Tag: Mailbox

About Mailbox

Subscribe Feeds

Het bestuur pakt zomaar mijn secretarismailbox af!

Geplaatst op in Ondernemingsvrijheid, 5 reacties

Een lezer vroeg me:

Toen ik lid van het bestuur van de VvE van mijn appartementencomplex, kreeg ik een bestuursmailadres met mijn functie. Onlangs heb ik mij terug getrokken als bestuurslid. Op de datum waarop het terugtreden officieel werd is het e-mailadres geblokkeerd. Er is mij geen gelegenheid gegeven het adres op te schonen, berichten te verwijderen, dingen te downloaden etc. Hoe kan ik afdwingen dat dit alsnog mogelijk wordt?
Ik zie niet echt mogelijkheden om dit voor elkaar te krijgen. Een mailbox die je krijgt om een bepaalde taak te vervullen, is verbonden met die taak, en ik zou het dan ook heel logisch vinden als die mailbox dan overgaat op de opvolger. Of dit nu gaat om een werknemer, een directeur of een bestuurslid van een vereniging of stichting, maakt daarbij voor mij niet uit.

Natuurlijk kunnen er privéberichten in zo’n mailbox zitten, zeker bij een vereniging kan ik me goed voorstellen dat je ook af en toe gewoon “babbelt” met leden of privézaken regelt terwijl je verenigingsdingen aan het doen bent. (Anno 2022 misschien iets minder sterk dan 2005, met iedereen toegang tot webmail of mail per smartphone, maar dat terzijde.) Maar als die er zijn, heeft de verantwoordelijke – hier het bestuur – dan de taak die te wissen op grond van de privacy. Niet om een kopie te maken voor het oude bestuurslid, werknemer et cetera.

In dit geval ging het om een functioneel mailadres, zeg even secretaris@vvenaam.nl. Dat kan natuurlijk ook een persoonsgebonden adres zijn, a.engelfriet@vvenaam.nl. Dat maakt voor mij niet uit in bovenstaande analyse. Hooguit sta je daarmee als bestuurder iets sterker in je argument dat je er privézaken mee mocht doen, het was immers “jouw” mailadres. Bij een functioneel mailadres vind ik een totaalverbod op privézaken verdedigbaar (mits expliciet gecommuniceerd, dat wel).

Primair zou bij een persoonsgebonden mailadres voortgezet gebruik niet aan de orde moeten zijn. De opvolger van secretaris Engelfriet is secretaris Van der Veen, maar die krijgt een apart mailadres natuurlijk. Dat geeft gedoe met de voortgang van het werk, maar dat is nou juist waar je functionele mailboxen voor hebt. Maar hoe dan ook, er is geen reden om de ex-secretaris nog toegang te geven tot de mailbox.

Arnoud

Mag ik na mijn laatste werkdag nog even in de zakelijke mail kijken voor de zekerheid?

Geplaatst op in Ondernemingsvrijheid, 19 reacties

Een lezer vroeg me:

Ik ga op 1 maart met pensioen na 35 jaar bij dit bedrijf. Per die dag wordt mijn wachtwoord ook geblokkeerd en alle toegang tot online diensten. Ik heb daar wel moeite mee, want wellicht zijn er de komende dagen nog relaties die mij iets willen zeggen of wil ik voor mijn autobiografie nog wat oude stukken inzien. Is de wet echt zo hard, of heb ik (bijvoorbeeld via de GDPR) recht op toegang?
Ik moest gelijk denken aan de situatie van een ex-directeur die op vrijdag zijn laatste dag met afscheidsborrel had (met 250 aanwezigen), op maandag nog even een vergeten doos ging ophalen en toen een identiteitsbewijs moest laten zien en contactpersoon moest noemen. Ja, de receptioniste had net haar eerste dag en de procedure was streng maar raar is het wel.

