Wanneer een arbeidsrelatie eindigt, zijn er veel taken die moeten worden afgehandeld, variërend van administratieve taken tot het waarborgen van privacy en bedrijfscontinuïteit. Een belangrijk aspect dat vaak over het hoofd wordt gezien, is het beheer van de mailbox van de vertrekkende werknemer. Kan een bedrijf de mailbox nog gebruiken? Kan de werknemer persoonlijke zaken ophalen? Wat zegt de General Data Protection Regulation (GDPR) hierover? En wat zijn de risico’s van het niet naleven van de regelgeving?
In deze blogpost, zullen we de belangrijkste punten doornemen en geven we je tips & tricks om dit probleem aan te pakken.
1. Het belang van een goed beheer van de mailbox van vertrekkende werknemers
Zowel de werkgever als de werknemer hebben belang bij de inhoud van de mailbox, zij het om verschillende redenen.
De mailbox van de werknemer bevat vaak persoonlijke gegevens (zelfs als het strikt verboden is om die voor dergelijke zaken te gebruiken) die na het vertrek van de werknemer niet langer relevant of te rechtvaardigen zijn om te bewaren. Werknemers willen, mogelijk, sommige van deze mails naar hun persoonlijke mailbox sturen.
Aan de andere kant, kan een bedrijf er een legitiem belang bij hebben om de mailbox gedurende een redelijke tijd actief te houden, omdat er mogelijk bedrijfsgevoelige e-mails in de mailbox zitten of binnenkomen na het vertrek van de werknemer.
UPDATE: Sinds beslissing 86/2026 erkent de GBA geen legitiem belang meer om toegang te krijgen tot de mailbox van een ex-werknemer. De mailbox mag enkel nog actief gehouden worden zodat een automatisch antwoord mensen die het bedrijf proberen te bereiken kan informeren dat de werknemer niet langer in dienst is. Haal zakelijke mails op voordat de werknemer vertrekt!
De GDPR schrijft echter voor dat je persoonlijke gegevens niet langer mag bewaren dan noodzakelijk, en dit geldt ook voor de mailbox van een vertrekkende werknemer.
2. Wat zegt de GDPR over mailboxen na het vertrek van een werknemer?
GDPR legt de verantwoordelijkheid voor de verwerking van persoonsgegevens bij de verwerkingsverantwoordelijke (de werkgever). Dit betekent dat de werkgever ervoor moet zorgen dat hij een rechtsgrond heeft om de mailbox niet te verwijderen. De GDPR verplicht de werkgever om te beoordelen en te motiveren of hij de mailbox actief wil houden, op welke manier en voor hoelang.
Belangrijke GDPR-principes
Doelbinding: mailboxen mogen alleen worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn ingesteld. Zodra een werknemer vertrekt, is dat doel niet langer geldig. Dit betekent dat de mailbox niet actief gebruikt kan worden. De mailbox mag enkel nog actief gehouden worden om via een automatisch antwoord derden te informeren dat de werknemer het bedrijf heeft verlaten.
Gegevensminimalisatie: alleen de noodzakelijke gegevens zouden moeten worden bewaard. De mailbox van de vertrokken werknemer mag niet langer dan nodig actief blijven. Verzamel relevante zakelijke mails voordat de werknemer vertrekt.
Rechtsgrondslag: na het vertrek van een werknemer vervalt de rechtsgrondslag voor de verwerking van zijn mailbox, tenzij er een andere legitieme reden is, zoals de overdracht van lopende projecten. De werkgever kan toestemming vragen aan de ex-werknemer om de mailbox nog maximaal een maand actief te houden, of de werkgever kan een legitiem belang afwegen tegen de rechten en vrijheden van de ex-werknemer. Merk op dat het adequaat motiveren en informeren van de ex-werknemer over de beslissing verplicht is volgens de GBA.
Zelfs als de mailbox open/toegankelijk wordt gehouden, geeft dit de werkgever niet het recht om deze te gebruiken om e-mails te versturen!
UPDATE: De GBA benadrukte uitdrukkelijk in beslissing 86/2026 dat de mailbox na de bewaartermijn verwijderd moet worden, zowel in de operationele systemen als uit de back-ups, bij voorkeur op een geautomatiseerde manier om menselijke fouten te beperken.
3. Wat moet je doen met de mailbox van een vertrekkende werknemer?
Zakelijke e-mails ophalen
Haal relevante e-mails die van belang zijn voor de bedrijfsvoering zo snel mogelijk op, bij voorkeur in aanwezigheid van de vertrekkende werknemer.
Blokkeer het e-mailaccount zo snel mogelijk
Zodra een werknemer vertrekt, moet de toegang tot de mailbox onmiddellijk worden ingetrokken. Alleen de IT-afdeling moet in staat zijn om er toegang tot te hebben. En natuurlijk wordt de toegang adequaat gelogd.
Een automatisch antwoord ‘out-of-office’ instellen
Stel een automatisch antwoordbericht in waarin afzenders worden geïnformeerd dat de werknemer niet langer bij het bedrijf werkt en waarin een alternatieve contactpersoon wordt vermeld voor vragen. Dit bericht kan één maand actief blijven, maar in uitzonderlijke gevallen (bijvoorbeeld als de werknemer een sleutelrol vervulde of lange tijd bij het bedrijf werkte) kan het worden verlengd. De Belgische Gegevensbeschermingsautoriteit heeft bepaald dat drie maanden in principe voldoende is, maar dit is geen maximum. Als de termijn van drie maanden wordt overschreden, moet dit grondig worden gemotiveerd en moet de ex-werknemer hiervan op de hoogte worden gebracht.
