Mailbox blokkeren en afsluiten
Om met de deur in huis te vallen: eigenlijk moet je een persoonlijke mailbox afsluiten en verwijderen op de dag dat de werknemer vertrekt. Een mailbox, al dan niet op persoonlijke naam van de werknemer, die door de werkgever ook voor privédoeleinden mag gebruikt worden, bevat immers persoonsgegevens en behoren dus tot de privacy van de werknemer. De inhoud van een mailbox die ook privé gebruikt wordt mag dan ook niet zomaar gecontroleerd worden.
Volgens GDPR mag je een persoonlijke mailbox, die op naam van de werknemer staat, dus niet openhouden bij vertrek, laat staan bekijken. Ten laatste 1 maand na de vertrekdatum van de medewerker moet de mailbox definitief afgesloten zijn. Deze extra maand geeft je nog de kans om klanten te verwittigen, bijvoorbeeld via een out-of-office.
Een functionele of algemene mailbox, bvb. info@…, moet daarentegen niet afgesloten worden.
Wat je wel altijd ook meteen moet doen, is de mailbox onmiddellijk blokkeren voor de medewerker op de dag van zijn/haar vertrek. Zo ga je misbruik tegen. Maar het blokkeren van een mailbox is niet hetzelfde als deze definitief afsluiten. Je moet de werknemer wel nog de mogelijkheid geven om zijn privémails te wissen of over te zetten. Dat gebeurt best in samenspraak.
Informatieplicht
Een zeer belangrijk punt in dit verhaal: een onderneming heeft voor de controle van persoonsgegevens informatieplicht. Dat wil zeggen dat alles wat hierrond gebeurt bij het vertrek van een werknemer, op voorhand via een policy moet medegedeeld worden aan de werknemer. Of, als er geen policy is, moet de werknemer ten minste bij vertrek op de hoogte gebracht worden via een brief van de stappen die de werkgever wil ondernemen met de mailbox.
Transparantie is heel belangrijk. Zodra je dingen verborgen probeert te houden krijgen mensen argwaan en zullen ze gemakkelijker een schending van de privacy inroepen.
Wat met de mails in die mailbox?
Een mailbox afsluiten is allemaal goed en wel, maar er zitten waarschijnlijk best nog wel een aantal mails in die mailbox. Wat doe je daarmee? Mag je die nog bekijken? Het antwoord is afhankelijk van de situatie.
Zolang de mailbox nog open staat, kan je er in theorie nog in. Toch doe je dat beter niet. Wanneer het om een mailbox gaat die de werknemer ook privé mocht gebruiken, zullen er ongetwijfeld ook privémails inzitten. En die mag je volgens de privacywetgeving dus niet bekijken. Om die reden kan je niet zomaar in een mailbox gaan snuisteren.
Heb je toch een belangrijke mail nodig waarvan je weet dat die in de mailbox zit, bijvoorbeeld een bestelbon? Dan gaat het over het economisch belang van de onderneming en mag je die wel gaan zoeken. Maar let op, dat mag niet zomaar iedereen. Je moet een vertrouwenspersoon aanstellen en alleen die persoon mag in de mailbox kijken. Deze regel bestaat ook om misbruik tegen te gaan. Maar ook deze persoon mag geen privémails bekijken.
Wie die vertrouwenspersoon is, moet ook in een policy worden gezet en aan de medewerkers worden medegedeeld.
De belangrijkheid van die mails hangt ook af van de mate van verantwoordelijkheid van de werknemer. Iemand die een leidinggevende functie had en lang bij het bedrijf tewerkgesteld was, heeft waarschijnlijk belangrijke info in zijn/haar mailbox zitten. Dan zou die extra maand verlengd kunnen worden tot maximum 3 maanden. De werknemer moet hiervan wel op de hoogte gebracht worden.
Mag je een forward naar een andere persoon instellen?
Dat zou in principe mogen tijdens de periode dat de mailbox nog open staat, zolang de mails naar de vertrouwenspersoon gestuurd worden en zolang er alleen professionele mails worden doorgestuurd. Aangezien het niet altijd gemakkelijk aan te geven is welke mails professioneel zijn, geniet deze werkwijze niet de voorkeur.
De persoonlijke mailbox van de ex-werknemer koppelen of doorgeven aan een andere gebruiker mag evenwel niet. Dat mag alleen bij functionele mailboxen (vb. boekhouding@eurosys.be), die zoals gezegd, ook nooit moeten worden afgesloten bij het vertrek van een werknemer.
Een oplossing: de out-of-office
Een out-of-office instellen voor de persoonlijke mailbox is wel een goed idee. Zo bega je als onderneming niet de fout om eventuele privémails onder ogen te krijgen. Het is zeker aan te raden de eventuele opvolger bij in het bericht te zetten. Dan is er minder kans dat er in de toekomst mails verloren gaan.