Maar om de vraag te beantwoorden, nee, je hebt geen recht op voortgezette toegang tot je mailbox. Net zo min als je recht hebt op toegang tot het pand na je laatste werkdag, ook niet om nog even te kijken of er nagekomen post op je bureau ligt of om gemiste collega’s even de hand te schudden. (Oké, als je dus een afspraak met die mensen maakt dan mag het wel, maar dat is wat anders.)

Tegelijk snap ik het wel, het voelt natuurlijk heel onwennig en raar om ineens niet meer aan het infuus van nieuwe berichten te liggen, zeker na zo veel jaren en in een senior positie. Maar de wet kan je daarbij niet helpen, sympathieke collega’s wel.

Gepensioneerde lezers, hoe zijn jullie van dit gevoel van “ik mis vast nog een mail” afgekomen?

Arnoud

Heb ik recht op een kopie van mijn oude werkmailbox?

Geplaatst op in Ondernemingsvrijheid, Privacy, 11 reacties

Een lezer vroeg me:

Ik heb de afgelopen 10 jaar bij 6 werkgevers gewerkt. Graag zou ik een kopie van mijn persoonlijke emailboxen bij deze bedrijven willen. Het gaat hier om outlook pst bestanden. Het gaat dus om een kopie van mijn persoonlijke zakelijke mailbox bij de betreffende ex-werkgevers. Hoe kan ik dat onder de AVG bewerkstelligen?

Volgens de AVG heb je recht op een kopie van je persoonsgegevens (artikel 15). Als je die zelf hebt geupload op basis van toestemming of overeenkomst, dan kun je die kopie zelfs in een machine-leesbaar formaat verlangen (artikel 20). Dat laatste zal hier niet spelen, een mailbox voldoet niet aan die criteria. Maar een printout van de mails zou in principe tot de mogelijkheden behoren. Als ze er nog zijn.

De eerste vraag is dus altijd of je ex-werkgever die bestanden nog heeft. Er is geen bewaarplicht voor dergelijke mailberichten (of mailboxen), dus het staat ze vrij die weg te gooien na einde dienstverband. Wat er niet is, kun je ook niet opvragen en je kunt op dat gemis geen schadeclaim baseren.

Zijn ze er wel, dan heb je dus in beginsel recht op een kopie. Een mail van of aan jou bevat immers jouw persoonsgegevens, al is het maar je naam of e-mailadres. Maar ook zaken als wat er aan je werd gevraagd of wat je antwoord was, zijn te zien als persoonsgegevens. Dat begrip is immers veel breder dan enkel de administratrivia over jou.

Ik zeg “in beginsel”, want lid 4 van artikel 15 zegt enigszins cryptisch:

3. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.

De strekking van dit lid 4 is dat jouw inzageverzoek geen rechten van anderen mag schenden, zoals hun privacy (denk aan de collega met wie je mailt) of intellectuele rechten zoals bedrijfsgeheimen of auteursrechten. Echter, dat betekent niet dat men eenvoudigweg “ja ho privacy van collega’s” of “oh noes bedrijfsgeheim” mag zeggen en dan inzage weigeren. Overweging 63 bij de AVG eist dat er een belangenafweging plaatsvindt met een poging ergens een middenweg te vinden.

Wat die middenweg moet zijn bij je zakelijke mailbox, dat weet ik zo net nog niet. Het praktische probleem dat ik zie, is vooral dat die mailbox zelden zo gestructureerd is dat je de persoonlijke mails eruit kunt lichten. De hele pst mailbox afgeven voelt als te veel voor het verzoek, en eisen dat de werkgever maar even door de mailbox heengaat om de relevante dingen te vinden, is ook weer disproportioneel. Maar “dat is heel veel werk” is dan weer geen argument onder de AVG (artikel 12 lid 5). Alleen als het echt buitensporig veel werk is, mag je weigeren.

