PrivacyTeam033 200 30 83
Inloggen

GBA legt boete op voor het actief houden van een zakelijk emailadres

GBA legt boete op voor het actief houden van een zakelijk emailadres

De Belgische privacy toezichthouder, de Gegevens Beschermings Autoriteit of GBA, heeft na een klacht van een oud medewerker van een accountantskantoor een boete opgelegd van 8.500 euro voor het zonder gerechtvaardigde grondslag langer dan 1 maand na uitdiensttreding actief houden van een zakelijk mailadres en inbox.

 Feiten van het geval

Een ex-werknemer van een accountancy kantoor verzocht op 20 januari 2023 om verwijdering van zijn professionele (zakelijke) e-mailadres en mailbox bij zijn ex-werkgever. Vier dagen later diende de betrokkene ook een klacht in bij de Belgische toezichthoudende autoriteit, de GBA, over de verwerking van diens mailadres en bijbehorende mailbox, evenals het niet reageren op zijn verzoek tot verwijdering van gegevens.

De werkgever voerde aan dat interne regels bewaartermijnen tot drie jaar toestonden met betrekking tot de mailadressen van ex-medewerkers en beriep zich op zijn gerechtvaardigd belang ten behoeve van de toegang en het bewaren van documenten middels gebruik van het e-mailadres en de inbox.

Overwegingen van de Belgische Toezichthouder

De GBA herhaalt in haar overwegingen dat een gepersonaliseerd zakelijk e‑mailadres en de inhoud van de gekoppelde mailbox persoonsgegevens zijn in de zin van de AVG. Dit betekent dat voor de verwerking van deze persoonsgegevens een rechtsgrond is vereist. Tijdens het dienstverband is die rechtsgrond doorgaans de uitvoering van de arbeidsovereenkomst tussen de werkgever en -nemer. Bij beëindiging van het contract vervalt die grondslag, waardoor verdere bewaring van die persoonsgegevens enkel gerechtvaardigd is indien er sprake is van een nieuwe rechtsgrond.

De Belgische toezichthoudende autoriteit accepteert dat een werkgever in beperkte mate, en tijdelijk, een e‑mailadres actief kan laten en een automatische afwezigheidsmelding kan instellen om correspondenten te informeren en continuïteit te waarborgen. Die uitzondering is echter strikt. De GBA stelt namelijk dat de werkgever in beginsel slechts een maximale bewaartermijn van één maand heeft voor het bewaren van het zakelijke mailadres en de vastgekoppelde inbox en dat deze periode tweemaal verlengd kan worden wanneer een duidelijke, goed gedocumenteerde belangenafweging dit aannemelijk maakt. De initiële periode kan maximaal tot drie maanden worden uitgesteld. Na afloop van die termijn moet het e‑mailadres en de mailbox definitief worden verwijderd, inclusief verwijdering uit back‑ups.

De GBA stelt vervolgens tevens dat een werkgever een dergelijk legitiem belang kan hebben om automatisch te reageren op correspondenten ter kennisgeving van het vertrek van de medewerker. Een automatisch antwoord kan normaal gesproken één maand worden gehandhaafd en, indien gerechtvaardigd door aanvullende omstandigheden, met maximaal twee extra maanden worden verlengd. In dit onderhavige geval kon niet worden bewezen dat er sprake was van een afwezigheidsmelding of dat er een concrete, gedocumenteerde noodzaak was voor de langere bewaartermijn.

Een voorafgegeven toestemming van de werknemer bood hiervoor tevens onvoldoende grondslag, gelet op de ongelijke machtsverhouding tussen partijen. De toestemming kon hierdoor volgens de GBA niet vrijwillig worden gegeven.

De DPA stelde vast dat er minder ingrijpende middelen waren om de zakelijke belangen van de werkgever te beschermen. Relevante bedrijfsinformatie had voorafgaand aan het vertrek van de medewerker uit de mailbox van de betrokkene moeten zijn gehaald, bij voorkeur in diens aanwezigheid, en opgeslagen in de eigen systemen. De inbox van de ex-werknemer kan geen vervanging zijn voor een goed archiveringssysteem.

De algemene conclusie van de GBA is dan ook dat de werkgever een beleid hanteerde waarbij e-mailadressen en mailboxen van voormalige werknemers systematisch gedurende maximaal drie jaar actief werden gehouden, waarbij de inhoud van deze mailboxen werd bewaard en zonder geldige rechtsgrond werd geraadpleegd. De werkgever kon niet aantonen dat hij passende technische en organisatorische maatregelen had getroffen om een wettelijke verwerking te waarborgen of om de uitoefening van de rechten van betrokkenen effectief mogelijk te maken. Hiervoor kreeg dit accountantskantoor een boete van 8.500 euro.

Conclusie

Voor organisaties betekent deze beslissing van de GBA dat exitprocedures moeten garanderen dat professionele e‑mailadressen worden gedeactiveerd zodra het dienstverband eindigt. Als tijdelijke doorsturing of een auto‑reply nodig is, dient de maatregel tot één maand te worden beperkt tenzij er een aantoonbare, gedocumenteerde noodzaak is voor een kortdurende verlenging tot drie maanden. Voorkom in ieder geval dat IT- of HR‑medewerkers zonder duidelijke rechtsgrond privécommunicatie raadplegen. Leg bewaartermijnen en de procedure voor uitdienstprocedures, deactivering en definitieve verwijdering vast in beleid en documenteer elke belangenafweging.

Het behoud van zakelijke mailboxen na vertrek van een medewerker is dus slechts toegestaan voor een periode van maximaal 1 maand, met een uitzonderlijke maximering tot drie maanden.

 

Naar het overzicht