Als er een grondslag is (niet toestemming), dan hoef je geen toestemming te vragen.
Als bedrijf is het denk ik niet zo moeilijk om een grondslag te vinden om een mailbox in te kijken voor bedrijfsbelang.

Bijvoorbeeld om bepaalde afspraken rondom een contractonderhandeling te weten als de ex-werknemer dit niet anders had gedocumenteerd, bepaalde belangrijke (werkgerelateerde) contactpersonen, enz.

Punt is dat een werknemer een werk-mailbox vaak ook (in beperkte mate) mag/kan gebruiken voor privé doeleinden. Dus bij het bekijken van de mailbox moet je redelijkerwijs dit soort mails negeren.
Ik denk dat in het beleid (security policy, of privacy statement voor werknemers, etc) iets opgenomen moet zijn over inzage in mailboxen, netwerkverkeer, iets van die strekking, zodat de werknemer kan weten dat het bedrijf met goede redenen inzage kan hebben.

Als je concreet juridsche advies wil dan is je enige optie naar een jurist gaan met je vragen.
Je gaat geheid hier alleen maar meer tegenstrijdige informatie krijgen en geen enkele waar ik als bedrijfsvoerder ooit mijn nek mee zou riskeren.

Dit is geen juridsche forum. Arnoud Engelfriet is de enige die hier gekwalificeerd voor is en controleerbaar qua kennis op dit moment. De rest hebben mogelijk wel kennis maar als je de fout in gaat en je verklaring is ik heb advies gevolgd van pietje73 op security.nl zie je de bui al wel hangen met mogelijke uitkomst.

Heeft de juridisch adviseur je vervolgens verkeerd advies gegeven dan kun je het op hem haar verhalen in sommige gevallen.

Ik begrijp niet wat hier zo ingewikkeld aan is.

De mailbox bij je werkgever is aan jou ter beschikking gesteld door je werkgever. Die mailbox is dus ook eigendom van je werkgever, hij is gewoon niet van jou. Die mailbox mag je evenwel voor privé doeleinden gebruiken maar dat is de keuze van de werknemer zelf.

Dat betekent niet direct dat je werkgever te pas en te onpas je (of eigenlijk hun eigen) mail mag inzien. Daar moet een aannemelijke reden voor zijn (redenen die nadelig kunnen zijn voor je werkgever). Als er een aannemelijke reden is om jouw mailbox (of eigenlijk de mailbox die je werkgever aan jou ter beschikking heeft gesteld) te doorzoeken mag dat.

Als jij die (door je werkgever ter beschikking gestelde) mailbox gebruikt voor privé redenen en je werkgever die mails onder ogen krijgt moet je niet zeuren. Het is de coulance van de werkgever dat jij hun mailbox voor privé doeleinden kan gebruiken.

Het eigenaarschap ligt bij de werkgever.

@Gisteren, 17:52 door Anoniem
Jouw visie is juridisch incorrect.

@Gisteren, 16:17 door Anoniem
Je sluit uit dat er een andere jurist bestaat die het forum bezoekt?

@Gisteren, 16:00 door Anoniem
Ik zou het iets anders opschrijven, maar grotendeels correct.


Niet als er een andere geldige grondslag is, maar de betrokkene moet wel zijn geïnformeerd.


Toestemming is een grondslag en die mag je vragen bij einde dienstverband, maar je zou dat bij het begin van het dienstverband moeten doen. De AVG vereist informatie vooraf.


Als er een andere geldige grondslag is, dan is toestemming niet nodig. De informatieplicht blijft echter.


Ja, zoals ik al schreef, die moeten zijn geïnformeerd. Hoewel je privacyvoorwaarden mag aanpassen, geldt dat voor toekomstige verwerking. Je kunt niet bijvoorbeeld verzamelde data gebruiken voor een ander doel dan waarvoor het is verzameld. Als de werknemer niet kan weigeren, is gegeven toestemming ongeldig.


