Is inzage in de mailbox van een medewerker toegestaan?
Is inzage in de mailbox van een medewerker toegestaan?
Door Inge Brattinga, VRF Advocaten
Veelvuldig wordt de vraag gesteld of en in hoeverre de mailbox van een medewerker mag worden ingezien en onder welke voorwaarden. In dit artikel zal nader ingegaan worden op de richtlijnen voor u als werkgever als u inzage wilt in de mailbox van een medewerker. Hier gaan de nodige verhalen over rond, en er zijn procedures over gevoerd. Hoogste tijd om het juridisch kader eens op een rijtje te zetten.
Basis
De basis van privacy van een medewerker op de werkvloer is eigenlijk de stelling ‘Een medewerker hangt het recht op privacy niet aan de kapstok op het moment dat hij/zij aan het werk gaat.’
Artikel 8 Europees Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (hierna ‘EVRM’) bepaalt het basisrecht op bescherming van de persoonlijke levenssfeer. Dit strekt zich net zo goed uit over de thuissituatie als de werksituatie. Verder is in artikel 7 van het Handvest van de grondrechten van de Europese Unie (hierna ‘Handvest’) bepaald ‘eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie’. Het Europese Hof voor de Rechten van de Mens heeft in 2007 beslist dat het e-mail verkeer op het werk ook valt onder deze wettelijke bescherming (EHRM 3 april 2007, ECLI:CE:ECHR:2007:0403JUD006261700. Copland).
In een mailbox van een medewerker kunnen persoonsgegevens staan, daarom is de Algemene Verordening Gegevensbescherming (hierna ‘AVG’) van toepassing, naast artikel 8 Handvest waarin het recht op bescherming van persoonsgegevens is opgenomen. De AVG bepaalt dat inzage in of verwerking van persoonsgegevens een wettelijke grondslag behoeft. In basis betekent dit dat hiervoor toestemming nodig is van de werknemer. In een arbeidsrechtelijke relatie is dit moeilijk te realiseren. Bovendien heeft de werknemer geen vrije keuze als de werkgever beleid maakt. Deze basis van toestemming zal daarom niet makkelijk kunnen worden gebruikt als grondslag. Een grondslag die wel gebruikt kan worden is artikel 6 lid 1 onder f AVG. Hierin is bepaald ‘de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.’
De voorgaande belangenafweging kwam ook aan de orde bij een ontslag op staande voet dat aan de Rechtbank Rotterdam is voorgelegd in 2022. In het onderhavige geval is van belang dat het ontslag op staande voet geen stand hield om de enkele formele reden dat het ontslag niet onverwijld is gegeven. De rechter kwam wel tot de conclusie dat er sprake was van een dringende reden die een onverwijlde opzegging rechtvaardigt. Werknemer had naast het verweer tegen het ontslag op staande voet echter ook gesteld dat er sprake was van schending van diens privacy nu de werkgever de volledige inbox van de medewerker zonder toestemming van de medewerker aan een onderzoeksbureau had overhandigd. De kantonrechter bepaalde in dit kader dat ‘het delen door werkgever van de volledige inbox van medewerker met de onderzoekers zonder zijn toestemming onder de gegeven omstandigheden geen schending van de AVG ingevolge artikel 6 lid 1 sub f AVG’ oplevert. ‘Aangezien het alleen ging om de zakelijke inbox en het delen noodzakelijk was in het kader van het feitenonderzoek, weegt het belang van werkgever bij waarheidsvinding zwaarder dan het belang van medewerker bij bescherming van zijn privacy.’ (ECLI:NL:RBROT:2022:7736). De rechter maakt hier duidelijk een belangenafweging.
Voorwaarden
Uit het voorgaande volgt dat de medewerker op de werkvloer het recht op privacy behoudt en uit de AVG, EVRM en Handvest een aantal voorwaarden en eisen volgen voor de inzage in de e-mail van de medewerker.
