij niet clandestien handelen. In principe moet de werkgever de werknemer die de organisatie verlaat, op voorhand verwittigen dat de e-mailaccount op die manier gedeeltelijk actief zal blijven. Een goed uitgewerkte e-mailpolicy bevat deze informatie al, zodat hierover geen discussie kan ontstaan. Bij gebreke aan een dergelijke policy, moet de werknemer individueel ingelicht worden.
Ten slotte vermelden we nog dat de gedeeltelijke afsluiting van de e-mailaccount, met de instelling van een out-of-office bericht, uiterlijk moet gebeuren op de laatste dag van de tewerkstelling van de werknemer.
Kennisneming van de inhoud van de afgesloten e-mailaccount
Los van de casussen over het beperkt behoud van een e-mailaccount van een werknemer na het vertrek bij de werkgever, is ook de inhoud van de e-mailaccount uiteraard van belang. De GBA neemt hierover een streng standpunt in.
In een opmerkelijke beslissing van de geschillenkamer van de GBA (beslissing nr. 64/2020 van 29 september 2020) neemt de GBA het markante standpunt in dat, net zoals een werknemer bij de beëindiging van de arbeidsrelatie zijn persoonlijke bezittingen moet kunnen terugnemen, de betrokkene ook zijn of haar persoonlijke elektronische privécommunicatie moet kunnen terugnemen of wissen voor zijn vertrek. De GBA raadt in dit advies werkgevers dus aan om voor het vertrek van de werknemer, samen door de e-mailaccount te gaan en daarbij e-mails die van belang zijn voor de goede werking van de werkgever, te recupereren vóór het vertrek van de werknemer en in zijn aanwezigheid. Dit lijkt wel de wereld op zijn kop.
In hetzelfde advies verwijst de GBA echter ook naar een eerder advies van de GBA, van 2012, over de mogelijkheid voor werkgevers om instructies te geven aan de werknemers omtrent het gebruik van de ICT-infrastructuur en van de e-mailaccount van de werkgever. In dat advies bevestigde de GBA al dat een werkgever vrij het internet- en e-mailgebruik van zijn werknemers mag beperken, door het invoeren van een internet- en e-mailpolicy volgens de voorwaarden van de nationale cao nr. 81.
Indien een werkgever een goede e-mailpolicy heeft, is de werkgever dus wel meester van de situatie. Een goede e-mailpolicy bepaalt dat het professionele e-mailaccount enkel bestemd is voor professionele doeleinden. Professionele e-mails moeten daarbij bewaard worden op een wijze zodat enkel bevoegde personen er toegang tot hebben en dit op een technisch veilige manier. De consultatie van een professionele e-mail veronderstelt steeds een wettige doelstelling. Ten slotte moeten er ook bewaartermijnen voorzien zijn. Proportionaliteit en transparantie zijn hierbij kernbegrippen.
Een organisatie die een dergelijke e-mailpolicy heeft, mag er dus van uitgaan dat het professionele e-mailaccount enkel professionele e-mails bevat.
Evident moet dan nog met redelijkheid worden gehandeld: als er in de e-mailaccount toch berichten zouden zijn opgeslagen die manifest geen professionele connotatie hebben (bv. omdat de afzender ervan duidelijk een partner of familielid is) moet de werkgever er zich nog van onthouden om kennis te nemen van deze berichten.
Wanneer een e-mailaccount met professionele e-mails is afgesloten, wegens het vertrek van een medewerker, kan de organisatie de opgeslagen e-mails verder verwerken, maar ook dan moeten de basisbeginselen van de AVG verder gerespecteerd blijven, omdat ook professionele e-mails persoonsgegevens bevatten van de ex-medewerker. Om in lijn te handelen met de AVG, moet de werkgever als volgt handelen:
De afgesloten e-mailaccount met de daarin opgeslagen berichten wordt afgesloten en op een veilige wijze bewaard. Enkel een beperkte kring van aangewezen personen verkrijgt de bevoegdheid om de opgeslagen berichten desgevallend te consulteren en verwerken.
De aangeduide personen mogen de bewaarde e-mailaccount enkel consulteren indien daarvoor een legitieme reden is, bv. voor de opvolging van welbepaalde dossiers.
Bij het doorzoeken van de bewaarde e-mailaccount wordt proportioneel gehandeld, bv. door gebruik te maken van relevante zoektermen.
De afgesloten e-mailaccount en de daarin opgeslagen berichten worden niet langer bewaard dan nodig in het licht van de doelstelling. Bv. indien een bedrijf een garantie op haar producten geeft van 3 jaar, zal de bewaartermijn van de e-mailaccount van een ex-verkoper voor die periode verantwoord kunnen zijn.
Contacteer Hanne Gielens voor meer info.