Een groot Belgisch techbedrijf heeft een boete van in totaal 176.000 euro gekregen omdat het de mailbox van een ex-medewerkster niet tijdig verwijderde. Dat meldde Security.nl onlangs. Het ging om ruim een jaar na ontslag de mailbox nog aanhouden én niet transparant zijn.
In haar beslissing legt de Belgische Gegevensbeschermingsautoriteit (GBA) uit dat de persoonsgebonden mailbox (voornaam.achternaam apestaartje) weliswaar bij ontslag een out-of-office kreeg, maar een jaar later nog steeds bleek te werken. En die OOO bevatte dit:
“[…] Ik ben momenteel offline met zeer beperkte toegang tot internet. Gelieve wat vertraging in mijn antwoord te accepteren. […]Ik snap hoe je als ex-werknemer dan geërgerd denkt, die mailbox moest maar eens opgeheven zijn. Helaas bleek het bedrijf weinig geneigd om daar aan mee te werken. Vandaar de stap naar de GBA.
De GBA stelt voorop dat je ook na vertrek een mailbox moet kunnen aanhouden vanuit bedrijfsbelangen, maar dat het na een maand echt wel klaar moet zijn. Dat is bij hen een consequente lijn, en hoewel de AVG zelf geen formele termijnen kent (ik wil niets meer horen over het stokoude vrijstellingsbesluit van de AP), mag je als toezichthouder best zo’n termijn als hoofdregel stellen.
Als partij kun je dan met een uitleg komen waarom het bij jou écht langer moet zijn dan die maand, maar die was er in dit geval niet. En de GBA haalt zwaar geschut van stal: het kan dan het misdrijf aftappen van privécommunicatie opleveren (privémails in de zakelijke mailbox) als je dan alsnog die mailbox in gaat.
Anders gezegd: je hebt een “degelijk gegevensbeschermingsbeleid door ontwerp van professionele mailboxen” nodig waarmee je uitwerkt hoe je in persoonsgebonden mailboxen gaat vissen naar zakelijk relevante mails, en hoe je die er binnen een maand uit krijgt om ze in je administratie, zaaksysteem, CRM of whatever te krijgen.
En dat raakt aan een al wat oudere pet peeve van mij: e-mail is een transportmedium, geen administratie of opslag. Eigenlijk zouden mailservers zo ingesteld moeten worden dat alle mails ouder dan 30 dagen vernietigd worden. Wie wil bewaren, moet ze in een administratie of archief opbergen.
Arnoud
En ik snap nog steeds niet waarom mensen privé zaken in hun werk email box doen.
Soms wil je privé-afspraken ook in je werk-kalender hebben. Email is ook een manier (en bij sommige bedrijven de enige manier) om gegevens uit de werkomgeving naar de privé-omgeving te krijgen (en omgekeerd). En ik heb een groep collega’s waarmee ik nu bij de derde werkgever zit; ik ken hun werkadressen beter dan hun privé-adressen.
Desondanks probeer ik werk- en privé-mail zoveel mogelijk gescheiden te houden.
Er zijn werk gerelateerde prive zaken. Dit is al vele malen langs gekomen, en ik snap nog steeds niet hoe je dat na al deze tijd niet door hebt.
Ik heb één agenda voor alles, anders wordt het een chaos. Op het werk kan ik voor collega’s, maar niet IT, afschermen wat de inhoud van privé afspraken is.
Een belangrijk pount is wel dat ik privé niemand mijn werk laat e-mailen of privé via mijn werk e-mail benader. Ik voer de privé afspraken handmatig in. Als ik ergens weg ga dan komt er niets nieuws binnen, ook al houdt de ex-werkgever een mailbox open.
Een mailbox, een emailadres en een account zijn 3 verschillende dingen. Je kan prima het account verwijderen, de mailbox archiveren en het emailadres recyclen. Het feit dat 1 nog actief is zegt niets over de andere 2.
Hmm ja ik vind er toch wat van. Als jij jarenlang patrick.star@krustykrab.bb hebt gebruikt en je gaat uit dienst, dan is het toch raar als je account en de inhoud van de mailbox wordt gearchiveerd maar iemand anders, met een andere naam, gaat dat email-adres in gebruik nemen en gebruiken. Als jaren later iemand anders met dezeflde naam er komt werken zou het kunnen, maar als iemand net een paar maanden uit dienst is dan is het op z’n minst onbehoorlijk.
