Continuïteit van mailboxen van werknemers garanderen. Wat kan en mag?

Continuïteit van mailboxen van werknemers garanderen. Wat kan en mag?

 

U wilt als ondernemer uiteraard de continuïteit binnen uw onderneming steeds optimaal garanderen. Dit geldt ook voor het opvolgen van mails die uw werknemers verzenden en ontvangen.

 

Aangezien u hier voor een groot stuk afhankelijk bent van uw werknemers, rijst de vraag welke mogelijkheden er zijn om die continuïteit te garanderen. Mag u bijvoorbeeld een mailbox van een afwezige werknemer laten opvolgen? Wat doet u bij ontslag? Wat als iemand plots overlijdt?

 

Het antwoord is niet eenvoudig te geven. Er zijn immers verschillende wettelijke bepalingen die moeten worden toegepast en de rechtspraak hierover is vaak uiteenlopend. Toch vatten we hierna graag enkele praktische inzichten voor u samen.

 

1 Ja, er is een mogelijkheid tot toegang tot de mailboxen

Er is wel degelijk een mogelijkheid van toegang tot en controle van de mailboxen van werknemers.

 

Dit ondanks het feit dat er een algemeen verbod geldt om elektronische communicatie te raadplegen van anderen.[1] Dit verbod geldt ook voor e-mails in de professionele context en ook wanneer u privégebruik van de professionele mailbox zou verbieden.

 

Ten aanzien van werknemers geldt er echter een specifieke uitzondering op dit verbod, omdat de Arbeidsovereenkomstenwet van 3 juli 1978 aan de werkgever een wettelijke toelating geeft om controle en werkgeversgezag uit te oefenen.[2]

 

2 De mogelijkheden zijn echter beperkt

Uiteraard zijn er wel beperkingen aan die controlemogelijkheden (ter bescherming van het recht op privacy van de werknemer).

 

De belangrijkste bepalingen worden voorzien in de Algemene Verordening Gegevensbescherming (‘AVG’ of ‘GDPR’) en CAO nr. 81. Het zou ons te ver leiden om deze regelgeving hier volledig uit de doeken te doen, maar hierna lichten we enkele concrete gevallen toe.

 

3 Wat met mailbox van een zieke/afwezige werknemer?

3.1 Opvolgen mag

U mag in principe de mailbox van een zieke of afwezige werknemer opvolgen.

 

Er is hiertoe namelijk een gerechtvaardigd doel, nl. het verzekeren van de continuïteit van de geleverde diensten ingeval van afwezigheid, hetgeen het beheer en de organisatie van de activiteiten van de werkgever aanbelangt.

 

Er is ook een rechtmatige basis in de AVG, nl. het gerechtvaardigd belang* van de werkgever en van derden die een beroep doen op de onderneming via de werknemer.

 

*Let wel, deze rechtmatige basis brengt een aantal bijkomende verplichtingen met zich mee. U moet o.a. een belangenafweging (zgn. ‘balancing test’) documenteren. Dit document helpt u later ook wanneer de werknemer bezwaar zou maken tegen deze gegevensverwerking.[3] Een aanpassing van de privacyverklaring t.a.v. werknemers zal ook nodig zijn. Het ‘recht op bezwaar’ moet immers uiterlijk op het moment van het eerste contact met de werknemer uitdrukkelijk onder zijn aandacht worden gebracht en duidelijk en gescheiden van enige andere informatie worden weergegeven.[4]

3.2 Op een proportionele en transparante manier

Er is wel steeds proportionaliteit en transparantie vereist. Die begrippen moeten steeds concreet worden ingevuld en beoordeeld.

 

Enerzijds moet de toegang tot een minimum beperkt worden. De werkgever mag enkel doen wat strikt noodzakelijk is om voormeld doel te bereiken. Aanbevelingen hieromtrent zijn o.a.:

