Volgens mij mag dit wel. De data lijkt mij van het bedrijf en niet van de werknemer.
Daarnaast zijn ze uit dienst. Wanneer ik bij Microsoft 365 mensen verwijder dan heb ik direct de optie om bestanden en mail te delen met een collega zodat gegevens inzichtelijk blijven.

Nee, dat mag niet zonder dat je zeker weet dat er geen persoonlijke informatie meer in staat. En ja, je mag een zakelijk email adres voor persoonlijke zaken gebruiken, denk maar eens aan contact met een Arboarts.

Al eens naar gegoogled? Er is online genoeg over te vinden.
In sommige gevallen kan het zo zijn dat het belang van het bedrijf groter is dan het belang van de privacy van de medewerker, maar in sommige gevallen ook niet. De vraag is of toestemming hier als grondslag gebruikt kan worden, aangezien deze toestemming voor het uit dienst gaan gevraagd zal worden (neem ik aan). Er is een afhankelijkheidsrelatie tussen werknemer en werkgever en dan kan toestemming niet vrijelijk worden gegeven, dus dan voldoet die niet aan de richtlijnen in de AVG.

Arnoud heeft hier in 2010 antwoord op gegeven voor ingebruikname van GDPR dat wel.
https://www.security.nl/posting/30355/


Onderstaand verkort onze huidige procedure.
Werknemers mogen tot een zekere mate gebruik maken van werk faciliteiten voor privé zaken echter de faciliteiten zelf zijn en blijven eigendom van de werkgever en zijn niet overdraagbaar. Daarnaast zijn er ook uitzonderingen mogelijk als de opslag locatie adres gevoelig genoeg wordt beschouwd en de werknemer van te voren op de hoogte is geweest van enige beperkingen.

Werknemers dienen de kans te krijgen bij vrijwillig of gedwongen uit dienst gaan om enige privé zaken te verwijderen uit de toegestane opslag locaties waarna de gekoppelde locaties worden overgedragen aan een opvolger of in bewaring wordt genomen actief of inactief door IT Beheer.

Vanaf moment en tekenen van de werknemer met betrekking tot het uit dienst gaan geldt een 14 dagen bedenkttijd dat de gebruiker nog eenmalig een aanvraag kan doen voor ondertoezicht verkrijgen van privé informatie. Hierna is er geen mogelijkheid tot verdere aanvraag.


Om een voorbeeld te geven mijn persoonlijke inbox heb ik toestemming om privé zaken over te regelen echter als ik dat vanaf de aan mij toegekende adres doe voor registrar communicatie, abuse meldingen kan ik onder geen beding aanspraak maken op ontvangen van enige kopie van de data bij uit dienst treden. Daar heb ik overeenkomst voor afgesloten bij het overnemen van de box toegang als manager.

Bij het afronden van een uit dienst treding zetten we een auto responder op die eenmalig naar versturende adressen bericht geeft van het uit dienst treden van de oude gebruiker en indien de werknemer dit wou alternatieve contact informatie vertoont. Hierna moet de versturende partij op de hoogte zijn dat enige gecommunceerde nieuwe informatie onder ogen komt van anderen.


Bij het wel dan niet opzettelijk verstoren van toegang tot werk gerelateerde data zijn de herstel kosten te verhalen op de gebruiker. Met andere woorden als we kunnen aantonen dat er wel mails zijn verwijderd gekopieerd waar de gebruiker geen enkele auteurs recht op had tijdens een arbeids conflict sturen we de rekening door alsmede bij ernstige incidenten aangifte bij politie.

Als jij dit zou moeten uitzoeken, kan het zijn dat jij dan niet de juiste persoon bent om dit te doen?

Dit!
Alleen privacy van de gebruiker gaat in de praktijk meestal voor op het belang van de organisatie.
Dat betekend dus dat er echt een hele gegronde reden moet zijn om de toegang te verantwoorden, zoals beveiligings incidenten.
Als de medewerker in dienst is en men vermoedt ongewilde activiteiten, dan zal men ook eerst moeten melden aan de medewerker dat zijn e-mail gemonitoord wordt. Pas daarna mag men echt monitoren. Anders zou het simpelweg bespioneren zijn.

Achteraf is dit altijd een beetje moeilijk. Maar als je het vooraf bij onboarding in het contract/programma zet sta je een stuk sterker als werkgever. Bij offboarding is dan ook zaak om aan te geven dat persoonlijke berichten moeten worden verwijderd.