Als daar persoonsgegevens (in de brede zin des woords, bijvoorbeeld een persoonlijke afspraak) in staan, geldt de AVG.


Uiteraard. Je mag daar niet eindeloos in blijven grasduinen.

------------------------

Opmerkingen:

Werkgevers kunnen werknemers de opdracht en middelen geven contractuele informatie en andere belangrijke zakelijke informatie in een functionele mailbox te plaatsen, dat is een structurele en organisationele oplossing. Dan is het alleen nog in uitzonderlijke situaties nodig om in persoonlijke mailboxen te kijken. Als deel van de uittredingsprocedure kan er opdracht worden gegeven om de mailbox door te nemen, persoonlijk mails te verwijderen en alsnog belangrijke mail in een functionele mailbox te plaatsen.

In de praktijk zul je zien dat er vaak wel toestemming wordt gevraagd om 'juridisch' veilig te zitten, Als er geen optie voor weigeren is, is de verkregen toesteming ongeldig.

Bij indiensttreding toestemming geven is de correcte (veiligste) vorm van toestemming. Dat is echter geen vrijbrief voor werkgevers, die mogen geen onredelijke eisen stellen. Bijvoorbeeld biometrische identificatie in een arbeidscontract opnemen als er alternatieven zijn. Dan is de gegeven toestemming ongeldig, als de rechter het met de Autoriteit Persoonsgegevens eens is.

Niet dezelfde anoniem, maar mbt tot het punt 'alleen Arnout' :

Er kunnen zeker meer juristen aanwezig zijn - maar Arnout - als 'vaste columnist' is de enige daarvan van wie credentials daaromtrent bekend en controleerbaar zijn.

Een anoniem - jij bijvoorbeeld - kan schrijven dat iets juridisch incorrect is. Of schrijven dat je jurist _bent_ . Als leek/lezer moet je dat maar aannemen, op je anonieme blauwe ogen.
Je kunt een account met een naam maken, en daar Mr voorplakken. Misschien ben jij het, misschien heb je die titel. Misschien ook niet. Misschien is iemand jurist maar in een ander specialisme . Dan nog weten ze waarschijnlijk de hoofdlijnen wel, maar als iemand vragen stelt die over de echte grensgevallen gaan heb je toch een specialist nodig.

Je kunt als leek maar in beperkte mate controlen of je expert iets zinnigs zegt - een jurist kan een hoop verwijzingen geven naar wetgeving, memorie van toelichting, uitspraken en op die manier (redelijk) controleerbaar maken dat er grond is voor wat "mag" of "niet mag" .
Maar serieuze beslissingen maken op grond van wat "zomaar een anoniem" roept op een forum is gewoon erg dom.

Ook een 'erkende' (kantoor, valide titel) jurist waar je als client advies aan vraagt kan fouten maken , maar die is dan tenminste aansprakelijk te stellen als het echt kunst-fouten zijn.

Arnoud heeft aandacht aan de vraag van de OP besteed:

https://www.security.nl/posting/843433/Is+er+toestemming+nodig+voor+toegang+tot+de+data+van+een+%28ex%29werknemer%3F

Mwao. Als je het vermoeden hebt een zeer ernstige malversatie op het spoor te zijn, iets strafbaars ofzo, dan lijken alle bovenstaande argumenten waarom het niet/wel zou mogen, juridisch aanvechtbaar, of anders verdedigbaar.

De mailbox wel maar de inhoud niet.
De werkgever mag niet zomaar je mail inzien, e-mail is prive ook al is het gebruikt voor werk.

Over het gebrek aan privacy bij het gebruiken van email, heeft Snowdon ons voorgelicht. Soms zit je als systeembeheerder bij een werkgever, anders wel als ZZP-er of gedetacheerd medewerker van ICT bedrijf als faciliteerder van computergebruik voor alle medewerkers bij het bedrijf waar je je diensten als ICT-er aanbiedt. Dit schept een juridisch kader voor handelen en de beoordeling daarvan, maar in de aard van wat email is, heeft het niets met privacy te maken.

