Newsflash
Gegevensbescherming en privacy

Recent heeft de Gegevensbeschermingsautoriteit (GBA) beslist om een administratieve geldboete van 15.000,00 EUR op te leggen aan een onderneming die e-mailadressen gelinkt aan vertrokken werknemers (naam en voornaam) slechts na 2,5 jaar heeft afgesloten. Volgens de GBA vormt het niet-afsluiten van deze e-mailadressen een inbreuk op de fundamentele principes van de GDPR, met name de rechtmatigheid, de doelbinding, de minimale gegevensverwerking en het redelijk behoud in de tijd van persoonsgegevens (de opslagbeperking).

Feiten

De voormalige gedelegeerd bestuurder van een KMO, die actief is in de medische sector en werd opgericht door zijn vader, diende een verzoek tot bemiddeling in bij de GBA, aangezien de KMO niet had gereageerd op zijn uitdrukkelijke vraag om binnen de 7 dagen na zijn vertrek de e-mailadressen en de daaraan verbonden e-mailaccounts, gelinkt aan hem, zijn echtgenote, zijn broer en zijn vader af te sluiten. Het betroffen e-mailadressen met de naam en voornaam alsook e-mailadressen met enkel de voornaam van bovenvermelde personen.

Bemiddeling door de Eerstelijnsdienst van de GBA

Na het indienen van zijn verzoek is de Eerstelijnsdienst van de GBA tussengekomen. Aangezien de bemiddeling niet het gewenste resultaat had bereikt, werd de procedure verdergezet onder de vorm van een klacht.

Onderzoek door inspectiedienst

In het kader van het onderzoek door de inspectiedienst werden er twee onderzoeksrapporten opgesteld:

  • In een eerste onderzoeksrapport werd melding gemaakt van het feit dat de 3 e-mailadressen 2,5 jaar na het vertrek van de personen nog steeds actief waren zonder dat er melding werd gegeven aan de ontvangers van de e-mails dat de drie afzenders niet langer de gebruikers van de e-mailadressen waren, wat aanleiding kon geven tot het verzamelen en potentieel gebruik van persoonsgegevens zonder het medeweten van de bestemmelingen.

    De inspectiedienst stelt dat het aangewezen is dat de werkgever de e-mailaccount van een ex-werknemer binnen de kortste termijn deactiveert, nadat een automatisch bericht werd ingesteld dat gedurende een redelijke termijn (a priori 1 maand) aangeeft dat de werknemer niet langer in dienst is. De e-mailaccount wordt idealiter na deze termijn afgesloten. In geen enkel geval mag het professioneel e-mailadres van de vertrokken werknemer nog worden gebruikt.
     
  • In een tweede onderzoeksrapport wordt melding gemaakt van het feit dat de 3 e-mailadressen niet langer konden worden bereikt. De KMO deelde hierbij mee dat de e-mail accounts al gedeactiveerd waren op de datum van het vertrek van de betrokken personen en de e-mails automatisch werden doorgezonden naar een ander e-mailadres van de onderneming,  aangezien deze personen allemaal belangrijke functies hadden binnen de KMO en men geen belangrijke e-mails wilde verliezen.

Beslissing van de Geschillenkamer van de GBA

De GBA stelt dat de KMO door het niet afsluiten van de e-mailadressen niet heeft voldaan aan de principes van doelbinding, rechtmatigheid, minimale gegevensverwerking en opslagbeperking. Dat de KMO de e-mailadressen had behouden, teneinde geen belangrijke professionele berichten te verliezen, gelet op de functies van de vertrokken personen en het gebrek aan overdracht van lopende dossiers, maakte volgens de GBA geen afdoende reden uit om de e-mailadressen te behouden.