Arnoud heeft daar meerdere keren in zijn blog https://blog.iusmentis.com/ over geschreven en waarschijnlijk vind je hier op security.nl ook een paar artikelen daarover.

Kort samengevat: Een werk mailbox is geen privé mailbox, de redelijke verwachtingen m.b.t. privacy zijn lager. Een bedrijf kan in werkinstructies vastleggen onder welke voorwaarden werknemers de mailboxen van andere (ex)werknemers mogen inzien. Een regeling dat er een collega aangewezen wordt om werk e-mails te beantwoorden bij langdurige ziekte is voor een bedrijf heel zinvol. Zet dan ook in de instructie dat privé e-mails door de vervanger vertrouwelijk behandeld dienen te worden.
Hoogst waarschijnlijk mag een OR nog zijn zegje doen over deze instructies.

Als je je werk e-mail gebruikt voor vertrouwelijke contacten met de Arbo arts die niet later nog bekend mogen worden bij de werkgever, dan ben je wel HEEL erg dom bezig...

De werkgever kan aan werknemer opdracht geven relevante zakelijke emails in een andere mailbox te deponeren.

Andere oplossingen falen vanaf begin al. Zoals de verwachting van minder privacy. Dat is gewoon niet zo, je hebt als gebruiker/werknemer als enige toegang tot je persoonlijke mailbox. Het woord zegt het al: persoonlijk. Dat is niet mis te verstaan.

De werkgever dient dus te faciliteren dat zakelijke mail elders kan worden geplaatst.

De werknemer moet voor ingebruikname worden ingelicht zodat die er rekening mee kan houden. Het vragen om toestemming om mailbox te delen (vooraf) bij uit dienst gaan is niet correct te doen, omdat er geen mogelijkheid is voor vrije keuze als nieuwe werknemer.

De werknemer moet altijd voorafgaand aan uitdiensttreding ruime gelegenheid hebben persoonlijke emails te verwijderen.

Wat ik via een procedure heb geregeld in mijn organisatie is dat de manager, van de voormalige medewerker, een medewerker aanwijst die de mailbox tijdelijk aan zijn/haar account gebonden krijgt nadat een vertrouwenspersoon of een privacy officer eerst de mailbox heeft geschoond van allerlei privé zaken zoals prive e-mails ed..
Alle zakelijke e-mail in de mailbox is daarna voor de betrokken afdeling beschikbaar. Dat proces werkt prima. Als je dat kunt afspreken en vastleggen in een produre, die je uiteraard laat vaststellen door de directie, dan heb je het ook geregeld.

Klopt, maar dit gaat niet over wat de werknemer beter kan laten maar over hoe de werkgever met die mailbox om moet gaan nadat de werknemer weg is. Ook als een werknemer niet zo verstandig was dan zijn privémails nou eenmaal privémails en mogen anderen die niet zomaar gaan inzien.

Een simpele wedervraag:
Ben jij jurist of juridisch geschoold?

Is het antwoord NEE, dan is de vraag door de klant aan de verkeerde persoon gesteld. (no offence intended)
Hun eigen juridische afdeling of hun functionaris gegevensbescherming zou dit moeten weten of kunnen uitzoeken.

Is het antwoord JA, dan zou je de vraag niet hoeven te stellen.
Dan weet je waar je de informatie kunt vinden of navragen.



Dit las ik met gekromde tenen.

Dan heeft dit bedrijf namelijk haar procedures niet op orde.
Relevate communicatie hoort in het betreffende dossier of zaak te zitten (liefst in een electronisch archief als het dossier/zaak/etc afgehandeld is). Dan is het voor alle geutoriseerde medewerkrs in te zien. De mailbox van een medewerker die op elk moment kan verdwijnen, is geen archief of dossierbbak. Of hoort het bij een professiooneel bedrijf niet te zijn.

Dat ze mailboxen willen doorzoeken NADAT de medewerker vertrokken is, is gewoon veel te laat.
Dat zou niet nodig hoeven te gebeuren als de medewerkers hun werk goed doen en de procedures op orde zijn.

Dat dit een keer gebeurd is, kan natuurlijk. Maar dan hoor je je procedures meteen aan te passen zodat het niet nog een keer gebeurt.
Uit je vraag klinkt het echter alsof het met schering en inslag gebeurt.
Dan is niet de oplossing om permanent alsnog rond te gaan neuzen in oude mailboxen, maar je archief en dossier vorming op orde te brengen.
(Wat weer een andere tak van sport is)


Ik zou de opdracht terug geven aan de klant en die eerst zijn huiswerk laten doen.