Bovendien, is het aan te raden om alle actieve klanten/leveranciers waar de vertrekkende werknemer mee werkte proactief te informeren om verwarring te voorkomen.
Het e-mailaccount binnen een redelijke termijn verwijderen
Nadat het automatisch antwoord is ingesteld, moet de mailbox binnen een bepaalde tijd worden verwijderd.
Niet automatisch doorsturen van e-mails
Het is niet toegestaan om e-mails automatisch door te sturen vanaf het account van een vertrokken werknemer. Dit kan de privacy van de voormalige werknemer schenden, vooral als het om persoonlijke of vertrouwelijke e-mails gaat.
De vertrekkende werknemer informeren
Het wordt aanbevolen om de vertrekkende werknemer de kans te geven persoonlijke e-mails op te halen uit zijn mailbox op zijn laatste dag. Het is toegestaan dat dit onder toezicht gebeurt.
Kortom, plan vooruit en bedenk hoe je de mailbox kunt beheren, bepaal welke mails bewaard moeten blijven en verwijder de mailbox zo snel als redelijkerwijs mogelijk is.
4. Wat zijn de risico’s van het niet goed beheren van de mailbox?
Het niet goed beheren van het e-mailaccount van een vertrokken werknemer kan leiden tot verschillende risico’s, zoals:
- Gegevensinbreuken: als de inhoud van de mailbox niet wordt verwijderd, kan dit leiden tot de onrechtmatige openbaarmaking van persoonlijke gegevens aan andere werknemers en dus tot een gegevensinbreuk.
- Veiligheidsincidenten: een mailbox actief laten, vormt een beveiligingsrisico. Kwaadwillende partijen kunnen via die mailbox toegang proberen te krijgen tot je bedrijf.
- Boetes en waarschuwingen van de toezichthouder: de GBA en andere toezichthouders kunnen boetes opleggen voor overtredingen van de GDPR, zoals het onrechtmatig bewaren van e-mailaccounts of het niet voldoen aan de transparantievereisten.
- Verlies van vertrouwen: klanten en werknemers verwachten dat organisaties zorgvuldig omgaan met persoonlijke gegevens. Het niet volgen van de juiste procedures kan het vertrouwen schaden. Als je daarentegen, transparant bent in hoe je deze problemen aanpakt, bouw je vertrouwen op.
UPDATE: De GBA benadrukte uitdrukkelijk in beslissing 86/2026 dat de mailbox na de bewaartermijn verwijderd moet worden, zowel in de operationele systemen als uit de back-ups, bij voorkeur op een geautomatiseerde manier om menselijke fouten te beperken.
Praktische tips voor een goed beleid omtrent mailboxbeheer
Ontwikkel een duidelijk offboarding beleid: zorg voor een intern beleid voor het beheer van mailboxen wanneer werknemers vertrekken. Dit beleid moet ook procedures bevatten voor het informeren van vertrekkende werknemers en hoe je bepaalt hoelang de mailbox actief blijft.
Zorg voor transparantie: informeer werknemers over wat er met hun mailbox gebeurt als ze vertrekken. Dit moet in overeenstemming zijn met de GDPR-vereisten voor transparantie en de rechten van de betrokkene.
Zorgvuldige belangenafweging: als het om continuïteits- of veiligheidsredenen noodzakelijk wordt geacht om een mailbox actief te houden, moet dit goed worden gerechtvaardigd. De toestemming van de ex-werknemer kan worden gevraagd, maar als de ex-werknemer deze toestemming niet geeft, kan het legitieme belang van het bedrijf worden ingeroepen met een adequate rechtvaardiging en kennisgeving aan de ex-werknemer.
Haal zakelijke e-mails op vóór het vertrek van de werknemer: de GBA was duidelijk dat een mailbox na het vertrek van de werknemer niet meer toegankelijk mag zijn (tenzij met hun toestemming). Het is efficiënter om zakelijke e-mails op te halen vóór het vertrek, aangezien het achteraf niet zeker is dat hun toestemming verkregen kan worden.
6. Conclusie
Het beheren van de mailbox van vertrekkende werknemers is een belangrijke taak waarbij het niet alleen gaat om administratieve efficiëntie, maar ook om GDPR-compliance. Door vooruit te plannen en de juiste maatregelen te nemen – zoals het onmiddellijk deactiveren van accounts, het instellen van automatische antwoorden en het verwijderen van e-mailgegevens binnen een redelijke termijn – kunt u zowel de privacy van voormalige werknemers als de reputatie en het belang van uw bedrijf beschermen. Door op een transparante manier te werk te gaan, kunt u de verstoring van uw dagelijkse activiteiten minimaliseren en tegelijkertijd vertrouwen opbouwen zowel bij externe partijen als uw ex-werknemer.
Veelgestelde vragen
Wat moet het automatisch afwezigheidsbericht vermelden?
We raden aan om het zo neutraal mogelijk te houden.
Dit e-mailadres is niet langer in gebruik. Gelieve uw vragen te richten aan xyz@company.abc.
Of iets persoonlijker:
“Naam van de ex-werknemer” is niet langer werkzaam bij het bedrijf. Gelieve uw vragen te richten aan xyz@company.abc.
