Wanneer mag je de mailbox van een werknemer nu doorzoeken?

outlook-webmailEen lezer vroeg me:

Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken?

Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te allen tijde alles”. Maar zo werkt het niet. Dat reglement is wel belangrijk want de redenen voor doorzoeking moeten vooraf bekend zijn gemaakt. Maar je moet wel echt een reden hebben, en een stevige ook. Privacy geldt ook op het werk.

Een dringende reden was er bijvoorbeeld in deze zaak: er waren whatsappberichten ter kennis van de werkgever gekomen waaruit bleek dat de werknemer zich behoorlijk negatief over het bedrijf uitliet jegens derden. En daarmee was er een grond de laptop te doorzoeken.

Dat deze regels ook gelden na vertrek van een werknemer, blijkt uit een recent arrest van het Gerechtshof in Arnhem-Leeuwarden. Hier werd e-mail doorzocht na vertrek. Het Hof zegt dan:

Het feit dat de e-mailberichten niet tijdens, maar aan het eind van en/of na het dienstverband bij een standaardcontrole van de ingeleverde laptop zijn gevonden, brengt niet mee dat de beperkingen van het recht op privacy niet gelden.

Dat gold zeker nu de werknemer de laptop had gewist, waardoor hij er geen rekening mee hoefde te houden dat de werkgever zijn privédata zou gaan recoveren.

Mijn broek zakte af van dit vonnis waarin de werkgever had ingebroken in de privé-Gmail van de werknemer. Dit kon omdat inloggegevens bewaard waren op de werkcomputer. Ook werden privéchats via WhatsApp gelezen vanaf de zakelijke telefoon. Eh ja, precies. Wát.

De kantonrechter verklaart dit onrechtmatig, met name omdat er geen concrete aanleiding was en omdat de werkgever de werknemer misleidde (“updates doorvoeren” op pc en telefoon) over de reden voor het snuffelen. Zoals wel vaker bij deze zaken is er geen internetreglement. Dit ook wordt de werkgever verweten. De werkgever moet € 7500 schadevergoeding betalen voor het onrechtmatig zoeken.

Het ontslag blijft echter wel in stand omdat de werknemer de verboden heeft overtreden. Bewijs is bewijs in het Nederlands recht, óók als het onrechtmatig verkregen is. De rechter vindt dit ook logisch, de straf voor het schenden van iemands privacy is een boete of schadevergoeding:

Op deze wijze ontstaat er geen vrijbrief voor de werkgever om op onrechtmatige wijze gegevens te verkrijgen over een bepaalde handelwijze van een werknemer en blijft het tegelijkertijd mogelijk het gedrag van de werknemer te beoordelen met alle gegevens die boven tafel zijn gekomen.

Slechts in zeer uitzonderlijke gevallen zal de rechter weigeren naar het bewijs te kijken omdat het onrechtmatig verkregen is. Dat voelt gek: men schendt de wet maar mag er wél van profiteren. Maar ik vind het minder gek dan bewijs negeren terwijl er eh gewoon bewíjs is. Dan liever de bewijsverkrijger straffen voor het onjuist handelen en daarna toch gewoon naar het bewijs kijken.

Arnoud

18 reacties

  1. Mijn broek zakte af van dit vonnis waarin de werkgever had ingebroken in de privé-Gmail van de werknemer.

    Zakt je broek af van die uitspraak of van de acties van de werkgever? De uitspraak lijkt me terecht.

    Hoe zit het met derden? Moet je als hostingprovider mee werken als een klant vraagt de mailbox van zijn medewerker toegankelijk te maken voor hem? In hoeverre moet je zelf een oordeel vellen over de rechtmatigheid hiervan? En maakt het nog uit of je zelf die stappen uitvoert of dat je hem alleen uitlegt hoe je zo iets zou moeten doen in een hypothetisch geval? En zijn deze zaken anders bij een werknemer (systeembeheerder) als bij een externe partij?

    Kortom, komt er nog een deel II….

    1. Van de acties inderdaad. En als hoster heb je hier niet zo veel eigen beslisruimte. Je werkt in opdracht, dan moet je in principe doen wat de opdrachtgever zegt. Jij kunt niet bepalen of er toestemming is, of er een gegronde reden is of wat dan ook. Hoe weet jij wat de uitkomst is van het privédetective-onderzoek?

