Wanneer mogen wij de mailbox van een werknemer van een klant openen?

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

10 reacties

  1. Binnen bedrijven die clouddiensten afnemen doet nog een bijzondere situatie voor. De lokale helpdesk kan een nieuw wachtwoord instellen (het bekend welkom01). Dus als de werkgever in de email wil snuffelen wordt er een welkom01-tje gedaan. Een tijd later staat de medewerker op de stoep of zijn account gereset kan worden. Dat snuffelen kan dus nagenoeg ongemerkt. Clouddiensten (Google) zouden een bericht naar de gebruiker moeten sturen dat het wachtwoord-gereset werd.

        1. Ik geef aan dat Google het doet. Of een mail aan het adres in kwestie helpt, is een tweede. Google beschikt in mijn geval over een alternatief e-mailadres en mijn mobiele nummer. Via die weg zou deze notificatie relevanter zijn. Daarop heb ik niets ontvangen.

  2. Dit kan interessanter worden als het gaat om websites zoals een internet-forum waarbij ook privéberichten tussen de bezoekers kunnen worden uitgewisseld. Als het daarbij om een forum gaat dat voor zakelijke doeleinden wordt gebruikt (denk aan StackOverflow) dan is het account werkgerelateerd. Zeker als deze onder werktijd is aangemaakt met een email adres van de werkgever. Als de werkgever dan de privéberichten wil inzien dan moeten ze dat vragen aan de forumbeheerder. Of nog complexer: als ze het account verwijderd willen hebben, inclusief alle berichten van het account dan wordt het nog lastiger.

  3. dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

    Daar wordt ook vaak nogal krampachtig over gedaan. Men is vaak toch bang dat werknemer meer wist dan z’n persoonlijke mails.. En om nou onder toezicht je persoonlijke mails er uit te moeten vissen werkt toch ook niet helemaal lekker.

    1. Waarom zou een werknemer niet eerder de niet persoonlijke berichten wissen? Het tegenovergestelde heb ik ook gezien dat een werknemer in de laatste week aangeeft dat haar persoonlijke mailbox overgedragen kan worden aan haar opvolger. Daarnaast zijn er ook bedrijven die eigenlijk alleen maar rol/functie mailboxen hebben en geen persoonlijke.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.