Een lezer vroeg me:
Laatst ontving ik op het werk een persoonlijk aan mij gerichte e-mail, zonder anderen in de cc. Een collega meldde me dat de mail echter naar in ieder geval vier anderen is gestuurd. Deze vier personen hebben maar gedeeltelijk iets te maken met de inhoud van de e-mail. Ik was onaangenaam verrast toen ik dit ontdekte en ben erg benieuwd of dit zomaar mag.De vraag vermeldt niet of het de afzender van die mail was of een ander die de vier personen de mail heeft geforward. Ik ga er maar even van uit dat er niet iemand in de inbox heeft meegelezen en de mail daaruit heeft gevist om door te sturen.
Mijn vermoeden is dat de afzender na het versturen dacht dat die andere vier het ook moesten weten, dus toen zijn eigen mail doorstuurde. (Hij had ook bcc kunnen gebruiken, maar dat komt vaker in de spambox of valt minder op.) Mogelijk stuurde deze het naar een andere persoon, die vervolgens de vier er bij haalde.
Hoe het ook zij, de AVG biedt hier natuurlijk geen direct antwoord op. Verder dan algemene criteria zoals zorgvuldigheid en dataminimalisatie kom je hier niet mee. Het komt dan dus neer op de vraag of het nódig was die vier te informeren, en of vanuit de positie van de persoon die de mail naar hen vier stuurde die afweging zo gemaakt kon worden. Hier antwoord op geven kan alleen als we concreet weten om welke mail het gaat en waarom die vier het moesten weten.
Stel de mail gaat over een goedgekeurde vakantie-aanvraag, en de vier zijn managers en collega’s die het werk moeten overnemen. Dan lijkt dit me volkomen normaal.
Stel het gaat over een klacht van de afzender richting de vraagsteller, en deze betrekt er alvast maar even HR, de directeur en de vertrouwenspersoon erbij. Daar zou ik iets meer moeite mee hebben, maar vanuit de afzender begrijpelijk als de klacht hem of haar hoog zit.
Stel de mail is een stukje feedback van de leidinggevende, die het deelde met een mede-manager die het naar vier collega’s doorstuurde. Dat zou ik te ver vinden gaan, daar lijkt me geen reden voor te bedenken. Maar wie dat wel kan: ja, dan zou het weer wel mogen.
Vragen als deze krijg ik vaker. Ik krijg sterk het gevoel dat mensen graag vooral een extra stok willen (de AVG) om te kunnen zeggen dat hier illegaal, onrechtmatig is gehandeld ongeacht wat er nu écht aan de hand is. Maar de AVG is geen apart kanaal waarmee je een andere uitkomst kunt forceren dan via de ‘gewone’ route. Als je manager iets legitiems deed, wordt dat niet ineens onrechtmatig als je het in AVG-termen nog een keer navertelt.
Arnoud
Ik had altijd begrepen dat de werkgever een verwerkingsgrond moet hebben, en die moet gedocumenteerd zijn (zeker als er een belangenafweging bij komt kijken). Dat kun je dus niet achteraf doen.
De manager kan niet op eigen houtje adhoc besluiten dat vier anderen ook die email moeten hebben. De belangenafweging is dan namelijk zeer waarschijnlijk niet gemaakt, en de belangenafweging is zeer waarschijnlijk niet gedocumenteerd.
Dus zelfs als de afweging achteraf juist blijkt te zijn, is de verwerking ‘naar vier anderen sturen’ (volgens mij) niet conform de AVG.
Maar is dat niet afhankelijk van de inhoud?
Als ik Ans mail of zij een dossier aan Bart wil overdragen dan zou ik dat in aparte mails kunnen doen maar ook in dezelfde. De informatie is immers voor beide partijen bestemd.
Maar als ik Ans mail of zij hangende het fraudeonderzoek een dossier aan Bart wil overdragen dan zou ik dat wel in aparte mails moeten doen. Hier is niet alle informatie voor beide partijen bestemd. Bart mag wel weten dat hij een dossier van Ans moet overnemen maar niet dat er een fraudeonderzoek naar Ans loopt.
Natuurlijk is de basisvraag of het mag afhankelijk van wat er in de mail staat.
Maar het punt is: onder de AVG moet je de verwerkingsgrond gedocumenteerd hebben. Is dat zo?
Indien ja, dan is dat waarschijnlijk op basis van een belangenafweging, en die moet expliciet gemaakt (en gedocumenteerd) zijn. Zoniet dan is er inhoudelijk misschien niets mis met het doorsturen van de email, maar wel onder de AVG, want: belangenafweging is niet op de juiste manier gemaakt/gedocumenteerd.
Mogelijk ga ik hierin te ver, maar dit is hoe ik de AVG interpreteer.
Het eerste voorbeeld van het overdragen van werk zal (in de meeste gevallen) onder normale communicatie tussen leidinggevende en werknemer vallen. En (in de meeste gevallen) zal je ook mogen weten wat de naam van je collega is of wat haar zakelijke email is.
En (in de meeste gevallen) zal dat dan met een algemeen artikel worden gedocumenteerd: “We verwerken je naam en zakelijke email ten behoeve van zakelijke communicatie met collega’s, leveranciers, klanten en andere zakelijke relaties.”
Er zullen vast situaties zijn waarbij wie aan een bepaald dossier werkt zeer gevoelige informatie is. Dan zou ook de afweging om iets te delen beter onderbouwd en gedocumenteerd moeten worden.
Je moet inderdaad je verwerkingen gedocumenteerd hebben, maar dat is op niveau personeelshandboek en hoeft zeker niet per handeling vooraf schriftelijk gedaan.
OK, maar hoe doe je dat dan concreet?
Zet je dan in je register ‘het is een discretionaire bevoegdheid van de manager of hij een email over de ondergeschikte deelt met andere managers van gelijk of hoger niveau’?
Maar is er daardoor ineens ook geen documentatie van de belangenafweging meer nodig? Volgens mij is die nog steeds nodig.
Ik vraag me sowieso af: hier gaat het over werkgever vs werknemer. De manager, als vertegenwoordiger van de werkgever, is hierbij partij. Kun je wel van een partij verwachten dat zhij een objectieve belangenafweging maakt?
Het is vooral dat dat niveau van concretisering niet verlangd wordt van de AVG. “We gebruiken persoonsgegevens van werknemers als dat noodzakelijk is voor het werk of als het belang van de werkgever zwaarder weegt en we de privacy adequaat in oog nemen” is min of meer genoeg.
OK, maar dan moet je die belangenafweging inderdaad wel maken. En dan moet er ook een spoor van zijn dat je dat gedaan hebt.
In de praktijk geloof ik niet dat dat gebeurt. In de praktijk stuurt die manager gewoon die mail door zonder ook maar na te denken over belangen en een afweging daarvan.
En dat is dan toch nog steeds een fout onder de AVG, of niet?
Eens, maar dat staat los van op welk niveau je de afweging moet maken. Je hoeft niet bij iedere mail vooraf met de FG te overleggen of iemand in de cc moet, zeg maar.
Ik had eens een collega gemaild om te sparren over een onderwerp en daarin de rol van de leidinggevende mee te nemen. Een paar dagen later kwam mijn leidinggevende met deze mail aanzetten. Uhhh? Dat lijkt mij niet helemaal de bedoeling.