image

Belgisch bedrijf schond AVG met openhouden mailbox ex-werknemer

donderdag 8 augustus 2024, 14:23 door Redactie, 16 reacties
Laatst bijgewerkt: 08-08-2024, 16:07

Een Belgisch bedrijf heeft de AVG geschonden door de mailbox van een ex-werknemer langer dan noodzakelijk na diens ontslag open te houden, zo oordeelt de Gegevensbeschermingsautoriteit (GBA). De werknemer was in zijn functie verantwoordelijk voor het beheer van dertig woningen. Eind 2020 werd hij op staande voet ontslagen omdat de werkgever dacht dat hij verschillende fouten had gemaakt.

Na het ontslag van de werknemer hield de werkgever diens zakelijk e-mailadres actief. Volgens de werkgever was dit nodig om de werkzaamheden aan de opvolger over te dragen en was er daarom sprake van een gerechtvaardigd belang. De maand na zijn ontslag diende de werknemer een verwijderverzoek in. De werkgever gaf daar geen gehoor aan, waarop de ex-werknemer in december 2020 een klacht bij de GBA indiende. De privacytoezichthouder kwam onlangs tot een oordeel.

De GBA stelt dat het e-mailadres van de ex-werknemer persoonlijke data is, aangezien het om informatie gaat voor het identificeren van een persoon. Daarnaast was het adres voor zakelijke doeleinden aangemaakt en zou gezien het beginsel van doelbinding zoals beschreven in de AVG de mailbox moeten worden gesloten na het ontslag van de werknemer. De GBA voegt toe dat de werkgever, voordat de mailbox zou worden gesloten, een automatische reply had moeten activeren waarin werd uitgelegd dat de werknemer niet meer bij het bedrijf werkzaam was en er een ander adres gebruikt moet worden.

De toezichthouder erkende ook dat in sommige gevallen, bijvoorbeeld bij een directeur of iemand die als enige voor iets in de organisatie verantwoordelijk is, een periode van drie maanden acceptabel is. Het Belgische bedrijf in kwestie hield de mailbox van de ontslagen medewerker langer dan vijf maanden open. Volgens de GBA zorgde dit voor een buitensporige impact op de rechten van medewerker, en dan met name het principe van dataminimalisatie.

De GBA komt tot de conclusie dat de werkgever geen gerechtvaardigd belang had en de AVG heeft overtreden. Daarnaast heeft het bedrijf de AVG ook overtreden door geen reactie op het verzoek van de ex-werknemer te geven en dit ook niet uit te voeren. Vanwege de overtredingen kreeg het bedrijf een berisping (pdf). Eind 2020 kreeg een Belgisch bedrijf van de GBA nog een boete van vijftienduizend euro omdat het de e-mailadressen van een ex-werknemer bijna drie jaar na diens ontslag nog steeds niet had afgesloten.

Reacties (16)
08-08-2024, 14:43 door Anoniem
Ik vraag me af of de ex-medewerker zelf hier nu wat mee opgeschoten is. Ja, zijn ex-werknemer heeft een tik op de vingers gehad, maar heeft hij nu zelf ook compensatie of iets dergelijks gekregen?
08-08-2024, 15:48 door Anoniem
Door Anoniem: Ik vraag me af of de ex-medewerker zelf hier nu wat mee opgeschoten is. Ja, zijn ex-werknemer heeft een tik op de vingers gehad, maar heeft hij nu zelf ook compensatie of iets dergelijks gekregen?
Zolang er geen materiële straf wordt opgelegd (boete) en ook geen compensatie voor de benadeelde, zullen dit soort praktijken gewoon door blijven gaan. Bedrijven gokken erop dat 99% van de werkgevers geen klacht bij de toezichthouder zullen indienen. Glas... plas... alles blijft zoals het was. Dat noemt men tegenwoordig "handhaving".
08-08-2024, 17:54 door Anoniem
Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap. Werk je er niet meer, heb je er niets meer over te zeggen.
08-08-2024, 18:37 door Anoniem
Door Anoniem: Ik vraag me af of de ex-medewerker zelf hier nu wat mee opgeschoten is. Ja, zijn ex-werknemer heeft een tik op de vingers gehad, maar heeft hij nu zelf ook compensatie of iets dergelijks gekregen?

Het bedrijf heeft na vijf maanden (na de klacht bij het GBA?) de mailbox gesloten. Hiermee werkt het bedrijf niet meer met de persoonsgegevens van de ex-medewerker.

