De inhoud van je (zakelijke) mailbox is aan te merken als persoonsgegevens, zodat je inzagerecht (en kopierecht) er op van toepassing is. Dat oordeelde het Franse Cour de Cassation, de hoogste Franse rechtbank onlangs. Wel moet de werkgever bij inzageverzoeken rekening houden met (privacy-)belangen van anderen.
Met enige regelmaat krijg ik vragen van werknemers die in een arbeidsgeschil zitten en dan de AVG willen inzetten om bijvoorbeeld bewijs te vergaren. Het is al een tijdje discussie wat in die context precies een ‘persoonsgegeven’ is: de metadata (jouw mailadres en met wie je mailde zeg maar), de passages in de mail die over jou gaan, of gewoon de hele mail?
Het Franse Hof kiest in een arbeidszaak nu voor dat laatste. In die zaak ging het om een intern onderzoek tegen een werknemer vanwege vermeend plegen van “daden van seksuele of psychische intimidatie”. De werknemer had om inzage in zijn mails gevraagd, om beschuldigingen te kunnen weerleggen als zou hij dergelijke teksten per mail hebben verstuurd.
De werkgever had dit geweigerd omdat “zakelijke e-mails” geen persoonsgegevens zijn. Dat ziet het Hof dus anders:
16. It follows, on the one hand, that emails sent or received by the employee using his professional email account are personal data within the meaning of Article 4 of the GDPR and, on the other hand, that the employee has the right to access these emails, the employer having to provide him with both the metadata (time stamp, recipients, etc.) and their content, unless the elements whose communication is requested are likely to infringe the rights and freedoms of others.Ik twijfel of dat “professional mail account” er staat om duidelijk te maken dat het óók voor zakelijke mails geldt (dus niet alleen duidelijke privécorrespondentie), of gewoon omdat men die term gebruikte in de procedure.
In ieder geval, het Hof bevestigt hier dat mails die je stuurt of ontvangt integraal tellen als persoonsgegevens. Dus niet de metadata. Ook niet de stukjes met je naam erin. De hele lap.
Dat is wel even heftig, want je kunt dus met dit arrest (de AVG wordt Europabreed hetzelfde uitgelegd) een kopie van je hele mailbox eisen. Daar zitten dan wel weer grenzen aan: je inzagerecht (waar recht op kopie bij hoort) mag “geen afbreuk aan de rechten en vrijheden van anderen” doen.
Als inzage bijvoorbeeld de privacy van een collega zou schenden, of er staan bedrijfsgeheimen in, dan mag de werkgever weigeren deze te verstrekken. De werkgever moet dat natuurlijk desgevraagd wel bewijzen (vergelijk Dun & Bradstreet over handelsgeheimen versus AI-uitleg, ook dat is het inzagerecht). En mails moeten bij voorkeur dan geanonimiseerd worden overlegd in plaats van integraal achtergehouden worden.
Hoe nu hier in de praktijk mee om te gaan? Enerzijds gaat het praktisch al goed: werknemers kunnen haast per definitie al bij hun mailbox, en ze mogen daar dus ook een kopie van maken in het kader van hun inzagerecht.
Die kopie moet wel gemaakt om een concrete inzage te doen met als doel correctie of verificatie van de juistheid van de persoonsgegevens. Dus niet “voor het geval dat neem ik de mailbox mee naar huis” maar “ik hoor net van Guillaume dat ik X gezegd zou hebben, ik bewaar nu de mail met niet-X want dan kan ik dat op het gesprek aankaarten”.
Anderzijds gaat het inzagerecht pas spelen wanneer er een geschil aan de orde is. Dan weet je als werknemer immers welk bewijs je nodig hebt. En juist dan zie je dat je nogal eens buitengesloten bent van de werkmiddelen. Natuurlijk heb je dan nog steeds récht op die mailbox, maar met oneigenlijke vertragingstactieken kan een kwaadwillende werkgever je daar behoorlijk in hinderen – terwijl de arbeidsrechtelijke procedure gewoon doorgaat.