  • Verplicht het gebruik van een out-of-office of laat deze automatisch instellen, zodat toegang in principe niet nodig is, tenzij bij uitzonderlijke gevallen;
  • Duid vooraf (bij ongeplande afwezigheden) of ad hoc (bij geplande afwezigheden) een vertrouwenspersoon aan (evt. met inspraak van de werknemersvertegenwoordiging) die gemachtigd wordt om de berichten of professionele bestanden te selecteren ingeval van gerechtvaardigde noodzaak en dringendheid die niet toelaat de terugkeer van de werknemer af te wachten;
  • Zorg dat deze vertrouwenspersoon niet méér leest dan nodig (bv. persoonlijke berichten);
  • Laat de werknemer professionele en privé-informatie scheiden (aparte map of gebruik van verschillende accounts), dan mag de werkgever er in principe van uitgaan dat de e-mails een beroepskarakter hebben, zeker ten aanzien van de verzonden berichten;

 

Anderzijds moet de werknemer vooraf weten hoe de mailbox moet/mag worden gebruikt en welke procedure wordt voorzien bij (geplande of ongeplande) afwezigheden.

 

Een goede policy hieromtrent is dus essentieel!

 

4 Mailbox na uitdiensttreding

Voormelde regels gelden grotendeels ook voor de opvolging van mailboxen na de beëindiging van een arbeidsovereenkomst (hetgeen immers ook een geplande of ongeplande afwezigheid betekent).

 

De Gegevensbeschermingsautoriteit (‘GBA’) vult de regels in deze hypothese echter wel strenger in.

 

In een recente beslissing van 29 september 2020 legde de GBA een administratieve geldboete van 15.000,00 EUR op aan een onderneming die de e-mailadressen van twee werknemers pas na 2,5 jaar na hun vertrek had afgesloten.

 

In deze beslissing geeft de GBA een aantal richtlijnen mee die werkgevers zouden moeten volgen bij het vertrek van hun werknemers, o.a.:

  • De mailbox moet onmiddellijk worden geblokkeerd bij vertrek en mag nog een beperkte tijd (1 maand tot max. 3 maanden) automatische antwoorden verzenden. Daarna moet de mailbox definitief worden afgesloten;
  • De werknemer moet vooraf worden geïnformeerd en moet de mogelijkheid krijgen om zijn e-mails te sorteren en door te sturen naar zijn privé e-mailadres vóór zijn effectief vertrek;
  • Mails die van wezenlijk belang zijn om de goede werking van de onderneming te verzekeren, moeten worden gerecupereerd vóór het vertrek van de werknemer en in zijn aanwezigheid.

 

Dit is een streng strandpunt van de GBA en wordt niet noodzakelijk gevolgd door de rechtspraak. Bovendien moeten de maatregelen steeds in concreto worden bekeken (bv. er zal allicht een minder strikt beleid mogelijk zijn wanneer privé-communicatie in principe verboden wordt of verplicht te scheiden is).

Proportionaliteit en transparantie zijn hier opnieuw sleutelwoorden die concreet moeten worden omgezet in een policy.

 

5 Mailbox bij overlijden

De persoonsgegevens van een overleden persoon worden in principe niet beschermd door de regels van de AVG, waardoor de mogelijkheden in deze situatie alleszins soepeler zullen zijn.

 

Let wel, de mailbox bevat logischerwijze ook nog mails met persoonsgegevens van andere personen, die wél beschermd blijven onder de AVG. Een overlijden is dus geen vrijgeleide om de volledige mailbox te screenen (o.a. gelet op het principe van het geheim van elektronische communicatie, dat alle deelnemers aan de communicatie beschermt).

 

Voorzichtigheid is hier nog steeds geboden.

 

6 Heb ik toestemming van de werknemer nodig?

In principe is de toestemming van de werknemer niet nodig in voormelde gevallen voor het opvolgen van professionele mails, aangezien de werkgever daartoe al een mogelijkheid heeft door het wettelijk voorziene werkgeversgezag.

 

Niettemin wordt er in de rechtspraak toch enig belang gehecht aan het voorhanden zijn van een geldige toestemming van de werknemer, vooral voor de toelating van onrechtmatig verkregen bewijs… Vaak wordt er dus bijkomend toch een toestemming gevraagd aan de werknemer.

 

Voor privémails ligt dat anders. Daar hebt u wel de toestemming van de werknemer nodig. U zou echter ook toestemming moeten krijgen van “alle betrokken partijen bij de mail-communicatie”. Dat ligt in de praktijk vaak moeilijk.

 

7 Moet ik het arbeidsreglement aanpassen?

Algemeen geldt er geen verplichting om het arbeidsreglement aan te passen voor een controle op of toegang tot mailboxen.

