Er zijn diverse redenen te bedenken waarom een werkgever inzage wil in de mailbox van een medewerker. Vaak zijn deze onschuldig, soms ook niet. Zo wil een werkgever wellicht in geval van een arbeidsrechtelijke procedure of verdenking van fraude in e-mailboxen kijken. Maar mag dat zomaar?
Zakelijke e-mail valt in het privédomein van de medewerker
Op grond van het Europees Verdrag voor de Rechten van de Mens heeft iedere persoon recht op privacy. Het Europees Hof voor de Rechten van de Mens heeft in 2007 beslist dat het e-mailverkeer op het werk ook valt onder deze wettelijke bescherming.
Ondanks dat het de werkgever is die de mailbox ter beschikking stelt aan de medewerker, kan het inzien van de e-mailbox van een medewerker door de werkgever een inbreuk opleveren met het recht op privacy van de medewerker. Dit betekent echter niet dat de werkgever nooit de mailbox van een medewerker mag inzien.
Algemene verordening gegevensverwerking (AVG)
In de mailbox van een medewerker kunnen privacygevoelige gegevens staan, denk aan loonstroken of functioneringsgesprekken. Nu de mailbox van een medewerker onder de bescherming van het recht op privacy valt en zich hierin persoonsgegevens bevinden, is de AVG van toepassing.
Een verzoek tot inzage in de mailbox mag dus niet zomaar gehonoreerd worden. De medewerker moet hier expliciete toestemming voor geven. Dit alles is vaak vastgelegd in de verwerkersovereenkomsten die u met uw dienstverlener sluit.
Wanneer mag een mailbox van een medewerker wel ingezien worden?
Er dient een wettelijke grondslag te zijn waarop het verzoek om een verwerking te doen gebaseerd is. De Artikel 29-werkgroep heeft in 2017 voor werkgevers een advies geschreven over gegevensverwerking op het werk.
Samengevat mag een werkgever de mailbox inzien als aan de volgende voorwaarden is voldaan:
- de werkgever dient de medewerker vooraf in kennis te stellen dat zijn correspondentie kan worden gecontroleerd;
- de werkgever moet onderzoeken hoe ver de controle gaat en of de controle een inbreuk oplevert met het recht op privacy van de medewerker;
- de werkgever dient gegronde redenen te hebben waarom hij de mailbox van de medewerker wil controleren of inzien;
- de werkgever dient te onderzoeken of er minder ingrijpende methoden en maatregelen aanwezig zijn waarmee de werkgever zijn doel ook kan bereiken;
- de werkgever dient de gevolgen voor de medewerker af te wegen. Hierbij dient de werkgever erop bedacht te zijn dat de resultaten van het inzien van de mailbox alleen gebruikt mogen worden voor het doel waarvoor de mailbox werd ingezien. de werkgever dient waarborgen getroffen te hebben die het recht op privacy beschermen.
We raden organisaties aan om in de huisregels een hoofdstuk over informatiebeveiliging en privacy op te nemen, waarin dit soort zaken worden geregeld. Deze afspraken moeten dan uiteraard wel in lijn zijn met de geldende wetgeving, maar het geeft aan zowel medewerker als werkgever een duidelijk overzicht van wat er wel en niet met de mail kan gebeuren.
Auteur: Roland van Hierden, Financieel Directeur ICT Concept