Dat zal wel prima werken, maar het voldoet niet aan de (geest van de) AVG.

Kun je jouw antwoord motiveren? Die werk mailbox is bedoeld voor bedrijfszaken, niet voor vertrouwelijke privézaken.

Jij hebt vast nog nooit bij een echt bedrijf gewerkt... je weet wel, waar echte mensen werken, waar budgetten beperkt zijn, en waar niet iedereen IT'er EN tevens jurist is.

Zelfs al heb je alles nog zo mooi voor mekaar met een goed CRM pakket aangevuld met software voor de branche en doe je in principe alle mail vanuit gedeelde functionele mailboxen, dan nog kun je niet voorkomen dat er met medewerkers persoonlijk gecommuniceerd wordt. En sommige medewerkers vinden ook dat ze alleen kunnen werken als ze een op een communiceren met externe partijen (accountmangers enzo).

Maar het is niet uitgesloten. Maak daarom goede afspraken voordat de werknemer vertrekt en laat hem zijn mailbox opruimen van privespul. Een werkgever kan en mag in deze tijd niet eisen dat die mailbox uitsluitend voor werk wordt gebruikt, net zo min als hij kan eisen dat je geen niet-zakelijke websites bezoekt. Daarover is voldoende jurisprudentie.

Ik ken de weerbarstige praktijk met haar prima donna's en koninkrijkjes heel goed.
Vooral accountmanagers en verkopers hebben daar een handje van. De egotrippers die zichzelf heeeel bijzonder en uniek vinden. leidinggegevenden kunnen dat ook goed.
Ze denken altijd dat regels en afspraken voor hun niet gelden. Dat zij hun eigen ding zonder consequenties kunnen bliijven doen. Of dat dan een archief opbouwen in hun eigen mailbox is (bv 100.000 mailtjes in een ondoorgrondeijke mappenstructuur, waar ze zelf ook niets meer in terug vinden), of op papier in hun tas/auto/bureau thuis. Ik heb het de afgelopen decennia regelmatig wel eens langs zien komen.

Maar het zijn altijd de gastjes die zich zo gedragen die uiteindelijk de meeste problemen voor hun werkgever veroorzaken.
want als je ze wijst oop zaken als burnout, ziekte, vakantie, vertrek, dan kan dat hun noooooit overkomen. :-)
Tot het wel gebeurt, en hun collega's de brokstukken moeten zien te reconstrueren.

Dat werknemers alleen op hun manier kunnen werken, en niet op de manier zoals afgesproken op kantoor, is natuurlijk absurd. Ze zijn niet thuis of aan het wwerk in hun iegen eenmanszaakje.

(Hier een andere reaguurder)

@anonieme reaguurder 10.41 van vandaag:


Lees deze pagina eens helemaal door:

https://www.snijders-advocaten.nl/actueel/avg-controleren-van-het-e-mailaccount-van-werknemers/

Dat het een werkmailbox is, betekent niet dat de werkgever daar ongelimiteerd zomaar in mag rondneuzen. Zelfs niet met toestemming van de werknemer. En die kan in dit geval niet eens gegeven worden.
Verder gaat het niet om 1 mailbox, maar blijkbaar om veel of "0alle" mailboxen van vertrokken werknemers.

Om AVG conform te werken, hoort een werkgever niet structureel (achteraf) in mailboxen lopen te speuren naar ontbrekende communicatie.
Dan gaat er bij dat bedrijf in eerder stadium al veel meer fout.

https://www.juridict.nl/juridict-nieuwsartikel/wanneer-mag-een-werkgever-in-de-mailbox-van-een-werknemer-kijken/


Er kunnen omstandigheden zijn waardoor de werkgever toegang heeft tot de mailbox van de werknemer

Maar dat is dan de uitzondering op de regel, dat hoort niet (onaangekondigd) de standaard actie van de werkgever te zijn.

maak een submap 'prive' waar alle prive mail die je wilt bewaren in komt. bij uit dienst gaan kopieer je het naar een pst die je meeneemt en de map 'prive' wis je.

Er zitten twee kanten aan: hoe gaat een werknemer het beste ermee om, en hoe gaat een werkgever het beste ermee om. Jij hebt het over het eerste, de vraag ging over het laatste. Hoe verstandig de werknemer ermee omgaat verandert niets aan de zorgvuldigheid die de werkgever moet betrachten. Die kan er namelijk niet van uitgaan dat de werknemer hier perfect in was.