      Wat je dus doet als hoster is een vrijwaring/garantie vragen:

      Opdrachtnemer ziet de op dd/mm gegeven opdracht tot [omschrijving] als juridisch riskant gezien de privacy-aspecten aan deze opdracht. Opdrachtgever verklaart en garandeert dat de opdracht vrij van risico’s door Opdrachtnemer kan worden uitgevoerd. Voor zover nodig is toestemming verkregen dan wel een gegronde reden aanwezig krachtens welke Opdrachtgever de opdracht mag laten uitvoeren. Opdrachtgever vrijwaart Opdrachtnemer van alle aanspraken van derden (het doelwit van het onderzoek inbegrepen) ten aanzien van de opdracht en zal zonder enige reserve, beperking of voorbehoud alle schade vergoeden die Opdrachtnemer mocht lijden in verband met de uitvoering van de opdracht.

      Gaan ze dán piepen dan wordt het tijd voor een serieuze discussie.

    1. Eh welles: “de redenen voor doorzoeking moeten vooraf bekend zijn gemaakt. Maar je moet wel echt een reden hebben, en een stevige ook. Privacy geldt ook op het werk.” Gegronde reden dus. Er is geen wiskundig algoritme waaruit je 0 of 1 krijgt op de vraag of je mag kijken in iemands mailbox en hoe ver het dan mag gaan. Bij vervanging wegens ziekte bijvoorbeeld mag je in iemands mailbox maar niet zo ver als bij een vermoeden van grootschalig lekken van bedrijfsgeheimen.

  2. Regel dat de hele afdeling altijd bij elkaar in de mailbox kan kijken, en dat het bekend is. Dan voorkom je dit soort geneuzel. Het bedrijf heeft altijd een belang bij het toegankelijk hebben van de mailbox, er kan voor het bedrijf belangrijke communicatie in zitten. Niet iedereen trekt zich iets aan van een automatisch antwoord met blah blah werkt hier niet meer stuur maar naar die en die. Daarnaast kan het voor het bedrijf noodzakelijk zijn om communicatie uit het verleden te bekijken.

    Prive whatsappen doe je niet op zakelijke telefoon, niet slim. Toegang verschaffen tot een gmail account, ook niet slim. Maar wie is er dan ook zo stom om login gegevens op de computer van het werk te bewaren.. Van inbreken op het gmail account was dan natuurlijk ook geen sprake, de sleutels lagen er immers… En als je dat weet, verander je als gebruiker het wachtwoord van je gmail account…

    De oplossing: gewoon niets prive op zakelijke gegevensdragers.. dan voorkom je als medewerker een hoop gedoe. Wetgeving zou dan ook aan moeten worden gepast; alles wat op gegevensdragers van de werkgever staat zijn van de werkgever. En de werkgever mag daar ten alle tijden toegang toe verkrijgen.

    1. Dus als jouw autosleutels op je bureau liggen dan mag je werkgever je auto openmaken? Of de huissleutels in je jas aan de kapstok, dan mag je werkgever bij je huis naar binnen? Ze lagen er immers, van inbreken is geen sprake.

      Werk en privé zijn onlosmakelijk vermengd vandaag de dag. Dat willen scheiden gáát gewoon niet meer, te veel mensen zijn er te lang aan gewend.

      1. Werk en privé zijn onlosmakelijk vermengd vandaag de dag. Dat willen scheiden gáát gewoon niet meer, te veel mensen zijn er te lang aan gewend.

        Volgens mij kan het juridisch wel prima als je maar vooraf duidelijk maakt dat alle mailboxen voor iedereen inzichtelijk zijn en dat ze private mails via hun private mail account moeten doen. (en dan niet de toegang tot alle private mailprovider blokkeren natuurlijk).

        1. En mag de werkgever zich dan ook toegang tot de privé mailbox toe-eigenen omdat de login cookie aanwezig is op de werkmachine, proxy of een packet dump uit de firewall? Of misschien omdat het account is aangemeld in de mail applicatie op de zakelijke telefoon?

          1. Wat een rare redenering. Werkmail is gewoon een bedrijfsmiddel van de werkgever. Het is prima acceptabel om daar en beperking in te stellen op het gebruik ervan. Als je een auto van de werkgever gebruikt en daarbij wordt expliciet gezegd dat je die alleen voor werk mag gebruiken dan geeft dat toch ook geen recht voor een werkgever om iets met je prive auto te doen.

