CAO nr. 81
Allereerst is het belangrijk rekening te houden met de Belgische collectieve arbeidsovereenkomst nr. 81 betreffende het toezicht door de werkgever op “online communicatiegegevens“. De CAO is van toepassing op het gebruik van e-mail door werknemers, maar ook op communicatie via Teams, Slack of andere platforms. De CAO regelt het toezicht van de werkgever op elektronische communicatie, dat alleen is toegestaan voor specifieke doeleinden: het voorkomen van ongeoorloofde handelingen, het beschermen van de belangen van de onderneming, het waarborgen van de veiligheid en de goede technische werking van de IT-infrastructuur, en het naleven van interne beleidsregels.
Dit aspect moet worden opgenomen in het IT-beleid voor werknemers (welk gebruik is toegestaan (geen privégebruik), wat verboden is, de toepasselijke regels inzake bescherming en beveiliging, enz.). Werknemers moeten worden geïnformeerd over de regels voor het gebruik van IT-middelen, hun rechten en verplichtingen, evenals over eventuele sancties bij niet-naleving.
Enkel onder deze voorwaarden is het voor de werkgever mogelijk om de mailbox van een werknemer te controleren en, indien onregelmatigheden worden vastgesteld, de werknemer te identificeren. Indien de informatieprocedure niet wordt nageleefd, bestaat het risico dat bewijs dat gebaseerd is op de mailbox niet wordt aanvaard in een eventuele latere gerechtelijke procedure.
Zieke of afwezige werknemers
Daarnaast rijst de vraag of het mogelijk is om toegang te krijgen tot de mailbox van een zieke of afwezige werknemer.
Dit is mogelijk omdat het e-mailadres van het bedrijf voornamelijk voor zakelijke doeleinden wordt gebruikt. Er kunnen berichten in de mailbox toekomen waarvan de werkgever kennis moet kunnen nemen.
De Belgische Gegevensbeschermingsautoriteit (GBA) raadt de volgende richtlijnen aan:
- Alle werknemers moeten worden geïnformeerd dat hun mailbox tijdens hun afwezigheid door een collega zal worden opgevolgd. Dit moet ook in het IT-beleid worden opgenomen.
- Tijdens een afwezigheid moet steeds een out-of-officebericht worden ingesteld, waarin derden worden geïnformeerd dat de betrokken werknemer niet beschikbaar is en dat berichten tijdens diens afwezigheid door collega’s kunnen worden gelezen.
- In het IT-beleid moet ook worden vermeld dat het out-of-officebericht namens de medewerker kan worden ingesteld als hij of zij onverwacht afwezig is.
- Er moet steeds vooraf worden bepaald wie de mailbox zal opvolgen tijdens een afwezigheid.
- De collega die de mailbox opvolgt, moet een onderscheid maken tussen persoonlijke en professionele berichten die geen dringende opvolging vereisen, en professionele berichten die wel dringende opvolging vereisen (en die kunnen worden doorgestuurd naar de persoon die deze tijdens de afwezigheid behandelt).
Deze maatregelen moeten daarom ook in het IT-beleid worden opgenomen.
Wat met vertrekkende werknemers?
Het IT-beleid moet in de eerste plaats rekening houden met alle mogelijke scenario’s (beëindiging door de werkgever, ontslag door de werknemer, beëindiging na een periode van afwezigheid, ontslag om dringende redenen). Hieronder geven we een overzicht van de richtlijnen en principes uit de beslissingen van de GBA over dit onderwerp:
- Voor zover de omstandigheden dit toelaten (bijvoorbeeld niet in geval van ontslag om dringende reden), moet de werknemer de mogelijkheid krijgen om privéberichten in zijn/haar professionele mailbox te verwijderen of door te sturen naar een persoonlijk account. Tegelijkertijd kunnen professionele e-mails die verdere opvolging vereisen of die nog van belang kunnen zijn voor de werkgever, worden doorgestuurd naar collega’s.
Deze opschoning van de mailbox kan plaatsvinden in aanwezigheid van een collega of derde om te waarborgen dat geen professionele gegevens van de werkgever worden verwijderd. In conflictsituaties is het aangewezen om een vertrouwenspersoon in te schakelen.
