Het bestuur pakt zomaar mijn secretarismailbox af!

| AE 13279 | Ondernemingsvrijheid | 5 reacties

Een lezer vroeg me:

Toen ik lid van het bestuur van de VvE van mijn appartementencomplex, kreeg ik een bestuursmailadres met mijn functie. Onlangs heb ik mij terug getrokken als bestuurslid. Op de datum waarop het terugtreden officieel werd is het e-mailadres geblokkeerd. Er is mij geen gelegenheid gegeven het adres op te schonen, berichten te verwijderen, dingen te downloaden etc. Hoe kan ik afdwingen dat dit alsnog mogelijk wordt?
Ik zie niet echt mogelijkheden om dit voor elkaar te krijgen. Een mailbox die je krijgt om een bepaalde taak te vervullen, is verbonden met die taak, en ik zou het dan ook heel logisch vinden als die mailbox dan overgaat op de opvolger. Of dit nu gaat om een werknemer, een directeur of een bestuurslid van een vereniging of stichting, maakt daarbij voor mij niet uit.

Natuurlijk kunnen er privéberichten in zo’n mailbox zitten, zeker bij een vereniging kan ik me goed voorstellen dat je ook af en toe gewoon “babbelt” met leden of privézaken regelt terwijl je verenigingsdingen aan het doen bent. (Anno 2022 misschien iets minder sterk dan 2005, met iedereen toegang tot webmail of mail per smartphone, maar dat terzijde.) Maar als die er zijn, heeft de verantwoordelijke – hier het bestuur – dan de taak die te wissen op grond van de privacy. Niet om een kopie te maken voor het oude bestuurslid, werknemer et cetera.

In dit geval ging het om een functioneel mailadres, zeg even secretaris@vvenaam.nl. Dat kan natuurlijk ook een persoonsgebonden adres zijn, a.engelfriet@vvenaam.nl. Dat maakt voor mij niet uit in bovenstaande analyse. Hooguit sta je daarmee als bestuurder iets sterker in je argument dat je er privézaken mee mocht doen, het was immers “jouw” mailadres. Bij een functioneel mailadres vind ik een totaalverbod op privézaken verdedigbaar (mits expliciet gecommuniceerd, dat wel).

Primair zou bij een persoonsgebonden mailadres voortgezet gebruik niet aan de orde moeten zijn. De opvolger van secretaris Engelfriet is secretaris Van der Veen, maar die krijgt een apart mailadres natuurlijk. Dat geeft gedoe met de voortgang van het werk, maar dat is nou juist waar je functionele mailboxen voor hebt. Maar hoe dan ook, er is geen reden om de ex-secretaris nog toegang te geven tot de mailbox.

Arnoud

Mag ik na mijn laatste werkdag nog even in de zakelijke mail kijken voor de zekerheid?

| AE 13192 | Ondernemingsvrijheid | 19 reacties

Een lezer vroeg me:

Ik ga op 1 maart met pensioen na 35 jaar bij dit bedrijf. Per die dag wordt mijn wachtwoord ook geblokkeerd en alle toegang tot online diensten. Ik heb daar wel moeite mee, want wellicht zijn er de komende dagen nog relaties die mij iets willen zeggen of wil ik voor mijn autobiografie nog wat oude stukken inzien. Is de wet echt zo hard, of heb ik (bijvoorbeeld via de GDPR) recht op toegang?
Ik moest gelijk denken aan de situatie van een ex-directeur die op vrijdag zijn laatste dag met afscheidsborrel had (met 250 aanwezigen), op maandag nog even een vergeten doos ging ophalen en toen een identiteitsbewijs moest laten zien en contactpersoon moest noemen. Ja, de receptioniste had net haar eerste dag en de procedure was streng maar raar is het wel.

Maar om de vraag te beantwoorden, nee, je hebt geen recht op voortgezette toegang tot je mailbox. Net zo min als je recht hebt op toegang tot het pand na je laatste werkdag, ook niet om nog even te kijken of er nagekomen post op je bureau ligt of om gemiste collega’s even de hand te schudden. (Oké, als je dus een afspraak met die mensen maakt dan mag het wel, maar dat is wat anders.)

Tegelijk snap ik het wel, het voelt natuurlijk heel onwennig en raar om ineens niet meer aan het infuus van nieuwe berichten te liggen, zeker na zo veel jaren en in een senior positie. Maar de wet kan je daarbij niet helpen, sympathieke collega’s wel.

Gepensioneerde lezers, hoe zijn jullie van dit gevoel van “ik mis vast nog een mail” afgekomen?