Bedenk dat er privémails tussen werknemers worden uitgewisseld. Wat niet over werk gaat is privé. Ik heb in het centrum van een grote stad gewerkt waar nagenoeg iedereen lopend, op de fiets of met het OV naar het werk kwam. Nog moeten autorijden was geen belemmering en dus gingen daar regelmatig mailtjes rond om gezamenlijke kroeg- of eetafspraken voor na het werk te maken. En wat dacht je van voetballiefhebbers die tijdens de competitie wedstrijdjes gaan organiseren over wie de uitslagen het beste weet te voorspellen? De inhoud van dat soort e-mails is helemaal niet spannend, maar het is geen werk, en dus privé, en valt dus wél onder de AVG. En als er liefdes opbloeien op de werkvloer (en reken maar dat dat voorkomt) kan er opeens van alles in een mailbox staan waar anderen echt geen donder mee te maken hebben, en niemand hoeft daarvan op de hoogte te zijn. Bedenk ook dat zat werknemers niet erg georganiseerd zijn met hun mail, die hebben een joekel van een inbox waar alles in staat en die zoeken en sorteren wel om dingen te vinden.

Je kan nog zulke goede adviezen hebben voor de werknemer, de werkgever kan er niet van uitgaan dat er geen privémails tussen de werkmails staan, en moet daar dus heel voorzichtig mee omgaan. Daar gaat de vraag over.

En hoe ga je die map 'prive' van je mailbox bij uit dienst gaan uit de backup(s) verwijderen? :-)

En hoeveel zjin secuur genoeg om dat ook te doen met hun verzonden items?
In de praktijk is het gewoon een zooitje.

Als bedrijf wees gewoon zo slim om je IT afdeling te faciliteren met een tweede domein en iedere werknemer een gratis privé account te geven daaronder die ze mogen gebruiken voor dingen buiten werk maar wel kunnen connecten in hun bedrijfs MUA.

Vervolgens geen gezeik bij wisseling van enige wacht. Je kunt nog steeds beperkingen opleggen qua MIME types, beperking bijlage grote em vookomen van bulk verzending alsmede blokkering van mailing naar klant en of zakelijk domeinen van het bedrijf via een bijgehouden centrale blacklisting met auto responder dat zakelijke mail verboden is om te verwerken binnen het prive account.

Daarbij neem je in de overeenkomst op dat alle mail die via het bedrijfs zakelijk account gebeurt ten alle tijden eigendom is van het bedrijf en zet er bij (waar je ze ook voor laat tekenen dat ze dus een gescheiden gratis prive account hebben waar niemand buiten hun om in kan en ze binnen de huisregels onbeperkt gebruik tijdens contact duur mogen maken en alles erin eigendom van hun is en na vertrek mogen meenemen.

Dan heb je er alles aan gedaan om de boel gebruiksvriendelijk gescheiden te houden en bij enig arbeidsconflict met betrekking tot opslag en inzage prive mail op het zakelijk account moet je wel een hele rare rechter tegenkomen die je ongelijk geeft dat de werknemer nog enig recht tot het doorspitten heeft van het zakelijk account naar prive data en opvolgend kopieren ervan. Je hebt geen gezeik bij langdurig verlof, collega die het over moet nemen of bij verzoek van supervisor inzage in de zakelijke mail.

Ach waarom, laat de mensen voor prive mail gewoon hun eigen telefoon gebruiken of een gmail of ander webmail account via de webbrowser van het werk. Dan hoef je verder niks te faciliteren en ben je nergens verantwoordelijk voor, en kun je ook niks inzien.
Ik kan mijn eigen webmail gewoon lezen op het werk. Zonder dat er daar wat opgeslagen wordt anders dan de history dat ik naar die site geweest ben.

Ooit van data exfiltratie gehoord? Webmail is daar een prima middel voor. Dus nee. Geen webmail in omgevingen die ook maar iets vertrouwelijks hebben.

Ook al is het voor bedrijfszaken, dan nog is het prive. Dan moet je een afd mailbox openen om te delen. UIt dienst betekent verwijderen in zijn geheel. Dan moet de werkgever de tijd nemen om het over te dragen terwijl men nog in dienst is. Logisch toch. IK heb bij een werkgever gewerkt die (directeur) ongevraagd in mijn inbox keek terwijl ik nog in dienst was. IK vermoed dat dit vaker voorkomt.