- De mailbox van de werknemer moet vervolgens uiterlijk op de dag van zijn/haar effectieve uitdiensttreding worden geblokkeerd. De werknemer moet hiervan op de hoogte worden gebracht. Dit moet ook worden opgenomen in het IT-beleid van de werkgever.
- Er moet een automatisch antwoord worden ingesteld waarin wordt vermeld dat de betrokken persoon niet langer in dienst is bij de werkgever. Dit bericht moet de contactgegevens van de nieuwe contactpersoon bevatten.
- De monitoring van de mailbox van de voormalige werknemer moet in de tijd worden beperkt. Afhankelijk van de functie en de mate waarin externe contacten de mailbox nog gebruiken, kan deze termijn variëren.
De GBA hanteert een strikte aanpak: de mailbox mag in principe gedurende één maand open blijven voor monitoring. Deze termijn kan worden verlengd tot drie maanden, op voorwaarde dat de context en het verantwoordelijkheidsniveau en de functie van de werknemer dit rechtvaardigen, en dat de werknemer op de hoogte wordt gebracht van deze verlenging. Zo oordeelde de GBA recent dat het behouden van het e-mailadres van een werknemer (met een C-level profiel) gedurende vijf maanden na haar vertrek buitensporig lang was.Bepaalde omstandigheden kunnen langere termijnen rechtvaardigen. Daarom moeten de gehanteerde termijnen en hun motivering ook expliciet worden opgenomen in het IT-beleid.
- Het is niet toegestaan om inkomende e-mails automatisch door te sturen naar een ander e-mailadres van de werkgever.
- Bij uitdiensttreding (ontslag door de werknemer) kan de werknemer een collega aanduiden die zijn/haar mailbox opvolgt. Indien dit niet gebeurt, of indien de aangewezen persoon niet geschikt is, wordt de persoon aangewezen die eerder volgens de procedure is aangesteld.
De rechtsgrond onder de GDPR voor het tijdelijk openhouden van de mailbox is het gerechtvaardigd belang van de werkgever (waarvan de werknemer op de hoogte moet worden gebracht).Opgelet: dit betekent niet dat de werkgever gedurende de periode van één tot drie maanden nog toegang heeft tot de inhoud van de mailbox. Zo oordeelde de GBA bijvoorbeeld dat het verder gebruiken van de inhoud van een mailbox of het versturen van berichten naar externe partijen een inbreuk op de GDPR vormt.De toestemming van de werknemer kan echter een rechtsgrond vormen voor beperkte toegang tot de mailbox gedurende deze periode.
- Na de eerder genoemde periode van één tot drie maanden moet de mailbox definitief worden verwijderd. Bepaalde gegevens die de werkgever mogelijk nog nodig heeft en die langer moeten worden bewaard, moeten daarom worden opgehaald voordat de mailbox wordt gesloten (zie ook het eerste punt hierboven).
Zo verwijst een recente beslissing bijvoorbeeld naar aanbeveling CM/Rec van het Comité van Ministers van de Raad van Europa, waarin wordt gesteld dat:“Wanneer een werknemer zijn/haar functie verlaat, moet de werkgever technische en organisatorische maatregelen nemen om ervoor te zorgen dat de e-mail van de werknemer automatisch wordt gedeactiveerd. Indien de inhoud van de e-mail moet worden gerecupereerd voor de goede werking van de organisatie, dient de werkgever passende maatregelen te nemen om deze inhoud vóór het vertrek van de werknemer te recupereren, bij voorkeur in diens aanwezigheid. De toelichtende nota bij de aanbeveling stelt verder (punt 122) dat in situaties waarin de werknemer de organisatie verlaat, de werkgever het account van de voormalige werknemer moet deactiveren, zodat er na het vertrek geen verdere toegang meer is tot diens communicatie. Indien de werkgever de inhoud van het account wenst te recupereren, moeten de nodige stappen vóór het vertrek van de werknemer worden genomen, bij voorkeur in diens aanwezigheid. Deze sectorale aanbeveling, die een aanvulling vormt op het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens (ETS 108), illustreert hoe de beginselen van doelbinding, minimale gegevensverwerking en proportionele bewaartermijnen—zoals bevestigd in dit verdrag en de GDPR—moeten worden toegepast.”
