Rechtspraak GDPR & Privacy: verwijder e-mailadressen van ex-werknemers

De feiten speelden zich af in een kleine familiezaak actief in de medische sector. De voormalig gedelegeerd bestuurder diende een verzoek tot bemiddeling in bij de GBA omdat de ex-werkgever niet had gereageerd op zijn verzoek om 7 e-mailadressen en de daaraan verbonden e-mailaccounts te verwijderen. Het ging om e-mailaccounts gelinkt aan hemzelf, zijn echtgenote, broer en vader. De e-mailadressen vermeldden de namen van die betrokken personen.

Op basis van dit verzoek is de eerstelijnsdienst van de GBA tussengekomen. De bemiddeling was echter zonder succes waardoor de procedure werd verder gezet onder de vorm van een klacht.

De inspectiedienst voerde verder onderzoek en stelde twee onderzoeksrapporten op:

• In het eerste onderzoeksrapport (10 november 2019) werd vastgesteld dat 3 e-mailadressen meer dan 2,5 jaar na het vertrek van de ex-medewerkers nog steeds actief waren. Bovendien werd er geen melding verzonden - dat de drie afzenders niet langer de gebruikers van de e-mailadressen waren - aan personen die de e-mailadressen nog contacteerden Dit kon aanleiding geven tot verzamelen en potentieel gebruik van persoonsgegevens zonder het medeweten van de bestemmelingen.
  Volgens de inspectiedienst is het aangewezen dat de werkgever de e-mailaccount van een ex-werknemer zo snel mogelijk deactiveert, nadat er eerst voor een korte termijn (1 maand) een automatisch bericht wordt ingesteld dat aangeeft dat de werknemer niet meer in dienst is. Na een maand moet de e-mailaccount dus verwijderd worden. Het professioneel e-mailadres van de ex-werknemer mag in geen enkel geval nog gebruikt worden.
• Een tweede onderzoeksrapport (28 november 2019) vermeldt dat de e-mailadressen niet langer konden worden bereikt. De onderneming deelde mee dat de e-mailaccounts al gedeactiveerd waren op de datum van het vertrek van de betrokken personen. De e-mails werden automatisch doorgezonden naar een ander e-mailadres van de onderneming omdat de betrokken ex-werknemers allemaal belangrijke functies hadden binnen de onderneming, en de vrees bestond om anders belangrijke e-mails te verliezen.

De GBA was van oordeel dat de werkgever met het behoud van de e-mailadressen en accounts na het vertrek van de werknemer een inbreuk had begaan op de basisprincipes van de GDPR: legaliteitsbeginsel, proportionaliteitsbeginsel, finaliteitsbeginsel, minimale gegevensbewerking en opslagbeperking.

De reden waarom de werkgever de accounts niet afgesloten had, namelijk om geen belangrijke berichten te verliezen rekening houdend met de functie van de vertrokken werknemer, was volgens de GBA geen voldoende reden voor het behoud van de e-mailadressen.

De GBA geeft in haar beslissing verder nog richtlijnen mee waar werkgevers zich aan moeten houden bij het vertrek van een werknemer:

• De verwerkingsverantwoordelijke (werkgever) moet de e-mailaccounts van ex-werknemers blokkeren ten laatste op het moment van hun vertrek;
• De ex-werknemer moet hiervan op de hoogte gebracht zijn, en er moet een automatisch bericht worden ingesteld met de melding dat de betrokken persoon de organisatie heeft verlaten;
• De werknemer moet vóór het afsluiten van de account de kans krijgen om zijn mails te sorteren en eventuele privémails door te sturen naar zijn persoonlijk e-mailadres;
• De werkgever moet e-mails die belangrijk zijn voor de goede werking van de organisatie recupereren vóór het vertrek van de werknemer en in zijn aanwezigheid. Bij discussie is de aanwezigheid van een vertrouwenspersoon aanbevolen.
• De werkgever moet na een redelijke termijn de mailbox van de werknemer voorgoed verwijderen. In principe moet dit gebeuren na 1 maand. De GBA geeft aan dat deze termijn wel verlengd kan worden, rekening houdend met de context en de graad van verantwoordelijkheid van de ex-werknemer, maar mag bij voorkeur niet langer zijn dan 3 maanden. De verlenging van de termijn moet gemotiveerd worden en gebeurt in principe met akkoord van de werknemer. De werknemer moet minstens geïnformeerd worden over de verlenging van de termijn. Als er geen akkoord is kan de verlenging ook gebaseerd worden op het gerechtvaardigd belang van de werkgever.