Onbehoorlijk op welke manier? De maandag na jouw uitdiensttreding gaat er ook iemand anders in jouw kantoor werken, op jouw bureaustoel en aan jouw bureau.
Verschil lijkt me dan wel dat ‘jouw’ kantoor en ‘jouw’ bureaustoel niet echt van jou zijn, maar bedrijfseigendom. Gemakkelijk overdraagbaar aan een ander, zonder enige link naar persoonsgegevens zoals naam. Bovendien zijn het fysieke producten, die je niet zomaar kopieert of wijzigt. Bij een e-mailadres (en dan bedoel ik dus niet het account of de inhoud van de mailbox) ligt dat – lijkt me – anders, aangezien je aan een e-mailadres vaak kunt afleiden wat iemands naam is. Bovendien is het elektronisch waardoor verwijderen/wijzigen/kopiëren eenvoudiger kan. Het lijkt me ook vreemd om ergens als nieuwe medewerker te beginnen, en dan het e-mailadres te krijgen van een voorganger die een andere naam heeft. Of het echt ‘onbehoorlijk’ is weet ik niet, maar onhandig lijkt het me wel.
Prive-zaken, maar ook zakelijke (persoons-)gegevens die de nieuwe collega niet mag zien. Althans als de werkgever de in-/uitdienst-processen niet 100% op orde heeft en dat heeft niemand.
patrick.star@krustykrab.bb (in dienst tot 18 mei) was beheerder van het sociale dienstsysteem.
patrick.star@krustykrab.bb (in dienst per 1 juni) gaat stage lopen in de keuken en krijgt op de eerste werkdag meteen mails met API keys, en bijzondere persoonsgegevens in de vorm van vragen van collega’s over bepaalde dossiers. Kan toegang verschaffen tot allerhande systemen via wachtwoord-vergeten.
Omdat ik vind dat je moet verwachten dat er nog emails kunnen binnenkomen op zo’n adres. Niet eens zozeer prive, maar als je langere tijd ergens hebt gewerkt dan ontwikkel je ook persoonlijke relaties met mensen met wie je contact houdt. Denk aan account managers van afnemers of leveranciers, dat soort zaken. Dat vormt dan je zakelijk netwerk. Ik krijg soms van die mensen informele emails. Niet prive, maar losser en informeler dan alleen zakelijk. Bijvoorbeeld uitnodigingen voor workshops of seminars. Mails die niet bij iemand anders horen, of die de verzender in elk geval niet zou hebben verzonden of anders zou hebben geformuleerd als die had geweten dat iemand uit dienst was.
Niet bij alle uitdiensttredingen is er sprake van een lange termijn waarin iemand dat allemaal kan regelen. Je kan sommige contacten ook over het hoofd zien.
Ik zeg dus “onbehoorlijk”, omdat de vormgeving van het email-adres (niet “sales@” of “info@” maar voornaam.achternaam@) op z’n minst de indruk wekt dat het adres alleen voor gebruik door die ene persoon is.
Er kunnen zakelijke mails op binnenkomen, dus dat het enige tijd actief blijft is redelijk, maar her-gebruiken door iemand anders die een andere naam heeft vind ik dus .. nou ja, onbehoorlijk.
Op de manier dat mensen die een interactie hebben met dat e-mail adres goede reden hebben om te denken dat jij nog steeds degene bent met wie ze die interactie hebben.
Als ze dan ineens een nare ervaring hebben, zouden ze die begrijpelijk aan jou persoonlijk kunnen toeschrijven.
Bij onze organisatie zijn alle mailaccounts gekoppeld aan je inlognaam (mailadres is een alias) en alle inlognamen die we ooit uitgegeven blijven bewaard zodat we deze nooit heruitgeven en per ongeluk een vergeten applicatierecht of mailbox vrijgeven.
Ik vind trouwens de boete voor 1 account vrij fors tenzij er duidelijk is dat het bedrijf dit als beleid hanteert voor alle mailaccounts
De boete is voor het (wan-)beleid, dat het om één mailbox gaat is omdat er één ex-werknemer klaagde. Had men goed beleid gehad en deze mailbox per abuis gemist, was er 99% zeker geen boete gegeven.