Ik denk dat voor mij de hoofdvraag zou zijn om wat voor mails het dan precies gaat. Als je bedoelt “alle mails die vanaf mijn voornaam punt achternaam at bedrijfsnaam punt extensie zijn verzonden en ontvangen”, dan zou ik daar toch die bedrijfsgeheim-uitzondering tegenaan gooien. Dergelijke mails zijn primair zakelijk en dus bedrijfsvertrouwelijk. De meer persoonsgebonden mails (zeg, je correspondentie met de bedrijfsvertrouwenspersoon, de kattenbelletjes met je partner, de naar kantoor gemailde vakantiefoto’s om in kleur te printen) kan ik moeilijk als zakelijk vertrouwelijk zien, maar die uit een grote mailbox vissen zonder verder enige structuur zou ik wel buitensporig vinden.

Samenvattend denk ik dat een ex-werkgever dit dus mag weigeren. Tenzij je altijd heel braaf je privémails in een apart mapje hebt gestopt en het verzoek beperkt tot dat mapje (dat je dus bij naam noemt, met uitleg van de criteria van wat daar in ging). Alleen: dat mapje hoorde op de dag na einde dienstverband te zijn gewist, want er was nooit enige reden om dit te bewaren. Dus netto krijg je dan nog steeds niets, volgens mij.

Arnoud

Mag mijn werkgever uit mijn naam mails versturen voor het werk?

Geplaatst op in Security, 18 reacties

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag over een werkgever die in mailboxen van personeel zit en van daaruit ook in hun naam mail verstuurt. Mag dat zomaar?

Er is natuurlijk geen wet die letterlijk dit verbiedt. Dit is iets waar je vanuit de norm van goed werkgeverschap samen uit moet komen, en helaas is dat bij dit soort types vaak wat lastiger dan zou moeten.

Hoofdregel is dat de werkgever bepaalt hoe het werk wordt uitgevoerd. Hij moet daarbij rekening houden met de privacy van de werknemer, maar als hij alle uitgaande berichten wil screenen of zelfs wil dicteren wat er in je brieven moet staan, dan is dat binnen de redelijkheid gewoon zijn recht. Ook als jouw naam er onder staat.

Ongevraagd en zonder inspraak mails versturen uit naam van de werknemer vind ik een ander verhaal. De werknemer moet wel ongeveer weten wat er namens hem of haar wordt gezegd. Ik denk dus niet dat dat kan, tenzij er expliciet bij staat “verzonden door X uit naam van Y” of iets dergelijks.

Toegang tot de mailbox kan nodig zijn om die mails van klanten op te vangen, of om in oude mails te zoeken wat er in het verleden is gezegd. (Natuurlijk, dat kan ook in een centraal CRM-systeem of ticketsysteem zitten maar niet elk bedrijf heeft dat.) Daar moeten dan regels over worden gemaakt in het ICT-reglement, zodat de werknemer weet hoe en wanneer de werkgever toegang mag krijgen tot de mailbox. En die regels mogen niet zijn “de baas mag op ieder moment alles”, er moet wel enige nuance in zitten.

Arnoud

Hoe ver gaat mijn zorgplicht als dienstverlener onder de AVG dan eigenlijk?

Geplaatst op in Ondernemingsvrijheid, Privacy, nog geen reacties

Een lezer vroeg me:

Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen zorgen dit is legaal” van de klant is ook weer te weinig, lees ik.

De AVG legt dienstverleners inderdaad een zorgplicht op. Wie als verwerker persoonsgegevens voor zijn klanten beheert, moet daarbij aan de bel trekken als hij een evident niet-toegelaten instructie krijgt van een klant. Dit is in aanvulling op je gewone zorgplicht als dienstverlener om als een “goed dienstverlener” om te gaan met klantgegevens en uitvoering van de opdracht.

Dit gaat niet zo ver dat je iedere theoretische overtreding moet weigeren totdat een volledige privacy impact assessment is uitgevoerd door een onafhankelijke audit-team, maar je zult wel echt meer moeten doen dan uitsluitend afgaan op “onze afdeling Legal zegt dat het mag” in een mailtje van de klant.

