Mag ik de mailbox van een ex-werknemer nog een tijdje aanhouden?

Mailboxen van ex-werknemers

Elke werkgever of HR-verantwoordelijke weet dat het vertrek van een werknemer of zelfstandige medewerker bij een bedrijf niet altijd van een leien dakje loopt.  Vaak lopen de spanningen op en de belangen van ex-werkgever en ex-werknemer lopen lang niet altijd gelijk.  

Eén van de dingen waar je als werkgever wellicht van wakker ligt, is de continuïteit van je dienstverlening.  Je vertrekkende werknemer neemt immers heel wat kennis en lopende contacten met zich mee die je als werkgever liefst zo snel en goed mogelijk opgevolgd ziet door je team.  

De verleiding is dan ook groot om de mailbox van een ex-werknemer ook na diens vertrek nog een tijdje of zelfs permanent open te houden en de inkomende mails ofwel te (laten) forwarden naar een ander mailadres ofwel om één of meerdere medewerkers toegang te geven tot de oude mailbox om de inhoud ervan geregeld te scannen.  

Op die manier kan geen waardevolle informatie verloren gaan.  Klant tevreden, bedrijf tevreden, iedereen tevreden, toch?

Of toch niet…? Wat leert ons een recente beslissing over het aanhouden van een mailbox? 

De Gegevensbeschermingsautoriteit leert ons in een recente beslissing van 2 december 2021, voor zover dat nog niet duidelijk zou zijn geweest, dat het aanhouden van een mailbox van een ex-werknemer in principe niet OK is.  Deze beslissing bevestigt overigens eerdere beslissingen, waarin boetes tot 15.000 euro werden opgelegd, zowel binnen als buiten België.  Ook collega Roeland Lembrechts wees al eerder op het gevaar van het meelezen in e-mails van werknemers of zelfstandige medewerkers.

De inhoud van de mailbox, ook al is het een professioneel mailadres, bevat persoonsgegevens van de ex-werknemer en van derden en bevat potentieel ook privacygevoelige informatie (wat onder GDPR overigens niet zomaar gelijk te schakelen is met het begrip persoonsgegevens).

Om die reden kan de ex-werkgever de inbox van een vertrokken werknemer eigenlijk niet aanhouden.  In haar beslissing legt de GBA de limiet voor het aanhouden en het opzetten van een out of office met vertrekmelding op 1 maand. Dat kan eventueel verlengd worden tot drie maanden, maar enkel mits het voorafgaande akkoord van de ex-werknemer.  Die laatste moet hiervoor vrij zijn of haar toestemming kunnen geven en dus kan dat akkoord in principe niet tijdens de looptijd van de arbeidsovereenkomst gevraagd worden, maar pas na afloop ervan.

Dat is een streng standpunt, maar het heeft wel het voordeel van de absolute duidelijkheid.  Nochtans menen wij dat nuancering mogelijk moet zijn.  In sommige beroepen is een termijn van één of drie maanden wel érg kort en dreigt op die manier essentiële informatie verloren te gaan, die schade kan veroorzaken aan ofwel het bedrijf zelf ofwel aan haar partners, klanten of toeleveranciers.  In die context en mits een duidelijk gedocumenteerde rechtvaardiging, moeten langere termijnen in onze ogen toch echt wel mogelijk blijven.  GDPR zelf vermeldt immers helemaal geen precieze termijnen voor het bewaren van persoonsgegevens in deze context.

Correcte exitprocedure, cyber security en GDPR

Het is belangrijk voor élk bedrijf om in ieder geval een duidelijke procedure te voorzien die ervoor zorgt dat zowel vertrekkende werknemers als het HR-team weten hoe een vertrek standaard zal verlopen.  Zo’n procedure, die best ook effectief is uitgeschreven en gecommuniceerd, voorkomt misverstanden en fouten langs beide zijden en beschermt dus zowel de belangen van het bedrijf als de privacy van de werknemer.

