Blogbericht

Beheren van de mailbox na beëindiging: do’s en don’ts onder de GDPR.

Managing Mailboxes
Beheren van de mailbox na beëindiging: do’s en don’ts onder de GDPR.

Wanneer een arbeidsrelatie eindigt, zijn er veel taken die moeten worden afgehandeld, variërend van administratieve taken tot het waarborgen van privacy en bedrijfscontinuïteit. Een belangrijk aspect dat vaak over het hoofd wordt gezien, is het beheer van de mailbox van de vertrekkende werknemer. Kan een bedrijf de mailbox nog gebruiken? Kan de werknemer persoonlijke zaken ophalen? Wat zegt de General Data Protection Regulation (GDPR) hierover? En wat zijn de risico’s van het niet naleven van de regelgeving?

In deze blogpost, zullen we de belangrijkste punten doornemen en geven we je tips & tricks om dit probleem aan te pakken.

1. Het belang van een goed beheer van de mailbox van vertrekkende werknemers

Zowel de werkgever als de werknemer hebben belang bij de inhoud van de mailbox, zij het om verschillende redenen.

De mailbox van de werknemer bevat vaak persoonlijke gegevens (zelfs als het strikt verboden is om die voor dergelijke zaken te gebruiken) die na het vertrek van de werknemer niet langer relevant of te rechtvaardigen zijn om te bewaren. Werknemers willen, mogelijk, sommige van deze mails naar hun persoonlijke mailbox sturen.

Aan de andere kant, kan een bedrijf er een legitiem belang bij hebben om de mailbox gedurende een redelijke tijd actief te houden, omdat er mogelijk bedrijfsgevoelige e-mails in de mailbox zitten of binnenkomen na het vertrek van de werknemer.

De GDPR schrijft echter voor dat je persoonlijke gegevens niet langer mag bewaren dan noodzakelijk, en dit geldt ook voor de mailbox van een vertrekkende werknemer.

2. Wat zegt de GDPR over mailboxen na het vertrek van een werknemer?

GDPR legt de verantwoordelijkheid voor de verwerking van persoonsgegevens bij de verwerkingsverantwoordelijke (de werkgever). Dit betekent dat de werkgever ervoor moet zorgen dat hij een rechtsgrond heeft om de mailbox niet te verwijderen. De GDPR verplicht de werkgever om te beoordelen en te motiveren of hij de mailbox actief wil houden, op welke manier en voor hoelang.

Belangrijke GDPR-principes

Doelbinding: mailboxen mogen alleen worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn ingesteld. Zodra een werknemer vertrekt, is dat doel niet langer geldig. Dit betekent dat de mailbox niet actief gebruikt kan worden.

Gegevensminimalisatie: alleen de noodzakelijke gegevens zouden moeten worden bewaard. De mailbox van de vertrokken werknemer mag niet langer dan nodig actief blijven.

Rechtsgrondslag: na het vertrek van een werknemer vervalt de rechtsgrondslag voor de verwerking van zijn mailbox, tenzij er een andere legitieme reden is, zoals de overdracht van lopende projecten. De werkgever kan toestemming vragen aan de ex-werknemer om de mailbox nog maximaal een maand actief te houden, of de werkgever kan een legitiem belang afwegen tegen de rechten en vrijheden van de ex-werknemer. Merk op dat het adequaat motiveren en informeren van de ex-werknemer over de beslissing verplicht is volgens de GBA.

Zelfs als de mailbox open/toegankelijk wordt gehouden, geeft dit de werkgever niet het recht om deze te gebruiken om e-mails te versturen!

Gerelateerde post

Meer weten over rechtsgronden?

Lees GDPR 101

3. Wat moet je doen met de mailbox van een vertrekkende werknemer?

Blokkeer het e-mailaccount zo snel mogelijk

Zodra een werknemer vertrekt, moet de toegang tot de mailbox onmiddellijk worden ingetrokken. Alleen de IT-afdeling moet in staat zijn om er toegang tot te hebben. En natuurlijk wordt de toegang adequaat gelogd.

Een automatisch antwoord ‘out-of-office’ instellen

Stel een automatisch antwoordbericht in waarin afzenders worden geïnformeerd dat de werknemer niet langer bij het bedrijf werkt en waarin een alternatieve contactpersoon wordt vermeld voor vragen. Dit bericht kan één maand actief blijven, maar in uitzonderlijke gevallen (bijvoorbeeld als de werknemer een sleutelrol vervulde of lange tijd bij het bedrijf werkte) kan het worden verlengd. De Belgische Gegevensbeschermingsautoriteit heeft bepaald dat drie maanden in principe voldoende is, maar dit is geen maximum. Als de termijn van drie maanden wordt overschreden, moet dit grondig worden gemotiveerd en moet de ex-werknemer hiervan op de hoogte worden gebracht.