Mijn advies is om bij de veel voorkomende situaties een werkproces te definiëren en dat deel van je Service Level Agreement te maken. Al is het maar “Klant dient een reglement omtrent toegang tot personeelsmailboxen te hebben en toegangsverzoeken te motiveren onder verwijzing naar de toepasselijke paragraaf”. Dan krijg je dus twee regels “overnemen mailbox wegens ziekte, artikel 13.5, informeren wn onmogelijk om medische redenen” en dat staat inderdaad in artikel 13.5 als grondslag. En dan is er geen sprake van evidente schending van de AVG.

Natuurlijk kan het zijn dat de werkelijke reden is dat er wordt gesnuffeld in de mailbox om iemand weg te pesten, of dat de werknemer helemaal niet medisch gezien onbereikbaar is. Of dat dit reglement nooit is getoond aan deze werknemer. Maar dergelijke opties zijn te ver weg voor jou als dienstverlener om te testen. Dus met zo’n duidelijke motivatie is het genoeg voor de dienstverlener.

Maak je je desondanks zorgen over misbruik, dan kun je ook gaan nadenken over concreet iets inbouwen in je systeem. Denk aan een alert dat de werknemer bij inlog een melding geeft wie er toegang heeft gehad. Voor de werknemer zou dit geen verrassing moeten zijn, want de werkgever moet hem vertellen dat hij in zijn mailbox is geweest. Is het wel een verrassing, dan kunnen ze dat nu samen op gaan lossen. Ik zou dit wel als feature documenteren zodat het de werkgever niet verrast en hij wanprestatie gaat claimen.

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

Geplaatst op in Privacy, 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

Mag ik mijn collega haar Out of Office aanzetten met een gereset wachtwoord?

Geplaatst op in Ondernemingsvrijheid, Security, 24 reacties

Een lezer vroeg me:

Vanochtend ontdekten wij dat een collega die er een maand niet is, haar Out of Office niet aan heeft staan. Om dit voor haar te doen, hebben we haar wachtwoord nodig. Is het toegestaan om hiervoor het account te resetten, of stuit dat op privacybezwaren? We hebben geen reglement dat ons toegang zou geven tot haar mailbox.

Ook op het werk heb je recht op privacy – en ja, zelfs als je met vakantie bent. Collega’s mogen dan ook niet ineens in je bureaulades kijken of de achtergelaten broodtrommel eens inspecteren.

Niet ineens – er moet een goede werkgerelateerde reden voor zijn die deze privacyinbreuk kan rechtvaardigen. Die broodtrommel stinkt, dat is een gevaar voor de gezondheid. Dus openmaken en leeggooien dat ding. Dat ene dossier dat nú nodig is, dat mag je zoeken in die bureaulade maar die portemonnee die daar ligt, daar blijf je natuurlijk af. (Om een of andere reden vindt iedereen dit heel logisch, maar wordt het meteen heel ingewikkeld bij ICT-equivalenten.)

Bij het doorzoeken van mailboxen moet er dus ook een goede reden zijn. Het werk moet worden overgenomen, er is een specifieke mail nodig om afspraken na te kijken of een ruzie te voorkomen. Dan is het in principe oké om in die mailbox te kijken. Je moet dan rekening houden met de privacy van de werknemer, bijvoorbeeld door het doorzoeken op basis van trefwoorden (zoals afzender) te doen. Dan verklein je de kans dat je per abuis privézaken ziet.

Bij het aanzetten van een out-of-officebericht zie ik eerlijk gezegd die privacyzorg eigenlijk niet. Ja, je krijgt met het wachtwoord toegang tot de mailbox, maar je gáát er niet in. Je opent de mailbox, negeert de map Inbox die dan getoond wordt en zet in Instellingen een en ander aan. Daarna de browser sluiten.

Als je je écht zorgen maakt, dan moet je een vierogenprincipe toepassen: een IT-er en een manager (of iemand van HR) gaan samen die mailbox in en navigeren naar dat menu om het bericht aan te zetten. Voor het nazoeken van werkmails zou ik dat een redelijke stap vinden, maar voor een out of office lijkt mij dat nogal overdreven.