Kost wat meer, maar als bedrijf is het wellicht handiger om ook “afdelings emailadressen” te hebben. Denk in dit geval aan woningbeheer@bedrijf.be. Ook handig bij vakanties etc. zodat een andere medewerker de mails kan oppakken.
09-08-2024, 07:12 door Anoniem
Door Anoniem: Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap. Werk je er niet meer, heb je er niets meer over te zeggen.
Dat is wat te kort door de bocht. Het is gereedschap waar privédata in achter kan blijven, en dan gelden de regels voor het omgaan met privédata toch echt.
09-08-2024, 07:51 door Erik van Straten
Door Anoniem: Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap.
Als die vergelijking al geen larie is: van wie is pieter.omtzigt@cda·nl? Of dylan.yesilgoz@sp·amsterdam?

Wat als e-mails naar zo'n adres ook beantwoord worden met als afzender dat adres? Of er "gewoon" mails worden verzonden vanaf zo'n adres, "want Dylan deed altijd de mailings"?
09-08-2024, 07:53 door Anoniem
De toezichthouder erkende ook dat in sommige gevallen, bijvoorbeeld bij een directeur of iemand die als enige voor iets in de organisatie verantwoordelijk is, een periode van drie maanden acceptabel is. Het Belgische bedrijf in kwestie hield de mailbox van de ontslagen medewerker langer dan vijf maanden open.

Waar is deze drie maanden op gebaseerd? Staat dit ergens beschreven heeft de Belgische toezichthouder deze termijn zelf bepaald? Was dit al voor deze uitspraak bekend en had de werkgever dit kunnen weten, of hebben ze dat nu bepaald n.a.v. deze zaak? En geldt deze termijn nu enkel in België of in alle landen waar de AVG geldt?
09-08-2024, 08:05 door Anoniem
Door Anoniem: Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap. Werk je er niet meer, heb je er niets meer over te zeggen.
Daarom ben ik blij dat er waakhonden zijn en een AVG. werkgevers die reageren als jij nu doet zijn strafbaar. Nee, het is niet als gereedschap. Want gereedschap zegt niets over een persoon en mail wel. Een spijker kun je niet in hout slaan “als persoon” en een mail kun je verzenden “als persoon”. Daarnaast kan email persoonlijke berichten bevatten (privé hoeft niet altijd naar mensen uit een privé omgeving te gaan kan ook eengesprek tussen 2 collega’s zijn).
Nee, mensen die reageren als jij nu doet zijn gevaarlijk en moeten in de gaten gehouden worden en gelukkig hebben we daar instanties voor.
09-08-2024, 08:05 door Anoniem
Privacy gaat toch niet of iets herleidbaar is naar een natuurlijke persoon, maar dat prive aangelegenheden ook prive blijven. Dat er recht is op een persoonlijke levenssfeer, dat eventuele ontsluiting geen uitsluitig van normaal maatschappelijke omgang betekent. Een zakelijke e-mailadres is zakelijk, dus niet prive. Ja je hebt recht van privacy om de werkvloer. Af en toe een prive mail ontvangen op zakelijk mailadres is ook niet zo erg en de specifieke mail dient als persoonlijke data te worden behandeld. Maar deze uitspraak van een AP slaat nergens op. Bovendien hebben organsiatie talloze verplichtingen om mail ook te archiveren et cetera.
09-08-2024, 08:49 door Anoniem
Door Anoniem:
De toezichthouder erkende ook dat in sommige gevallen, bijvoorbeeld bij een directeur of iemand die als enige voor iets in de organisatie verantwoordelijk is, een periode van drie maanden acceptabel is. Het Belgische bedrijf in kwestie hield de mailbox van de ontslagen medewerker langer dan vijf maanden open.

Waar is deze drie maanden op gebaseerd? Staat dit ergens beschreven, of heeft de Belgische toezichthouder deze termijn zelf bepaald? Was dit al voor deze uitspraak bekend en had de werkgever dit kunnen weten, of hebben ze dat nu bepaald n.a.v. deze zaak? En geldt deze termijn nu enkel in België of in alle landen waar de AVG geldt?

Hier hoort nog 'of' te staan.

