03/12/2020

Mails controleren van je werknemers of zelfstandige partners? Not done?!

Leesduur: 7 min
mag_je_mails_controleren

Heel wat bedrijfsinformatie zit in de mailboxen van iedereen die bij je bedrijf betrokken is: communicatie met leveranciers en klanten, contracten in bijlage, prijslijsten, kortingen en andere vertrouwelijke informatie. Het is dus logisch dat cybercriminelen meestal niet veel verder gaan zoeken dan je mailaccount. Die bevat immers een enorme bron van (gevoelige) informatie. 

En dat hackers van buitenaf niet in je mailbox mogen neuzen, dat klinkt logisch. Maar dat je dat als werkgever, collega of medevennoot zou doen, daar lijkt die reflex veel minder aanwezig. ‘Het is voor het werk, dus wat is het probleem?’ zou je zeggen. Toch is het antwoord niet zo eenvoudig en is het van belang om je als organisatie daar goed op voor te bereiden. Strafbare handelingen loeren immers al snel om de hoek en zijn niet beperkt tot de bescherming van de privacy.

 

Niet zonder problemen…

Als medevennoten beslis je om verschillende work accounts te maken, waaronder e-mailaccounts die door elk van de vennoten persoonlijk gebruikt worden. Of je maakt een account aan voor de zelfstandig aangestelde CFO, je voorziet een apart mailadres voor de verschillende freelancers of werknemers die mee aan een project werken. Op het moment dat deze personen tijdelijk niet meer kunnen werken, onbeschikbaar zijn of de onderneming om welke reden dan ook verlaten hebben, kan je verschillende redenen hebben om informatie die in deze accounts opgeslagen zit, te bemachtigen: bewijsmateriaal voor een discussie in de samenwerking (vb. anti-concurrentie, onrechtmatige vrijgave van bedrijfsgeheimen, ..), de opvolging van een project, opzoeken van informatie voor overheidsinstanties, het voorbereiden van een ontslag, nakijken of een bestuurder aansprakelijk zou zijn, etc.

Het probleem is echter dat je je niet zomaar toegang kan verschaffen tot deze accounts. Het is in essentie verboden om met (in sommige gevallen bedrieglijk) opzet kennis te nemen van die elektronische communicatie, voor zover je zelf niet deelneemt aan die communicatie en je geen toestemming hebt van alle deelnemers aan die communicatie. Door een strenge interpretatie en toepassing van de toepasselijke wetgeving zou je je al snel schuldig kunnen maken aan strafbare handelingen.

Bovendien kan je je al snel schuldig maken aan hacking indien je je onrechtmatig toegang verschaft tot een mailbox die aan iemand anders behoort. De vraag tot wie een bepaalde account op een gegeven moment behoort, is in de praktijk overigens niet altijd even eenvoudig.

Let er ook op dat je je schuldig kan maken aan informaticasabotage wanneer je onrechtmatig een account van die andere persoon blokkeert, geheel of gedeeltelijk wist, wijzigt of op een andere manier manipuleert.

Tot slot is de kans groot dat diezelfde handelingen kunnen beschouwd worden als onrechtmatige verwerkingen onder de GDPR. En die voorziet zowel administratieve als strafrechtelijke boetes.

 

Maar wat kan ik dan wel doen?

Zijn er dan geen mogelijkheden om alsnog toegang te krijgen tot deze accounts en nuttige informatie van mijn onderneming te bemachtigen en te beschermen, zonder dat je je blootstelt aan eventuele strafklachten?

Het is theoretisch gezien nagenoeg onmogelijk om geen strafbare handelingen te stellen wanneer je je op een of andere manier toegang verschaft tot andermans e-mailaccount. De relevante wetgeving voorziet wel in een reeks uitzonderingen, maar deze zijn eerder beperkt en vatbaar voor discussie. Het bekendste instrument vinden we bij het arbeidsrecht, nl. de CAO nr. 81, maar inmiddels is gebleken dat geen enkele werkgever in de praktijk aan het formalisme van deze CAO kan voldoen. Ook de vroegere privacycommissie heeft in haar aanbeveling nr. 08/2012 gezocht naar een praktische handleiding om het controlerecht van de werkgever en de privacy van de werknemer met elkaar te verzoenen, maar kan geen garanties geven. In de rechtspraak wordt dan weer de Antigoondoctrine gebruikt om de belangen van de werknemer deels te beschermen: e-mails kunnen als bewijs gebruikt worden, hoewel ze op strafbare wijze bemachtigd zijn.