Helaas zal dat inderdaad gebeuren maar het mag simpelweg niet.
Als beheerder heb je de plicht dit te melden en als het al gebeurd is heb je een rapportage erover te schrijven naar een FG of DPO en CSO naast dat de getroffene zelf ingelicht moet worden over het datalek.

Dat iemand een directeur is of andere hoge functie heeft geeft ze geen enige extra bevoegdheden op wetgeving.

Alleen werkgerelateerd is ook prive. Het gaat de werkgever niks aan hoe ik communiceer met mijn klanten. Het is not done om in inboxen van medewerkers te gluren. Toen ze op de wc ook niet toch?

ALs een directeur adminrechten heeft zegt het al genoeg. Wegwezen.

Je kunt je niet wapenen tegen medewerkers die je bedrijfsdata willen stelen. Je kunt hooguit DENKEN dat je dat kunt.

Het zijn niet jouw klanten, het zijn de klanten van de werkgever en vertegenwoordig jij in die communicatie je werkgever. Als jij toezeggingen doet en afspraken maakt dan moet de werkgever dat kunnen nagaan, die afspraken houden niet op te gelden als jij weg bent. Dat is niet privé, dat is werk. Je kan stellen dat dat werk niet goed gedaan is als het aankomt op wat er nog in de mailbox van een oud-werknemer teruggevonden kan worden, maar wat moet je met de mailbox van iemand die nou juist weg is omdat die een potje van dit soort dingen maakte?

Je produceert geen mengsel van werkgerelateerde en privédrollen, wat je op de wc doet is strikt privé. Mailboxen van werknemers kunnen wel degelijk zowel werk- als privémails bevatten.

Weer z'n zolderkamer fantast die verzint wat ie zou doen als ze hem bedrijfsdictator maken.

"ook maar iets vertrouwelijks" - gewone administraties met klant/werknemersdata kunnen echt wel bij hun webmail hoor.

Je moet waarschijnlijk naar trading desken of staatsgeheim gaan voordat een werkplek zo hard dichtgetimmerd zit.

Vwb dat laatste: dan heb je (hopelijk) als werkgever een uitzondering te pakken. Dan laat je hem dat weten bij zijn ontslag/vertrek dat die mailbox gecontroleerd gaat worden.

Dan terug naar de originele case:
Als je als werkgever toestaat dat je personeel zich niet aan de procedures en werkafspraken houden, door alleen de mailbox te gebruiken als opslag en archief voor werkgerelateerde communicatie met klanten (wanneer welke afspraken gemaakt zijn, opdrachten, contracten, issues, etc) dan gaat daar iets fout.
Dan is niet de oplossing alsnog na vetrekt onrechtmatig in die personen hun mailbox te snuffelen naar ontbrekende informatie. Daar los je je eigenlijke probleem niet mee op.
Namelijk dat je personeel er een zootje van maakt. Of nog erger, de werkgever zelf die zijn bedrijfsvoering niet op orde heeft. Daar moet dan aan gewerkt worden.

Als ik als klant erachter zou komen dat er zo slordig gewerkt werd bij een leveranier, dan zou dat een reden zijn om op zoek te gaan naar een andere leverancier die zijn zaakjes wel op orde heeft.

Mijn 5 ct.

Je kletst. Wat gedeeld moet worden, wordt doorgesproken met collega's en wat afgesproken is wordt vastgelegd op een afgesproken plek en dat is niet in iemands prive folder! tenzij dat met iemand is afgesproken. Jij hebt duidelijk niets met privacy! Door mensen zoals jij krijg je dat mensen eigen email boxen gebruiken zoals gmail en hotmail etc ook voor werk gerelateerde zaken. Ik zou dat zo wie zo doen want Microsoft 365 scant je inbox. Je krijgt als verdachte ook een mail als je te veel email in 1 keer weggooit.

Nogmaals: Een mailbox is geen archief. Ook niet voor prive mails.

Alles regelmatig in kleine stukjes opruimen, en belangrijke wwerkgerelateerde mails en bijkage op de afgesproken plek op het hetwerk of in het crm/archief programma of dossier opslaan.

Je hebt geen mailboxen van 100den megabytes-grootte nodig.
"De jeugd" is teveel verwend geraakt aan goedkope opslagruimte.
Ooit moest je het maar doen met een werk-mailbox(je) van maximaal 50 MB (of kleiner).
Toen leerde je nog opruimen en afspraken volgen.