Bovendien, is het aan te raden om alle actieve klanten/leveranciers waar de vertrekkende werknemer mee werkte proactief te informeren om verwarring te voorkomen.

Het e-mailaccount binnen een redelijke termijn verwijderen

Nadat het automatisch antwoord is ingesteld, moet de mailbox binnen een bepaalde tijd worden verwijderd.

Geen automatisch doorsturen van e-mails

Het is niet toegestaan om e-mails automatisch door te sturen vanaf het account van een vertrokken werknemer. Dit kan de privacy van de voormalige werknemer schenden, vooral als het om persoonlijke of vertrouwelijke e-mails gaat.

De vertrekkende werknemer informeren

Het wordt aanbevolen om de vertrekkende werknemer de kans te geven persoonlijke e-mails op te halen uit zijn mailbox op zijn laatste dag. Het is toegestaan dat dit onder toezicht gebeurt.

Daarna kan de werkgever, via zijn IT-afdeling, bedrijf kritische inhoud uit de mailbox halen.

Kortom, plan vooruit en bedenk hoe je de mailbox kunt beheren, bepaal welke mails bewaard moeten blijven en verwijder de mailbox zo snel als redelijkerwijs mogelijk is.

4. Wat zijn de risico’s van het niet goed beheren van de mailbox?

Het niet goed beheren van het e-mailaccount van een vertrokken werknemer kan leiden tot verschillende risico’s, zoals:

  • Gegevensinbreuken: als de inhoud van de mailbox niet wordt verwijderd, kan dit leiden tot de onrechtmatige openbaarmaking van persoonlijke gegevens aan andere werknemers en dus tot een gegevensinbreuk.
  • Veiligheidsincidenten: een mailbox actief laten, vormt een beveiligingsrisico. Kwaadwillende partijen kunnen via die mailbox toegang proberen te krijgen tot je bedrijf.
  • Boetes en waarschuwingen van de toezichthouder: de GBA en andere toezichthouders kunnen boetes opleggen voor overtredingen van de GDPR, zoals het onrechtmatig bewaren van e-mailaccounts of het niet voldoen aan de transparantievereisten.
  • Verlies van vertrouwen: klanten en werknemers verwachten dat organisaties zorgvuldig omgaan met persoonlijke gegevens. Het niet volgen van de juiste procedures kan het vertrouwen schaden. Als je daarentegen, transparant bent in hoe je deze problemen aanpakt, bouw je vertrouwen op.

5. Praktische tips voor een goed beleid omtrent mailboxbeheer

Ontwikkel een duidelijk offboarding beleid: zorg voor een intern beleid voor het beheer van mailboxen wanneer werknemers vertrekken. Dit beleid moet ook procedures bevatten voor het informeren van vertrekkende werknemers en hoe je bepaalt hoelang de mailbox actief blijft.

Zorg voor transparantie: informeer werknemers over wat er met hun mailbox gebeurt als ze vertrekken. Dit moet in overeenstemming zijn met de GDPR-vereisten voor transparantie en de rechten van de betrokkene.

Zorgvuldige belangenafweging: als het om continuïteits- of veiligheidsredenen noodzakelijk wordt geacht om een mailbox actief te houden, moet dit goed worden gerechtvaardigd. De toestemming van de ex-werknemer kan worden gevraagd, maar als de ex-werknemer deze toestemming niet geeft, kan het legitieme belang van het bedrijf worden ingeroepen met een adequate rechtvaardiging en kennisgeving aan de ex-werknemer.

6. Conclusie

Het beheren van de mailbox van vertrekkende werknemers is een belangrijke taak waarbij het niet alleen gaat om administratieve efficiëntie, maar ook om GDPR-compliance. Door vooruit te plannen en de juiste maatregelen te nemen – zoals het onmiddellijk deactiveren van accounts, het instellen van automatische antwoorden en het verwijderen van e-mailgegevens binnen een redelijke termijn – kunt u zowel de privacy van voormalige werknemers als de reputatie en het belang van uw bedrijf beschermen. Door op een transparante manier te werk te gaan, kunt u de verstoring van uw dagelijkse activiteiten minimaliseren en tegelijkertijd vertrouwen opbouwen zowel bij externe partijen als uw ex-werknemer.

Deel op:

Geschreven door

Hanne Vermeiren

Hanne Vermeire

Enzo Marquet

Enzo Marquet

Hi! Hoe kunnen we helpen?

Heb je interne privacyhulp nodig of een externe DPO? Neem contact met ons op en we zoeken samen met jou naar de beste oplossing.