@25-05-2024, 14:39 door Anoniem

Dat is wat anders dan Arnoud Engelfriet antwoordde op de vraag of er toestemming nodig is:
https://www.security.nl/posting/843433/Is+er+toestemming+nodig+voor+toegang+tot+de+data+van+een+%28ex%29werknemer%3F

AP zegt over het vrijelijk geven van toestemming:
https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/grondslag-toestemming

Dat maakt toestemming bij indiensttreding juist helemaal niet de correcte of veiligste vorm, juist dan is een nieuwe werknemer, die nog niet vertrouwd is met hoe alles gaat bij de nieuwe werkgever, in een kwetsbare positie. Of de optie om te weigeren er nou wel of niet is: deze situatie is niet neutraal, er is een machtsverhouding, en zelfs bij een werkgever die zich keurig opstelt in dit opzicht kan het makkelijk gebeuren dat de nieuwe werknemer daar nog niet op durft te vertrouwen en de toestemming dus niet vrijelijk geeft. En wie weet wat er bij een uitdiensttreding voor omstandigheden meespelen.

In wat voor juridische positie plaatst een werkgever zichzelf precies als die "om 'juridisch' veilig te zitten" de werknemer vertelt dat toestemming de juridische basis voor toegang tot de mailbox is? Als die toestemming gegeven is, maar gezien de machtsverhouding niet als geldig beschouwd kan worden, dan neemt de werkgever zichzelf de juridische grondslag af om wat dan ook in die mailbox nog te bekijken, lijkt mij, want die zal juridisch niet sterk staan als die pas achteraf met grondslagen aan komt kakken die vooraf niet waren aangegeven. De grondslagen moeten dus vooraf al kloppen, en als die kloppen is toestemming niet meer nodig en kan goed uitgelegd worden, in een reglement natuurlijk, hoe vermeden wordt dat er bij uitdiensttreden privémails gelezen gaan worden.

@Gisteren, 15:31 door Anoniem

De TS stelde vragen over toestemming als grondslag.

Je quote selectief. Er boven staat dat toestemming niet geldig is als het niet vrijwillig gebeurt. Als toestemming niet vrij is gegeven, heb je geen toestemming verkregen.

Toestemming vragen voor iets kan in principe bij indiensttreding omdat er dan nog geen gezagsverhouding is. Maar je moet je wel afvragen of je toestemming nodig hebt en of er niet al een andere grondslag is. Dat zie je al in het eerste antwoord dat ik gaf. Je moet je ook afvragen of je wel privacy by design hebt toegepast.

Maar wat doe je aan schade als je het gewoon netjes meld aan de werknemer?

1 - Zorg dat je het verwerkt in het arbeidscontract/voorwaarden.
Dan is de werknemer vanaf dag 1 geïnformeerd.

2 - Meld het gewoon als iemand langdurig afwezig dreigt te zijn.

3 - Houd rekening met privé-berichten die er tussen kunnen zitten.

Dat citeerde ik wel degelijk, of anders heb ik niet door waar je op doelt (het woord "vrijwillig" is niet eerder gebruikt). Dat je desondanks toestemming bij indiensttreding als "de correcte (veiligste) vorm van toestemming" typeerde is wat me de indruk gaf dat jij dacht dat dat geldige toestemming kan zijn.

Ah, op die manier. Geloof je dat werkelijk? Die toestemming gaat puur over de situatie zoals die zal zijn als het arbeidscontract tot stand komt, dat is precies waar ze op dat moment aan werken. Natuurlijk beïnvloedt de aankomende machtsverhouding tussen werknemer en werkgever dan al wat er tussen die twee partijen gebeurt. De sollicitant kan makkelijk het gevoel hebben dat het resultaat van de sollicitatie ervan af kan hangen en zich daardoor laten beïnvloeden. Als je dat negeert dan sla je over waar die eis dat toestemming vrijelijk gegeven moet zijn nou juist over gaat.