 

Een aanpassing van het arbeidsreglement wordt wél vereist wanneer de controle op de mailbox:

  • zou gebeuren met het oog op het meten van de arbeid; of
  • de bevoegdheden van het toezichthoudend personeel zou betreffen; of
  • zou leiden tot het opleggen van disciplinaire sancties.

 

Voor het overige volstaat een policy in principe om te voldoen aan de transparantieverplichting.

 

De GBA beveelt wel het arbeidsreglement aan als “de bron van informatie bij uitstek”, omdat het arbeidsreglement de meeste waarborgen biedt, gelet op de inspraak die werknemers bij de totstandkoming en aanpassing van het arbeidsreglement hebben. Dit kan dus een rol spelen in het kader van de proportionaliteitsvereiste.

 

Een opname in het arbeidsreglement biedt dus in principe meer bescherming voor de privacy, maar maakt het voor de werkgever ook moeilijker om bepalingen te voorzien en aan te passen. Er zal concreet moet worden nagegaan wat haalbaar en wenselijk is.

 

8 Wat bij inbreuken?

Er zijn verschillende inbreuken denkbaar, waaraan verschillende sancties gekoppeld zijn. In het algemeen bestaan deze sancties uit geldboetes en schadevergoedingen:

 

  • Een inbreuk op het geheim van de elektronische communicatie wordt strafbaar gesteld met een geldboete van 50 tot 50.000 EUR[5];

 

  • Er wordt een strafsanctie voorzien voor het zich “intern” toegang verschaffen tot een informaticasysteem door “met bedrieglijk opzet of met het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem te overschrijden” van een gevangenisstraf van zes maanden tot twee jaar en/of een geldboete van zesentwintig euro tot vijfentwintigduizend euro[6]. Hiertoe is dus wel een overschrijding van de toegangsbevoegdheid nodig door de werkgever en moet opzet worden aangetoond.

 

  • Inbreuken op de AVG (bv. niet proportioneel of te weinig transparantie) worden ook specifiek gesanctioneerd met een administratieve geldboete.[7] De geldboete kan oplopen tot 20000000EUR of, voor een onderneming, tot 4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Het bedrag zal echter wel steeds in verhouding moeten staan tot de inbreuk.

 

  • De Wet Verwerking Persoonsgegevens voorziet tevens in administratieve geldboetes voor inbreuken op de WVP en op de AVG (afhankelijk van de inbreuk).[8]

 

  • Een inbreuk op voormelde regelgeving die schade tot gevolg heeft, kan aanleiding geven tot een schadevergoeding op basis van de algemene aansprakelijkheidsregeling.[9] Dit recht op schadevergoeding wordt ook uitdrukkelijk opgenomen in andere wetgeving.[10]

 

Wanneer er een inbreuk is op de regels rond toegang tot mailboxen en/of het lezen van bepaalde mails van de werknemer, zal het bewijsmateriaal dat u hierdoor mogelijks verkrijgt bovendien “onrechtmatig” zijn. Bijvoorbeeld: u komt een privémail tegen die u leest en waaruit blijkt dat de werknemer ongewenste berichten verstuurt.

 

Deze mail is dan in principe onbruikbaar om als bewijs tegen de werknemer te gebruiken (bijvoorbeeld bij een ontslag), hoewel daarop uitzonderingen mogelijk zijn. De rechter kan dit onrechtmatig verkregen bewijs immers wél toelaten. Er zal dan een afweging worden gemaakt tussen de inbreuk op de privacy van de werknemer enerzijds en de fout die de werknemer heeft gemaakt anderzijds.


[1] Art. 124 Wet Elektronische Communicatie.

[2] Art. 125, §1, 2° Wet Elektronische Communicatie en art. 2, 3, 4, 5, 16 en 17 Arbeidsovereenkomstenwet.

[3] Het recht op bezwaar wordt voorzien in art. 21.1 AVG.

[4] Art. 21.4 AVG.

[5] Art. 145 WEC.

[6] Art. 550bis, §2 Strafwetboek.

[7] Art. 83 AVG.

[8] Art. 222 e.v. WVP.

[9] Art. 1382 BW.

[10] Art. 82 van de AVG en art. 216 WVP.

 

Dit artikel werd geschreven door

Op zoek naar advies rond een bepaald onderwerp?

We begeleiden je naar de juiste persoon of team.