Verder heb ik even gekeken wat de AP hierover schrijft. Ze schrijven niets over oud medewerkers, wel over medewerkers die een langere tijd afwezig zijn door vakantie of ziekte:
Is een werknemer langere tijd afwezig, bijvoorbeeld door ziekte of vakantie? Dan mag u als werkgever de e-mail van deze werknemer checken. Maar u moet er wel rekening mee houden dat uw werknemers het recht hebben om af en toe privéberichten te ontvangen en versturen.

Privémail van de werknemer moet u daarom bij het checken van de e-mail zo veel mogelijk ontzien. Blijkt bijvoorbeeld uit de titel van een bericht dat de e-mail persoonlijk is? Dan mag u dat bericht niet lezen.
Bron: https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/controle-van-werknemers/controle-van-communicatiemiddelen#checken-e-mail-afwezige-werknemers
09-08-2024, 09:20 door Erik van Straten - Bijgewerkt: 09-08-2024, 09:23
Door Anoniem: Een zakelijke e-mailadres is zakelijk, dus niet prive.
Hoe moeilijk is het, om enige tijd, bijvoorbeeld 3 maanden (ik ken onvoldoende argumenten om iets zinvols te kunnen zeggen over hoe lang), een bericht terug te sturen met de melding dat de e-mail niet werd afgeleverd, en daarin ook een alternatief e-mail adres (of info@), en als de betrokkene dat wil, tevens een privé e-mailadres (dat die persoon speciaal voor dit doel zou kunnen aanmaken) op te nemen?

Als werkgevers e-mailadressen van medewerkers willen blijven hergebruiken, moeten ze deze pseudonimiseren. Denk aan am23@example·nl voor Account Manager nummer 23. Als medewerker ben je wel héél stom als je dat voor privé-mails gaat gebruiken.
09-08-2024, 10:06 door Anoniem
Door Anoniem: Privacy gaat toch niet of iets herleidbaar is naar een natuurlijke persoon, maar dat prive aangelegenheden ook prive blijven.
Maar door hoe gegevens tegenwoordig worden verwerkt is het risico veel en veel groter dan vroeger dat daar dingen mis mee gaan, en dan is de herleidbaarheid van de gegevens tot een persoon wel degelijk een factor van belang in hoe groot de privacyschending uitpakt. Je zou gelijk hebben als gegevenslekken niet voor zouden komen, maar die komen wel voor, die zijn aan de orde van de dag. Het is niet voor niets dat na de opkomst van computers en internet allerlei wetten op dat gebied zijn gelanceerd die vroeger niet nodig waren. Het probleem is veel en veel groter geworden dan het vroeger was.

Een zakelijke e-mailadres is zakelijk, dus niet prive. Ja je hebt recht van privacy om de werkvloer. Af en toe een prive mail ontvangen op zakelijk mailadres is ook niet zo erg en de specifieke mail dient als persoonlijke data te worden behandeld.
En dus is er wel privacy te beschermen. Het klopt dat de specifieke e-mail als persoonlijke data behandeld moet worden, het lastige is om het onderscheid te maken tussen zakelijk en privé in een grote mailbox die bijvoorbeeld al jaren niet goed is opgeschoond. En toch moet dat zorgvuldig gebeuren.

Maar deze uitspraak van een AP slaat nergens op. Bovendien hebben organsiatie talloze verplichtingen om mail ook te archiveren et cetera.
Als er een wettelijke verplichting is voor een verwerking (bewaren is ook een verwerking) dan is dat voor de AVG een grondslag voor de verwerking (artikel 6, lid 1, punt c: "De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: [...] de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;"). De wettelijke termijnen voor archivering, bijvoorbeeld voor de belastingdienst, zijn niet oneindig. Het bewaren is dus rechtmatig voor gegevens waar die termijnen voor gelden en zolang die niet verstreken zijn. Die gegevens moeten dus aan het begin van de termijn eruit gevist worden en aan het eind opgeruimd worden.

Maar let op waar het hier over gaat: het in gebruik houden van het e-mailadres. Je zakelijke e-mailadres is aan je persoon gekoppeld, als jij weg bent bij een organisatie mogen ze niet je e-mailadres blijven gebruiken alsof je daar nog werkt. Ze hoeven nergens inhoudelijk naar te kijken om dat e-mailadres te blokkeren. Ze kunnen, zoals het artikel aangeeft, een automatische foutmelding terugsturen met een ander e-mailadres om te gebruiken. Dat betekent echt niet dat de inhoud van de mailbox verloren gaat. Die kan veiliggesteld worden en na het blokkeren van het e-mailadres uitgeplozen worden om zakelijke e-mails die bewaard moeten worden te scheiden van alles wat weg kan, inclusief alles wat privé is. Dat moet zorgvuldig en tijdig gebeuren om de AVG niet te schenden, maar dat betekent absoluut niet dat het e-mailadres in gebruik moet blijven zolang het uitzoekwerk niet afgerond is.
09-08-2024, 11:42 door Anoniem
Ik heb nog wel wat vragen nav het artikel. Wat wordt er verstaan onder sluiten? Volledig verwijderen oude mailbox inclusief mail adres? Geen mail meer binnen laten komen op het adres, maar wel nog een backup bewaren?

