Stel u voor, een medewerker is recent uit dienst gegaan en u heeft een document nodig wat niet op de juiste locatie is opgeslagen. U weet dat deze medewerker dit document in zijn mailbox heeft ontvangen. Mag u als werkgever in de mailbox van deze oud-medewerker kijken om dit document op te zoeken?
Een zakelijk emailadres op naam van de medewerker wordt logischerwijs gebruikt voor zakelijke communicatie. Maar de mailbox kan ook persoonlijke emails bevatten waarmee artikel 8 EVRM van toepassing is:
‘Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.’ (artikel 8 lid 1 EVRM)
Het is dan ook niet zonder meer toegestaan dat een werkgever de zakelijke mailbox van de werknemer bekijkt. In bepaalde gevallen kan de werkgever zich beroepen op een gerechtvaardigd belang om zich toegang te verschaffen. Aangezien medewerkers dit alsnog als een inbreuk op hun privacy kunnen ervaren, is het verstandig om hier zorgvuldig mee om te gaan en dit zo veel mogelijk te voorkomen.
Zorg dat de werkprocessen zo zijn ingericht dat toegang tot de mailbox van medewerkers niet nodig is. Een mailbox is een communicatiemiddel, geen archief. Zorg dat medewerkers belangrijke mails en informatie in de daarvoor bestemde applicaties opslaan, zodat de betrokken collega’s toegang hebben.
Zorg daarnaast dat medewerkers bij geplande afwezigheid of ziekte vooraf maatregelen nemen zoals het instellen van een out-of-office of het automatisch doorsturen van e-mails naar een collega. Zo voorkomt u dat de privacy van de medewerkers geschonden wordt omdat de organisatie de interne processen onvoldoende op orde heeft.
In bepaalde gevallen is het wel degelijk mogelijk om toegang te krijgen tot een mailbox. Denk bijvoorbeeld aan situaties waarbij een medewerker plotseling uitvalt en niet in staat is om een overdracht te regelen. Dit kan op basis van gerechtvaardigd belang (AVG art 6 lid 1f). Er dient hierbij de afweging gemaakt te worden of het belang van de organisatie opweegt tegenover de inbreuk op de privacy van de (oud)medewerker. Hierbij moet voldaan worden aan drie voorwaarden:
De organisatie heeft een gerechtvaardigd belang bij de inzage van de mailbox.
Inzage is noodzakelijk om het gerechtvaardigde belang te behartigen. Daarnaast is er geen andere, minder privacygevoelige, manier voorhanden om dit doel te bereiken.
De inbreuk op de privacy van de medewerker weegt niet op tegenover de belangen van de organisatie. Maak hierbij een inschatting hoe groot de mogelijke negatieve gevolgen zijn voor de betrokkene door deze inbreuk. En vraag je af of dit opweegt tegenover het belang van de organisatie.
Bepaal ten slotte welke maatregelen er genomen kunnen worden om de mogelijke negatieve gevolgen voor de (oud)werknemer te minimaliseren. Denk hierbij aan maatregelen als:
Toegang door één persoon voor een korte afgebakende tijd;
Ga gericht op zoek naar de informatie die nodig is. Bepaal vooraf duidelijk het doel van de toegang. Formuleer bijvoorbeeld een concrete zoekterm. Open geen mails waarvan u kan verwachten dat dit persoonlijke informatie betreft;
Verstuur geen emails vanuit de naam van de niet aanwezige medewerker;
Stel indien nodig een out-of-office in zodat verdere inbreuk niet nodig is.
Informeer de betreffende medewerker indien mogelijk over de verschafte toegang. Informeer de medewerkers in het algemeen vooraf over het feit dat de organisatie zich in geval van uitzondering toegang kan verschaffen tot de mailbox en dat dit alleen plaatsvindt na een zorgvuldige belangenafweging. Informeren kan bijvoorbeeld bij indiensttreding middels de privacyverklaring voor medewerkers.