Deze out-of-office mag je natuurlijk maar even lang instellen als de periode dat de mailbox nog online is. Eén of hoogstens 3 maanden dus afhankelijk van de situatie. In die periode moet je alle klanten contacteren om hen van het vertrek op de hoogte te brengen.
Van zodra de mailbox echt afgesloten is, krijgt de afzender van eventuele mails een melding van de mailserver dat de mailbox niet meer bestaat. Je stuurt dan best een testmail naar die afgesloten mailbox zodat je die melding kan printen als bewijs.
Probeer deze out-of-office wel los te koppelen van de controle. Gebruik de maand dat je de out-of-office nog hebt alleen om je klanten te bereiken en niet om de mailbox te controleren. Controleer je wel, dan moet dat weer via de vertrouwenspersoon en moet je je policy daarop aangepast hebben.
Wat bij ontslag met onmiddellijke ingang?
Bij ontslag zonder opzegperiode, mag je nog wel in de persoonlijke mailbox kijken. Het gaat dan over het gerechtvaardigd belang van de onderneming (vb. continuïteit). De werknemer heeft dan zelf zijn mailbox niet kunnen opkuisen.
De persoonlijke mailbox is ook nog altijd een professionele mailbox, dus mag je er wel vanuit gaan dat er professionele mails in zitten. Maar je mag nog niet elke mail zomaar nakijken. Mails waarvan je op het eerste gezicht kan zien dat het een privémail is, mag je zeker niet openen. De oefening moet ook beperkt zijn in de tijd. In functie van de context en in het kader van een juridisch geschil is er misschien wel nog een reden om de mailbox te gaan bekijken.
Mag een onderneming bekijken welke mails nog verzonden of verwijderd werden?
Alleen bij een vermoeden van onrechtmatig belang of misbruik, mag een onderneming gaan kijken welke mails de werknemer tijdens zijn opzegperiode nog verzonden of verwijderd heeft. Denk dan bijvoorbeeld aan concurrentie. Maar zonder meer gaan screenen, dat mag niet. En in geen geval mag je kennis nemen van de inhoud van privémails.
De ideale situatie
We hebben even overlopen wat je wel en niet mag doen met een persoonlijke mailbox bij het vertrek van een werknemer, maar er is een eenvoudige manier om al deze problemen te voorkomen. En dat is om voor het vertrek te gaan samenzitten met de werknemer en samen door de mailbox te gaan. De werknemer haalt zijn/haar privémails eruit en belangrijke werkmails worden in een map of in het ERP-systeem gezet. Zo weet je nog vóór de laatste werkdag van de werknemer dat er geen belangrijke mails verloren gaan in de mailbox.
Als onderneming kan je trouwens beter voorkomen dat er veel in een mailbox zit. Als belangrijke mails tijdens de tewerkstelling altijd meteen in een map of in het systeem moeten gezet worden, kunnen mails sneller verwijderd worden. Zo wordt de mailbox veel minder belangrijk en ga je eigenlijk terug naar de essentie waarvoor een mailbox dient: een communicatiemiddel.
Lukt dat niet, dan kan je problemen ook voorkomen door de mailboxen puur professioneel te houden (dat moet dan wel in de policy staan) of door met functionele mailboxen te werken die niet voor privédoeleinden gebruikt mogen worden. Een andere mogelijkheid is dat je de werknemer die een mailbox wel privé mag gebruiken, verplicht om te werken met aparte mappen voor privé- en professionele mails, zodat een eventuele noodzakelijke opvolging van de mailbox, bijvoorbeeld bij ziekte van de werknemer, in het belang van de continuïteit van de onderneming kan gebeuren met respect voor de privacy van de werknemer.
Ook een akkoord van de werknemer kan een belangrijke waarde hebben, maar dan moet dat akkoord wel na het ontslag gegeven worden.
Conclusie
De belangrijkste elementen in dit verhaal zijn:
De persoonlijke mailbox mag nog 1 maand online blijven na het vertrek van de werknemer.
Je moet transparant communiceren over de eventuele opvolging of controle van de mailbox bij vertrek: een goed uitgewerkte IT-policy is een must!
Je moet kijken naar de belangen, zowel economisch voor de ondernemer als de privacy van de werknemer. Soms kan en mag de privacy geschonden worden, maar dat is een belangenafweging en dat is niet absoluut. Voorzichtigheid blijft dus ten alle tijden geboden.
Dit artikel is tot stand gekomen in samenwerking met Odigo Advocaten.
deel dit bericht: