Ik vraag me af of de ex-medewerker zelf hier nu wat mee opgeschoten is. Ja, zijn ex-werknemer heeft een tik op de vingers gehad, maar heeft hij nu zelf ook compensatie of iets dergelijks gekregen?

Zolang er geen materiële straf wordt opgelegd (boete) en ook geen compensatie voor de benadeelde, zullen dit soort praktijken gewoon door blijven gaan. Bedrijven gokken erop dat 99% van de werkgevers geen klacht bij de toezichthouder zullen indienen. Glas... plas... alles blijft zoals het was. Dat noemt men tegenwoordig "handhaving".

Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap. Werk je er niet meer, heb je er niets meer over te zeggen.

Het bedrijf heeft na vijf maanden (na de klacht bij het GBA?) de mailbox gesloten. Hiermee werkt het bedrijf niet meer met de persoonsgegevens van de ex-medewerker.

Kost wat meer, maar als bedrijf is het wellicht handiger om ook “afdelings emailadressen” te hebben. Denk in dit geval aan woningbeheer@bedrijf.be. Ook handig bij vakanties etc. zodat een andere medewerker de mails kan oppakken.

Dat is wat te kort door de bocht. Het is gereedschap waar privédata in achter kan blijven, en dan gelden de regels voor het omgaan met privédata toch echt.

Als die vergelijking al geen larie is: van wie is pieter.omtzigt@cda·nl? Of dylan.yesilgoz@sp·amsterdam?

Wat als e-mails naar zo'n adres ook beantwoord worden met als afzender dat adres? Of er "gewoon" mails worden verzonden vanaf zo'n adres, "want Dylan deed altijd de mailings"?

Waar is deze drie maanden op gebaseerd? Staat dit ergens beschreven heeft de Belgische toezichthouder deze termijn zelf bepaald? Was dit al voor deze uitspraak bekend en had de werkgever dit kunnen weten, of hebben ze dat nu bepaald n.a.v. deze zaak? En geldt deze termijn nu enkel in België of in alle landen waar de AVG geldt?

Daarom ben ik blij dat er waakhonden zijn en een AVG. werkgevers die reageren als jij nu doet zijn strafbaar. Nee, het is niet als gereedschap. Want gereedschap zegt niets over een persoon en mail wel. Een spijker kun je niet in hout slaan “als persoon” en een mail kun je verzenden “als persoon”. Daarnaast kan email persoonlijke berichten bevatten (privé hoeft niet altijd naar mensen uit een privé omgeving te gaan kan ook eengesprek tussen 2 collega’s zijn).
Nee, mensen die reageren als jij nu doet zijn gevaarlijk en moeten in de gaten gehouden worden en gelukkig hebben we daar instanties voor.

Privacy gaat toch niet of iets herleidbaar is naar een natuurlijke persoon, maar dat prive aangelegenheden ook prive blijven. Dat er recht is op een persoonlijke levenssfeer, dat eventuele ontsluiting geen uitsluitig van normaal maatschappelijke omgang betekent. Een zakelijke e-mailadres is zakelijk, dus niet prive. Ja je hebt recht van privacy om de werkvloer. Af en toe een prive mail ontvangen op zakelijk mailadres is ook niet zo erg en de specifieke mail dient als persoonlijke data te worden behandeld. Maar deze uitspraak van een AP slaat nergens op. Bovendien hebben organsiatie talloze verplichtingen om mail ook te archiveren et cetera.

Hier hoort nog 'of' te staan.

Verder heb ik even gekeken wat de AP hierover schrijft. Ze schrijven niets over oud medewerkers, wel over medewerkers die een langere tijd afwezig zijn door vakantie of ziekte:
Bron: https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/controle-van-werknemers/controle-van-communicatiemiddelen#checken-e-mail-afwezige-werknemers

Hoe moeilijk is het, om enige tijd, bijvoorbeeld 3 maanden (ik ken onvoldoende argumenten om iets zinvols te kunnen zeggen over hoe lang), een bericht terug te sturen met de melding dat de e-mail niet werd afgeleverd, en daarin ook een alternatief e-mail adres (of info@), en als de betrokkene dat wil, tevens een privé e-mailadres (dat die persoon speciaal voor dit doel zou kunnen aanmaken) op te nemen?

