Toegang tot de e-mails van een afwezige medewerker Sleutelbegrippen: preventieve maatregelen, responsabilisering, proportionaliteit en transparantie
1. In deze context moet verwezen worden naar de gedragsregels die door de Privacycommissie werden voorgeschreven in haar aanbeveling uit eigen beweging 08/2012 van 2 mei 2012 betreffende de controle door de werkgever op het gebruik van elektronische communicatieinstrumenten op de werkvloer. Zoals de Privacycommissie verduidelijkte in haar aanbeveling, is toegang tot de e-mails van werknemers niet enkel een kwestie van toezicht, maar kan dit eveneens noodzakelijk zijn om de continuïteit van de dienstverlening door de werkgever te verzekeren in geval van afwezigheid, vertrek of overlijden van een medewerker1. 2. De afwezigheid van een medewerker die beschikt over een professioneel e-mailadres op zijn naam, belet niet dat hij verder e-mails ontvangt. A priori kan het zowel gaan om de opvolging van professionele dossiers als om e-mails die hem betreffende persoonsgegevens bevatten. 3. Zowel de wet betreffende de arbeidsovereenkomsten2, de Privacywet als het stelsel van burgerlijke aansprakelijkheid van de werknemers voor de handelingen die zij stellen bij de uitvoering van hun arbeidsovereenkomst, vormen wettelijke machtigingen voor het uitoefenen van toezicht en toegang tot hun elektronische communicatie door de werkgevers, op voorwaarde dat rekening wordt gehouden met het finaliteits-, proportionaliteits- en transparantiebeginsel van de Privacywet. I.
Preventieve maatregelen ter beperking van de noodzaak voor de werkgever om zich toegang te verschaffen tot de mailbox van werknemers tijdens hun afwezigheid
4. Een goede organisatie van een onderneming impliceert dat op elke voorziene afwezigheid van een medewerker kan worden geanticipeerd. De werkgever dient de nodige organisatorische maatregelen te nemen om te vermijden dat toegang verkrijgen tot de elektronische communicatie van zijn medewerkers noodzakelijk is om de continuïteit van zijn activiteiten te verzekeren, of dat de nood hiertoe op z'n minst zo veel mogelijk wordt beperkt. 5. Deze maatregelen zijn in het bijzonder van belang voor openbare diensten waar het belangrijk is de continuïteit van de openbare dienst te verzekeren. 6. Zo zal het ICT-handvest van de organisatie aan iedere werknemer van wie de afwezigheid gepland is, opleggen om het systeem van automatisch antwoord bij afwezigheid in zijn mailbox te activeren ("out of office reply") waarin zijn afwezigheid wordt bevestigd alsook de gegevens van de te contacteren persoon worden vermeld3. Zo zal eveneens worden gepreciseerd dat in geval van onvoorziene afwezigheid van de werknemer, het automatisch
1
Consideransen 5 en 16 van aanbeveling 08/2012. Art. 2 e.v., 16 en 17 die de principes van eerbied en loyauteit bevatten – de inachtneming van de welvoeglijkheid en de goede zeden bij de uitvoering van de arbeidsovereenkomst – evenals de verplichting van de werknemer om zijn werk met zorg uit te voeren in de overeengekomen omstandigheden en om te handelen volgens de bevelen en instructies van de werkgever. 3 Considerans 176 van aanbeveling 08/2012. 2
antwoordsysteem bij afwezigheid zal worden geactiveerd door de vertrouwenspersoon of de ICT-verantwoordelijke. 7. Wat onvoorziene afwezigheden betreft, ook hierop kan tot op zekere hoogte worden geanticipeerd. Daartoe wordt aanbevolen dat iedere organisatie een e-mailbeheersysteem zou invoeren waarbij de in het raam van lopende dossiers ontvangen of verzonden professionele e-mails systematisch en binnen een redelijke termijn door de dossierbeheerder worden opgeslagen op een ad hoc-ruimte (documentatiesysteem van de onderneming,…) of systematisch een kopie wordt verstuurd aan de onmiddellijke hiërarchische meerdere. Dit soort beheer draagt bij tot een goede organisatie van professionele briefwisseling. Het laat toe te waarborgen dat alle relevante briefwisseling van hangende dossiers indien nodig toegankelijk is om de continuïteit van de dienst te verzekeren. Dezelfde gedragslijn moet kunnen toegepast worden voor lopende werkdocumenten. Zo moeten de richtlijnen voorschrijven dat ieder werkdocument, al dan niet voltooid, moet opgeslagen worden op een gedeelte van de server dat toegankelijk is voor eenieder die daar functioneel nood aan heeft. Dit zal de werkgever toelaten om indien nodig bij afwezigheid van de dossierbeheerder (dringend) toegang te verkrijgen tot nuttige professionele documenten, zonder zich toegang te moeten verschaffen tot zijn persoonlijke werkpost. 8. Ten slotte wordt in eenzelfde geest aan iedere medewerker aanbevolen om op het werk zoveel mogelijk zijn persoonlijke webmail te gebruiken voor private elektronische communicatie. Door zich aan deze regel te houden, kan iedere latere discussie vermeden worden over toegang door de werkgever tot privémails die door de werknemer verstuurd werden. 9. Indien deze preventieve maatregelen toch niet volledig kunnen vermijden dat een werkgever zich toegang moet verschaffen tot de e-mails van een afwezige medewerker (onvoorziene afwezigheid, onmiddellijk aansluitend op een verlofperiode of een weekend, correspondenten van de afwezige medewerker hebben hem mogelijk boodschappen gestuurd zonder kennis te nemen van zijn afwezigheid, automatisch antwoord werd niet geactiveerd,…) of er geen preventieve maatregelen werden genomen, dient nagegaan te worden of een dergelijke toegang met het oog op het verzekeren van de continuïteit van de dienstverlening van de organisatie, toegelaten is in het licht van de beginselen van de Privacywet. II.
