Roland van Hierden - Financieel Directeur ICT Concept: Er zijn diverse redenen te bedenken waarom een werkgever inzage wil hebben in de mailbox van een medewerker. Vaak zijn deze redenen onschuldig, denk aan het waarnemen van iemands e-mail tijdens een vakantie of ziekte. Er kunnen echter ook andere redenen zijn waarom een werkgever toegang wil tot de mailbox van een medewerker. Zo wil een werkgever in geval van een arbeidsrechtelijke procedure, een verdenking van fraude of gewoon uit nieuwsgierigheid in e-mailboxen kijken. Maar mag een werkgever zomaar in de e-mails van een medewerker kijken?
Zakelijke e-mail valt in het privédomein van de medewerker
Op grond van het Europees Verdrag voor de Rechten van de Mens1 heeft iedere persoon recht op privacy. Het Europees Hof voor de Rechten van de Mens heeft in 20072 beslist dat het e-mailverkeer op het werk ook valt onder deze wettelijke bescherming.
Ondanks dat het de werkgever is die de mailbox ter beschikking stelt aan de medewerker, kan het inzien van de e-mailbox van een medewerker door de werkgever dus een inbreuk opleveren met het recht op privacy van de betrokken medewerker. Dit betekent echter niet dat de werkgever nooit de mailbox van een medewerker mag inzien.
Algemene verordening gegevensverwerking (AVG)
In de mailbox van een medewerker kunnen privacygevoelige gegevens staan, denk hierbij aan loonstroken of functioneringsgesprekken. Nu de mailbox van een medewerker onder de bescherming van het recht op privacy valt en zich hierin persoonsgegevens bevinden, is de AVG van toepassing.
Een verzoek tot inzage in de mailbox van een medewerker mag dus niet zomaar gehonoreerd worden. Een ICT-dienstverlener zoals wij, ICT Concept, mag dan ook niet zonder nadrukkelijke instemming van de betrokken medewerker een ander toegang geven tot ‘zijn of haar’ mailbox. Hier staan strenge sancties op. Dit alles is ook vaak vastgelegd in de verwerkersovereenkomsten die u met uw dienstverlener sluit.
Wanneer mag een mailbox van een medewerker wel ingezien worden?
Er dient een wettelijke grondslag aanwezig te zijn waarop het verzoek aan ICT Concept om een verwerking te doen gebaseerd is. De Artikel 29-werkgroep3 heeft in 2017 voor werkgevers een advies geschreven over gegevensverwerking op het werk.4
Samengevat mag een werkgever de mailbox inzien als aan de volgende voorwaarden is voldaan:
• de werkgever dient de medewerker vooraf in kennis te stellen dat zijn correspondentie kan worden gecontroleerd;
• de werkgever moet onderzoeken hoe ver de controle gaat en of de controle een inbreuk oplevert met het recht op privacy van de medewerker;
• de werkgever dient gegronde redenen te hebben waarom hij de mailbox van de medewerker wil controleren of inzien;
• de werkgever dient te onderzoeken of er minder ingrijpende methoden en maatregelen aanwezig zijn waarmee de werkgever zijn doel ook kan bereiken;
• de werkgever dient de gevolgen voor de medewerker af te wegen. Hierbij dient de werkgever erop bedacht te zijn dat de resultaten van het inzien van de mailbox alleen gebruikt mogen worden voor het doel waarvoor de mailbox werd ingezien. Bijvoorbeeld in geval van het onderzoek omtrent bedrijfsspionage. In dat geval mag alleen onderzocht worden of er sprake is van bedrijfsspionage. Als in de mailbox zaken worden aangetroffen die zien op seksuele intimidatie mag dat niet gebruikt worden voor een eventueel ontslag;
• de werkgever dient waarborgen getroffen te hebben die het recht op privacy beschermen.
We raden organisaties aan om in de huisregels een hoofdstuk over informatiebeveiliging en privacy op te nemen, waarin afspraken rondom dit soort zaken worden geregeld. Deze afspraken moeten dan uiteraard nog wel in lijn zijn met de geldende wetgeving, maar het geeft aan zowel medewerker als werkgever in ieder geval een duidelijk overzicht van wat er wel en niet met de mail kan gebeuren.
1Artikel 8 EVRM.
2EHRM 3 april 2007, ECLI:CE:ECHR:2007:0403JUD006261700.
3De Artikel 29-werkgroep was een adviesorgaan dat adviseerde omtrent privacywetgeving. Op 25 mei 2018 os de EDPB opgericht. De EDPB volgt de Artikel 29-werkgroep (Working Party 29, WP29) op. Met de komst van de EDPB is de WP29 opgeheven. De European Data Protection Board (EDPB) is een orgaan waarin alle nationale privacytoezichthouders uit de Europese Unie samenwerken bij hun toezicht op de Algemene verordening gegevensbescherming (AVG).
4https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169.