Als werkgevers e-mailadressen van medewerkers willen blijven hergebruiken, moeten ze deze pseudonimiseren. Denk aan am23@example·nl voor Account Manager nummer 23. Als medewerker ben je wel héél stom als je dat voor privé-mails gaat gebruiken.

Maar door hoe gegevens tegenwoordig worden verwerkt is het risico veel en veel groter dan vroeger dat daar dingen mis mee gaan, en dan is de herleidbaarheid van de gegevens tot een persoon wel degelijk een factor van belang in hoe groot de privacyschending uitpakt. Je zou gelijk hebben als gegevenslekken niet voor zouden komen, maar die komen wel voor, die zijn aan de orde van de dag. Het is niet voor niets dat na de opkomst van computers en internet allerlei wetten op dat gebied zijn gelanceerd die vroeger niet nodig waren. Het probleem is veel en veel groter geworden dan het vroeger was.

En dus is er wel privacy te beschermen. Het klopt dat de specifieke e-mail als persoonlijke data behandeld moet worden, het lastige is om het onderscheid te maken tussen zakelijk en privé in een grote mailbox die bijvoorbeeld al jaren niet goed is opgeschoond. En toch moet dat zorgvuldig gebeuren.

Als er een wettelijke verplichting is voor een verwerking (bewaren is ook een verwerking) dan is dat voor de AVG een grondslag voor de verwerking (artikel 6, lid 1, punt c: "De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: [...] de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;"). De wettelijke termijnen voor archivering, bijvoorbeeld voor de belastingdienst, zijn niet oneindig. Het bewaren is dus rechtmatig voor gegevens waar die termijnen voor gelden en zolang die niet verstreken zijn. Die gegevens moeten dus aan het begin van de termijn eruit gevist worden en aan het eind opgeruimd worden.

Maar let op waar het hier over gaat: het in gebruik houden van het e-mailadres. Je zakelijke e-mailadres is aan je persoon gekoppeld, als jij weg bent bij een organisatie mogen ze niet je e-mailadres blijven gebruiken alsof je daar nog werkt. Ze hoeven nergens inhoudelijk naar te kijken om dat e-mailadres te blokkeren. Ze kunnen, zoals het artikel aangeeft, een automatische foutmelding terugsturen met een ander e-mailadres om te gebruiken. Dat betekent echt niet dat de inhoud van de mailbox verloren gaat. Die kan veiliggesteld worden en na het blokkeren van het e-mailadres uitgeplozen worden om zakelijke e-mails die bewaard moeten worden te scheiden van alles wat weg kan, inclusief alles wat privé is. Dat moet zorgvuldig en tijdig gebeuren om de AVG niet te schenden, maar dat betekent absoluut niet dat het e-mailadres in gebruik moet blijven zolang het uitzoekwerk niet afgerond is.

Ik heb nog wel wat vragen nav het artikel. Wat wordt er verstaan onder sluiten? Volledig verwijderen oude mailbox inclusief mail adres? Geen mail meer binnen laten komen op het adres, maar wel nog een backup bewaren?

Het zou mij niet eens gaan om iets te halen voor mijzelf maar gewoon om mijn gelijk te halen.
Bedrijven, instanties en dergelijke gaan maar gewoon aan de haal met van alles en nog wat en houden zich niet of nauwelijks aan de AVG.

Of er nu iets veranderd voor de toekomst boeit me dan niet als ik mijn gelijk maar haal :)

Dus jij vind het geen probleem dat een bedrijf mails blijft uitsturen met het email adres waarin jouw naam staat nadat jij er niet meer werkt, want het is een "zakelijk" mail adres?

Voorbeelden die ik altijd geef zijn mailtjes van en naar HR over salaris en andere gevoelige informatie betreffende de aanstelling. Ook voor communicatie met de bedrijfsarts wordt vaak het bedrijfsadres gebruikt.

Vooral die laatste geef ik ook als reden dat mail altijd voorzien moet worden van MFA, conform de eisen in de AVG t.a.v. medische informatie.

Peter