De Artikel 29 Werkgroep (voorganger van de EDPB) heeft op 8 juni 2017 een advies 2/2017 afgegeven over gegevensverwerking op het werk. Hierin is onder meer opgenomen dat werkgever een belangenafweging moet maken tussen het gerechtvaardigd belang van de werkgever op bijvoorbeeld controle van systemen, maar ook het recht op privacy van de werknemer. Er moet beleid zijn over wie wanneer toegang heeft tot gegevens, onder welke voorwaarden en tot welke gegevens. Dit moet een leidraad zijn voor wat aanvaardbaar en onaanvaardbaar gebruik is van een netwerk en de voorzieningen van de werkgever door de werknemer.
De Autoriteit Persoonsgegevens (AP) geeft, in vervolg op het voorgaande, op haar website (Controle van werknemers | Autoriteit Persoonsgegevens) op hoofdlijnen richtlijnen over de inzage in de mailbox van een werknemer. Primair wordt vanzelfsprekend benoemd dat u moet voldoen aan de privacywetgeving. Daarbij wordt ook als advies gegeven om richtlijnen op te stellen. De medewerker weet dan ook waar deze aan toe is, maar ook wat er van de medewerker verwacht wordt ten aanzien van het e-mail gebruik. Belangrijk onderscheid wordt hier gemaakt dat het alleen mag gaan om zakelijke mail en geen privé mails van de medewerker. Dit kan best lastig zijn. Een logisch advies voor het opstellen van een richtlijn is dat een medewerker e-mail alleen voor zakelijke doeleinden mag inzetten.
Alles overziend kunnen de volgende voorwaarden voor inzage in de e-mailbox van de medewerker worden bepaald:
- De werkgever dient de medewerker vooraf in kennis te stellen dat zijn e-mail kan worden gecontroleerd. Stel bijvoorbeeld een e-mail en internetprotocol op.
- De werkgever moet onderzoeken hoe ver de controle gaat en of de controle een inbreuk oplevert met het recht op privacy van de medewerker. Hierbij neemt u als werkgever het uitgangspunt in acht dat de werknemer recht heeft op privacy op de werkvloer.
- De werkgever dient gegronde redenen te hebben waarom hij de mailbox van de medewerker wil controleren of inzien, bijvoorbeeld omdat de medewerker gedurende enige tijd afwezig is, of uit data extreem gebruik van e-mail blijkt.
- De werkgever dient te onderzoeken of er minder ingrijpende methoden en maatregelen aanwezig zijn waarmee de werkgever zijn doel ook kan bereiken.
- De werkgever dient de gevolgen voor de medewerker af te wegen. Hierbij dient de werkgever erop bedacht te zijn dat de resultaten van het inzien van de mailbox alleen gebruikt mogen worden voor het doel waarvoor de mailbox werd ingezien. Bijvoorbeeld in geval van het onderzoek omtrent bedrijfsspionage. In dat geval mag alleen onderzocht worden of er sprake is van bedrijfsspionage. Als in de mailbox zaken worden aangetroffen die zien op seksuele intimidatie mag dat niet zondermeer gebruikt worden voor een eventueel ontslag, maar kan dat wel als basis dienen voor verder onderzoek, zeker als er een gedragscode in de organisatie aanwezig is.
- De werkgever dient waarborgen te treffen die het recht op privacy beschermen. In het e-mail en internetprotocol neemt u bijvoorbeeld een hoofdstuk op over informatiebeveiliging en privacy. Tevens neemt u een hoofdstuk op over de rechten van de medewerker bijvoorbeeld op inzage in de gegevens die uit een controle komen.
Conclusie
Inzage in de mailbox van de medewerker kan, maar stel hiervoor beleid op. Het beleid dient aan een aantal voorwaarden te voldoen waarbij u als werkgever een belangenafweging moet maken tussen het belang om onder voorwaarden te controleren en het recht op privacy van de medewerker op de werkvloer.
Lees ook
AVG en ziekteverzuim
Over AVG, informatie aan betrokkenen en privacy statements