Interessante bij Security.nl:
In het kader van een opdracht bij een klant ben ik aan het uitzoeken of het, met het hoog op de privacywetgeving, toegestaan is om de werk mailboxen van medewerkers die uit dienst zijn door te gaan. Dit wil het bedrijf graag omdat communicatie en werk vaak verloren gaan op het moment een medewerker uit dienst gaat. Ik vraag me af of dit toegestaan is als van tevoren toestemming wordt gevraagd aan de werknemers.Om maar met dat laatste te beginnen: als je toestemming vraagt aan werknemers, dan doe je het verkeerd. Toestemming vraag je voor nieuwsbrieven, voor de rest heb je een andere grondslag nodig.
Hier is de grondslag het belang van de werkgever om het werk door te laten gaan. Je wilt immers niet dat klanten boos worden (of prospects afhaken) omdat er geen reactie komt op hun mail. En dat is niet te voorkomen door op de laatste dag een out-of-office met generieke “bel mijn collega Jantien” tekst op te nemen. Soms moet je mails terughalen of doorsturen.
Vanuit dat belang mag het dus in principe, die mailbox in. Maar je moet wel rekening houden met de privacy van de werknemer, want óók bij het werk geldt die en ook na uitdiensttreding. Je mag dus niet botweg alle mails doorzetten naar een collega (als dat al verstandig zou zijn), want er kunnen privéberichten tussen zitten.
In de comments wordt verwezen naar communicatie met de arbo-arts, dat lijkt me wat onwaarschijnlijk maar discussie met de manager over salarisverhoging of vervelende akkefietjes met collega’s zouden er zeker tussen kunnen zitten. En het is niet de bedoeling dat een ander die gaat lezen.
De gebruikelijke aanpak is dan ook dat je gericht zoekt, “klant De Vries zegt op 3 maart akkoord te hebben gegeven aan Ten Brink, waar is die mail” bijvoorbeeld. Of “in het dossier van MedTech ontbreken berichten over de SLA, hopelijk zitten die nog in de mailbox van Wim”. Je weet wat je zoekt en hoe je dat gaat localiseren.
Natuurlijk zóu je dan een mail van Ten Brink aan zijn manager kunnen vinden waarin die klaagt over een opdringerige De Vries, maar dat lijkt me dan te uitzonderlijk om de hoofdregel voor opzij te zetten. Het kan wel goed zijn om vanwege de grijze gevallen de mailbox met twee mensen door te nemen.
Een goede tip blijf ik vinden dat je de werknemer bij uitdiensttreding vraagt de mailbox op te schonen. Je kunt dat vragen in het exitgesprek, of op de laatste werkdag ’s ochtends nog even als reminder sturen. Dat is geen vrijbrief om dan om 17:01 te zeggen “en nú mogen we alles lezen”, maar wel een praktische tip om de risico’s te beperken.
Arnoud
Mail als zaaksysteem gebruiken is een veelvoorkomende slechte gewoonte. En als het al niet anders kan, gebruik dan een gedeelde mailbox. Persoonlijke mailboxen zijn (de naam zegt het al) persoonlijk en dien je binnen redelijke termijn, maar wel zo snel mogelijk weg te gooien. Als de info uit zo’n mailbox echt bedrijfsbelang is, zou ik me als werkgever al veel eerder daarover druk hebben gemaakt, dat de informatie op de juiste plek staat.
Dit inderdaad. Werkgever kiest bewust voor een systeem (e-mail op een persoonlijke inbox). Daar hoort bij dat je daar dan dus vervolgens ook niet bij kan, als je dat wel wil moet je op voorhand voor een ander systeem kiezen.
De werkgever stelt een mailbox ter beschikking aan de werknemer, voor het werk en met een bijbehorende instructie. (Of er is een algemeen geldende werkinstructie voor het gebruik van elektronische communicatie.)
Het overkomt mij regelmatig dat ik iets met een specifieke collega of met een van mijn contactpersonen bij een klant moet bespreken. Dan is het handig dat ik die persoon direct kan benaderen an dat hij mij direct een antwoord kan sturen, zonder dat er anderen tussen zitten die het mailtje naar een verkeerde persoon sturen.
Daarom is een persoonlijke mailbox zo handig, maar het is geen privé mailbox; deze mailbox wordt beheerd namens de werkgever en is bestemd voor zakelijke communicatie. Daarom is het niet zo vreemd dat de werkgever in specifieke situaties, voor de continuïteit van het bedrijf, toegang wil kunnen verlenen aan een collega om zaken waar te nemen.
Toen ik ontslagen werd bij een reorganisatie had niemand meer belangstelling voor me, dus exit gesprekken waren er niet. Maar ik heb zelf wel de mailbox opgeschoond en een out-of-office message neergezet.