Door Anoniem:

Verder heb ik even gekeken wat de AP hierover schrijft. Ze schrijven niets over oud medewerkers, wel over medewerkers die een langere tijd afwezig zijn door vakantie of ziekte:
Is een werknemer langere tijd afwezig, bijvoorbeeld door ziekte of vakantie? Dan mag u als werkgever de e-mail van deze werknemer checken. Maar u moet er wel rekening mee houden dat uw werknemers het recht hebben om af en toe privéberichten te ontvangen en versturen.

Privémail van de werknemer moet u daarom bij het checken van de e-mail zo veel mogelijk ontzien. Blijkt bijvoorbeeld uit de titel van een bericht dat de e-mail persoonlijk is? Dan mag u dat bericht niet lezen.
Bron: https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/controle-van-werknemers/controle-van-communicatiemiddelen#checken-e-mail-afwezige-werknemers[/quote]
Het feit dat er niets te vinden is over oud medewerkers, is op zijn zachtst gezegd jammer. Er zijn nog altijd naar mijn idee veel onduidelijkheden wat nu onze rechten en plichten zijn, de uitkomst van deze rechtzaak staat namelijk weer haaks op wat hier is besproken:

https://www.security.nl/posting/843433/Is+er+toestemming+nodig+voor+toegang+tot+de+data+van+een+%28ex%29werknemer%3F

https://www.security.nl/posting/842722/Emails+inzien+van+%28ex%29+werknemers
09-08-2024, 15:21 door Anoniem
Door Anoniem: Ik vraag me af of de ex-medewerker zelf hier nu wat mee opgeschoten is. Ja, zijn ex-werknemer heeft een tik op de vingers gehad, maar heeft hij nu zelf ook compensatie of iets dergelijks gekregen?

Het zou mij niet eens gaan om iets te halen voor mijzelf maar gewoon om mijn gelijk te halen.
Bedrijven, instanties en dergelijke gaan maar gewoon aan de haal met van alles en nog wat en houden zich niet of nauwelijks aan de AVG.

Of er nu iets veranderd voor de toekomst boeit me dan niet als ik mijn gelijk maar haal :)
11-08-2024, 20:25 door Anoniem
Door Anoniem: Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap. Werk je er niet meer, heb je er niets meer over te zeggen.

Dus jij vind het geen probleem dat een bedrijf mails blijft uitsturen met het email adres waarin jouw naam staat nadat jij er niet meer werkt, want het is een "zakelijk" mail adres?
12-08-2024, 15:12 door -Peter-
Door Anoniem:
Door Anoniem: Het gaat over het zakelijk mailadres, het is net zoiets als gereedschap. Werk je er niet meer, heb je er niets meer over te zeggen.
Daarom ben ik blij dat er waakhonden zijn en een AVG. werkgevers die reageren als jij nu doet zijn strafbaar. Nee, het is niet als gereedschap. Want gereedschap zegt niets over een persoon en mail wel. Een spijker kun je niet in hout slaan “als persoon” en een mail kun je verzenden “als persoon”. Daarnaast kan email persoonlijke berichten bevatten (privé hoeft niet altijd naar mensen uit een privé omgeving te gaan kan ook eengesprek tussen 2 collega’s zijn).
Nee, mensen die reageren als jij nu doet zijn gevaarlijk en moeten in de gaten gehouden worden en gelukkig hebben we daar instanties voor.

Voorbeelden die ik altijd geef zijn mailtjes van en naar HR over salaris en andere gevoelige informatie betreffende de aanstelling. Ook voor communicatie met de bedrijfsarts wordt vaak het bedrijfsadres gebruikt.

Vooral die laatste geef ik ook als reden dat mail altijd voorzien moet worden van MFA, conform de eisen in de AVG t.a.v. medische informatie.

Peter
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.