Arnoud

Heb ik recht op een kopie van mijn oude werkmailbox?

| AE 11797 | Ondernemingsvrijheid, Privacy | 11 reacties

Een lezer vroeg me:

Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de AVG bewerkstelligen?

Volgens de AVG heb je recht op een kopie van je persoonsgegevens (artikel 15). Als je die zelf hebt geupload op basis van toestemming of overeenkomst, dan kun je die kopie zelfs in een machine-leesbaar formaat verlangen (artikel 20). Dat laatste zal hier niet spelen, een mailbox voldoet niet aan die criteria. Maar een printout van de mails zou in principe tot de mogelijkheden behoren. Als ze er nog zijn.

De eerste vraag is dus altijd of je ex-werkgever die bestanden nog heeft. Er is geen bewaarplicht voor dergelijke mailberichten (of mailboxen), dus het staat ze vrij die weg te gooien na einde dienstverband. Wat er niet is, kun je ook niet opvragen en je kunt op dat gemis geen schadeclaim baseren.

Zijn ze er wel, dan heb je dus in beginsel recht op een kopie. Een mail van of aan jou bevat immers jouw persoonsgegevens, al is het maar je naam of e-mailadres. Maar ook zaken als wat er aan je werd gevraagd of wat je antwoord was, zijn te zien als persoonsgegevens. Dat begrip is immers veel breder dan enkel de administratrivia over jou.

Ik zeg “in beginsel”, want lid 4 van artikel 15 zegt enigszins cryptisch:

3. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

De strekking van dit lid 4 is dat jouw inzageverzoek geen rechten van anderen mag schenden, zoals hun privacy (denk aan de collega met wie je mailt) of intellectuele rechten zoals bedrijfsgeheimen of auteursrechten. Echter, dat betekent niet dat men eenvoudigweg “ja ho privacy van collega’s” of “oh noes bedrijfsgeheim” mag zeggen en dan inzage weigeren. Overweging 63 bij de AVG eist dat er een belangenafweging plaatsvindt met een poging ergens een middenweg te vinden.

Wat die middenweg moet zijn bij je zakelijke mailbox, dat weet ik zo net nog niet. Het praktische probleem dat ik zie, is vooral dat die mailbox zelden zo gestructureerd is dat je de persoonlijke mails eruit kunt lichten. De hele pst mailbox afgeven voelt als te veel voor het verzoek, en eisen dat de werkgever maar even door de mailbox heengaat om de relevante dingen te vinden, is ook weer disproportioneel. Maar “dat is heel veel werk” is dan weer geen argument onder de AVG (artikel 12 lid 5). Alleen als het echt buitensporig veel werk is, mag je weigeren.

Ik denk dat voor mij de hoofdvraag zou zijn om wat voor mails het dan precies gaat. Als je bedoelt “alle mails die vanaf mijn voornaam punt achternaam at bedrijfsnaam punt extensie zijn verzonden en ontvangen”, dan zou ik daar toch die bedrijfsgeheim-uitzondering tegenaan gooien. Dergelijke mails zijn primair zakelijk en dus bedrijfsvertrouwelijk. De meer persoonsgebonden mails (zeg, je correspondentie met de bedrijfsvertrouwenspersoon, de kattenbelletjes met je partner, de naar kantoor gemailde vakantiefoto’s om in kleur te printen) kan ik moeilijk als zakelijk vertrouwelijk zien, maar die uit een grote mailbox vissen zonder verder enige structuur zou ik wel buitensporig vinden.

Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

Arnoud

Hoe ver gaat mijn zorgplicht als dienstverlener onder de AVG dan eigenlijk?

| AE 10937 | Ondernemingsvrijheid, Privacy | Er zijn nog geen reacties

Een lezer vroeg me: Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

| AE 9375 | Ondernemingsvrijheid, Security | 24 reacties

Een lezer vroeg me: Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons… Lees verder

Mag een website in mijn inbox kijken?

| AE 7617 | Privacy | 7 reacties

Een lezer wees me op de voorwaarden van datingsite Vriendengezocht: Wij behouden het recht om steekproefsgewijs mee te kijken in de inbox om onze site gebruiksvriendelijk en veilig te houden. Wij verplichten onszelf de privacy van de gebruiker te waarborgen tijdens de steekproef. Mag dat zomaar? Nou, het mag misschien maar het is zeker niet… Lees verder

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

| AE 6712 | Ondernemingsvrijheid, Privacy | 18 reacties

Een lezer vroeg me: Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken? Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te… Lees verder