            1. Het gaat in het voorbeeld van Peter om de PRIVÉ-mailbox die toegankelijk is voor de werkgever omdat er een inlogcookie op de werk-pc staat. Mag dat van jou? Ik doe in de lunchpauze mijn privémail op mijn werklaptop. Dat mag. Jij zegt, dan mag de werkgever in die privémail kijken want je gebruikt bedrijfseigendommen.

              1. als iemand zijn priva auto op het parkeerterrein van je bedrijf zet is dat ook geen reden om die te openen of iemand die zijn tas onder zijn bureau neerzet ga je ook niet openmaken. Alles hierboven mbt privemail is een onzin gefabriceerd argument in een stuk over werkmail.

                Werkmail is een bedrijfmiddel en prive mail heeft daar niks meer te maken. Werkmail kun je als werkgever eisen aan het gebruik bij stellen en net zo als aan het gebruik van een bedrijfsauto. Geen gebruik van een bedrijfsmiddel voor prive doeleinden is een prima acceptabele eis. Als het maar vooraf heel duidelijk is.

                1. Maar een auto heeft ramen en door die ramen kun je alsnog naar binnen kijken om te zien of er iets verdachts in de auto ligt. Als je een stapel laptops ziet en er ontbreken er een aantal op het kantoor dan is dat een goede reden om de werknemer te verhinderen te vertrekken, de politie te waarschuwen en door de politie de auto te laten openen of het de laptops van het kantoor betreft en de werknemer dus heeft gestolen. Bij email kun je niet echt makkelijk even naar binnen kijken om te zien of er verdachte dingen tussen staan, maar als de ex-werknemer zijn webmail als startpagina heeft ingesteld inclusief automatische logon dan kun je na openen van die browser dus wel even een kijkje nemen naar eventueel verdache kopteksten. Het gaat complexer worden met BYOD-werkplekken omdat je prive-laptop dan ook zakelijke toepassingen kent en je werkgever deze dus mag bekijken en onderhouden op basis van wat hierover is afgesproken. Als daarbij privezaken worden aangetroffen die niet door de beugel kunnen dan heeft de werkgever dus, net als bij de auto vol gestolen laptops, voldoende redenen om verdere acties te ondernemen en het apparaat zelfs veilig te stellen (via politie/justitie) als onderdeel van de bewijslast tegen de werknemer. Maar het moet dan wel een extreem belangrijke reden zijn…

  3. Hoe zit het eigenlijk, juridisch gezien, met de mailbox van een (recent) overleden medewerker? Ik kan me allerlei practische overwegen voorstellen waarom het wel mogelijk zou moeten zijn of ethische overwegingen waarom niet, maar hoe zit het vanuit juridisch oogpunt?

    1. Ik zou dan voorstellen om contact op te nemen met de nabestaanden van de werknemer om dan te praten over de persoonlijke spullen van de overledene die eventueel nog op de werkplek liggen, plus hen de mogelijkheid bieden om gezamenlijk de mailbox van de overledene door te nemen. Dan heb je meteen de juridische toestemming. Afhankelijk van de manier van overlijden (moord) zou het ook kunnen dat justitie een blik wil werpen op die mailbox! Daar zul je ook rekening mee moeten houden.

  4. Aangaande onrechtmatig verkregen maar wel geldig bewijs: akkoord, maar zou de boete/schadevergoeding op privacyschending niet beter in balans moeten zijn met de waarde van kennelijke belangen van schender?

    Ik bedoel, als er (los van het feitelijke financiële belang gemoeid met aanhouden/ontslaan, en los van hier eveneens betwist loon en vakantiegeld ad €7,7k) blijkbaar financiële belangen in het geding zijn die dwangsommen van €10k tot max. €500k tegen benadeelde van de privacyschending rechtvaardigen, dan is een schadevergoeding voor die schending zelfs ad €7,5k toch een schijntje – althans geen serieus te nemen middel om te “voorkomen worden dat het recht op privacy van een werknemer door het (onbelemmerd) gebruik van onrechtmatig verkregen bewijs ernstig zou worden uitgehold.”?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.