Zolderkamer fantast? Je heb nog nooit in het echte bedrijfsleven gewerkt blijkbaar. Iedere financiële instelling heeft hiermee te maken. Ieder productiebedrijf heeft hier mee te maken, je wilt toch niet dat je verkopers weglopen met je klanten lijst? Je wilt toch niet dat je concurrentie voorzien wordt van bedrijfsvertrouwelijke gegevens? Je wilt toch niet dat strategische informatie wordt gedeeld? Je wilt toch niet dat ransomware data naar buiten kan sturenNee, als er iemand een zolderkamer fantast is dan ben jij het wel. Je hebt geen idee van de werkelijke wereld. En ja, ik was degene die de opmerking over ontoegankelijk maken van webmail schreef.

Er is niet voor niets de opmerking dat het MKB totaal niet begrijpt wat de huidige wereld aan beveiliging eist. Jij bent daar een prima voorbeeld van. De wereld is niet lief. Internet is niet lief.

Elke user mail (werk) account is prive! waar jij zelf verantwoordelijk voor bent en waar de baas niks te zoeken heeft, ook niet als je uit dienst bent. Het heet niet voor niks user. Voor een groepsaccount is dat anders maar ook die hebben een eigenaar die verantwoordelijk is. In de inbox van een ex medewerker neuzen (gefaciliteerd door bange IT'ers) gebeurd alleen bij waardeloze bedrijven die geen uitdienst procedure zonder overdracht hebben.

Zoals er staat mag het enkel en alleen als de werknemer op de hoogte is dat het kan gebeuren.

Ik heb op een ruim aantal plaatsen in het bedrijfsleven gewerkt - ook enterprise -, en daar werd jouw policy niet toegepast.

Vandaar dat ik (nog steeds) denk dat je een fantast bent die verzint wat jij ZOU WILLEN DOEN als ze jou bedrijfsdictator maken, maar niet iemand die ook op een plek zit en dat voor elkaar heeft kunnen krijgen.

Ik sluit echt niet dat er plaatsen zijn waar het gedaan wordt - sterker , in voldoende extreme gevallen verwacht ik het - maar de norm kun je het echt niet noemen.
En dat risico van verkopers of concurrenten die de data naar zichzelf mailen lopen ze gewoon.



Dit forum zit vol met scholieren (ja, HBO is school) die verzinnen wat zij allemaal zouden willen doen.
En de wereld zit ook vol verongelijkte security nerds die boos zijn dat er niet naar ze geluisterd wordt - totdat ze leren dat de business de beslissingen maakt en zij maar één van de inputs of stakeholders zijn, en niet per definitie de belangrijkste.

Een werk-email account wordt door de werkgever ter beschikking gesteld ten behoeve van de werkzaamheden. De vraag is "Hoe houden we continuïteit in onze bedrijfsprocessen als een van onze medewerkers onverwacht afwezig is?" Het kan gebeuren dat een van de verkopers door een dronken bestuurder van de weg wordt gereden en daardoor een week of zes arbeidsongeschikt is. Het zou voor het bedrijf handig zijn als zijn collega's emails van klanten kunnen beantwoorden gedurende zijn afwezigheid.
Dit is iets anders dan ongericht neuzen in de email van de werknemer, er wordt gericht gezocht naar nog af te handelen zakelijke emails. En ja, het is mijn mening dat je privé en werk gescheiden moet houden, zeker in je email.

Hoe ga je dat doen als de werknemers al met de noorderzon vertrokken zijn?

Zoals al eerder gemeld, dat soort zaken staat in een bedrijfsreglement of werkinstructie die de werknemer op zijn eerste werkdag in handen krijgt.

Je dient je beleid voor de werkelijke in diensttreding op orde te hebben. Als je halverwege dit gaat implementeren dan moet je als je GDPR exact wilt volgen de data erachter deleten van de gebruikers die nooit hebben ondertekend en geen relatie meer hebben met het bedrijf. Dit zijn standaard zaken die Personeelszaken hoort op te pakken met IT beheer of CISO als die aanwezig is.

Dit moet trouwens al jaren. De GDPR heeft enkel ondernemers wakker geschud en het recht van de data eigenaars verbreedt op inzage, herstel, verwijdering. Maar de basis regel van toestemming was er al jaren.

Laat het wel duidelijk zijn dat er genoeg bedrijven zijn die 'juristen' in dienst hebben die zelf de weet niet eens kennen. Dit heb ik vaak genoeg teruggezien in o.a. contracten. Je kan wel iets in een contract zetten maar dat hoeft niet te betekenen dat het bindend is als het niet aan de wet voldoet. Ook als je er een krabbeltje onder hebt gezet.