De GBA geeft in haar beslissing een aantal duidelijke richtlijnen mee die werkgevers zouden moeten volgen bij het vertrek van hun medewerkers:

  • de verwerkingsverantwoordelijke dient de e-mail-accounts van ex-werknemers te blokkeren ten laatste op het moment van hun effectief vertrek;
  • de ex-werknemer moet hiervan op de hoogte zijn gebracht en er moet voorzien worden in een automatisch bericht waarin de geadresseerde erop wordt gewezen dat de persoon die hij probeerde te contacteren, de organisatie heeft verlaten;
  • na een redelijke termijn (a priori een maand) moet de mailbox – en het automatisch bericht – verwijderd worden. De GBA wijst erop dat - rekening houdend met de context en de graad van verantwoordelijkheid van de ex-werknemer - een langere termijn voor het automatisch bericht kan voorzien worden, maar idealiter niet langer dan 3 maanden. Deze verlenging van de termijn dient te worden gemotiveerd en gebeurt best in onderling akkoord met de ex-werknemer. Minstens moet de ex-werknemer van de verlenging worden verwittigd. Het gedurende een beperkte tijd actief houden van de mailbox kan gebaseerd worden op het gerechtvaardigd belang van de onderneming, met name het verzekeren van de continuïteit van de prestaties en het goed functioneren;
  • vóór de deactivering dienen de werknemer die vertrekt en eventuele derden hierover geïnformeerd te worden, om de werknemer de mogelijkheid te geven zijn e-mails te sorteren en door te sturen naar zijn privé e-mailadres vóór zijn effectief vertrek.
  • teneinde te vermijden dat de onderneming nog toegang dient te hebben tot de e-mailaccount van de ex-werknemer na zijn vertrek, dienen e-mails uit de e-mail-account van de betrokken werknemer, die van wezenlijk belang zijn om de goede werking van de onderneming te verzekeren, te worden gerecupereerd vóór het vertrek van de werknemer en in zijn aanwezigheid.

Gelet op het principe van de verantwoordingsplicht (“accountability”) komt het aan de werkgever toe om, bij het vertrek van medewerkers, te kunnen aantonen dat bovenvermelde stappen correct werden nageleefd.

De GBA wijst tenslotte op het belang van een goed uitgewerkte procedure bij vertrek van de werknemer die moet worden opgenomen in de ICT Policy.

In haar beslissing gaat de GBA duidelijk uit van het uitgangspunt dat de mailbox van de betrokken ex-werknemers ook voor privé correspondentie mocht worden gebruikt. Het is nochtans mogelijk om het privégebruik van de professionele mailbox te verbieden, op voorwaarde dat je de werknemers dan wel de mogelijkheid geeft om tijdens de werkdag online een privémailbox (genre Gmail, Hotmail, …) te consulteren. In een aanbeveling inzake cybersurveillance van 2 mei 2012 van de toenmalige Privacycommissie (omgevormd tot de GBA) wordt immers bevestigd dat professionele en privé-informatie zoveel als mogelijk gescheiden moeten worden en gewerkt kan worden met afzonderlijke accounts. Bij gescheiden e-mailgebruik kan o.i. dan ook een minder stringent vertrekbeleid verdedigbaar zijn.

In de hierboven vermelde aanbeveling Cybersurveillance van 2012 had de toenmalige Privacycommissie ook al gewezen op het belang van functioneringsregels in geval van afwezigheid (bv. vakantie, ziekte, …) en vertrek van een werknemer uit de onderneming. Op basis van deze aanbeveling was beperkte toegang tot de e-mailaccount van de werknemer na diens vertrek nog wel toegelaten, maar raadde de Privacycommissie aan om hiervoor een ‘vertrouwenspersoon’ in te schakelen. Op basis van deze recente beslissing van de GBA lijkt toegang tot de mailaccount na het vertrek van de werknemer echter in principe niet meer toegelaten. 

Actiepunt

 Check of uw ICT policy ook de procedure bij vertrek van een werknemer op correcte wijze beschrijft. Zorg ervoor dat deze procedure door uw IT departement strikt wordt nageleefd.