Natuurlijk moet de werknemer na haar vakantie tekst en uitleg krijgen van deze actie, maar dat terzijde.

Arnoud

Mag de werkgever met opt-out werken bij uitdiensttreding?

Geplaatst op in Ondernemingsvrijheid, Privacy, 10 reacties

email-e-mail-elektronische-post-envelopEen lezer vroeg me:

Bij ons bedrijf krijg je in je laatste week een bericht dat een collega toegang krijgt tot je mailbox, en je kunt dan bezwaar maken als je het daar niet mee eens bent. Is dat wel rechtsgeldig? Bij privacydingen geldt toch een opt-in en niet een opt-out?

Er is geen algemene regel die zegt dat je bij alles omtrent privacy toestemming nodig hebt van de betrokken persoon. Dat zou immers onwerkbaar zijn als iemand overal nee op blijft zeggen, hoe onredelijk die nee ook zou zijn.

Opt-in is de hoofdregel, maar er zijn uitzonderingen mogelijk. Een uitzondering is het mogen verwerken van iemands persoonsgegevens omdat dat nodig is voor het uitvoeren van een contract. Een arbeidscontract is ook een contract, en een werkgever kan zich dus hierop beroepen mits hij kan aantonen dát het nodig is.

Ook is er een uitzondering ten behoeve van een dringend belang van de andere partij. Wie niet anders kan, hoeft geen toestemming te vragen. Natuurlijk ligt de bewijslast hierbij wel hoog, maar het kan. Denk aan het schrijven van een onthullend artikel over iemand: een privacyschending maar als de onthulling belangrijk is, dan toch gerechtvaardigd.

Bij deze vraag komt het eigenlijk altijd op hetzelfde neer: is het echt nodig dat die collega in de mailbox gaat kijken na uitdiensttreding, of is er een andere oplossing mogelijk? Alternatieven kunnen zijn dat je je mailbox zelf opschoont (maar doen mensen dat echt?), dat de collega alleen in de inbox kan en niet in mapjes, of dat er niet één maar twee mensen tegelijk kijken om onnodig snuffelen te voorkomen. Niet ideaal, maar werkbaar.

Arnoud

Mag een website in mijn inbox kijken?

Geplaatst op in Privacy, 7 reacties

phpbb-private-message-pb-bericht-inbox.pngEen lezer wees me op de voorwaarden van datingsite Vriendengezocht:

Wij behouden het recht om steekproefsgewijs mee te kijken in de inbox om onze site gebruiksvriendelijk en veilig te houden. Wij verplichten onszelf de privacy van de gebruiker te waarborgen tijdens de steekproef.

Mag dat zomaar? Nou, het mag misschien maar het is zeker niet genoeg om er een regeltje in je algemene voorwaarden aan te wijden en dan te denken dat je alles mag.

Ook bij gebruik van iemands webdienst heb je recht op (enige) privacy. Er geldt geen Grondwettelijk briefgeheim voor elektronische communicatie, maar dat wil niet zeggen dat een beheerder zonder meer een privébericht mag lezen.

De gewekte verwachting is daarbij van groot belang. Zo hanteert Tweakers de term “direct message” in plaats van “private message” met de expliciete bedoeling duidelijk te maken dat die berichten niet privé zijn voor het beheer. Het idee is dat als je tegen iemand zegt “dit als privé eruitziend kanaal is niet privé”, ze dan hun privacy opgeven.

Maar ik twijfel wel of mensen écht snappen dat “direct message” betekent “het beheer kan erbij” en niet “het gaat 1-op-1 direct naar je wederpartij”. En als mensen die laatste opvatting hebben, is de kans groot dat ze het bericht wel als privé beschouwen. Dan zul je als beheer meer moeten doen dan alleen “ja haha direct is een andere term dan privé” om jezelf een rechtvaardiging te geven die berichten te openen.

