Het komt geregeld voor dat bij een werkgever een vermoeden van onregelmatigheden bij een werknemer ontstaat. Om het concrete vermoeden, bijvoorbeeld van het doorspelen van bedrijfsgevoelige informatie te bewijzen, is het niet ongebruikelijk dat de werkgever de zakelijke mailbox van de werknemer doorzoekt. Soms geeft dat verkregen bewijs aanleiding om een werknemer (op staande voet) te ontslaan (zie bijvoorbeeld Rechtbank Midden-Nederland). Maar waar moet een werkgever rekening mee houden wanneer wordt besloten op basis van een vermoeden de zakelijke mailbox van een werknemer in te zien? Wanneer is dat rechtmatig en wat kunnen de negatieve gevolgen zijn wanneer de inzage een onrechtmatige privacy inbreuk oplevert? Dat lichten we hierna verder toe. Ook geven we een aantal praktische handvatten voor werkgevers.
Wanneer is inzage rechtmatig?
Een werkgever mag niet te allen tijde de zakelijke mailbox van een werknemer controleren. Ook op de werkvloer en ten aanzien van de zakelijke mailbox heeft een werknemer recht op privacy (artikel 8 EVRM). Dat recht is alleen niet onbeperkt. Controle van een zakelijke mailbox kwalificeert daarbij als het verwerken van persoonsgegevens en is dus ook aan de regels van de AVG gebonden.
Nederlandse rechters beoordelen aan de hand van de AVG, goed werkgeverschap en artikel 8 EVRM, of controle van de zakelijke mailbox geoorloofd is en geen onrechtmatige privacy inbreuk oplevert. Bij de toetsing aan artikel 8 EVRM wordt onder meer gekeken naar de gezichtspunten volgend uit het Bărbulescu-arrest, namelijk:
- Is de werknemer vooraf geïnformeerd over mogelijke controle?
- Wat is de omvang van de controle en hoe ernstig is de privacy inbreuk (proportionaliteit)?
- Heeft de werkgever legitieme gronden die controle rechtvaardigen?
- Was de controle met minder vergaande maatregelen mogelijk (subsidiariteit)?
- Welke gevolgen heeft de controle voor de werknemer gehad?
- Zijn de werknemer adequate waarborgen geboden?
Rechtbank Midden-Nederland oordeelde bijvoorbeeld dat eenmalige inzage in de zakelijke mailbox van de werknemer geen schending van artikel 8 EVRM opleverde. Belangrijk was dat de werkgever voorafgaand had besproken dat zij de mailbox kon inzien. Andere omstandigheden als onbereikbaarheid, miscommunicatie en het feit dat de inzage eenmalig was, speelden ook een rol in de beoordeling.
Dezelfde rechtbank oordeelde in een andere zaak dat onduidelijk was of sprake was van rechtmatige controle van de zakelijke mailbox, omdat niet getoetst kon worden aan bovengenoemde criteria nu de werkgever geen openheid van zaken wilde geven over de aanleiding van het onderzoek en de manier waarop de controle plaatsvond. Het was niet duidelijk of er een concrete legitieme grond was die de monitoring rechtvaardigden. Deze onduidelijkheden hebben geleid tot afwijzing van het ontbindingsverzoek.
Voorkomen negatieve gevolgen
Alvorens over te gaan tot controle van de zakelijke mailbox is het dus aan te raden een zorgvuldige afweging te maken met inachtneming van de gezichtspunten uit het Bărbulescu-arrest, de AVG en het beginsel van goed werkgeverschap. Een onrechtmatige privacy inbreuk kan immers negatieve gevolgen hebben. Denk daarbij aan toekenning van een schadevergoeding aan de werknemer, toekenning van een (hogere) billijke vergoeding in een ontslagzaak, indiening van een klacht door de werknemer bij de Autoriteit Persoonsgegevens (AP) (die wellicht een maatregel oplegt) en (in zeer uitzonderlijke gevallen) terzijde legging door de rechter van het door de privacy inbreuk verkregen bewijs.
Concrete tips
Om onrechtmatige inzage van de zakelijke mailbox en de negatieve consequenties daarvan te voorkomen, kan een werkgever de volgende handvatten gebruiken:
- Leg in een schriftelijk beleid vast wat wel en niet mag op het gebied van internet-, e-mail- en telefoongebruik. Beschrijf ook mogelijke gevolgen van schending.
- Leg in een schriftelijk beleid vast wanneer en hoe (heimelijke) controle op e-mailgebruik mogelijk is (met inachtneming AVG). Betrek de ondernemingsraad bij het opstellen / aanpassen van het beleid. De ondernemingsraad heeft in dit kader een instemmingsrecht.
- Zorg voor schriftelijke instemming van de werknemers met beleid om discussies over gebondenheid / kenbaarheid te voorkomen.
- Maak per situatie een beoordeling of controle noodzakelijk en proportioneel is. Weeg het bedrijfsbelang af tegen de privacy van de werknemer. Is er een concreet vermoeden op grond waarvan controle in de mailbox gerechtvaardigd is? Is een minder vergaand middel beschikbaar om het doel te bereiken? Leg deze balanstoets schriftelijk vast.
- Beperk de controle tot het minimum, zowel in tijd als omvang. Zorg er bijvoorbeeld voor dat de privé e-mails in de zakelijke mailbox niet worden gelezen. Laat werknemers bijvoorbeeld privé e-mails in een aparte map plaatsen.
Contact
Een zorgvuldige afweging en concreet en kenbaar beleid is kortom key. Wilt u meer weten of van gedachten wisselen over het opstellen of aanpassen van uw beleid? Neem dan contact met ons op, wij gaan graag met u in gesprek.
