Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik blijf worstelen met het onderwerp "Emails inzien van (ex) werknemers". Hoewel er veel is gepubliceerd, zijn er nog vragen genoeg. Is er bijvoorbeeld nu wel of niet toestemming nodig, geldt dat voor e-mail én agenda en wat verandert er als de werknemer overlijdt?
Antwoord: Laten we met die toestemming beginnen. Nee, die is niet nodig - ik herhaal: niet nodig - als je mailboxen van werknemers in wilt zien. Toegang neem je (a) omdat het onvermijdelijk is om het werk voort te zetten of (b) omdat jouw belang bij toegang zwaarder weegt dan de privacy van de werknemer. Andere motivaties bestaan niet.
Criterium a gaat over situaties van ziekte en uitval, waarbij het werk verder moet. Dan mag een collega nieuwe mails overnemen of gericht zoeken naar oude berichten waar men wat mee moet (een klagende klant, een te lang openstaande factuur). Criterium b betreft situaties zoals klachten over de werknemer, waarbij de mailbox bewijs zou moeten bevatten.
In beide gevallen geldt: houd rekening met de privacy van de werknemer, want óók bij het werk geldt die en ook na uitdiensttreding. Je mag dus niet botweg alle mails doorzetten naar een collega (als dat al verstandig zou zijn), want er kunnen privéberichten tussen zitten.
Voor beide gevallen is tevens een reglement noodzakelijk. Hierin werkt het bedrijf de twee criteria uit tot procedures voor toegang, zoals vierogenprincipe of overleg met OR. Dat reglement moet apart goedgekeurd worden door de OR (en voor de duidelijkheid, de OR hóeft geen inspraak in individuele gevallen, maar het kan wel).
We hebben het in deze context vaak over toegang tot e-mail, omdat dat in de praktijk het meest prangende probleem is. Maar juridisch gezien gaat dit over toegang tot data. Dus naast mail ook de agenda, de bestanden op de computer van de werknemer en de inhoud van de bij hem behorende online mappen.
Wat betreft de overleden werknemer, zie mijn Juridische Vraag van januari. Nee, de AVG geldt niet bij overledenen. Maar privacy en persoonlijke levenssfeer is meer dan de AVG. En goed werkgeverschap is een aparte norm los van die twee: je moet eerlijk, netjes en redelijk handelen in alles dat je doet als werkgever. Mensen verwachten dat je zorgvuldig omgaat met zo’n mailbox of agenda, dus dat moet je dan doen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.