Ik ben, voor alle duidelijkheid, geen jurist, en het is natuurlijk goed mogelijk dat ik nu een standpunt inneem dat door een rechter onderuit gehaald kan worden of al onderuit gehaald is. Maar ik zie dat Arnoud Engelfriet, wél een jurist, zeer stellig beweert dat toestemming niet nodig is. En of jij nou wel of niet een jurist bent, ik denk dat je hier teveel aanneemt dat mensen een soort rondwandelende mechanische implementatie van regeltjes zijn terwijl het hier om een regeltje gaat dat nou juist ter bescherming dient van die mensen zoals ze in het echt rondwandelen, en niet alleen ter bescherming van het beeld dat je overhoudt als je ze door een sterk juridisch gekleurd filter bekijkt.

Mijn antwoord op de vraag of toestemming nodig is dat ik dit een situatie vind waarin het uiterst twijfelachtig is of die toestemming überhaupt geldig kan zijn.

Originele vraagsteller hier. Bovenstaande discussie maakt wel duidelijk dat dit toch altijd een lastig vraagstuk blijft.

Arnoud, ik had gezien dat je de vraag ook had behandeld, waarvoor dank. Ik besef me terdege dat elke situatie anders is en dat grondslag door ieder persoon anders beoordeeld kan worden, maar de grote lijn is duidelijk.

Volgens mij ligt de essentie meer bij hoe een bedrijf dit geregeld heeft. Bij ons staat in de arbeidsvoorwaarden een stuk over gebruik van e-mail en toegang tot deze mail. Hiervoor teken je, teken je niet, dan geen baan. Ik weet niet of dit dwang is, maar het is een keuze.

Daarnaast hebben wij beleid dat alle zakelijke informatie en documentatie en correspondentie een centraal benaderbaar (DMS) systeem staat. In de AV, Code of Conduct staat dit ook benoemd en daarbij wordt ook expliciet er op gewezen dat persoonlijke drives en mail-boxen geopend kunnen worden indien hiertoe aanleiding is. Ook de Code of Conduct is iets waar je je aan moet conformeren (anders eveneens geen baan/contract). Is dit ook dwang, of een keuze?

Zelfde als werk data op een laptop, zodra er maar iets zakelijks in staat wat in een dossier hoort, ook al is het maar een simpel dossiernummer, dan kan dit reden zijn om toegang te krijgen. Staat allemaal in AV en CoC.

Zelfde is dat alle data in "persoonlijke" opslag welke onder enige wettelijke regelgeving vallen en niet in een centraal hiervoor beschikbaar systeem staat een reden is om het systeem open te stellen voor de juiste mensen (Manager of Juridisch Team).

"Persoonlijke" locaties kunnen alleen opengesteld worden aan specifieke personen. Zo staat bij ons in de AV en CoC duidelijk aangegeven dat bij einde dienstverband, deze wordt toegewezen aan de lijnmanager. Het is bij uit dienst gaan dan ook zaak om zelf de prive data er uit te halen. Uitzondering is dat de data vanwege Juridische gronden "bevroren wordt", dan heb je daar geen controle meer over.

Documenten en de flow van data zijn bij ons dan ook zeer restricted en wij raden nieuwe medewerkers dan ook ten strengste af om zakelijk e-mail adres te gebruiken voor Prive doeleinden. Het is in onze CoC en AV dan ook beschreven dat je geen "zakelijk e-mail" adres, "zakelijke handtekening" en enige verwijzing naar bedrijfsnaam mag gebruiken in een Prive communicatie. Dus even aan je huisarts doorgeven "stuur maar snel naar xxxxx@bedrijf.com" is uit den boze.

Privacy en privé email worden hier door elkaar gebruikt. Er is ook recht op privacy aangaande je zakelijke email, daar moet je dus rekening mee houden, ook al is de email bedrijfsinformatie. Dus al heb je geen enkel privé bericht verzonden met je zakelijke postbus, er is recht op privacy (gelukkig maar).