Toegang tot e-mails door de werkgever i.
Rechtmatig karakter van het beoogde doeleinde
10. De ondergeschikte relatie tussen de werknemer en de werkgever, inherent aan de aard zelf van de arbeidsovereenkomst, kan toegang door de werkgever tot e-mails van werknemers rechtvaardigen, voor zover dit conform het gebruikelijke en normale beheer van de onderneming en conform de relevante wettelijke bepalingen gebeurt. 11. In dit opzicht vormt het doeleinde van het verzekeren van de continuïteit van de dienstverlening binnen de onderneming een legitiem doeleinde in hoofde van de werkgever die toegang wenst tot de e-mails van een van zijn afwezige werknemers. ii.
Transparantie- en proportionaliteitsbeginsel
12. De transparantie- en proportionaliteitsbeginselen van de Privacywet moeten bovendien geëerbiedigd worden. 13. Zo moet de werkgever, bovenop de aangifte van de geautomatiseerde verwerkingen die hij uitvoert, in zijn beleid of handvest voor het gebruik van ICT-tools van zijn organisatie de voorwaarden bepalen voor raadpleging van de professionele mailboxen van zijn onderneming in geval van afwezigheid van de medewerker, en dit in overleg met de werknemers (ondernemingsraad, comité voor preventie en bescherming en welzijn op het werk, werknemers). 14. De werkgever moet iedere medewerker hiervan in kennis stellen. Het is overigens belangrijk dat elk intern beleid inzake gebruik van ICT-tools regelmatig samengaat met een bewustmaking van de personeelsleden rond de concrete maatregelen die zij moeten nemen om de risico's in verband met de veiligheid van het informaticanetwerk van de werkgever en de verwerking van persoonsgegevens te beperken. 15. De werkgever zal hierin moeten bepalen of hij al dan niet privégebruik toelaat van de professionele mailboxen van de onderneming, in welke mate, alsook de voorwaarden en modaliteiten voor toegang tot e-mails bij afwezigheid van de medewerkers om de continuïteit van de dienstverlening te verzekeren (naast de andere verwerkingen die hij zou uitvoeren met betrekking tot de e-mails van zijn medewerkers). a. In geval van verbod op privégebruik van de mailboxen, kan men zich in principe toegang verschaffen tot de e-mails om de continuïteit van de onderneming te waarborgen. Het proportionaliteitsbeginsel van de Privacywet stelt daarentegen dat in het licht van het beoogde doeleinde enkel toereikende, ter zake dienende en nietovermatige gegevens mogen worden verwerkt. Indien gelet op de kenmerken van een bericht (onderwerp, afzender, bestemmeling,…) blijkt dat er geen verband is met de activiteiten van de onderneming, mag dat bericht dus niet voor dat doeleinde geraadpleegd worden aangezien het door de aard ervan niet noodzakelijk is voor het verwezenlijken van dat doeleinde. Indien de werkgever echter ongewild kennis neemt van een privémail van de medewerker is deze kennisname rechtmatig, maar dient elk verder gebruik te beantwoorden aan de voorschriften van de Privacywet. b. Indien gemengd gebruik van de professionele mailbox is toegestaan, dienen organisatorische maatregelen in het informaticahandvest opgenomen te worden om het verschil tussen privéberichten en professionele berichten te verduidelijken (verplichte vermelding van het privékarakter in het onderwerp van de mail, verplichte archivering van privémails in een map van de mailbox die gekenmerkt wordt als zijnde privé,…). In het algemeen en indien de situatie dit toelaat (toegang door de werknemer tot zijn webmail van thuis uit, beschikbaarheid van de werknemer, geen geschil,…) verdient het de voorkeur dat de doorzending van nog niet behandelde professionele elektronische briefwisseling gebeurt door de betrokken afwezige medewerker zelf. Indien dit niet mogelijk is, wordt aanbevolen om te voorzien in de
tussenkomst van een tussenpersoon, vertrouwenspersoon 4, die indien nodig zich toegang zal moeten verschaffen tot de mailbox van de afwezige medewerker om enkel de professionele berichten op te sporen die noodzakelijk zijn om de continuïteit van de dienstverlening te verzekeren. 16. E-mails die gericht worden aan een onpersoonlijk e-mailadres (zoals