Eén ding is duidelijk: het consulteren van andermans e-mailaccount blijft een probleem en zal de volgende jaren nog veel stof doen opwaaien. Maar wat kan je ondertussen doen om jezelf en je onderneming juridisch zo veilig mogelijk te stellen? Daar kunnen in elk geval een aantal richtlijnen voor gegeven worden. Voor deze richtlijnen baseren we ons op 3 belangrijke principes die ook in de bewuste CAO gehanteerd worden:

1.Transparantie

  • Maak een duidelijk onderscheid tussen werkmails en privémails en spreek af hoe en wanneer je tijdelijk toegang kan krijgen tot een account.
  • Maak kenbaar of spreek af dat werk-accounts onder het beheer van je bedrijf blijven en bepaal duidelijk de rechten van het bedrijf op deze account (toegang, beheer, afsluiting, monitoring, …. vb. tijdens tijdelijke onbeschikbaarheid, …)
  • Zorg voor een banner/disclaimer onderaan elke werkmail met vermelding dat deze mail in het belang van het bedrijf kan geconsulteerd worden en dat indien 1 van de deelnemers in het mailverkeer hier bezwaar tegen kan maken via een algemeen mailadres van de onderneming
  • Spreek af dat voor elke mail die een zakelijk belang heeft steeds het algemeen mailadres mee in cc wordt gezet (info@…, project@…, secretariaat@…)
  • Voorzie duidelijke interne privacy policies, bring-your-own-device policies die de rechten van alle betrokkenen bepalen, een arbeidsreglement, overeenkomst, pop-ups met verwittiging die duidelijkheid creëren over wat elke betrokkene van zijn privacy op de werkvloer mag verwachten.
  • Voorzie een duidelijke opname in je dataregister en voer een gegevensbeschermingseffectbeoordeling uit.

2.Proportionaliteit

Indien je beslist om tot een bepaalde controle over te gaan, bepaalde communicatie op te pikken of informatie te zoeken om de continuïteit van je activiteiten te verzekeren, zorg er dan steeds voor dat je de minst ingrijpende maatregel neemt. De inmenging in de e-mailaccount moet tot een absoluut minimum beperkt worden.

Bouw daarbij zelf bijvoorbeeld een trapsgewijze procedure in waarbij een steeds indringendere maatregel kan toegepast worden met een reeks waarborgen voor de betrokkene: een voorafgaand overleg, een eerste berisping, de omschrijving van een bepaald vermoeden,  wanneer een maatregel kan genomen, worden, …

Maak eventueel gebruik van de tussenkomst van een externe DPO of een onafhankelijke tussenpersoon die in alle vertrouwelijkheid de bewuste informatie in de e-mailaccounts kan nagaan en hier de louter noodzakelijke informatie uit kan filteren. Zorg ervoor dat de tussenkomst van deze persoon ook duidelijk op voorhand meegedeeld is, zodat de maatregel ook zo goed als mogelijk gedragen wordt door elke betrokkene.

3.Doelmatigheid 

Bepaal steeds op voorhand voor welke doeleinden je een eventuele controle zou uitvoeren, toegang zou nemen of gebruik zou maken van het e-mailaccount. Deze doeleinden kunnen bijvoorbeeld gaan over de vaststelling van strafbare of ongeoorloofde feiten die ook de belangen van je onderneming kunnen schaden, de vaststelling van zaken die de concurrentiële positie van je onderneming kunnen schaden, het na een grondig vermoeden doen vaststellen dat vertrouwelijkheidsverplichtingen geschonden zijn, het garanderen van de veiligheid van het IT-netwerk, de vaststellingen van grove fouten die een ontslag om dringende redenen kunnen vormen, etc.

 

Zorg voor een duidelijk beleid en goede afspraken

Het consulteren van iemand anders zijn of haar e-mailaccount binnen je bedrijf is nooit zonder risico en nagenoeg altijd strafbaar. Om dat risico tot een minimum te beperken is het van belang dat je op voorhand met alle betrokkenen een duidelijk beleid en goede afspraken maakt rond privacyverwachtingen en rechtmatige toegang tot het e-mailaccount.

Hoewel alle betrokken actoren reeds jaren zoeken naar een goed evenwicht, blijft het voor je bedrijf van belang je eigen verantwoordelijkheid te nemen. Dat accountability-principe, zoals we dat van GDPR kennen, werpt ook in de rechtspraak zijn vruchten af en verhoogt je kansen in een procedure. Aangezien het samenspel tussen de verschillende rechtsbronnen vrij complex is en de rechtspraak zeer genuanceerd, is het aan te raden je te laten bijstaan door iemand met kennis van zaken.

 

Meer vragen of het beheer van e-mailaccounts binnen je onderneming?

Neem dan vrijblijvend contact op via roeland@siriuslegal.be

Of neem gerust een kijkje op onze cyber security pagina over employee compliance en veilige policies voor werknemers.

Over de auteur

Roeland
Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die intellectuele bagage startte ik mijn carrière als advocaat aan de Mechelse balie om ongeveer 10 jaar later partner te worden in het fantastische project van Sirius Legal.