Menu
De Groote – De Man

Mag je mailboxen van ex-medewerkers blijven gebruiken?

GDPR
9 september 2021

Een onderneming mag het professioneel e-mailadres van haar medewerker niet zomaar in gebruik houden nadat de persoon in kwestie de onderneming heeft verlaten. In een recente beslissing heeft de Gegevensbeschermingsautoriteit (GBA) een boete van 15.000 euro opgelegd aan een KMO die niet tijdig was overgegaan tot het afsluiten van de e-mailadressen en de daaraan gekoppelde mailboxen van voormalige medewerkers. De GBA heeft in haar beslissing zelf meteen toegelicht hoe ondernemingen wél op correcte wijze om kunnen gaan met de e-mailadressen en mailboxen van vertrekkende medewerkers.

Feiten

Een KMO in de medische sector, die op het moment van het onderzoek van de GBA iets meer dan tien personen in dienst had, bleef aanhoudend gebruikmaken (tot in 2019) van het voormalig professioneel e-mailadres van een gedelegeerd bestuurder, hoewel deze reeds eind 2016 uit zijn functie was getreden. Het ging om verschillende e-mailadressen gecreëerd door de onderneming die enkel zijn voornaam of zowel voornaam als achternaam bevatten. In de mailboxen van de man bevond zich vertrouwelijke informatie van zowel professionele aard als privé-aard. Bovendien strekte deze praktijk van de onderneming zich uit tot de e-mailboxen van de echtgenote, vader en broer van de man, die vroeger ook werkzaam waren geweest in de onderneming.

De onderneming liet na om de afzenders van de berichten te informeren dat de mailboxen in kwestie niet langer beheerd werden door de personen op wiens naam zij stonden. De berichten werden wel automatisch en zonder medeweten van de afzenders doorgestuurd naar een ander e-mailadres dat toebehoorde aan de onderneming.

Volgens de GBA bestaat er alzo een reëel risico dat vertrouwelijke informatie van zowel ontvanger (de vertrokken medewerker) als verzender (die misschien niet op de hoogte is van het vertrek) terechtkomt bij personen voor wie deze informatie niet bestemd is. De GBA keurt deze werkwijze dan ook formeel af.

Schending GDPR

De GBA legt trouwens verschillende pijnpunten bloot bij het aanhouden van de e-mailadressen door de onderneming. Zo acht de GBA deze praktijk in strijd met fundamentele principes van de GDPR zoals o.m. de rechtmatige verwerking, minimale gegevensverwerking, doelbinding en opslagbeperking.

De onderneming wierp hier tegen op dat zij geen belangrijke professionele berichten wenste te verliezen. De betrokken personen vervulden namelijk sleutelposities in de onderneming en er was bij het (abrupte) vertrek geen overdracht van lopende dossiers gebeurd. Deze argumenten konden de GBA evenwel niet overtuigen.

De GBA legde de onderneming bijgevolg een boete van 15.000 euro op, samen met de verplichting om in een beleid te voorzien omtrent het afsluiten van de mailboxen van voormalige bestuurders, werknemers en enige andere medewerkers.

Aanbevolen werkwijze

Opvallend is dat de GBA daarnaast in haar beslissing zelf een concrete werkwijze aanreikt die zij in overeenstemming acht met de privacyregelgeving. Concreet stelt de GBA de volgende werkwijze voorop:

De mailbox moet in principe uiterlijk op de datum van vertrek van de betrokken medewerker worden afgesloten, nadat de betrokken hiervan op de hoogte werd gebracht. Gedurende een redelijke termijn na deze datum, mag de onderneming wel nog gebruikmaken van een automatische antwoordmail waarin staat vermeld dat de betrokken persoon niet langer aanwezig is binnen de onderneming. Dit bericht kan eventueel de nieuwe contactpersoon binnen de onderneming of het generieke e-mailadres van  de onderneming vermelden zodat de afzenders te weten komen tot wie zij zich voortaan kunnen richten.

Als “redelijke termijn” acht de GBA over het algemeen een periode van 1 maand vanaf het vertrek van de betrokken persoon aanvaardbaar. Afhankelijk van de context en in het bijzonder door de graad van verantwoordelijkheid verbonden aan bepaalde functies zou in bepaalde situaties toch een langere termijn verantwoord kunnen zijn, voor zover de mailbox nooit nog langer dan 3 maanden na het vertrek van de betrokken persoon blijft bestaan. De onderneming is wel verplicht om een verlenging van de termijn van 1 maand grondig te motiveren.

Hierna dient de onderneming het account definitief af te sluiten en volledig te verwijderen. E-mails die noodzakelijk zouden zijn om de goede werking van de onderneming te verzekeren, kunnen enkel nog worden gerecupereerd vóór het vertrek van de betrokken persoon en in diens aanwezigheid.

De bovenstaande werkwijze is uiteraard slechts een onderdeel van alle relevante GDPR-bepalingen die de onderneming op HR-vlak moet naleven en die evenmin uit het oog mogen worden verloren. Zorg er dus voor dat zowel de hierboven beschreven werkwijze als alle andere GDPR aandachtspunten nauwkeurig staan beschreven in de privacy policy en/of arbeidsreglement van de onderneming.

Naast deze zeer specifieke aanbeveling, stelt de Gegevensbeschermingsautoriteit op haar website ook een themadossier beschikbaar. Hierin geeft zij antwoord op vragen die vanuit privacy-perspectief rijzen omtrent de aanwerving van kandidaten, elektronisch toezicht op de werknemers (via o.a. camera’s), en het gebruik van sociale netwerken op (en buiten) de werkplek.

Zit uw onderneming zelf met vragen over hoe persoonsgegevens van de medewerkers te verwerken in overeenstemming met de privacyregelgeving? Contacteer dan gerust onze experten Privacy & IT die uw verplichtingen op een heldere manier uiteen kunnen zetten en u kunnen bijstaan bij de nodige praktische implementatie.

Geschreven door

Steven De Grave

Steven De Grave is Associate Partner en verantwoordelijk voor de afdeling Data, Tech & Entertainment.