Toen ik in het verleden bij een MKB werkte als systeembeheerder kwam het ook wel eens voor dat ’t management aan mij vroeg of ik even in een mailbox iets wilde opzoeken voor ze, of dat je tijdens onderhoud aan de mailserver in logbestanden bijzondere subjects tegenkwam (het aanstaande ontslag van een directe collega bijvoorbeeld).
Dat je dan misschien ook zijdelings privegegevens en dergelijke tegenkomt is een gegeven. Maar zelf heb ik daarbij altijd wel een soort van geheimhoudingsplicht ervaren, vergelijkbaar met wat een advocaat ook heeft (zij het minder formeel gedefinieerd); alles dat je tegenkomt tijdens zo’n onderhoud of inzage heb je niet gezien, en je gedraagt je nadien alsof je er daar nog nooit van gehoord hebt.
Wellicht dat er ooit nog een gedragscode of iets dergelijks voor systeembeheerders komt die dit soort taken uitvoeren, ik veronderstel dat een dergelijke geheimhoudingsplicht dan ook verder geformaliseerd zal worden.
Inderdaad heb je geheimhoudingsplicht, het is zelfs strafbaar om vertrouwelijke informatie uit zo’n mailbox aan onbevoegde derden te vertellen. Dit is natuurlijk allemaal redelijk grijs: een HR-manager die het van je eist, is die ‘bevoegd’ of niet en hoe vertrouwelijk is die mail nu precies?
Een gedragscode lijkt me een goed idee.
Toch is er ook wel iets te zeggen voor een hogere drempel voor het bedrijf.
Als het bedrijf de werknemer bijvoorbeeld niet gevraagd heeft om de zaak op te schonen en een correcte overdracht te doen, of dat zelfs afgehouden heeft, is het wel heel makkelijk (en m.i. onterecht) als het management dan kan redeneneren: ‘och, we kijken wel in de mailbox en we reconstrueren de zaak wel’.
De werkgever heeft wel een belang en mag in principe wel de mailbox in, daar ben ik het mee eens.
Maar kun je zo’n belang nog wel inroepen als je zelf als werkgever in het voorafgaande traject geen redelijke maatregelen hebt genomen om te voorkomen dat je het belang MOET inroepen? Of, in extremis, zelfs nalatig bent geweest? Een dergelijk belang inroepen mag natuurlijk geen vangnet worden voor slechte bedrijfsvoering.
Het opschonen door de werknemer heb ik ook wel mijn twijfels bij. Door vergissingen, onverschilligheid, of zelfs met opzet, zou de vertrekkende werknemer best wel eens een beetje harder kunnen opschonen dan je als werkgever wilt.
Hoe zit dat dan precies? Als ik als ex-werknemer in overleg mijn mailbox heb opgeschoond en expliciet toestemming geef voor toegang tot de rest, dan is dat toch voldoende?
Mijn standpunt (afgaande op de lijn van de AP) is dat die toestemming niet rechtsgeldig is. Jij als werknemer/ex-werknemer bent bang voor je werkgever en zegt dus maar ja om er vanaf te wezen, is grofweg het argument. Je wilt toch je vakantiedagen uitbetaald, nog 6 weken de leaseauto en de bonus naar rato? Als je geen toestemming geeft, staat dat allemaal op de tocht.
Ik vraag mij af of het als werknemer wel verstandig is om je werk-account voor persoonlijke discussies te gebruiken. Maar ik denk dat het wel mogelijk moet zijn om zo’n mailbox dan te voorzien van een mailfilter die alle interne berichten gewoon terugstuurt met de mededeling dat de werknemer niet bereikbaar is en alle externe berichten doorstuurt naar een systeembeheerder. Want die externe berichten gaan dan niet over personeelszaken of de arbo-arts. Die zullen grotendeels van klanten komen.
Maar dan zou het kunnen gebeuren dat de medewerker op zijn laatste werkdag zichzelf inschrijft voor 500 verschillende nieuwsbrieven, waaronder misschien wel erotische nieuwsbrieven. Dat zou dan weer vervelend zijn en als de werkgever daar dan over klaagt heb je als medewerker dus bewijs dat je werkgever door je mailbox is wezen wroeten…
Maar laten we eens verder denken. Een werkgever gaat failliet en de curator neemt alles over om te kijken of er nog wat van waarde te vinden is. En dan blijkt een zekere Arnoud E. een boek geschreven te hebben en dit laat publiceren, en de drukkerij hem dus via de werk-mail benadert met de vraag waar de royalties naartoe moeten. En de curator claimt vervolgens de royalties daar Arnoud dit contract kennelijk met het bedrijfsaccount heeft afgesloten en het boek dus van het bedrijf is, niet van Arnoud. Heeft Arnoud dan pech? 😀
De arbo-arts gebruikt lang niet altijd een intern adres.