Om dit soort gedoe met overdracht van postbussen te voorkomen is er een bij mijn weten rechtmatige oplossing, ik ben geen jurist maar dit is hoe het in mijn organisatie is opgelost.

Gebruik een mail archivering systeem waarin alle email van alle medewerkers gedurende de afgesproken termijn (7 jaar ) bewaard wordt (ongeacht of de medewerker die uit de eigen postbus verwijdert). Daarmee kan gericht gezocht worden naar een bericht (op datum, onderwerp, bijlage, afzender, verzender, woord in de tekst) als dat noodzakelijk is. Beschrijf de voorwaarden waaronder dat gedaan kan worden (noodzakelijk voor de bedrijfsvoering, wettelijke vereisten, onrechtmatig gebruik), richt een proces in (bv alleen in opdracht van Hoofd P&O, 4 ogen principe, gericht en nauwkeurig zoeken, niet "browsen"). Neem dit op in je informatiebeveiligingsbeleid en maak dat onderdeel van het arbeidscontract. Bespreek met de OR.

Praktijkvoorbeeld : er is een contract zoek. Zoek op afzender en vermoedelijke ontvangers, in een beperkte periode en zoek naar een bijlage. Dat is heel gericht, er is een gerechtvaardigd belang, de zoekopdracht wordt geborgd in een ticketing systeem. Wordt met een dergelijke query het contract niet gevonden, wordt de zoektocht gestaakt, er wordt dan niet een postbus geopend en overgedragen aan een leidinggevende waarin door alle berichten gebrowsed kan worden. Dat mag gewoon niet, het is disproportioneel.

Retorische tegenvraag aan jou...

Wat als je werkgever nu eens geen natuurlijk persoon is, en de werknemer in de OR zit, en/of toevallig vertrouwenspersoon is, en/of met persoonsgegevens omgaat waarvan niet alle collega's (inclusief een CEO) wettelijk geen inhoudelijke kennis van mag nemen?

Ofwel, begrijp nu maar dat dit soms echt ingewikkeld ligt, zelfs -of juist- als de werknemer overleden is.

Ik zie liever deze vraag in 16 varianten, zoveel mogelijk overduidelijk, en enige schijnbare tegenstrijdigheid, dan te summiere halve antwoorden.

Ik heb bij verschillende bedrijven/organisaties gewerkt die als regel hadden dat prive mail in een folder genaamd prive werd geplaatst. Bij het verlaten van het bedrijf werd je geacht deze folder te exporteren en mee te nemen. Maar als je dat niet deed was er wel speciale toestemming voor nodig(vanuit legal) om alsnog ook in deze prive folder te kijken

Er zijn dus CEO's die dat doen. Die van mij (zal de naam niet bekend maken, een ex directeur van een grote bekende bank) had het voor elkaar gekregen om van mijn persoonlijke mbox een groep te maken met als leden ik en de baas! met o.a. als doel bleek later om een wachtwoord van een applicatie in de cloud te kunnen resetten. Hij ging dat werk namelijk uitbesteden. Zo gaat dat waarschijnlijk ook met vertrouwenspersonen. Ik heb hier wel van geleerd. Vertrouw per definitie het management niet en zorg, zeker als vertrouwenspersoon, dat een extern emailadres wordt gebruikt. Ga er dus vanuit dat er wordt meegelezen dan weet je wat je te doen staat. Ik heb ook meegemaakt dat mijn persoonlijke email werd aangehouden als groep terwijl ik het bedrijf al had verlaten. Ga er ook van uit dat bij een gewone rechtbijstandverzekering men niet zit te wachten om een lange procedure te beginnen tegen dit soort mannen (ja het zijn altijd mannen denk ik).
Kortom het maakt niet uit hoe het juridisch zit. je trekt altijd aan het verkeerde eind!