Is er toestemming nodig voor toegang tot de data van een (ex)werknemer?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik blijf worstelen met het onderwerp "Emails inzien van (ex) werknemers". Hoewel er veel is gepubliceerd, zijn er nog vragen genoeg. Is er bijvoorbeeld nu wel of niet toestemming nodig, geldt dat voor e-mail én agenda en wat verandert er als de werknemer overlijdt?
Antwoord: Laten we met die toestemming beginnen. Nee, die is niet nodig - ik herhaal: niet nodig - als je mailboxen van werknemers in wilt zien. Toegang neem je (a) omdat het onvermijdelijk is om het werk voort te zetten of (b) omdat jouw belang bij toegang zwaarder weegt dan de privacy van de werknemer. Andere motivaties bestaan niet.
Criterium a gaat over situaties van ziekte en uitval, waarbij het werk verder moet. Dan mag een collega nieuwe mails overnemen of gericht zoeken naar oude berichten waar men wat mee moet (een klagende klant, een te lang openstaande factuur). Criterium b betreft situaties zoals klachten over de werknemer, waarbij de mailbox bewijs zou moeten bevatten.
In beide gevallen geldt: houd rekening met de privacy van de werknemer, want óók bij het werk geldt die en ook na uitdiensttreding. Je mag dus niet botweg alle mails doorzetten naar een collega (als dat al verstandig zou zijn), want er kunnen privéberichten tussen zitten.
Voor beide gevallen is tevens een reglement noodzakelijk. Hierin werkt het bedrijf de twee criteria uit tot procedures voor toegang, zoals vierogenprincipe of overleg met OR. Dat reglement moet apart goedgekeurd worden door de OR (en voor de duidelijkheid, de OR hóeft geen inspraak in individuele gevallen, maar het kan wel).
We hebben het in deze context vaak over toegang tot e-mail, omdat dat in de praktijk het meest prangende probleem is. Maar juridisch gezien gaat dit over toegang tot data. Dus naast mail ook de agenda, de bestanden op de computer van de werknemer en de inhoud van de bij hem behorende online mappen.
Wat betreft de overleden werknemer, zie mijn Juridische Vraag van januari. Nee, de AVG geldt niet bij overledenen. Maar privacy en persoonlijke levenssfeer is meer dan de AVG. En goed werkgeverschap is een aparte norm los van die twee: je moet eerlijk, netjes en redelijk handelen in alles dat je doet als werkgever. Mensen verwachten dat je zorgvuldig omgaat met zo’n mailbox of agenda, dus dat moet je dan doen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
https://dearbeidsrechtadvocaten.nl/werkgever-e-mails-internetgebruik-controleren/
"Wanneer mag een werkgever mijn e-mailbox controleren?
De werkgever kan de e-mailberichten van zijn werknemer alleen controleren als de werknemer daar vooraf voor is gewaarschuwd. Zo’n waarschuwing kan zijn opgenomen in de arbeidsovereenkomst, maar staat vaak in een personeelsreglement of e-mail-/internetprotocol. Dan is de werkgever er nog niet. Voor de controle moet de werkgever een goede reden hebben (gerechtvaardigd doel) en de werkgever moet geen minder ingrijpende optie voor controle hebben (proportionaliteitseis).
Alleen in bijzondere gevallen kan ook zonder waarschuwing vooraf worden gecontroleerd."
De juiste gang van zaken zou moeten zijn:
- Medewerker kondigt vertrek aan of contract wordt ontbonden/niet verlengd
- Medewerker draagt al het werk, lopende zaken, contacten etc over aan een collega
- Medewerker licht contacten in over het vertrek
- Op de laatste werkdag gaat er een Out of Office aan
- Account wordt vergrendeld en na een maand gaat dat de bittenbak in
In het geval van een vermoeden van fraude:
- In Exchange de Litigation Hold aanzetten voor de medewerker
- Medewerker inlichten dat er een onderzoek loopt
- Medewerker in ernstige gevallen op non-actief zetten
- Zaak overdragen aan justitie, zij mogen namelijk wel kijken
In het geval van een arbeidsconflict : zorg dat wordt voldaan aan de eis van de noodzakelijkheid van de verwerking en aan de eisen / beginselen van subsidiariteit en proportionaliteit. Oftewel, je moet echt een goede reden hebben en de gegevens niet op een andere manier kunnen verkrijgen.
In geval van langdurige ziekte zou ik er een forward op zetten zodat alleen nieuwe mail hoeft te worden verwerkt.
Regels zijn er niet voor niets, er kan af en toe iets behoorlijk genants in de mail zitten. Er zijn mensen die hun zakelijke adres gebruiken voor Christine Le Duc bijvoorbeeld. Nou dat wordt gniffelen bij de koffie.
Dus het antwoord op de vraag " kan je een mailbox van een werknemer inzien" moet zijn : nee, tenzij.
In de context van een onderneming met verantwoordelijkheden mag het nooit zo zijn dat resources onbenaderbaar zijn, ongeacht de omstandigheden. Gaat 1 van de 2 partijen niet akkoord dan gaat de overeenkomst niet door, simpel.
Ik zie ook niet waarom dit een probleem is/moet zijn, recentelijk is dit expliciete reglement opgenomen bij een hele grote biofarma en op internationaal niveau, ook voor bestaande overeenkomsten (degene die er niet mee akkoord gingen konden vertrekken), persoonlijk gezien helemaal terecht.
[...]
Dus het antwoord op de vraag " kan je een mailbox van een werknemer inzien" moet zijn : nee, tenzij.
Je zakelijke emailverkeer is zakelijk. Als je vertrekt is het wel zo handig als je werkgever dit later kan bekijken.
Alle andere emailverkeer is privé, en dit doe je via je eigen privé emailaccounts.
Op die manier is er niets aan de hand, en hoef je je nooit zorgen te maken over mogelijke privacy zaken tussen je zakelijke email.
Het is ook een beetje een beetje jezelf opvoeden, en deze dingen gewoon strikt gescheiden te houden.
Maar privacy kan bij velen nog wel wat meer aandacht gebruiken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Information Security Officer
Grijp deze unieke kans voor carrière-ontwikkeling in informatiebeveiliging! Bij Esri bouw je vertrouwensrelaties op en help je zowel ons als onze klanten veiligere technologie te gebruiken. Ben jij de ervaren Security Officer die energie krijgt van werken in 'twee werelden'? Solliciteer dan nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!