[email protected]) dat gebruikt wordt of toegankelijk is voor verschillende personen, kan niet gekwalificeerd worden als privé. Hieruit kan a priori geen persoonlijke informatie betreffende de medewerkers afgeleid worden en deze e-mails worden niet geacht hen betreffende persoonsgegevens te bevatten. 17. Het proportionaliteitsbeginsel van de Privacywet vereist in principe eveneens dat wanneer de werkgever zich toegang verschaft tot de mailbox om de continuïteit van zijn diensten te verzekeren, hij zich beperkt tot de e-mails die a priori enkel de afwezigheidsperiode van de medewerker betreffen en waarvoor geen automatisch antwoord werd verstuurd, of desnoods tot een redelijke termijn voorafgaand aan die afwezigheid en dit in de mate dat alleen toegang tot deze e-mails relevant is voor het verzekeren van de continuïteit van de activiteiten van de onderneming. Indien echter specifieke elementen dit kunnen rechtvaardigen, mag de werkgever toegang hebben tot andere e-mails en/of professionele contactgegevens van de afwezige medewerker indien dit noodzakelijk is voor het verzekeren van de continuïteit van de activiteiten van de onderneming. De noodzakelijke toegang tot de mailbox moet overigens gerechtvaardigd kunnen worden op basis van relevante elementen (duur van de aangekondigde afwezigheid, dringend karakter van de lopende dossiers van de betrokken medewerker,…). 18. Tot slot dient het ICT-handvest ook te voorzien in de hypothese van vrijwillig vertrek of ontslag van de medewerker met of zonder opzegperiode. Net zoals de medewerker de gelegenheid moet krijgen zijn persoonlijke bezittingen5 te recupereren, moet hem voor zijn vertrek de mogelijkheid geboden worden zijn private elektronische communicatie te recupereren of te wissen. Zo moet ook, wanneer een deel van de inhoud van de mailbox moet worden gerecupereerd om de goede werking van de onderneming te waarborgen, zulks gebeuren voor het vertrek van de medewerker en in zijn aanwezigheid. In geval van een geschil wordt de tussenkomst van de vertrouwenspersoon aanbevolen wanneer de werkgever een gegronde vrees heeft dat de betrokken werknemer opzettelijk een lek van bedrijfsgegevens zou kunnen in de hand werken. Deze handeling kan ten slotte afgerond worden met een geschreven verklaring van de medewerker waarmee die bevestigt dat hij alle nog te behandelen professionele elektronische communicatie die nog niet werd ingediend (via het systeem van documentatiebeheer) heeft doorgezonden, en ook bevestigt dat hij over voldoende tijd en mogelijkheden heeft kunnen beschikken om zijn persoonlijke briefwisseling te recupereren of te wissen. 19. Teneinde iedere later betwistbare situatie te vermijden wordt aan de werkgever aanbevolen de mailbox van de medewerker die zijn functie heeft beëindigd, zo snel mogelijk – idealiter op de dag zelf van zijn effectief vertrek – te blokkeren, na een automatisch antwoord te hebben laten aanbrengen waarmee iedere latere correspondent erover wordt geïnformeerd dat betrokkene niet meer voor de onderneming werkt en waarbij gedurende een redelijke termijn 4
Menselijke firewall tussen de werkgever en de werknemer die het gerechtvaardigd vertrouwen geniet van beide partijen, beschikt over de nodige onafhankelijkheid ten opzichte van de werkgever en bijzondere aandacht heeft voor bevoegdheidsoverschrijding vanwege beide partijen. 5 Cf. art. 20 7° van de Wet van 3 juli 1978 betreffende de arbeidsovereenkomsten.
(a priori 1 maand) de contactgegevens worden vermeld van de te contacteren persoon (of het algemene e-mailadres). Deze werkwijze verdient de voorkeur boven een automatische doorzending van mails naar een ander elektronisch adres van de onderneming aangezien men geen controle heeft over binnenkomende elektronische communicatie en dus op die wijze potentieel gevoelige privé-informatie verspreid zou kunnen worden, niet alleen zonder medeweten van de betrokkene, maar eveneens van de correspondent (bv. verplaatsing van een medische consultatie,…). Na afloop van bovenvermelde periode zal de mailbox van de betrokkene worden verwijderd.