Persoonlijk zou ik altijd adviseren om bij het berichtenscherm zelf aan te geven dat het beheer onder voorwaarden mee kan lezen, met een linkje naar de pagina met die voorwaarden. Of een algemeen “Hoe privé is dit bericht” linkje met uitleg over veiligheid, meelezen en dat een ontvanger er ook mee aan de haal kan.

Hoe dan ook zou ik zelf altijd liever e-mail gebruiken. Maar ja, ik ben dan ook oud.

Arnoud

Wanneer mag je de mailbox van een werknemer nu doorzoeken?

Geplaatst op in Ondernemingsvrijheid, Privacy, 18 reacties

outlook-webmailEen lezer vroeg me:

Arnoud, je hebt er al vaker over geschreven maar wanneer mag je nu de mail van een werknemer onderzoeken?

Veel mensen denken nog steeds dat je een werkmailbox mag doorzoeken op potentieel rare dingen omdat het een wérkmailbox is. Of omdat je een IT-reglement hebt opgehangen waarin staat “Wij mogen te allen tijde alles”. Maar zo werkt het niet. Dat reglement is wel belangrijk want de redenen voor doorzoeking moeten vooraf bekend zijn gemaakt. Maar je moet wel echt een reden hebben, en een stevige ook. Privacy geldt ook op het werk.

Een dringende reden was er bijvoorbeeld in deze zaak: er waren whatsappberichten ter kennis van de werkgever gekomen waaruit bleek dat de werknemer zich behoorlijk negatief over het bedrijf uitliet jegens derden. En daarmee was er een grond de laptop te doorzoeken.

Dat deze regels ook gelden na vertrek van een werknemer, blijkt uit een recent arrest van het Gerechtshof in Arnhem-Leeuwarden. Hier werd e-mail doorzocht na vertrek. Het Hof zegt dan:

Het feit dat de e-mailberichten niet tijdens, maar aan het eind van en/of na het dienstverband bij een standaardcontrole van de ingeleverde laptop zijn gevonden, brengt niet mee dat de beperkingen van het recht op privacy niet gelden.

Dat gold zeker nu de werknemer de laptop had gewist, waardoor hij er geen rekening mee hoefde te houden dat de werkgever zijn privédata zou gaan recoveren.

Mijn broek zakte af van dit vonnis waarin de werkgever had ingebroken in de privé-Gmail van de werknemer. Dit kon omdat inloggegevens bewaard waren op de werkcomputer. Ook werden privéchats via WhatsApp gelezen vanaf de zakelijke telefoon. Eh ja, precies. Wát.

De kantonrechter verklaart dit onrechtmatig, met name omdat er geen concrete aanleiding was en omdat de werkgever de werknemer misleidde (“updates doorvoeren” op pc en telefoon) over de reden voor het snuffelen. Zoals wel vaker bij deze zaken is er geen internetreglement. Dit ook wordt de werkgever verweten. De werkgever moet € 7500 schadevergoeding betalen voor het onrechtmatig zoeken.

Het ontslag blijft echter wel in stand omdat de werknemer de verboden heeft overtreden. Bewijs is bewijs in het Nederlands recht, óók als het onrechtmatig verkregen is. De rechter vindt dit ook logisch, de straf voor het schenden van iemands privacy is een boete of schadevergoeding:

Op deze wijze ontstaat er geen vrijbrief voor de werkgever om op onrechtmatige wijze gegevens te verkrijgen over een bepaalde handelwijze van een werknemer en blijft het tegelijkertijd mogelijk het gedrag van de werknemer te beoordelen met alle gegevens die boven tafel zijn gekomen.

Slechts in zeer uitzonderlijke gevallen zal de rechter weigeren naar het bewijs te kijken omdat het onrechtmatig verkregen is. Dat voelt gek: men schendt de wet maar mag er wél van profiteren. Maar ik vind het minder gek dan bewijs negeren terwijl er eh gewoon bewíjs is. Dan liever de bewijsverkrijger straffen voor het onjuist handelen en daarna toch gewoon naar het bewijs kijken.

Arnoud