Arnoud
Volgens overweging 63 van de GDPR ‘Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren ‘
Kan de werkgever dan bijvoorbeeld de mails beschikbaar stellen onder de voorwaarde dat die niet gebruikt worden in het arbeidsgeschil? Dan wordt aan de GDPR voldaan, en tegelijk wordt dan de (IMHO absurde) situatie vermeden dat een partij in een geschil verplicht wordt om lacunes in de archiefvorming van de andere partij op te lossen en dus zijn eigen juridische positie te verzwakken.
Dit is nieuws voor mij. Ik dacht dat je bij een inzageverzoek geen reden hoeft op te geven. Kun je toelichten waar deze eis vandaan komt?
Nee, dat kan niet. Als de werknemer die voorwaarden weigert en de werkgever vervolgens geen kopie geeft, dan schiet de werkgever tekort in het uitvoeren van inzagerecht. Het staat de werknemer vrij om, na het controleren van de rechtmatigheid en juistheid van de verwerking, de persoonsgegevens te gebruiken als bewijs.
Bron/redenering graag…
Als de werkgever onder die voorwaarde de mails ter beschikking stelt, voldoet hij, gezien de expliciet vermelde bedoeling van de wet, nog steeds aan de wet.
De werknemer is, gezien het door hem ingeroepen doel van de inzage, volledig onredelijk in het weigeren van die voorwaarde (die staat immers volledig los van het doel).
In Nederland heeft deze houding van een werkgever weinig zin. Nog los van de vraag of overweging 63 tot gevolg heeft dat de reikwijdte van het inzagerecht echt zo beperkt gelezen moet worden, kan ik de relevante mails ook op grond van de exhibitieplicht ex art. 194 en/of 195 Rv krijgen. Als een werkgever dus de beperking zou stellen die je hier beschrijft, is die beperking makkelijk te omzeilen. Ik kan waarschijnlijk zelfs akkoord gaan met de voorwaarde met betrekking tot de inzage, het kenmerk van de relevante mails noteren en die vervolgens (opnieuw) opeisen in het kader van de exhibitieplicht.
Gaat de exhibitieplicht echt zo ver dat die ingeroepen mag worden om eigen slordigheid/nalatigheid te compenseren? Daar zal toch ergens een limiet aan zijn?
En zelfs dan: als de werkgever stelt dat de gegevens uitsluitend voor AVG-doeleinden ter beschikking worden gesteld, en dus niet voor het maken van een lijst van onder de exhibitieplicht te leveren documenten, dan wordt hetzelfde bereikt.
Anders zou de de combinatie AVG en exhibitieplicht alsnog kunnen leiden tot een twee-staps fishing expedition, wat nadrukkelijk niet de bedoeling van de exhibitieplicht is.
Ik kan geen constructie bedenken waarmee je bindend beperkingen kúnt opleggen aan het antwoord op een inzageverzoek. Dat verzoek honoreren is je wettelijke plicht, daar ineens een contractuele afspraak bij zetten mag dan simpelweg niet.
Het is inderdaad wél zo dat je een verzoek mag weigeren als het doel niet AVG-verwant is, zoals bij de vele fishing expedition jurisprudentie (zie Zwenne’s overzicht) is bepaald. Dus als jij weet “dit vraagt hij alleen omdat hij ons ermee wil aanklagen” dan zeg je dat en weiger je.
Volgens mij is onopgelost wat er mag als men én een AVG-reden heeft én de dreiging van oneigenlijk gebruik in de lucht hangt.
Zou je in zo’n geval kunnen stellen, als werkgever:
‘We hebben alles nog eens dubbelgecheckt ten opzichte van de gegevens die U ons op de volgende data [lijst] bezorgd heeft, en uw persoonsgegevens zijn correct geregistreeerd in onze systemen.