De werkgever moet kunnen aantonen dat deze stappen nageleefd zijn.

De GBA wijst ook op het belang om een goed uitgewerkte procedure bij vertrek van de werknemer op te nemen in een ICT en e-mailpolicy.

De GBA is zeer strikt in haar beslissing. De nadruk ligt hierbij op de bescherming van de privacy van de werknemer. Maar er kan de GBA verweten worden dat zij weinig rekening houdt met de belangen van de werkgever.

In haar aanbeveling Cybersurveillance van 2012 nam de toenmalige Privacycommissie een iets milder standpunt in. Zij benadrukte toen ook al het belang van procedures voor de opvolging van e-mailaccounts van werknemers bij afwezigheid of einde van de arbeidsovereenkomst. Maar liet destijds wel nog toe dat de e-mailaccount van de werknemer nog beperkt toegankelijk was voor de werkgever, weliswaar bij voorkeur via de tussenkomst van een vertrouwenspersoon. Deze recente beslissing laat dit niet meer toe.

Men kan zich echter terecht de vraag stellen naar de haalbaarheid van deze regels. Bij een ontslag met opzeggingstermijn moet dit zeker mogelijk zijn. De werknemer heeft dan immers nog voldoende tijd om de mailbox op te kuisen zodat het niet meer nodig is om nadien nog toegang te hebben tot de account. Maar wanneer de beëindiging onmiddellijk in gaat is dit minder realistisch, met name wanneer een werknemer honderden of zelfs duizenden e-mailberichten in de inbox heeft is dit praktisch onmogelijk.

De GBA houdt verder geen rekening met overwegingen van vertrouwelijkheid en bedrijfsgeheim. Als de relatie met de werknemer verzuurd is kan dit een geldige reden zijn om de werknemer geen toegang meer te geven tot de account. Zeker wanneer het ontslag van de werknemer te maken zou hebben met oneigenlijk gebruik van het professioneel e-mailadres.

De GBA gaat in haar beslissing ook duidelijk uit van het uitgangspunt dat de professionele mailbox ook voor privécommunicatie gebruikt mag worden. Het is mogelijk, en aan te raden, om privégebruik van de professionele account te verbieden. Wel op voorwaarde dat de werknemers tijdens de werkdag online hun privémailbox kunnen consulteren. Wanneer privégebruik van de professionele account verboden is, kan een minder streng beleid bij vertrek van de werknemer verdedigd worden.

Tenslotte mag er ook op gewezen worden dat het hier wel degelijk om een flagrante inbreuk ging. Het kan niet de bedoeling zijn om de account van een ex-werknemer bijna 3 jaar na het vertrek van die werknemer nog verder te gebruiken. Bovendien werd er door de werkgever in deze casus niet ingegaan op het uitdrukkelijk verzoek van de ex-werknemer om de accounts te deactiveren. Externen die nog naar de accounts mailden werden niet op de hoogte gebracht van het feit dat de werknemer niet meer actief was in de organisatie. Ook met hun rechten werd dus geen rekening gehouden. Wellicht zou de GBA minder streng oordelen bij minder flagrante inbreuken en ook oog hebben voor de balans tussen de rechten van de werkgever en die van de werknemers.

Belangrijkste punten die je moet meenemen van deze beslissing van de GBA:

• Verwijder tijdig de e-mailaccounts van ex-werknemers: zorg ervoor dat je de e-mailaccounts van ex-werknemers na 1 maand verwijdert. Deze termijn kan verlengd worden tot maximaal 3 maanden wanneer je de verlenging kan verantwoorden door de aard van de functie of de specifieke situatie.
• Zorg in tussentijd voor een out-of-office melding waarmee je informeert dat de werknemer niet meer in dienst in bij je organisatie, en je doorverwijst naar een ander e-mailadres dat ze kunnen contacteren. Doe dit onmiddellijk bij vertrek van de werknemer.
• Maak een policy op over het gebruik en controle van internet, social media en e-mail waarin je een procedure uitwerkt voor opvolging van de accounts van afwezige en vertrokken werknemers. Je kan daarbij ons model gebruiken.

• GBA Geschillenkamer, beslissing ten gronde nr. 64/2020 van 29 september 2020
• GBA aanbeveling nr. 08/2012 van 2 mei 2012