Mag een bedrijf of organisatie de e-mail inzien van de medewerkers? Wat doe je met de mailberichten van een werknemer of van een bestuurslid van een vereniging, wanneer die niet in goede harmonie vertrokken is?
Het bestuur van een organisatie, waarvoor wij de hosting van de domeinnaam, website en e-mail verzorgen, meldde zich onlangs bij ons met een vervelend probleem. Een van de bestuursleden had zijn functie neergelegd en had een betrekking in het buitenland aangenomen. Helaas was het voormalige bestuurslid sindsdien erg moeilijk bereikbaar. De betreffende persoon maakte nauwelijks gebruik van het e-mailadres dat bij zijn voormalige functie hoorde, maar vooral van een e-mailadres op zijn eigen naam, maar dat wel was gekoppeld aan de domeinnaam van de organisatie.
De overige bestuursleden wilden vanzelfsprekend graag weten, welke afspraken het voormalige bestuurslid had gemaakt, en vroegen ons of wij even in zijn mailbox wilden kijken. Nu zijn wij wat dat betreft net als een dokter – we kunnen alles zien, maar wij mogen niets tegen derden zeggen. Want zo’n gepersonaliseerd zakelijk e-mailadres geldt als een persoonsgegeven, en is daarmee onderworpen aan de regels van de AVG. Als je over het gebruik van e-mail niets hebt geregeld binnen je organisatie, dan is in zo’n situatie de gang naar de rechter de enige mogelijkheid om te proberen inzage te krijgen in de e-mail van een ex-werknemer of voormalig bestuurslid.
Hoe voorkom je zo’n situatie?
Voor kleinere bedrijven en organisaties is de eenvoudigste manier om alleen e-mailadressen aan te maken die aan een functie of afdeling zijn gekoppeld. Zoals “marketing@…” of “sales@…”, en geen e-mailadressen op naam. Op die manier heeft iedereen die verantwoordelijk is voor de betreffende werkzaamheden inzage in de e-mail.
Maar dat is in veel bedrijven of organisaties in de praktijk niet mogelijk. Zorg daarom voor een protocol waarin staat dat onder bepaalde omstandigheden inzage in de e-mail noodzakelijk kan zijn. Daarbij moet de werkgever of het bestuur van een organisatie een “gerechtvaardigd belang” hebben om de e-mail in te kunnen zien. Deze mogelijkheid moet voor alle betrokkenen klip en klaar zijn, en bijvoorbeeld aan een arbeidscontract of aan het privacyreglement zijn gekoppeld. Maar dit alles betekent nog steeds niet, dat je naar hartenlust mag grasduinen in de e-mail van de betreffende persoon. Berichten die duidelijk privé zijn mag je bijvoorbeeld nooit inzien.
Hoe het met onze klant is afgelopen? Uiteindelijk goed. Wij hebben ze ‘administrator’ gemaakt van hun domein-controlepanel, waardoor zij zelf verantwoordelijk werden voor het beheer van de e-mailadressen. En het betreffende voormalige bestuurslid heeft toestemming gegeven om zijn mails te bekijken. Eind goed, al goed. Maar zulke situaties kunnen ook minder goed aflopen.