De gegevens die U ons op die data bezorgd heeft vindt U in bijlage. Wilt U aub nagaan of die correct zijn. Als die toch incorrect zijn, gelieve ons dat mede te delen zodat wij uw persoonsgegevens in onze systemen kunnen updaten.’
Of is er de mogelijkheid een onpartijdige derde te laten checken of de gegevens correct zijn, zodat de mails niet kunnen lekken?
Een mededeling dat het juist is vervangt natuurlijk niet het recht om zelf te kijken of er toch fouten in zitten. En het gaat vaak juist om gegevens die je niet zelf aangedragen hebt.
Voorbeeld: ik word gedetacheerd bij een klant. De werkgever betaalt me voor 30 uur en geeft een uitdraai van hun systeem. Ik weet zelf dat ik 40 uur bij die klant gezeten heb, dus ik vraag inzage in de facturen/urenstaten die de klant heeft gehad.
Uiteraard doe ik dit om een loonvordering op te baseren, maar het is óók een AVG-vordering.
Vind jij dat de werkgever nu mag zeggen “we hebben er nog een keer naar gekeken maar het is echt 30 uur, en we zijn bang voor misbruik dus meer krijg je niet”?
Nee natuurlijk vind ik dat niet. Maar dat is ook niet wat ik beweerde.
Wat ik stelde (maar dan in AVG termen): De klant geeft je inderdaad een kopie van de gegevens die hij zelf van jou ontvangen heeft. En dan zal snel genoeg blijken of daar dertig uur op staat (en jij je dus vergist hebt) of veertig uur (en hij zich dus vergist heeft). Hij geeft je zelfs de kans om, als er inderdaad dertig op staat maar dat incorrect is, dat te corrigeren naar iets wat wel correct is.
Nee, het gaat om de werkgever die de verkeerde gegevens verstrekt en medewerking weigert omdat hij vreest voor gebruik in een juridische claim. Je hebt als gedetacheerde echt je werkgever (het uitzendbureau) nodig. Je klant gaat jou niet vertellen hoe veel uur jij bent gefactureerd.
Vergeet niet dat het exporteren (óf naar privé adressen doorsturen) van e-mail verboden is in veel organisaties. Je kunt dan moeilijk spreken van ‘lacunes in de archiefvorming’ als werkgever het werknemer onmogelijk maakt om überhaupt een archief aan te leggen.
Is dat zo? Kan ik me eerlijk gezegd niet voorstellen.
Wel voor bulk-forwarden of exporteren van mails die (mogelijk) bedrijfsinterne info bevatten, maar niet voor individuele mails die instructies voor/afspraken met de werknemer bevatten.
En zo’n blanket verbod zal nooit stand houden bij de rechter.
Alleen het conflict kan natuurlijk prima gaan over zaken die juist natuurlijk precies wel met bedrijfsinterne zaken te maken hebben. Dus een conflict dat betrekking heeft op mailtjes verzonden door of naar collega’s die puur zakelijk zijn. Het lijkt me niet de bedoeling dat men die persoonlijk gaat archiveren.
Het hangt helemaal van het arbeidscontract af wat daarover afgesproken is. Waar we het hebben over de meer striktere afspraken dan is het “bedrijfsgeheimen blijven binnen de deur van het bedrijf (op bedrijfscomputers)”. En ja, er zijn werknemers in de problemen gekomen voor het mailen van klantenbestanden en prijslijsten naar hun thuis-email. Ik heb nog nooit meegemaakt dat mensen ontslagen zijn voor het doorsturen van de uitnodiging voor een personeelsfeest naar huis of hun partner.
Een volledig verbod op sturen van berichten naar privé adressen zal het voor een rechter nooit volhouden. Wel het advies aan iedere werknemer om je op de hoogte te stellen van de bedrijfspolicies en bedrijfsgegevens op de bedrijfssystemen te laten.