Alles begint daarbij met een goede e-mail policy voor je werknemers.  Wat mag er wel en niet via professionele mailadressen gecommuniceerd worden? Hoe lang blijven mails bewaard in inbox en outbox?  Mogen bijlagen met gevoelige gegevens per mail verzonden worden (je voelt ons advies wat dat betreft ongetwijfeld komen…)?  Wat met privégebruik? Wat met raadplegen van mails via smartphone, privélaptop, …?  

E-mail is overigens bijzonder hackinggevoelig en foutgevoelig.  Zorg er dus voor in je e-mailbeleid dat bewaartermijnen voor e-mails in je mail client zo kort mogelijk zijn.  Als onbevoegden op een dag toegang krijgen tot een mailbox met vertrouwelijke gegevens, is het probleem waar je voor staat veel beperkter als daar enkel mails van de voorbije drie maanden te vinden zijn in plaats van een mailarchief dat 5 jaar teruggaat in de tijd…  Relevante mails worden dus best buiten je mail client bewaard, bvb opgeslagen in je CRM of document management tool, zodat je inbox niet als archief gebruikt hoeft te worden. 

In diezelfde e-mail policy (of afzonderlijk eventueel) kan ook de exitfase geregeld worden.  Daarin volg je best de richtlijnen van de GBA, zoals ze ook uit deze beslissing volgen:

• Zorg ervoor dat werknemers vóór vertrek belangrijke inhoud recupereren.  Eventuele privémails worden geforward naar een privé mailadres, professionele mails worden doorgestuurd naar collega’s die voor verdere opvolging gaan zorgen of worden opgeslagen bij het relevante dossier of de relevante cliënt in je document management oplossing.
• Zorg dat de timings waarbinnen dit moet gebeuren duidelijk zijn en geef duidelijke instructies aan de vertrekkende werknemer: wat wordt er van hem of haar verwacht en tegen wanneer.
• Vermijd elke situatie waarin je zelf toegang moet nemen tot de betreffende e-mail account en als dat toch nodig is, doe het dan altijd in aanwezigheid van de vertrekkende werknemer.
• Zodra de werknemer het bedrijf verlaten heeft, kan een out-of-office met een vertrekbericht ingesteld worden.  Idealerwijze doet de vertrekkende werknemer dit zelf, dat zorgt voor maximale privacy.  Zorg wel opnieuw voor duidelijke instructies over de inhoud of zelfs standaardteksten.  Die out-of-office kan zoals gezegd, in de ogen van de Gegevensbeschermingsautoriteit maximaal 1 maand aangehouden worden.  Als je die termijn wil verlengen (de GBA zegt tot maximaal 3 maanden), heb je de voorafgaande toestemming nodig van de vertrekkende werknemer én heb je een goede rechtvaardiging nodig onder GDPR voor die verlening. 
  Het aanhouden van de out-of-office is overigens (meestal) wel te verantwoorden vanuit het “gerechtvaardigd belang” onder GDPR.  Zoals we al aangaven, denken we dat het in functie van de context mogelijk moet zijn om die 3 maanden wat ruimer te zien, mits dat grondig gemotiveerd kan worden.
• Na deze periode moet de mailbox onherroepelijk afgesloten worden.  Een onbeantwoorde vraag daarbij is hoe je als werkgever moet omgaan met mails die daaraan opgevangen worden door een “catch all” op je domein.
• Mag je in die out-of-office periode toegang nemen tot de mails zelf?  Daarover is de GBA niet erg duidelijk.  Als je alle voorgaande stappen goed opgevolgd hebt, is dat in se niet nodig.  Een cassatiearrest uit 2019 stelde dat de toestemming van de werknemer nodig is, maar de oude Privacycommissie sprak dat in het verleden tegen.  In elk geval geldt ook hier dat je best zorgt voor maximale transparantie ten aanzien van je personeel.