Doorzoeken van de mailbox van de werknemer
Doorzoeken van de mailbox van de werknemer. Werkgever, gebruik ook dan een stappenplan!
Een legitieme reden voor het doorzoeken van de mailbox(en) van een werknemer? Werkgever, gebruik ook dan een stappenplan!
Ook in de HR-praktijk is privacy een belangrijk onderwerp. Zowel de werkgever als de werknemer kunnen in dit kader ‘over de schreef’ gaan, met alle gevolgen van dien.
Werkgever schendt privacy werknemer en moet billijke vergoeding betalen
In een recente ontslagzaak (vindplaats ECLI:NL:GHARL:2021:1884) oordeelde het Hof bijvoorbeeld dat zowel de werknemer als de werkgever ernstig verwijtbaar hadden gehandeld. Dit leidde ertoe dat de werknemer geen recht had op een transitievergoeding, maar de werkgever wel een billijke vergoeding moest betalen. De werknemer, in dienst als directeur, had onder meer zonder toestemming aan zichzelf een winstdeling uitgekeerd. De werkgever had ernstig verwijtbaar gehandeld door de privacy van de werknemer op verschillende manieren te schenden. De salaris- en bonusgegevens waren bekend gemaakt aan een verslaggever. Het arbeidsconflict is publiekelijk belicht door de werkgever door uitingen op de website. Ten slotte is de zakelijk mailbox doorzocht, zonder inachtneming van o.a. de eisen van subsidiariteit en proportionaliteit. Hierdoor maakte het voor het Hof niet meer uit dat uit het beleid van de werkgever volgt dat de zakelijke e-mail niet privé mag worden gebruikt en of er al dan niet een legitieme reden was voor het doorzoeken van de mailbox. De werkgever had tevens ‘de vruchten van deze privacyschending’ gebruikt om het ontslag (mede) daarop te baseren, aldus het Hof.
Welke lessen zijn er in grote lijnen te halen uit de uitspraak van het Hof?
Werknemers hebben ook op het werk recht op een bepaalde mate van privacy. Dit recht strekt zich tevens uit tot de zakelijke mailbox. Het recht op privacy t.a.v. de mailbox bestaat op grond van artikel 8 EVRM juncto artikel 7:611 BW. Dit betekent niet dat er nooit een legitieme reden kan zijn voor de werkgever om zich toegang te verschaffen tot de mailbox. Dit betekent wel dat zorgvuldig moet worden geacteerd, als de werkgever zich toegang verschaft tot de mailbox en deze doorzoekt. Het is dus aan te raden hier vooraf adequaat bij stil te staan. Ook moet natuurlijk in overeenstemming met de AVG worden gehandeld. Als dat niet gebeurt, er in strijd met de privacyregels wordt doorzocht, wordt de kans ook groot dat er tevens in strijd wordt gehandeld met artikel 8 EVRM (recht op respect voor privé- en familieleven) en met artikel 7:611 BW (het goed werkgeverschap).
Globaal stappenplan doorzoeken mailbox
Hierna volgen de stappen die in ieder geval genomen moeten worden voordat een mailbox wordt doorzocht, om zorgvuldig te handelen en te voorkomen dat de privacy van de werknemer wordt geschonden. Aangenomen wordt in dit kader dat er interne regels zijn vastgesteld die zien op o.a. het gebruik van de zakelijke mailbox. Als die regels er nog niet zijn, is het advies om hiermee intern aan de slag te gaan en deze vast te stellen. Let ook op de rol van de OR.
Dit stappenplan is niet uitputtend bedoeld en het is altijd aan te raden om in een individueel geval gedegen advies in te winnen.
Stap 1
Check wat de gedragscode en/of het privacybeleid (of andere handboeken of privacyregels) vermelden over:
1) privé gebruik van de zakelijke mailen.
2) in welke gevallen en hoe de werkgever zich toegang mag verschaffen tot de mailbox.
NB, aangenomen wordt dat de bedoelde bepalingen in de gedragscode en/of het privacybeleid zijn opgesteld met inachtneming van de geldende privacyregels. Als hierover twijfel bestaat, laat het toetsen. Anders, handel volgens de regels, met inachtneming van de hierna volgende stappen.
Stap 2
Stel vast wat er speelt en bepaal het doel van de toegang tot de mailbox c.q. het doorzoeken. Bijvoorbeeld, de continuering goede bedrijfsvoering, beschermen ambstgeheim, vermoeden fraude. De verwerking (toegang tot/doorzoeken van de mailbox) moet in verhouding staat tot het doel (zie ook artikel 5). Schakel zo nodig externe hulp in (juridisch en/of ict-technisch).
Stap 3
Stel vast dat er een rechtmatige grondslag is voor de verwerking (artikel 6 AVG). Bijvoorbeeld, een gerechtvaardigd belang maakt het inzien/doorzoeken noodzakelijk, of het uitvoeren van de arbeidsovereenkomst.
Stap 4
Voldoe aan de actieve informatieplicht, tenzij er reden is voor een uitzondering (zie ook artikel 12 t/m 14 AVG).
Stap 5
Zorg dat wordt voldaan aan de eis van de noodzakelijkheid van de verwerking en aan de eisen / beginselen van subsidiariteit en proportionaliteit (zie ook artikel 5 AVG). Dus, heel kort gezegd, zorg ervoor dat het inzien/doorzoeken van de mailbox in verhouding staat tot het doel. Stel vast dat het doel niet op een andere – minder ingrijpende – manier te bereiken is.
Stap 6
Ga de mailbox in, c.q. doorzoek de mailbox met inachtneming van de stappen 1 t/m 5. Schakel zo nodig externe hulp in (juridisch en/of ict-technisch). Bij de uitvoering is o.a. tevens van belang dat privéberichten zoveel mogelijk worden overgeslagen. De focus moet, met andere woorden, liggen op zakelijke berichten. Het is daarom raadzaam om de uitvoering zodanig in te kleden dat zoveel mogelijk wordt voorkomen dat per ongeluk privéberichten worden verwerkt/gelezen enzovoort.
Heeft u vragen over het onderwerp van dit artikel, of andere privacyvragen? Neem dan contact op met Fatou Tevette, of iemand anders van het expertteam.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.