Een directe collega leest de mail van de manager, mag dat?

Pexels / Pixabay

Een lezer vroeg me:

Een directe collega heeft toegang tot de mailbox van onze teamleider/manager en kan mailtjes die wij dachten in prive/vertrouwen te sturen meelezen. Wij waren hier niet van op de hoogte gesteld. Mag dit zomaar en wat kan hier eventueel aangedaan worden als dit niet mag?
Ik ga er maar even vanuit dat deze directe collega met een legitieme reden die toegang heeft. Het lijkt me vanzelfsprekend dat als die collega tegen de regels in het wachtwoord kent, er iets goed mis is en de collega natuurlijk niet die mails mag lezen.

De vraag “mag dit zomaar” komt dan allereerst neer op “met welke reden heeft de collega toegang”. Het gaat kennelijk niet om de assistent van de teamleider, gezien de bewoordingen “directe collega”. Op zich zou het logisch zijn dat iemands assistent toegang heeft tot diens mailbox, dat hoort immers bij het assisteren.

Een ict-beheerder is vaak ook iemand die toegang heeft tot mailboxen vanuit zijn of haar werk. Dat is dan op zich ook legitiem. De vervanger van de teamleider kan ook redenen hebben om in de mailbox te willen, en zo kan ik nog wel even doorgaan.

Als iemand toegang heeft tot een mailbox, dan wil dat nog niet zeggen dat zhij dan alles mag met de inhoud. Het lezen en andere acties moet verbonden zijn met die taak. Een assistent mag dus meer dan een ict-beheerder, bijvoorbeeld.

Persoonsgebonden berichten vallen gewoonlijk buiten die taak, als jij specifiek iets aan teamleider Janny de Vries wil berichten dan behoort Willem de assistent daar niet in te kijken. In de context van e-mail is dit wat lastig in te regelen, praktisch kom je vaak niet verder dan in de onderwerpregel termen als “Strikt persoonlijk” of “Alleen voor jou” op te nemen. Encryptie met een sleutel waartoe de assistent of andere toeganghebber niet bevoegd is, zou nog mooier zijn.

Dan blijft als laatste nog de juridische achtervang over dat je geheimhouding hebt over duidelijk vertrouwelijke dingen die je in het kader van je werk tegenkomt. Dat geldt dus ook als er geen persoonsgebonden encryptie is gebruikt, en ook als de mail in de inbox stond en ook als er niet “strikt persoonlijk” in de onderwerpregel staat. Als na lezing duidelijk is dat dit een privébericht was, dan heb jij dus je mond (en screenshotknop) daarover te houden.

Natuurlijk is het in een werkrelatie vaak lastig om een collega ergens op aan te spreken, juist omdat je nog lang met die persoon zult moeten blijven werken. En als dit een persoon is die er weinig problemen mee heeft om (kennelijk) te roddelen over wat hij in die mailboxen leest, dan zal een goed gesprek ook weinig effect hebben. Dan blijft over het meer escaleren: vakbond of OR inschakelen, de teamleider hierop aanspreken als een groep, HR vragen hier wat van te vinden, een klacht bij de manager van de teamleider, zulke dingen.

Strikt gesproken is zo’n mailbox natuurlijk een verwerking van persoonsgegevens, zodat je ook met de AVG in de hand hier van alles van kunt vinden. Maar uiteindelijk kom je langs dezelfde lijn bij hetzelfde antwoord uit: als er een noodzaak of duidelijk belang (met afweging) is, dan mag het, en vanuit de beginselen van behoorlijkheid en vertrouwelijkheid moet die persoon de gegevens geheim houden.

Arnoud

7 reacties

  1. Als doordat de directe collega jouw email leest, de werkrelatie onhoudbaar wordt, heeft de werkgever dan een vergoeding te betalen? Ik neem hier even aan dat die collega hierover roddelt of dit ter sprake brengt met jou (terwijl het ter sprake brengen niet gekoppeld is aan de reden waarom hij toegang had tot de mailbox).

    De collega (en dus de werkgever) doet iets fout (e.g. AVG overtreding). Als daardoor de werkrelatie onhoudbaar wordt, dan vind ik een vergoeding gepast.

    Als de werkgever op het publiekelijke prikbord zou hangen dat de reden dat jij je been gebroken heb, is dat jij een ongeluk had toen je ’s nachts op “volwassen” manieren bezig was met je partner. Dan zou ik het niet onredelijk vinden dat jij het te gênant vind om je gezicht te laten zien op de werkvloer. En waarom zou er een verschil zijn tussen de werkgever die het op het prikbord hangt en een andere werknemer die er “illegaal” over gaat roddelen?

  2. En hoe zit het als je manager zijn werk-e-mail standaard doorstuurt naar een externe partij, waarvan niet duidelijk is wie dan in die mail kan kijken (Gmail)? Moet dat ook kunnen? Moeten we daarvoor gewaarschuwd worden?

    1. Een ISP of mailprovider heeft een privacy-statement, daarin staat wanneer de provider bij de emails van de klanten mag. Je mag aannemen dat de provider zich daaraan houdt.

      Wanneer mail doorgestuurd wordt aan een provider niet aan de normen van de oorspronkelijke ontvanger voldoet, dan heeft degene die de forward ingesteld heeft een serieus probleem.

      1. Ik mail vaak met een organisatie die hun mail via een Europese anti-spam service doorstuurt aan Microsoft 365. Als ik hun MX records nakijk zie ik dus een EU-bedrijf en dan denk ik dan zit alles met de AVG wel goed, en dat blijkt dan toch vies tegen te vallen.

        Maar hoezo hebben zij een serieus probleem door dergelijke forwards? De rechter ziet me al aankomen.

        1. Als je als bedrijf een hulporganisatie inhuurt voor een deel van je gegevensverwerking blijf je verwerkingsverantwoordelijke. Uit het contract (verwerkingsovereenkomst) met de dienstverlener moet duidelijk worden dat de dienst aan de AVG voldoet. De AP kan hierop handhaven.

          Aan de andere kant: wanneer een werknemer (automatisch) emails doorstuurt naar een organisatie waar de werkgever niet blij mee is kunnen van die kant disciplinaire maatregelen komen.

  3. Mijn eerste gedachte was dat de lezer misschien wel over de collega had geklaagd via de mail, en dat die collega vervolgens liet blijken dat ie van die klacht af wist, en dat ze er zo dus achter zijn gekomen dat die collega de mails kon lezen. (Bijvoorbeeld ‘waarom kwam je niet gewoon direkt naar mij met die problemen’, een van de standaard pestkop-tactieken.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.